Un equipo de especialistas de la Universidad Tecnológica de Graz, en Austria, ha dado a conocer un innovador método de ciberataque que podría exponer los sitios web que una persona visita, sin necesidad de instalar programas maliciosos. La técnica, bautizada como FROST, se basa en el análisis del disco SSD del equipo y ha demostrado una efectividad particularmente alta en computadoras Mac de Apple.
Según el estudio, el ataque se desencadena cuando el usuario accede a una página que contiene código JavaScript malicioso. A partir de ese instante, el sistema monitorea la actividad del disco de almacenamiento para deducir qué páginas web fueron visitadas con anterioridad.
Las pruebas realizadas indican que la técnica logró identificar correctamente los sitios navegados con una precisión del 89 % en términos generales y de hasta el 96 % cuando se ejecutó en equipos Mac. En sistemas Windows, el índice de acierto fue significativamente menor.
El mecanismo detrás de FROST
El nombre “FROST” proviene de las siglas en inglés de Fingerprinting Remotely using OPFS-based SSD Timing. Esta estrategia explota una funcionalidad presente en la mayoría de los navegadores modernos: el Origin Private File System (OPFS).
OPFS permite que las aplicaciones web lean y escriban archivos directamente en el dispositivo del usuario con una velocidad muy alta, una característica esencial para servicios como editores de video, aplicaciones fotográficas o videojuegos que operan desde el navegador.
Los investigadores encontraron que esta API puede emplearse para crear un sistema de archivos aislado dentro del SSD y medir las variaciones en los tiempos de lectura y escritura. Dichas fluctuaciones generan patrones que, al ser analizados, revelan la actividad del usuario.
El papel fundamental de la inteligencia artificial
Una vez recolectados los datos del SSD, el ataque emplea una red neuronal convolucional, un tipo de inteligencia artificial entrenada para reconocer patrones específicos.
Gracias a este sistema, es posible vincular las variaciones en el rendimiento del disco con determinadas páginas web. Los expertos comprobaron que sitios populares como Google y YouTube generan picos de actividad muy característicos, lo que facilita su identificación.
En esencia, cada sitio deja una especie de “huella digital” en el comportamiento del SSD. La inteligencia artificial puede interpretar esas señales y reconstruir el historial de navegación con una elevada exactitud.
¿El modo incógnito ofrece protección?
De acuerdo con los investigadores, el modo incógnito de los navegadores no constituye una defensa efectiva contra FROST.
El ataque no depende del historial almacenado por el navegador, sino de las variaciones físicas y temporales que se producen en el disco SSD al cargar determinadas páginas web.
Por lo tanto, incluso si el usuario navega en modo privado, un atacante podría identificar los sitios visitados mediante el análisis de la actividad del almacenamiento.
Una amenaza aún en fase teórica
Los especialistas de la Universidad Tecnológica de Graz aclararon que, hasta el momento, no hay evidencia de que ciberdelincuentes estén utilizando FROST en ataques reales.
El trabajo se encuentra todavía en la etapa de prueba de concepto, aunque demuestra que la vulnerabilidad existe y podría ser explotada en el futuro.
Antes de hacer públicos los resultados, los investigadores compartieron sus hallazgos con Google, Apple y Mozilla. Según el documento, los desarrolladores de Chromium consideraron que este tipo de rastreo no constituye una vulnerabilidad de seguridad. Apple clasificó el problema como un asunto fuera de su alcance, aunque dejó abierta la posibilidad de revisarlo más adelante. Mozilla, por su parte, reconoció la investigación, pero todavía no ha implementado medidas específicas de protección.
Señales para detectar un posible ataque
Los investigadores proponen dos posibles formas de defensa. La primera consiste en monitorear el espacio disponible en el SSD. Una reducción repentina de cientos de gigabytes podría indicar una actividad anormal relacionada con esta técnica.
La segunda recomendación apunta a los propios navegadores. Los expertos sugieren que estos deberían solicitar permiso al usuario antes de crear archivos mediante la API OPFS. Sin embargo, esta función aún no está disponible en la mayoría de navegadores desarrollados por Google, Apple y Microsoft.
Aunque FROST todavía no ha sido empleado en ataques reales, el estudio demuestra que los discos SSD pueden convertirse en una fuente inesperada de información sobre los hábitos de navegación, incluso cuando el usuario cree estar protegido mediante herramientas como el modo incógnito.
Fuente: Infobae
