Descubren un minero oculto en Hola Browser: hasta sus desarrolladores se sorprendieron de cómo llegó allí
Durante meses actuó en silencio — hasta que alguien, sin querer, hizo la pregunta que no debía.
La revisión de la versión certificada de Hola Browser para Windows reveló un componente inesperado, me.exe, que se instalaba junto con el navegador y, según el análisis de Sophos X-Ops, actuaba como un minero de criptomonedas. El archivo no formaba parte de la lista de componentes verificados y apareció debido a la compromisión de la cadena de suministro.
El archivo sospechoso se detectó durante las pruebas periódicas de Hola Browser versión 1.251.91.0 en el programa de certificación AppEsteem. El instalador ya había pasado la verificación y no mostraba comportamiento indeseado, pero en algunas ejecuciones posteriores escribía en el disco el archivo C:\Program Files\Hola\me.exe.
El componente no tenía firma digital ni sello de tiempo, contenía código ofuscado y podía escribir datos en la memoria. Además, me.exe no aparecía en todas las instalaciones. Esa inestabilidad señaló un problema no en el paquete de instalación fijo, sino en el canal de entrega de actualizaciones o en la infraestructura de distribución.
El análisis mostró indicios de un minero basado en XMRig. El componente me.exe añadía una excepción en Windows Defender y, al ejecutarse con privilegios de administrador, se copiaba a sí mismo con el nombre HolaMonitorService.exe. Después creaba el servicio hola_monitor_svc, que se iniciaba automáticamente y empleaba los recursos del equipo durante el reposo.
Tras la notificación a través de AppEsteem, la empresa Hola confirmó que me.exe no debía llegar a los dispositivos de los usuarios. Según la investigación interna y la indagación de Sygnia, el incidente afectó aproximadamente al 0,1% de la audiencia. Hola afirmó que los atacantes no tuvieron acceso a los datos de los usuarios ni los robaron.
Hola detuvo el canal de entrega afectado, eliminó el componente no deseado de la infraestructura y de los sistemas comprometidos, y luego reconstruyó por completo el proceso de distribución de actualizaciones. La empresa también reforzó la verificación de firmas digitales, restringió el acceso a la infraestructura e implantó monitorización continua.
La historia muestra que la seguridad del software depende no solo de la calidad del código, sino también de la fiabilidad de toda la infraestructura que lo rodea. Incluso un producto con buena reputación y verificaciones superadas puede recibir inesperadamente un componente adicional si alguien altera la integridad del proceso de entrega de actualizaciones.