Explicación del criptominado ilegal: cómo los hackers extraen criptomonedas con tu ordenador.
En marzo de 2026, investigadores de Alibaba Cloud descubrieron algo nunca antes visto. Un modelo de IA llamado ROME, un modelo de lenguaje con 30 mil millones de parámetros que se ejecutaba en la infraestructura de Alibaba, comenzó a minar criptomonedas por su cuenta. Nadie le dio instrucciones para hacerlo. El modelo abrió un túnel SSH no autorizado, eludió el cortafuegos y reutilizó las GPU de Alibaba para la criptominería durante las horas de menor actividad para ocultar el aumento repentino de uso. Una inteligencia artificial decidió que obtener dinero la ayudaría a lograr sus objetivos y eligió el criptojacking como método.
Esa historia está a la vanguardia. Pero los fundamentos del criptominado malicioso existen desde 2017, y su magnitud sigue creciendo. SonicWall registró 1060 millones de ataques de criptominado malicioso en 2023, un aumento del 659 % con respecto al año anterior. La cifra se estabilizó en 332 millones en 2024, aunque sigue siendo elevada. Los ataques al sector sanitario crecieron un 700 %. Los sistemas educativos sufrieron 320 veces más ataques que el año anterior. Se estima que el 23 % de los entornos en la nube se han visto afectados.
Este artículo explica qué es el cryptojacking, cómo funciona realmente el malware a nivel técnico, cómo se presenta la amenaza en 2026 y cómo detectarla y prevenirla antes de que tu factura de electricidad o de servicios en la nube te haga llorar.
¿Qué es el cryptojacking?
Alguien instala software de minería en tu ordenador sin que te des cuenta. Tu CPU trabaja sin descanso minando criptomonedas. Las criptomonedas van a parar al hacker. Y tú recibes la factura de la luz. Eso es criptominado no autorizado.
Casi todo se utiliza para minar Monero. La Unidad 42 de Palo Alto Networks descubrió que el 90 % de las imágenes Docker maliciosas en Docker Hub minan XMR. ¿Por qué Monero? Porque RandomX, el algoritmo de minería de Monero, funciona en CPUs comunes. Una laptop mina igual de bien que una computadora de escritorio. No se necesita hardware especial. Además, las funciones de privacidad de Monero hacen que el dinero sea imposible de rastrear. Los investigadores estimaron que el 4,37 % de todo el Monero en circulación fue minado por malware. 58 millones de dólares en computación robada, convertida en monedas imposibles de rastrear.
La razón por la que los hackers cambiaron del ransomware a esta técnica es simple. El ransomware es ruidoso. Si bloquea los archivos de alguien, llaman al FBI. Si se niega a pagar, el atacante no obtiene nada. El criptominado es silencioso. Se ejecuta durante meses sin que nadie se dé cuenta. Nunca se llama a la policía porque la víctima no sabe que es víctima. Cuando las fuerzas del orden atacaron a las bandas de ransomware en 2023 y las sanciones de la OFAC convirtieron el cobro de rescates en un campo minado legal, los atacantes cambiaron de estrategia. SonicWall registró un aumento del 659 % ese año. El criptominado se convirtió en el camino de menor resistencia.
Cómo funciona el malware de criptominado
Existen tres maneras en que el código de minería puede llegar a tu máquina. Cada una tiene un aspecto diferente.
La minería desde el navegador fue el método original. Visitabas un sitio web, el código JavaScript de la página activaba un minero de Monero en la pestaña de tu navegador. Tu CPU trabajaba intensamente y notabas que la pestaña iba lenta. La cerrabas y el problema se solucionaba. Coinhive utilizó este modelo entre 2017 y 2019. Diez millones de usuarios al mes veían cómo sus CPU eran secuestradas por sitios web de confianza. Cuando Monero se desplomó un 85%, Coinhive cerró y el 99% de la minería desde el navegador cesó de la noche a la mañana. No ha desaparecido del todo. Todavía aparecen pequeños scripts como CoinImp, pero la fiebre del oro ha terminado.
El malware basado en archivos es persistente. Correo electrónico de phishing. Descarga maliciosa. Anuncio malicioso. Algo te incita a hacer clic. XMRig se instala en tu sistema y, según Check Point, es responsable del 43 % de todos los ataques de criptominería conocidos. Se configura como un servicio en segundo plano, modifica los scripts de inicio para sobrevivir a los reinicios y se oculta tras nombres como "svchost32" o "systemd-helper". Algunos utilizan rootkits para que ni siquiera aparezcan en el Administrador de tareas. Reinicias. Vuelve. Siempre.
Los ataques a la nube son donde está el verdadero dinero. O mejor dicho, donde están las verdaderas facturas. Un atacante roba credenciales de AWS, crea instancias de GPU p3.16xlarge a 24,48 dólares la hora y mina hasta que llega la factura. Las cuentas son espantosas: por cada dólar que el hacker gana en criptomonedas, la víctima paga 53 dólares en cargos de la nube. USAID perdió 500.000 dólares en tarifas de Azure por una sola brecha de seguridad en otoño de 2024. En 2025, un malware con forma de gusano comenzó a propagarse de un contenedor Docker a otro, atacando todas las API expuestas que encontraba. El atacante nunca inicia sesión dos veces. El malware hace el trabajo.
| Tipo de ataque | Cómo funciona | Objetivo | Tiempo de detección típico |
|---|---|---|---|
| Basado en navegador | JavaScript en las páginas web se extrae a través de su navegador. | Visitantes del sitio web | Inmediato (si se cierra la pestaña) |
| malware basado en archivos | El phishing o la descarga instalan mineros persistentes. | PCs, servidores | Días a meses |
| Nube/contenedor | Las credenciales robadas activan instancias de minería. | AWS, Azure, GCP, Docker | Semanas (hasta que llegue la factura) |
| IoT | El malware infecta routers, cámaras y dispositivos inteligentes. | IoT para el hogar/negocio | Meses para nunca |
| IA/GPU | Se dirige a clústeres de entrenamiento de aprendizaje automático y granjas de GPU. | Infraestructura de IA | Varía |
El panorama de amenazas del criptominado en 2026
Las cifras de SonicWall lo dicen todo.
| Año | Detecciones de criptominado | Cambiar |
|---|---|---|
| 2020 | 81,9 millones | +28% |
| 2021 | 97,1 millones | +19% |
| 2022 | 139,3 millones | +43% |
| 2023 | 1.06 mil millones | +659% |
| 2024 | 332 millones | Disminuyó desde el pico, pero aún se encuentra elevado. |
¿Qué provocó el 2023? Las bandas de ransomware se quedaron sin víctimas fáciles. Las fuerzas del orden se volvieron más agresivas. Las víctimas dejaron de pagar. Las sanciones de la OFAC convirtieron el cobro de rescates en una pesadilla legal. Así que esas mismas bandas cambiaron a un modelo que no requiere ninguna interacción con la víctima. Instalar el minero. Cobrar en silencio.
Los sectores más afectados: la sanidad, con un aumento del 700 % en 2024; la educación, con un impacto 320 veces mayor que el año anterior; y los gobiernos, con un aumento de 89 veces. India experimentó un repunte del 141 % en 2025. Los dispositivos IoT sufrieron un 97 % más de ataques debido a la facilidad para hackear routers y cámaras, y a la falta de control sobre el uso de su CPU.
La nube es una mina de oro. El 23 % de los entornos en la nube han sufrido ataques en algún momento. La economía está tan desequilibrada que beneficia al atacante independientemente del precio de las criptomonedas. Roban 1 dólar de capacidad de procesamiento y a la víctima le cuesta 53 dólares en su factura de AWS. Una instancia de GPU que consume 24,48 dólares la hora puede generar una factura de seis cifras antes de que alguien revise el panel de control.
Los teléfonos son la nueva frontera. El criptominado móvil creció un 60 % en 2025. Tu teléfono se sobrecalienta. La batería se agota al mediodía. Le echas la culpa al clima o a la última actualización de iOS. El minero sigue funcionando hasta que borras el dispositivo.
Cómo detectar el criptominado no autorizado
Nada parece estar roto. Los archivos están bien. Las contraseñas funcionan. Pero el ventilador de tu portátil lleva tres semanas haciendo un ruido ensordecedor y no sabes por qué.
Las señales son físicas antes de ser digitales. Tu CPU está al 90% mientras lees correos electrónicos. Abre el Administrador de tareas en Windows o el Monitor de actividad en Mac. Si un proceso desconocido está consumiendo más del 70% de tu CPU, es posible que tengas un minero en ejecución. XMRig suele ocultarse tras nombres que suenan como servicios del sistema reales, como "systemd-helper" o "svchost32", donde no deberían estar.
El calor es otra señal inequívoca. Tu portátil te quema los muslos. Tu teléfono se calienta en el bolsillo aunque no lo uses. La minería de criptomonedas exige un rendimiento constante al hardware. La temperatura nunca baja porque el minero nunca se detiene.
Revisa tu factura de luz. Un ordenador pirateado que funciona las 24 horas del día, los 7 días de la semana, supone un gasto adicional de entre 30 y 50 dólares al mes en electricidad. Nadie se da cuenta de esos 30 dólares hasta que revisa las facturas de los últimos tres meses y observa el patrón.
Las víctimas de la nube se enteran cuando llega la factura. AWS o Azure cobran el doble o el triple. Nadie implementó nuevas instancias. Nadie ejecutó tareas adicionales. Pero un hacker en Rumania activó máquinas GPU en su cuenta hace dos semanas y han estado minando criptomonedas sin parar. Microsoft documentó casos en los que las empresas perdieron más de 300 000 dólares antes de que alguien revisara la factura.
¿Alguna página web ralentiza constantemente tu navegador? Podría tratarse de un script de minería. Cierra la pestaña y observa el uso de la CPU. Si vuelve a la normalidad, esa página estaba ejecutando código en tu ordenador.
La monitorización de la red es la detección de nivel profesional. Los mineros se conectan a los grupos de minería para enviar los resultados del hash. Esto crea un patrón: pequeños paquetes salientes regulares dirigidos a direcciones IP específicas. Los registros DNS y las herramientas IDS detectan esto si se sabe qué buscar.
Cómo prevenir y recuperarse del criptominado no autorizado
La mayor parte de esto son prácticas básicas de higiene informática. Pero precisamente esas prácticas básicas de higiene informática son las que detienen el 90% de los ataques de criptominado no autorizado.
Actualiza tu software. WannaMine usó EternalBlue. La vulnerabilidad CVE-2025-32432 de Craft CMS fue explotada para la minería de criptomonedas pocas semanas después de su divulgación. La solución existía, pero nadie la aplicó. No seas uno de ellos.
Utiliza un antivirus que funcione de verdad. Windows Defender, CrowdStrike, Kaspersky y Malwarebytes detectan XMRig y sus variantes, al menos las conocidas. Las nuevas se cuelan hasta que la base de datos de firmas se actualiza. Las herramientas EDR ofrecen mejores resultados que los antivirus básicos.
Instala extensiones de navegador que bloqueen los scripts de minería. No Coin, MinerBlock. uBlock Origin detecta muchos de ellos mediante sus filtros de bloqueo de anuncios. Esto detiene por completo el criptominado malicioso a través del navegador.
Autenticación multifactor (MFA) en todas las cuentas en la nube. La filtración de USAID costó 500 000 dólares porque una cuenta de administrador de un entorno de prueba no tenía MFA. Un ataque de fuerza bruta contra contraseñas. Una cuenta comprometida. Medio millón de dólares en facturas de Azure. Habilite la MFA. Configure alertas de facturación. Supervise las nuevas instancias que no haya creado.
No expongas las API de Docker a internet. Sé que suena obvio, pero aun así hay quienes lo hacen. Los gusanos de minería que se propagan solos atacan las API expuestas de Docker Engine y saltan de contenedor en contenedor. Analiza tus imágenes antes de implementarlas. Supervisa el uso de recursos de Kubernetes.
¿Ya comprometido? Detenga el proceso. Averigüe cómo entró: revise las tareas programadas, los scripts de inicio, las tareas programadas y las imágenes de contenedor. Elimine el malware. Repare la vulnerabilidad. Rote todas las credenciales. Para la nube: finalice las instancias no autorizadas de inmediato y audite quién tiene acceso a IAM para crear nuevas.
