Ni el modo incógnito ni el candado, descubren que las webs pueden espiarte analizando tu SSD

Puede que piensen que abrir una pestaña en modo incógnito o buscar el famoso candado de seguridad en la barra de direcciones te deja totalmente a salvo de los mirones. Sin embargo, se ha descubierto una forma de cotillear todo lo que haces en internet.

Un grupo de informáticos acaba de encontrar una técnica nueva y un tanto extraña que permite a una página web espiarte analizando, ni más ni menos, el comportamiento físico del disco duro SSD de tu ordenador.

Ha sido bautizado con el nombre de FROST y, al contrario que los virus, esta tecnología no necesita infectar tu equipo con un archivo ni pedirte permisos extraños para cotillear tus datos. Con el simple hecho de que entres a una página web que esconda este truco, el sistema es capaz de monitorizar qué otros sitios tienes abiertos en ese mismo momento en otras pestañas, aunque sea en otros navegadores, y averiguar qué aplicaciones o programas tienes ejecutándose.

Para entender cómo es posible, hay que mencionar lo que los expertos en seguridad llaman canales laterales de competencia. Básicamente, se trata de medir cómo compiten diferentes programas informáticos por usar un mismo recurso del ordenador. 

"Serán un chollo para los estafadores": móviles que se quedarán sin actualizaciones de WhatsApp en junio de 2026

Cuando abres un programa de edición de fotos o cargas un vídeo en otra pestaña, tu disco duro SSD se pone a trabajar. Lo que hace el código espía de FROST es hacer lecturas constantes en su propia parte del disco y cronometrar al milisegundo cuánto tarda en recibir la información. 

Si el SSD se retrasa aunque sea una parte ínfima de un segundo, la web sabe que hay otra aplicación tirando de los recursos del disco duro.

El algoritmo que adivina qué estás haciendo midiendo el trabajo que hace el disco duro

Para que entiendas paso a paso cómo funciona, explicarte que, al entrar en una página web que contiene el código de ataque, este utiliza JavaScript para crear un archivo de gran tamaño (de un gigabyte o más) en el sistema de archivos privado del navegador (OPFS), alojado en tu disco duro SSD.

El código de la web empieza a realizar operaciones de lectura aleatoria sobre ese archivo gigante sin parar. Al mismo tiempo, mide con un reloj los milisegundos exactos que tarda el SSD en responder a cada solicitud de lectura.

Cuando tú abres otra aplicación en tu dispositivo o cargas una página web en otra pestaña diferente, esos programas también envían órdenes de entrada y salida de datos (I/O) al mismo disco duro SSD. Como el hardware tiene que procesar todas las solicitudes a la vez, se produce una saturación por la competencia del recurso.

Debido a esa saturación física del SSD, las operaciones de lectura que estaba haciendo la web del atacante empiezan a tener unos pequeños retrasos y variaciones de tiempo, es decir, latencia.

Al cruzar esos registros de velocidad con una inteligencia artificial entrenada, la web puede asociar los patrones de retraso con programas específicos, adivinando si estás usando Spotify, editando un documento de texto o mirando una red social cualquiera.

Una vulnerabilidad en un paquete con 325 millones de descargas semanales pone en jaque a herramientas de IA usadas en todo el mundo

Para probar si realmente funcionaba, se probó en ordenadores Mac equipados con los procesadores M2 de Apple. También probaron el sistema en ordenadores con sistema operativo Linux, dejando claro en todos los casos que la medición de los retrasos del disco duro funciona exactamente igual de bien. 

Aunque el sistema operativo Windows de Microsoft se quedó fuera de las pruebas por falta de tiempo, los autores, que presentarán todo lo obtenido de forma oficial en el congreso de ciberseguridad DIMVA en julio, aseguran que el truco funciona en cualquier plataforma.

El problema aquí es que este sistema espía solo funciona si el archivo de la web y los programas que estás usando están instalados físicamente dentro de la misma unidad de almacenamiento SSD. Esto significa que si tienes un ordenador con dos discos duros diferentes, la página web se quedará totalmente a ciegas y no podrá saber la actividad que ocurre en la segunda unidad.

Para solucionar este problema de seguridad, ya han enviado una serie de propuestas a los grandes desarrolladores de navegadores de internet del mundo.