El cryptojacking es una técnica utilizada por ciberdelincuentes para minar criptomonedas sin autorización, aprovechando la capacidad de procesamiento de los dispositivos de las víctimas mediante la ejecución de código malicioso. Aunque suele operar en segundo plano, sus efectos se manifiestan en una reducción del rendimiento, sobrecalentamiento, aumento del ruido del ventilador y, en el caso de dispositivos Android, incluso daños físicos en la batería.
ESET, compañía especializada en detección proactiva de amenazas, identificó a través de su telemetría que esta práctica afectó de forma sostenida a miles de sitios web en Latinoamérica durante 2025. En julio de ese año, por ejemplo, una campaña comprometió más de 3,500 sitios para realizar minería ilícita de criptomonedas.
De acuerdo con el análisis correspondiente al segundo semestre de 2025, ESET detectó dos grandes perfiles de dominios donde aparecen con mayor frecuencia los scripts de minería maliciosa. El primero corresponde a sitios de riesgo “esperable”, como páginas de descargas piratas, streaming no oficial o distribución de archivos ilegales. Estos espacios suelen retener al usuario durante largos períodos, utilizan publicidad agresiva y ejecutan múltiples scripts de terceros, condiciones ideales para el cryptojacking.
El segundo perfil lo conforman sitios legítimos comprometidos, entre ellos escuelas, pequeñas y medianas empresas, comercios locales y medios de comunicación. En estos casos, el beneficio para los atacantes no está en el tiempo de permanencia del visitante, sino en el volumen de dominios infectados.
Entre los cinco tipos de sitios con más detecciones en la región destacan, en primer lugar, los portales de descargas piratas, donde los scripts maliciosos suelen ingresar a través de anuncios invasivos. En segundo lugar, figuran los sitios de anime y manga, caracterizados por un consumo prolongado de contenido y una alta tolerancia del usuario a los pop-ups, lo que los convierte en escenarios propicios para esta amenaza.
También aparecen numerosos sitios educativos, tanto públicos como privados, en países como Colombia, México, Brasil y Argentina. Algunos de ellos, según el histórico de ESET, llevan hasta dos años siendo utilizados para minería ilícita sin que sus administradores lo adviertan.
“Este tipo de sitios son atractivos para los ciberatacantes por el volumen. Muchos han sido comprometidos a través de vulnerabilidades en gestores de contenido como WordPress, plugins desactualizados, credenciales débiles o servicios de hosting compartido”, explica Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.
El cuarto grupo lo integran pymes y comercios locales de distintos rubros, cuyos propietarios generalmente desconocen que sus sitios han sido comprometidos. Finalmente, la telemetría muestra la presencia de medios y portales de noticias locales, especialmente en México y Brasil, que utilizan sistemas de anuncios, widgets y herramientas de terceros para monetizar su tráfico.
Ante este escenario, recomiendan a los usuarios mantener actualizados sus sistemas y navegadores, utilizar soluciones de seguridad confiables, desconfiar de sitios con publicidad excesiva y cerrar pestañas que generen un uso anormal del CPU. Para organizaciones, instituciones educativas y medios, la compañía aconseja actualizar regularmente sus CMS, auditar scripts externos, implementar contraseñas robustas, limitar privilegios administrativos y contar con respaldos frecuentes.
“El minado de criptomonedas ya no es una amenaza marginal ni se limita a sitios ilegales; hoy afecta a organizaciones legítimas de toda Latinoamérica mediante campañas persistentes y silenciosas”, concluye López.
