• 3 min de lectura
Los sitios web pueden espiar tu PC mediante la temporización del SSD
Investigadores de seguridad austriacos han demostrado que un sitio web puede inferir lo que haces en un ordenador observando cómo el SSD responde a solicitudes temporizadas. Su método, llamado FROST,

Investigadores de seguridad austriacos han demostrado que un sitio web puede inferir lo que haces en un ordenador observando cómo el SSD responde a solicitudes temporizadas. Su método, llamado FROST, no necesita malware, ni adjuntos sospechosos, y tampoco requiere que el usuario cometa ningún error más allá de abrir una página.
Eso suena absurdo hasta que recuerdas cuánto ha avanzado el rastreo moderno más allá de las cookies. Los navegadores ya filtran mucha información; FROST lleva la idea una capa más abajo, hacia el hardware de almacenamiento en el que la mayoría de la gente nunca piensa. Si eso suena como una pesadilla para la privacidad, es porque lo es.
Cómo FROST utiliza la temporización del SSD
La técnica, abreviada como «Identificación remota mediante temporización de SSD basada en OPFS» (FROST), abusa de funciones de almacenamiento del navegador para crear un archivo de varios gigabytes. Esa intensa actividad de escritura mantiene la unidad ocupada, y el sitio web mide entonces pequeños retrasos en la rapidez con que el SSD responde a solicitudes posteriores.
Esos retrasos no son aleatorios. Varían según qué más se esté escribiendo, leyendo o abriendo en la máquina, y un modelo de aprendizaje automático puede convertir ese ruido en una huella de la actividad del usuario. En las pruebas de los investigadores, identificó sitios web visitados con un 88,95 % de precisión y aplicaciones con un 95,83 % de precisión.
Por qué el ataque por temporización del SSD es más difícil de detectar
Lo inquietante es que esto no depende de un navegador concreto. Una página en Google Chrome podría, en teoría, averiguar algo sobre la actividad que sucede en Mozilla Firefox u otra aplicación, porque la señal proviene del SSD y no del propio navegador.

Recomendado
El Surface de Microsoft de $950 demuestra que 8 GB no son suficientes
Los experimentos se realizaron en Linux y macOS, pero los investigadores dicen que el enfoque no está ligado a esos sistemas. Eso deja a Windows claramente en la categoría de «probablemente no seguro por diseño», que no es donde nadie quiere estar con una unidad de almacenamiento.
Qué pueden hacer ahora los usuarios y los fabricantes de navegadores
El equipo no ha ofrecido una solución sencilla. Su opinión es que cerrar la vulnerabilidad requerirá cambios en los navegadores y en las tecnologías web que permiten a los sitios husmear en el almacenamiento de esta manera. Hasta entonces, el consejo práctico es dolorosamente poco tecnológico: cierra las pestañas tan pronto como termines con ellas.
Eso no eliminará la vulnerabilidad, pero sí acorta la ventana para la recolección. Más en general, FROST es otro recordatorio de que la web sigue encontrando nuevos lugares para ocultar la vigilancia, y que el hardware que antes parecía un anodino bloque de memoria flash puede convertirse de repente en parte de la superficie de ataque.
Computing Editor
Tomas lives in the terminal. He covers chips, laptops, and operating systems with a focus on performance and efficiency. He reads kernel changelogs the way other people read fiction, and he's always on the hunt for the perfect mechanical keyboard switch. If it processes data, Tomas has an opinion on it.


