Minería cripto en la nube: evita facturas sorpresa

La alerta

AWS publicó una guía sobre cómo detectar y prevenir minería de criptomonedas no autorizada en ambientes cloud. El punto importante para una pyme no es “cripto” como tema de moda; es que un atacante puede usar tus recursos para minar y dejarte con una factura inesperada.

Esto aplica si usas AWS, un VPS, paneles de hosting, servidores para tiendas online o cualquier infraestructura donde alguien pueda crear procesos, consumir CPU o abrir conexiones hacia afuera.

En cloud, lo que no ves también se factura. Qué belleza.

Cómo se ve el problema

Una intrusión de minería no siempre empieza con una alarma dramática. Muchas veces se siente como:

• servidor lento;
• CPU alta por horas;
• facturas subiendo sin explicación;
• tráfico raro hacia IPs desconocidas;
• procesos que nadie instaló;
• servicios reiniciándose o quedándose sin recursos.

El atacante no quiere robar tu logo. Quiere usar tu electricidad cloud, tu CPU y tu tarjeta. Silencioso, rentable y bien molestoso.

Señales para mirar

No necesitas un centro de ciberseguridad para detectar lo básico:

• CPU o GPU alta por mucho tiempo sin razón clara.
• Tráfico saliente hacia IPs o dominios desconocidos.
• Conexiones a puertos asociados a mining pools.
• Procesos con nombres raros o ejecutándose desde /tmp.
• Llaves de acceso que nadie reconoce.
• Factura cloud subiendo más rápido de lo normal.

En negocios pequeños, donde una tienda online o sistema de reservas sostiene ventas reales, una intrusión así puede sentirse primero como lentitud y luego como golpe al bolsillo.

Controles prácticos

Empieza por lo que baja riesgo sin montar una NASA:

• Activa MFA en cuentas administrativas.
• Usa permisos mínimos para usuarios y servicios.
• Evita llaves de acceso eternas; rota y elimina las que nadie usa.
• Configura alertas de gasto mensual.
• Configura alertas de CPU, red y errores.
• Cierra puertos innecesarios.
• Revisa reglas de firewall y security groups.
• Mantén sistemas y paneles actualizados.
• Si usas AWS, evalúa GuardDuty y alertas relacionadas con minería.

Qué hacer si sospechas

No borres todo a lo loco. Primero contiene y conserva evidencia mínima:

1. Cambia credenciales y revoca llaves sospechosas.
2. Aísla la instancia afectada si está consumiendo recursos.
3. Revisa logs de acceso, procesos y cambios recientes.
4. Crea una imagen o backup antes de limpiar.
5. Restaura desde una versión limpia si no puedes confiar en el servidor.
6. Revisa cómo entraron antes de volver a exponer el servicio.

Comandos útiles para empezar

En un Linux típico:

# Procesos que más CPU consumen
ps aux --sort=-%cpu | head

# Conexiones activas
ss -tunap

# Servicios habilitados
systemctl list-unit-files --state=enabled

# Cron jobs del usuario actual
crontab -l

No son una auditoría completa, pero ayudan a separar “el servidor está trabajando” de “alguien lo puso a trabajar para otro”.

Cierre

La meta no es montar una plataforma carísima. Es tener visibilidad mínima, alertas tempranas y menos puertas abiertas.

En cloud, seguridad y costos viven en la misma casa. Si no cuidas una, la otra te manda la factura.

Fuente

• AWS Security Blog: Detecting and preventing crypto mining in your AWS environment