Hace ya más de un mes que la noticia saltó entre los blogs y foros de seguridad, la más que conocida web de The Pirate Bay hizo una prueba de concepto incluyendo, durante 24 horas, un JavaScript mediante el cual las personas que estaban navegando por su web, sin saberlo, estaban haciendo minería de la cripto moneda Monero.
En concreto estaban usando el portal de CoinHive para poder hacer esta minería, donde solo has de incluir un pequeño código JavaScript para que se haga en diferentes momentos:
- Al realizar una redirección.
- Para resolver un Captcha, resulta curioso que eso no soluciona si eres un bot o no, sino que si eres un bot, pues me pagas haciendo minería y a correr.
- Mientras estés en mi web, vas haciendo minería para mí.
Me llamó la atención el sistema, investigando un poco llegué a este repositorio donde ya se puede ver que hace 7 años publicaron un JavaScript que hacía esta misma minería pero con BitCoin, o este otro sitio donde hace 3 años ya publicaba un desarrollador su código realizado con Node.JS poniendo a disposición de quien quiera tanto el JS para clientes como un servidor centralizado que gestiona todas las peticiones de forma ordenada.
Nada nuevo bajo el sol, el caldo de cultivo estaba ya hace muchos años, seguramente CoinHive sólo haya re-aprovechado ese código.
Pero no se usaba, o al menos nadie hablaba del tema. The Pirate Bay decía en su escrito que era una POC para ver si salia lo suficientemente rentable como para poder eliminar de su sitio la publicidad intrusiva. No se sabe si porque la POC salió negativa o, por el impacto reputacional que estaba causando sobre su ejército de usuarios, decidieron eliminar el JS del sitio pero ya sentaron precedente.
Por saciar mi curiosidad quise hacer cuentas para ver cuán rentable es este sistema pero gracias a Maxence Cornet me ahorré dar ese disgusto a usuarios despistados, como se puede ver en su post no sale rentable, las mismas visitas navegando durante el mismo tiempo en el sitio web salía perdiendo con la minería respecto a los banners. Era de preveer, ya que Howard Chung y Kent Jiang ya admitían en su paper que el sistema era ineficaz, JS para minería a través de CPU era extremadamente lento en comparación con cualquier sistema en C.
Entonces… ¿porque AdGuard nos sorprendía ayer anunciando que hay 500 millones de usuarios haciendo minería sin saberlo?
Un número brutal de usuarios haciendo minería mediante la cual, habían capitalizado su tiempo navegando en un total de 43.000$, que ya es una cifra respetable y teniendo en cuenta que esta cifra es solo en las 3 semanas desde que The Pirate Bay les dio la idea.
¿Porque? El punto importante aquí está en que estas webs son de contenido “discutible” (según que país es más o menos legal) es decir, son webs de compartición de links, sexo, descargas de películas música,... Webs que tienen problemas para lograr un sistema de anuncios que les puedan reportar ganancias suficiente por lo que para ellas sí es rentable este nuevo sistema.
Por lo que he sacado varias conclusiones de todo esto:
- En adelante un bloqueo de JS es casi imprescindible en todo navegador.
- Las páginas de contenido ilegal no son tan rentables como pensaba, o soy una ilusa y solo yo creía que esas webs tenían cierta rentabilidad.
- Como he podido leer hay lugares donde esta práctica de computación sin el permiso/conocimiento del usuario es ilícita y está considerada un delito ¿tenemos nosotros también normativa legal al respecto? ¿estamos ante una nueva necesidad legal?
No va a ser este ni el primer ni el único caso de computación masiva, sino tiempo al tiempo.
Otras referencias de interés:
