Expertos en alerta | Muchos sitios web podrían estar espiándote por culpa de tu disco duro
¿Tu propio hardware en tu contra? Una vulnerabilidad en los firmware de almacenamiento destapa cómo las páginas web pueden monitorizar tus hábitos de navegación sin necesidad de malware ni técnicas hacker.
Existe la idea de que navegar en un sitio web es una acción relativamente aislada. Algo que, con matices, ha sido cierto. El navegador mostraba contenido, ejecutaba algo de código y poco más. Sin embargo, los navegadores modernos se han convertido en plataformas mucho más complejas. Son capaces de ejecutar aplicaciones completas e interactuar con numerosos recursos del sistema operativo.
Como consecuencia de ello, los riesgos son ahora mayores. Un ejemplo reciente es una técnica descrita por investigadores de seguridad y analizada por Ars Technica que permite a una página web espiar indirectamente la actividad de un ordenador. Para ello solo necesita el comportamiento del SSD, el disco duro de almacenamiento presente en la mayoría de equipos actuales.
Lo complicado de este método, denominado FROST (Fingerprinting Remotely using OPFS-based SSD Timing), no necesita malware, permisos especiales, acceso administrativo ni nada por el estilo. Basta con que el usuario visite una página web. Es inquietante porque no roba datos de forma directa. En lugar de acceder a archivos, historiales o contraseñas, la técnica analiza pequeñas variaciones en el tiempo de respuesta del disco duro para inferir qué otras aplicaciones o sitios web están activos en el sistema.
El funcionamiento se basa en una característica moderna de los navegadores llamada OPFS (Origin Private File System), un sistema diseñado para que las aplicaciones web puedan almacenar archivos localmente de manera eficiente. Esta función es útil para herramientas complejas ejecutadas dentro del navegador, como editores de vídeo, suites ofimáticas online o aplicaciones de diseño.
Pero hay algo más. Los investigadores descubrieron que también puede utilizarse para medir con enorme precisión el comportamiento del almacenamiento del ordenador. La página web crea un archivo muy grande dentro del navegador y realiza operaciones continuas de lectura y escritura mientras monitoriza los tiempos de respuesta.
Cuando otras aplicaciones usan simultáneamente el SSD -por ejemplo otra pestaña del navegador, un editor, una app de mensajería o incluso un videojuego- aparecen pequeñas fluctuaciones en la latencia. Esos microretrasos generan patrones suficientemente característicos como para que un sistema de inteligencia artificial pueda analizarlos e identificar actividad concreta.
El ataque no "ve" directamente lo que hace el usuario.
Lo deduce observando cómo reacciona el hardware compartido del sistema. Este tipo de técnicas pertenece a una categoría conocida como side-channel attacks o ataques por canal lateral. En vez de romper la seguridad de forma convencional, estos ataques explotan señales indirectas generadas por el funcionamiento físico del ordenador: consumo eléctrico, temperatura, ruido electromagnético, tiempos de respuesta o actividad de memoria.
Históricamente este tipo de ataques se asociaba a laboratorios especializados o investigaciones académicas muy avanzadas, pero el problema es que ahora empiezan a ser viables incluso desde una simple página web.
Los investigadores afirman que su sistema logró identificar sitios web abiertos en otras pestañas y ciertas aplicaciones activas con niveles de precisión sorprendentemente altos, especialmente en ordenadores Mac con SSD rápidos y arquitecturas modernas.
¿Tiene aún este método limitaciones prácticas? Los propios expertos admiten que sí. No obstante, el simple hecho de que funcione ya resulta preocupante.