ataques de canal lateral
Científicos de la Universidad Tecnológica de Graz en Austria han publicado recientemente un artículo en el que se detalla un nuevo método para rastrear la actividad de los usuarios a través de sus navegadores web. Lo más fascinante de esta nueva técnica, a la que han llamado FROST, es que se basa en la Unidad de Estado Sólido (SSD) de un ordenador para llevar a cabo el espionaje. Sin entrar en detalles técnicos, así es como funciona el ataque: un ciberdelincuente atrae a la víctima a una página web diseñada específicamente para ello; mientras la página permanezca abierta, el atacante puede rastrear exactamente qué aplicaciones abre el usuario y qué otras páginas web visita.
Entonces, ¿cómo logran esto? El primer instinto es, naturalmente, culpar al navegador. Sin embargo, en los navegadores web modernos, cada sitio web se ejecuta en un entorno aislado y, por lo general, no puede acceder a otras pestañas, y mucho menos al hardware del ordenador. Si bien los ciberdelincuentes encuentran lagunas en estas defensas de vez en cuando, no es eso lo que está ocurriendo en este caso.
El ataque FROST no necesita vulnerar el navegador; funciona perfectamente incluso con todas las medidas de seguridad estándar activadas. En cambio, se aprovecha de una función del navegador totalmente legítima denominada sistema de archivos privado de origen (OPFS), que les proporciona a los sitios web su propio espacio de almacenamiento virtual para guardar datos. Sin embargo, aunque este almacenamiento está aislado digitalmente, los datos siguen escribiéndose físicamente en la misma SSD que utilizan todas las demás aplicaciones y páginas web abiertas en el ordenador.
Los investigadores descubrieron que, si una página maliciosa bombardea constantemente a la SSD con solicitudes de datos, los retrasos microscópicos en el acceso a los datos pueden ayudar a determinar qué otros procesos se están ejecutando en el PC. Antes de entrar en detalles sobre cómo consiguen hacerlo, echemos un vistazo rápido a la teoría que subyace al ataque.
Una breve explicación a los ataques de canal lateral
El término “canal lateral” se refiere a un método de espionaje en un ordenador, o incluso un solo microchip, de manera indirecta. En lugar de interceptar los datos propiamente dichos, un atacante podría analizar las fluctuaciones en el consumo de energía, supervisar la temperatura de componentes específicos o detectar la radiación electromagnética, entre otras cosas. En teoría, esto significa que alguien podría escuchar a escondidas una conversación en una habitación simplemente utilizando el ratón de un ordenador, ya que el sensor óptico es capaz de captar las vibraciones sonoras. Del mismo modo, observar las fluctuaciones en la velocidad de reloj de una CPU podría permitirle a un ciberdelincuente robar una clave de cifrado. Incluso algo tan sencillo como una luz LED en un lector de tarjetas de identidad puede filtrar datos suficientes sobre el funcionamiento interno del dispositivo como para que un atacante pueda clonar una tarjeta inteligente.
Lo interesante de estas filtraciones de datos indirectas, al menos desde el punto de vista de un ciberdelincuente, es que no son fáciles de detectar. Los fabricantes de dispositivos rara vez las tienen en cuenta a la hora de diseñar sistemas de seguridad. Sin embargo, la desventaja es igual de evidente: extraer información mediante un mecanismo que nunca se diseñó para la transmisión de datos suele resultar complejo, lento y laborioso. Los investigadores austriacos se centraron en un subtipo específico conocido como ataque de canal lateral por contención. Aquí es donde se produce la filtración, ya que varios procesos compiten por el mismo recurso. En este caso, ese recurso en disputa es el ancho de banda de la unidad de almacenamiento.
Detalles del ataque FROST
Este canal lateral específico se ha estudiado antes, entre otros, en un artículo de investigación de 2025. En aquel entonces, sin embargo, la configuración era bastante sencilla: los investigadores ejecutaban un programa en un ordenador que servía de fuente de datos, mientras que un segundo programa, que se ejecutaba en la misma máquina, intentaba interceptar dichos datos. Aunque eso está bien para un estudio académico teórico, el modelo de ataque no era precisamente revolucionario. Después de todo, si un ciberdelincuente ya puede ejecutar cualquier programa que desee, no necesita depender de canales laterales; tiene muchas formas directas de robar los datos.
Aun así, el estudio del año pasado no fue una completa pérdida de tiempo. Demostró que la resolución obtenida al supervisar una SSD es bastante alta, que la filtración de datos es real y que la información capturada puede resultar realmente útil. El ataque FROST es, en esencia, una continuación lógica de la misma idea.
Así es como funciona en la práctica. Supongamos que hay un archivo bastante grande en una SSD lleno de datos aleatorios. Un proceso específico lee estos datos a intervalos regulares y mide el tiempo que tarda en recibir una respuesta. Esta velocidad varía en función de la carga de trabajo de la unidad con otras tareas. Los retrasos en el acceso son indicios que revelan la actividad de la unidad. Los investigadores austriacos demostraron que, al representar gráficamente estos retrasos a lo largo del tiempo, es posible determinar con una exactitud razonable qué otra tarea se está ejecutando en el ordenador en ese preciso momento.
Patrones de latencia distintos que se generan al abrir determinadas páginas web. Fuente.
Los investigadores elaboraron gráficos de latencia, como los que se muestran arriba, para una amplia variedad de sitios web y aplicaciones que se ejecutan localmente. Lo que descubrieron fueron patrones distintivos, o huellas digitales, que se generaban cada vez que se cargaba una página web concreta o se iniciaba una aplicación. Capturar estas breves ventanas de tiempo durante el inicio o la carga requiere supervisar continuamente la SSD durante un período prolongado. Sin embargo, estos patrones resultaron ser notablemente congruentes en los distintos sistemas; los autores probaron con éxito su método tanto en un ordenador de sobremesa con Linux como en un Mac Mini de Apple. A partir de ahí, el siguiente paso parece bastante sencillo: se toma un catálogo de huellas digitales conocidas, se miden los retrasos reales de las SSD, se comparan ambos datos y así se sabe exactamente qué aplicaciones abre el usuario y qué sitios web visita. Pero ¿cómo se puede llevar a cabo este tipo de vigilancia de forma discreta, sin instalar malware en el ordenador de la víctima?
Ahí es donde entra en juego una función relativamente nueva de los navegadores denominada sistema de archivos privado de origen (OPFS). Un atacante hipotético no tiene por qué engañar al usuario para que descargue un troyano sospechoso. Lo único que tienen que hacer es que la víctima visite una página web diseñada específicamente para ello, y dicha página utilizará el OPFS para rastrear de forma sigilosa la actividad de la SSD. Este ingenioso acrónimo reúne todos estos elementos: FROST significa Fingerprinting Remotely using OPFS-based SSD Timing (identificación remota mediante huellas digitales utilizando mediciones temporales de una SSD basadas en el OPFS). A continuación, se detalla paso a paso cómo se desarrolla el ataque en su totalidad:
Cómo se puede utilizar el método FROST para espiar la actividad de un ordenador. Fuente.
Limitaciones del método
Al igual que cualquier ataque de canal lateral, FROST no está precisamente diseñado para ser rápido. Es un proceso lento y metódico. Para determinar exactamente cómo de lento es, los investigadores construyeron un banco de pruebas específico para medirlo.
La organización del banco de pruebas para medir la velocidad de extracción de datos a través del OPFS. Fuente.
El equipo ejecutó un programa en un ordenador para transmitir datos de forma indirecta. Puede pensarse como un espía digital que transmite un mensaje secreto cambiando la forma en la que interactúa con el disco duro. Por ejemplo, un 1 en el código binario del mensaje podría significar que el programa está usando activamente la SSD, mientras que un 0 significa que está inactivo. Al mismo tiempo, configuraron un receptor dentro del navegador web que accedía a la unidad de almacenamiento a través del OPFS. Como tanto el receptor del navegador como el programa del transmisor competían por el ancho de banda de la SSD, el navegador experimentaba pequeños retrasos en la velocidad cada vez que el transmisor enviaba datos de forma activa.
Esta extraña configuración logró transmitir datos a 661 bits por segundo, con una exactitud de casi el 90 %, en un ordenador de sobremesa con Linux y un procesador AMD. En un Mac Mini de Apple con macOS, la velocidad de transferencia alcanzó los 719 bits por segundo, con una exactitud que también rondaba el 90 %. Si bien estos números son ligeramente más bajos que los del estudio del año pasado, que se basó en aplicaciones instaladas directamente en el ordenador, la brecha no es tan grande.
Dicho esto, la verdadera amenaza del ataque FROST no es la transmisión de datos sin procesar, sino el seguimiento de lo que hace el usuario. Aunque un ciberdelincuente disponga de una base de datos de huellas digitales de aplicaciones y sitios web concretos, la información filtrada a través de un sitio malicioso que utilice el OPFS contiene demasiados datos irrelevantes. Al fin y al cabo, el ordenador está constantemente leyendo y escribiendo datos en la SSD en segundo plano. Para filtrar todo ese ruido digital, los investigadores recurrieron a una herramienta que se está convirtiendo en algo habitual en los ciberataques modernos: una red neuronal. Una IA entrenada con huellas digitales conocidas de la SSD podría identificar con seguridad la actividad del usuario incluso en medio de un caos de datos en segundo plano. Los resultados finales son reveladores. En el Mac Mini de Apple, la IA identificó con exactitud qué página web abría el usuario en el 89 % de los casos, y acertó el 96 % de las veces qué aplicaciones locales se abrían. Lo más importante es que incluso podía detectar qué páginas web se abrían en un navegador totalmente distinto al que se estaba ejecutando en la pestaña maliciosa. Parece un auténtico paraíso para los ciberdelincuentes, salvo por una lista enorme de inconvenientes en el mundo real.
¿Es el ataque FROST una amenaza del mundo real?
El simple hecho de saber qué aplicaciones se abren o qué sitios web se visitan no le da mucha ventaja al atacante. Este tipo de datos suele ser útil para los anunciantes que quieren crear un perfil digital del usuario sin su permiso; sin embargo, poner en marcha este método de rastreo a gran escala no es nada realista. El problema radica en la forma en la que los ordenadores administran los datos: el sistema transfiere habitualmente a la RAM los datos a los que se accede con más frecuencia. Como todo el ataque FROST se basa en medir el ancho de banda relativamente lento de la SSD física, los datos que están en la RAM son, en la práctica, invisibles para este método. Para sortear este obstáculo, la página web maliciosa tendría que obligar al OPFS a crear un archivo enorme, de más de un gigabyte. No hace falta decir que una página web que acapare los recursos del disco duro de una forma tan agresiva despertaría inmediatamente sospechas. Lo más probable es que las soluciones EDR o XDR lo marquen como actividad anómala.
En definitiva, esto significa que el ataque FROST, al igual que la mayoría de los métodos de espionaje de canal lateral, solo resulta viable para operaciones muy específicas. Pero eso nos lleva de vuelta al punto de partida: saber qué aplicaciones abre alguien o qué páginas web visita es una recompensa bastante mísera para el enorme esfuerzo que supone llevar a cabo una maniobra tan sofisticada.
Aun así, FROST está a años luz de la mayoría de los ataques de canal lateral académicos en cuanto a su aplicabilidad en el mundo real. No requiere malware preinstalado, y la víctima no tiene que hacer nada más que abrir una página maliciosa. Como mínimo, esta investigación nos recuerda de forma contundente lo complejos que son los ordenadores modernos y cuántos puntos ciegos inesperados pueden dar lugar a filtraciones de datos. A la hora de crear sistemas ultraseguros para datos de máxima confidencialidad, es imprescindible tener en cuenta las particularidades del hardware. Si el premio es lo bastante grande, un atacante decidido no dudará en dedicar el tiempo necesario para diseñar un ataque complejo y muy específico. Estudios como este demuestran que, en el mundo de la ciberseguridad, ese escenario no es imposible.
Consejos