Un equipo de investigadores ha descubierto una nueva técnica de vigilancia digital bautizada como FROST (Fingerprinting Remotely using OPFS-based SSD Timing) que permite a los sitios web espiar a sus visitantes analizando la actividad de las unidades de estado sólido (SSD) de sus dispositivos. El método, descrito en un paper académico, es capaz de identificar qué otros sitios web tiene abiertos el usuario —incluso en navegadores distintos— y qué aplicaciones están activas en su equipo, todo ello sin que la víctima tenga que realizar ninguna acción más allá de visitar la página que aloja el ataque.
FROST explota lo que los expertos en seguridad denominan un "canal lateral de contención" (contention side channel), una vulnerabilidad que aprovecha las manifestaciones físicas del hardware —como emisiones electromagnéticas, cachés de datos o, en este caso, los tiempos de ejecución de tareas— para extraer información confidencial. A diferencia de ataques anteriores similares, FROST opera exclusivamente desde el navegador, utilizando código JavaScript que interactúa con el OPFS (Origin Private File System), un espacio de almacenamiento reservado para cada sitio web que permite ejecutar operaciones complejas sin necesidad de permisos del usuario.
El mecanismo es técnicamente sofisticado. Tal como explican los investigadores, el atacante realiza lecturas aleatorias desde un archivo OPFS de gran tamaño —de al menos un gigabyte— y mide las latencias resultantes. Cuando otras aplicaciones o pestañas generan actividad en el mismo SSD, se producen pequeñas variaciones en esos tiempos de lectura, variaciones que delatan qué procesos están activos. Estos patrones se introducen luego en una red neuronal convolucional (CNN) previamente entrenada, capaz de clasificar las huellas de actividad y deducir con precisión qué sitios y aplicaciones están funcionando en el dispositivo de la víctima.
Los autores del estudio subrayan que esta vulnerabilidad es consecuencia directa de la evolución de los navegadores. "Los navegadores web han pasado de ser simples visores de documentos a plataformas complejas capaces de ejecutar aplicaciones sofisticadas", escriben. "Empresas como Google, Microsoft y Adobe han desarrollado suites ofimáticas, editores de foto y video e incluso entornos de desarrollo integrados que funcionan enteramente dentro del navegador". Esta mayor capacidad, reconocen, amplía significativamente la superficie de ataque y abre la puerta a vulnerabilidades como la que FROST aprovecha.
El descubrimiento se suma a una larga lista de técnicas de rastreo invasivo. A lo largo de los años, sitios web han recurrido al historial de navegación, las huellas digitales de dispositivos, e incluso la grabación de pulsaciones de teclado y movimientos del ratón para vigilar a los usuarios. Recientemente, gigantes como Meta y Yandex fueron sorprendidos participando en prácticas similares, desnudando los identificadores de navegación de usuarios de Android. FROST representa, no obstante, un salto cualitativo: ya no se trata solo de seguir al usuario dentro del propio sitio, sino de observar toda su actividad informática.
El hallazgo no está exento de limitaciones, lo que modera tanto su peligrosidad inmediata como su potencial de propagación. En primer lugar, el archivo OPFS necesario para ejecutar el ataque debe ser extremadamente grande, lo que probablemente alertaría a muchos usuarios. Además, solo funciona si el archivo reside en el mismo SSD donde se ejecutan las otras aplicaciones y pestañas; si un usuario almacena sus apps en una unidad distinta, FROST no podrá detectarlas. Estas restricciones sugieren que, al menos en su forma actual, la técnica resulta más viable para ataques dirigidos que para vigilancia masiva.
Los investigadores proponen varias medidas de mitigación. La más accesible es sencilla: cerrar las pestañas que ya no se utilicen, reduciendo así la superficie expuesta. Los usuarios más avanzados pueden monitorizar la creación y el tamaño de archivos OPFS asignados por sitios web desconocidos. Los autores también sugieren que los navegadores podrían implementar contramedidas técnicas para evitar que el JavaScript mida con tanta precisión los tiempos de I/O del disco.
En definitiva, FROST ilustra una paradoja creciente en la web moderna: cuanto más potentes y versátiles se vuelven los navegadores, más oportunidades surgen para que el software malicioso o las prácticas invasivas de rastreo socaven la privacidad del usuario. Aunque la técnica aún presenta obstáculos prácticos para su despliegue a gran escala, su sola existencia debería servir como llamada de atención para desarrolladores de navegadores, reguladores y usuarios. La batalla por la privacidad online acaba de incorporar un nuevo y preocupante frente.
