Las campañas de malware orientadas al minado ilegal de criptomonedas han vuelto a ganar protagonismo durante los últimos meses. Lo preocupante no es únicamente la presencia de software malicioso, sino la forma en la que los atacantes están distribuyéndolo: mediante copias falsas de herramientas muy conocidas entre jugadores, entusiastas del hardware y usuarios avanzados de Windows. Programas tan populares como HWMonitor, CrystalDiskInfo, FurMark o Display Driver Uninstaller están siendo utilizados como señuelo para instalar mineros de criptomonedas que aprovechan la potencia de CPU y GPU de los equipos infectados.
El objetivo de estas campañas es sencillo: convertir ordenadores ajenos en plataformas de minería encubierta. Los usuarios creen estar instalando una utilidad legítima, mientras que en segundo plano se despliega una cadena de infección capaz de consumir recursos, aumentar el consumo eléctrico y, en algunos casos, abrir puertas traseras para el control remoto del sistema. La situación refleja cómo los ciberdelincuentes están refinando sus técnicas para dirigirse específicamente a equipos potentes capaces de generar mayores beneficios económicos.
Una amenaza que apunta a los ordenadores más potentes
Los ataques de cryptojacking, término utilizado para describir el uso no autorizado de recursos informáticos para minar criptomonedas, llevan años presentes en Internet. Sin embargo, las campañas actuales están mostrando un nivel de sofisticación superior al observado hace apenas unos años.
Investigadores de Microsoft han detectado operaciones que utilizan técnicas de posicionamiento fraudulento en buscadores para colocar páginas falsas entre los primeros resultados cuando los usuarios buscan determinadas utilidades para Windows. Los atacantes están suplantando herramientas ampliamente conocidas por usuarios de hardware avanzado.
La elección de las víctimas tampoco es casual. Los responsables de estas campañas buscan específicamente sistemas equipados con tarjetas gráficas potentes. Un ordenador gaming con una GPU moderna puede generar un rendimiento de minería considerablemente superior al de un equipo convencional, lo que multiplica la rentabilidad de cada infección.
Los investigadores observaron que los dominios fraudulentos imitaban con bastante precisión la apariencia de los sitios originales. A simple vista, muchos usuarios podían creer que estaban descargando software auténtico cuando en realidad estaban obteniendo archivos manipulados.
Desde un punto de vista técnico, la estrategia resulta especialmente interesante porque no depende necesariamente de vulnerabilidades del sistema operativo. El usuario descarga voluntariamente el archivo y ejecuta el instalador creyendo que es legítimo. La ingeniería social sigue siendo uno de los vectores de ataque más efectivos.
El producto utilizado como gancho: HWMonitor y otras utilidades populares
Entre los programas más utilizados como señuelo destaca HWMonitor, una herramienta ampliamente conocida para supervisar temperaturas, voltajes y velocidades de ventiladores en equipos Windows. Su popularidad entre aficionados al hardware la convierte en un objetivo perfecto para este tipo de campañas.
Los atacantes también han utilizado nombres como CrystalDiskInfo, FurMark, K-Lite Codec Pack, PDFgear o Display Driver Uninstaller. Todos ellos comparten una característica: poseen millones de descargas acumuladas y cuentan con una base de usuarios muy activa.
El caso de HWMonitor resulta especialmente relevante porque suele ser una de las primeras aplicaciones que instalan quienes montan un ordenador nuevo o realizan pruebas de estabilidad. Esa confianza previa reduce las sospechas del usuario cuando encuentra una página aparentemente legítima ofreciendo el programa.
Microsoft señala que los archivos distribuidos por estas páginas fraudulentas suelen presentarse en formato ZIP e incluyen tanto el ejecutable legítimo como bibliotecas DLL modificadas. Al iniciar la aplicación, el sistema carga automáticamente esas DLL maliciosas utilizando técnicas conocidas como DLL sideloading. Este procedimiento permite ejecutar código malicioso sin generar comportamientos anómalos evidentes para el usuario.
En algunos casos documentados, los atacantes instalaron además herramientas legítimas de administración remota como ScreenConnect. Esto les proporciona acceso persistente al equipo comprometido incluso después de finalizar el proceso inicial de infección.
Cómo funciona el minado clandestino
La minería de criptomonedas consiste en realizar cálculos matemáticos destinados a validar transacciones dentro de determinadas redes blockchain. Para ello se requiere una enorme capacidad de procesamiento.
Cuando un atacante instala un minero en un ordenador ajeno, aprovecha gratuitamente la electricidad y el hardware de la víctima. El usuario asume el desgaste de componentes y el aumento de consumo energético, mientras que los beneficios económicos terminan en las carteras digitales controladas por los delincuentes.
Las variantes observadas recientemente utilizan programas especializados como lolMiner, gminer o SRBMiner-MULTI. Estas herramientas son capaces de aprovechar tarjetas gráficas modernas con miles de núcleos de procesamiento paralelo.
Una GPU de gama alta puede superar fácilmente los 30 o 40 TFLOPS de potencia de cálculo en operaciones específicas. Esa capacidad resulta extremadamente atractiva para quienes buscan generar criptomonedas sin asumir costes propios de infraestructura.
Algunos mineros maliciosos incluso monitorizan continuamente el estado del sistema. Si detectan que el usuario está jugando, transmitiendo vídeo o utilizando aplicaciones exigentes, reducen temporalmente su actividad para evitar levantar sospechas. Esta capacidad de adaptación dificulta enormemente su detección.
Otro aspecto relevante es que muchas muestras incorporan técnicas de evasión avanzadas. Entre ellas destacan el process hollowing, la inyección de código en procesos legítimos y el uso de componentes cifrados que sólo se descodifican en memoria durante la ejecución.
El impacto real sobre el hardware
Aunque muchas personas asocian estos ataques únicamente con una disminución del rendimiento, las consecuencias pueden ser mucho más amplias.
Una GPU sometida a cargas constantes del 90% o 100% durante largos periodos experimenta un aumento significativo de temperatura. En equipos mal refrigerados es posible alcanzar temperaturas superiores a los 80 °C durante horas, acelerando el desgaste de ventiladores, módulos VRM y memorias gráficas.
El consumo energético también puede dispararse. Una tarjeta gráfica que normalmente permanece en reposo consumiendo entre 10 y 20 vatios puede pasar a demandar más de 250 vatios cuando ejecuta algoritmos de minería intensiva.
Si el sistema permanece activo varias semanas bajo estas condiciones, el incremento en la factura eléctrica puede ser notable. Precisamente por ese motivo los atacantes buscan equipos ajenos: trasladan todos los costes operativos a las víctimas.
Algunos estudios académicos también han advertido sobre los riesgos del cryptojacking para dispositivos móviles. Investigaciones muestran que la minería continua puede provocar agotamiento acelerado de la batería, sobrecalentamiento y reducción de la vida útil de determinados componentes.
La inteligencia artificial también entra en escena
Uno de los elementos más llamativos de las campañas descubiertas durante 2026 es la aparición de nuevos canales de distribución relacionados con herramientas basadas en inteligencia artificial.
Microsoft informó de casos en los que usuarios terminaron accediendo a dominios maliciosos después de consultar asistentes conversacionales o sistemas automatizados de búsqueda. Aunque esto no implica que los modelos estén distribuyendo malware de forma deliberada, sí demuestra que los atacantes están intentando manipular los contenidos indexados para aparecer en respuestas generadas automáticamente.
La situación recuerda a las técnicas de SEO poisoning utilizadas desde hace años. En lugar de limitarse a manipular motores de búsqueda tradicionales, los delincuentes buscan ahora influir también en ecosistemas alimentados por inteligencia artificial.
Investigadores de McAfee han detectado además campañas masivas que utilizan miles de nombres de archivos falsos relacionados con herramientas de productividad, programas de modificación de voz, utilidades de red y aplicaciones para jugadores. Parte del código utilizado parece haber sido generado mediante herramientas de IA, lo que permite producir variantes de malware a gran velocidad.
Un problema que lleva años evolucionando
Aunque las campañas actuales son especialmente sofisticadas, el cryptojacking no es un fenómeno nuevo.
Hace más de una década ya aparecieron polémicas relacionadas con programas que instalaban componentes de minería sin informar adecuadamente a los usuarios. Un ejemplo conocido fue el caso de uTorrent y Epic Scale, donde numerosos usuarios denunciaron la instalación silenciosa de software destinado a aprovechar recursos del sistema.
Posteriormente surgieron campañas que utilizaron aplicaciones falsas como Google Translate, infectando más de 112.000 ordenadores según diversas investigaciones de seguridad.
Los estudios académicos tampoco consideran que la amenaza haya desaparecido. Un análisis publicado concluyó que el cierre de servicios históricos de minería web no supuso el final del cryptojacking. Los atacantes simplemente adaptaron sus métodos y continuaron desarrollando nuevas formas de explotación.
La tendencia actual demuestra precisamente esa evolución. En lugar de depender de scripts ejecutados en navegadores, las campañas modernas buscan comprometer directamente el sistema operativo mediante instaladores falsificados y cadenas de infección mucho más complejas.
Cómo pueden protegerse los usuarios
La principal defensa sigue siendo descargar software únicamente desde fuentes oficiales. Puede parecer una recomendación básica, pero continúa siendo una de las medidas más efectivas.
Muchos de los dominios utilizados por estas campañas presentan pequeñas variaciones respecto a las direcciones legítimas. Cambios mínimos en una letra, extensiones de dominio diferentes o URLs excesivamente largas suelen ser señales de alerta.
También resulta recomendable verificar la firma digital de los ejecutables descargados. Los desarrolladores legítimos suelen firmar sus aplicaciones mediante certificados reconocidos, mientras que muchas muestras maliciosas carecen de estas validaciones o utilizan certificados comprometidos.
Otra medida útil consiste en monitorizar periódicamente el uso de CPU y GPU cuando el equipo se encuentra en reposo. Un consumo persistentemente elevado sin una explicación clara puede indicar la presencia de procesos sospechosos.
Las soluciones de seguridad modernas incorporan cada vez más capacidades para detectar actividades de minería no autorizadas. Sin embargo, los propios investigadores reconocen que algunos mineros avanzados son capaces de ocultar su actividad durante largos periodos de tiempo.
Reflexiones finales
Las campañas de cryptojacking actuales muestran hasta qué punto los ciberdelincuentes están profesionalizando sus operaciones. Ya no se limitan a distribuir ejecutables rudimentarios en páginas oscuras de Internet. Ahora construyen ecosistemas completos de sitios fraudulentos, manipulan resultados de búsqueda, utilizan herramientas legítimas para ocultar sus actividades y seleccionan cuidadosamente a las víctimas más rentables.
El uso de programas tan conocidos como HWMonitor o CrystalDiskInfo como cebo demuestra que incluso las aplicaciones más habituales pueden convertirse en una puerta de entrada cuando se descargan desde fuentes equivocadas. El usuario medio continúa siendo el eslabón más vulnerable de la cadena de seguridad, especialmente cuando busca software gratuito o herramientas populares para su ordenador.
A medida que las GPU se vuelven más potentes y las criptomonedas continúan representando una fuente potencial de ingresos, resulta probable que este tipo de campañas siga creciendo. La diferencia es que ahora los atacantes disponen de más herramientas, más automatización y una capacidad mucho mayor para ocultar sus actividades durante largos periodos de tiempo.
152