El cryptojacking es el secuestro silencioso de la CPU de tu ordenador, móvil o servidor para minar criptomonedas sin tu permiso. Mientras navegas por una web aparentemente inofensiva o ejecutas un servidor en producción, alguien está usando tu hardware para enriquecerse a costa de tu factura eléctrica y la vida útil de tu procesador. La minería en navegador explotó en 2017 con Coinhive, un servicio que muchos webmasters integraron como alternativa a la publicidad. El problema: la mayoría no avisaba al visitante. El secuestro de CPU sigue activo en 2026, ahora más sofisticado, escondido en contenedores Docker mal configurados, dependencias npm comprometidas y extensiones de Chrome que pasan revisión. Minar sin permiso el hardware ajeno es ilegal en la UE bajo el artículo 197 bis del Código Penal español.
Qué es exactamente el cryptojacking y cómo funciona
El ataque se basa en ejecutar un script de minería —normalmente Monero (XMR), porque es resistente a ASICs y mantiene el anonimato— usando recursos de víctimas que no han dado consentimiento. El atacante se queda las recompensas. La víctima, la factura.
Existen dos modalidades principales. La primera es el cryptojacking en navegador: un fragmento de JavaScript se carga en una página web y mina mientras tienes la pestaña abierta. La segunda es el cryptojacking persistente: malware instalado en el sistema operativo, contenedor o servidor que mina 24/7 hasta que alguien lo detecta.
El caso paradigmático es Coinhive. Lanzado en septiembre de 2017, ofrecía una API para minar Monero en navegador. The Pirate Bay lo probó sin avisar. Showtime Anytime lo tuvo activo accidentalmente. Hasta la web del gobierno británico (ICO) acabó infectada vía un script de accesibilidad llamado Browsealoud en febrero de 2018. Coinhive cerró en marzo de 2019 cuando el algoritmo de Monero cambió y dejó de ser rentable, pero sus clones siguen vivos: CoinIMP, Crypto-Loot, WebMinePool.
Señales de que estás siendo víctima
Los síntomas son los mismos en un portátil que en un servidor de producción. Cambia la escala del problema.
- CPU al 90-100% sin razón aparente. El ventilador a máxima potencia con una pestaña abierta.
- Batería que se agota en horas en lugar de un día completo.
- Calentamiento anormal del equipo, especialmente en zonas del procesador.
- Lentitud generalizada al cambiar de pestaña o aplicación.
- En servidores: picos de CPU sostenidos, facturas cloud disparadas, procesos como
xmrig,kdevtmpfsiokinsingentop. - Ventiladores del datacenter activándose sin carga legítima programada.
Si gestionas infraestructura, una alerta de uso de CPU sostenido por encima del 80% durante horas en una máquina que no debería tenerlo es la primera bandera roja. La segunda: tráfico saliente hacia pools de minería conocidos (puertos como 3333, 5555, 7777 o 14444 son habituales en Monero, aunque varían según el pool).
Vectores de ataque más habituales en 2026
Los atacantes ya no necesitan que descargues un .exe sospechoso. La superficie de ataque se ha multiplicado.
| Vector | Cómo funciona | Quién es vulnerable |
|---|---|---|
| Webs comprometidas | Inyección de JS minero en CMS desactualizados | Visitantes de sitios con WordPress, Magento o Drupal sin parchear |
| Extensiones de navegador | Extensión legítima vendida o secuestrada que añade minería | Usuarios de Chrome, Firefox, Edge |
| Contenedores Docker expuestos | API de Docker en puerto 2375 sin autenticación | Servidores cloud mal configurados |
| Kubernetes mal configurados | Dashboards públicos sin auth, pods con privilegios | Empresas con infra cloud-native |
| Dependencias npm/PyPI | Paquetes legítimos comprometidos (typosquatting o cuenta hackeada) | Cualquier desarrollador |
| Servidores Redis/MongoDB | Bases de datos sin contraseña expuestas a internet | Despliegues "rápidos" en VPS |
El caso de Tesla en 2018 es manual: investigadores de RedLock (hoy parte de Palo Alto Networks Prisma Cloud) encontraron un cluster de Kubernetes de Tesla expuesto públicamente, sin contraseña, ejecutando un minero. Lo descubrieron por casualidad. Pudo haber durado meses.
Más reciente: la familia de malware Kinsing, activa desde 2020 y todavía vigente, ataca instancias Docker, Redis y aplicaciones Java vulnerables (Log4Shell, Spring4Shell). Llega, mina Monero, deshabilita herramientas de seguridad y se propaga lateralmente. Si tienes un servidor con SSH expuesto y contraseñas débiles, ya sabes lo que toca. Por cierto, los kits de ataque automatizados incluyen módulos específicos para desplegar mineros tras el compromiso inicial.
Cómo protegerte: usuario doméstico
Tres capas de defensa básicas. Ninguna es perfecta, las tres juntas funcionan.
- Bloqueador de scripts. uBlock Origin con las listas NoCoin y EasyPrivacy activadas bloquea la mayoría de mineros conocidos. Privacy Badger de la EFF añade una capa heurística.
- Antivirus moderno con análisis de comportamiento. Malwarebytes, Bitdefender y Kaspersky detectan mineros persistentes. Windows Defender ha mejorado mucho en los últimos años: no lo desactives buscando rendimiento.
- Auditoría de extensiones. Revisa qué permisos tienen tus extensiones de Chrome o Firefox. Una extensión que pide acceso a "todos los sitios" para cambiarte el fondo de pantalla es sospechosa por definición.
Si sospechas que has sido víctima, el procedimiento es el mismo que cuando te hackean una cuenta: aislar el equipo, cambiar contraseñas desde otro dispositivo limpio y escanear con dos antimalware distintos. Y si lo que tienes es adware con publicidad invasiva, probablemente venga acompañado de un minero como bonus.
Cómo protegerte: administrador de sistemas
Aquí el juego cambia. Un servidor minando es dinero perdido cada minuto.
- Cierra puertos innecesarios. La API de Docker en 2375 nunca debe ser pública. Redis y MongoDB siempre con autenticación, mejor detrás de VPN.
- Monitoriza CPU y red. Prometheus + Grafana con alertas en uso sostenido. Falco para detección de comportamiento anómalo en Kubernetes.
- Escanea imágenes Docker con Trivy o Grype antes de desplegar. Las imágenes públicas con mineros embebidos son una constante.
- Actualiza dependencias. Snyk, Dependabot, npm audit. La supply chain de software es donde más cryptojacking se cuela.
- Hardening básico: SSH solo con clave, fail2ban, principio de mínimo privilegio en cuentas de servicio.
Si tu empresa quiere implantar buenas prácticas de seguridad y desarrollo desde la base, conviene apoyarse en equipos especializados en inteligencia artificial y seguridad para empresas que entiendan los riesgos modernos. Lo mismo aplica al desarrollo: una página web profesional con el CMS actualizado y endurecido te ahorra ser carne de cañón.
Marco legal: ¿es delito el cryptojacking?
Sí. En España, el artículo 197 bis del Código Penal tipifica el acceso no autorizado a sistemas informáticos. El artículo 264 contempla los daños informáticos. Usar la CPU ajena sin consentimiento encaja en ambos. Las penas pueden ir aproximadamente de seis meses a tres años de prisión, según gravedad y circunstancias.
A nivel europeo, la Directiva NIS2 (transpuesta a la legislación española en 2024) obliga a operadores de servicios esenciales y digitales a notificar incidentes significativos al INCIBE-CERT en plazos de aproximadamente 24 a 72 horas. Un cryptojacking masivo en una infraestructura crítica es notificable.
El RGPD también puede entrar en juego si el ataque implica acceso a datos personales colateralmente, con sanciones de hasta el 4% de la facturación global anual.
Casos reales recientes
El cryptojacking no se quedó en 2018. Algunos episodios destacables documentados públicamente:
- PyPI compromise (2022-2024): paquetes Python con typosquatting (colourama vs colorama) instalando mineros en máquinas de desarrolladores.
- GitHub Actions abuse: atacantes creando pull requests que activan workflows con tareas de minería en runners gratuitos. GitHub endureció las políticas en 2021 pero los intentos siguen.
- TeamTNT: grupo activo desde 2019 especializado en infraestructura cloud, robando credenciales AWS y desplegando mineros en EC2.
- Free cloud trials: oleada de cuentas falsas en proveedores cloud para minar durante el periodo gratuito antes del baneo.
Preguntas frecuentes
¿El cryptojacking puede dañar permanentemente mi ordenador?
Reduce la vida útil del procesador y la batería por uso intensivo y temperaturas elevadas sostenidas. No suele provocar fallos inmediatos, pero un equipo con cryptojacking durante meses envejece años en cuestión de semanas.
¿Sigue existiendo Coinhive en 2026?
El servicio original cerró en marzo de 2019. Sin embargo, el código y los clones están publicados en GitHub. Variantes como CoinIMP y Crypto-Loot siguen activas, y los listados de bloqueo de uBlock Origin las cubren.
¿Cómo sé si una web me está minando criptomonedas?
Abre el administrador de tareas (Ctrl+Shift+Esc en Windows, Activity Monitor en Mac). Si una pestaña del navegador consume el 80-100% de CPU sin estar reproduciendo vídeo o ejecutando algo intensivo, sospecha. Cierra la pestaña: si la CPU baja al instante, era cryptojacking en navegador.
¿Es legal una web que mina con mi consentimiento explícito?
Sí, siempre que el aviso sea claro, previo y revocable. Algunos medios lo plantearon como alternativa a la publicidad o muros de pago. El problema histórico es que el 99% de implementaciones no avisaban, lo que convirtió la práctica en sinónimo de abuso.
¿Las apps móviles también pueden hacer cryptojacking?
Sí. Google y Apple prohíben explícitamente la minería en sus tiendas desde 2018, pero apps fraudulentas se cuelan. En Android, además, los APKs fuera de Play Store son un vector habitual. Revisa el consumo de batería por aplicación: una linterna no debería estar en el top 3.
El siguiente paso
Instala uBlock Origin en tu navegador ahora mismo, activa la lista de filtros NoCoin en sus opciones avanzadas y reinicia el navegador. Es gratis, tarda dos minutos, y bloquea la mayoría de scripts de minería conocidos antes de que tu CPU lo note.
