{"id":32274,"date":"2026-06-29T10:59:13","date_gmt":"2026-06-29T08:59:13","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32274"},"modified":"2026-06-29T10:59:13","modified_gmt":"2026-06-29T08:59:13","slug":"frost-fingerprinting-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/","title":{"rendered":"El ataque FROST: c\u00f3mo los retrasos en el acceso a las SSD exponen la actividad de los usuarios"},"content":{"rendered":"

Cient\u00edficos de la Universidad Tecnol\u00f3gica de Graz en Austria han publicado recientemente un art\u00edculo<\/a> en el que se detalla un nuevo m\u00e9todo para rastrear la actividad de los usuarios a trav\u00e9s de sus navegadores web. Lo m\u00e1s fascinante de esta nueva t\u00e9cnica, a la que han llamado FROST, es que se basa en la Unidad de Estado S\u00f3lido (SSD) de un ordenador para llevar a cabo el espionaje. Sin entrar en detalles t\u00e9cnicos, as\u00ed es como funciona el ataque: un ciberdelincuente atrae a la v\u00edctima a una p\u00e1gina web dise\u00f1ada espec\u00edficamente para ello; mientras la p\u00e1gina permanezca abierta, el atacante puede rastrear exactamente qu\u00e9 aplicaciones abre el usuario y qu\u00e9 otras p\u00e1ginas web visita.<\/p>\n

Entonces, \u00bfc\u00f3mo logran esto? El primer instinto es, naturalmente, culpar al navegador. Sin embargo, en los navegadores web modernos, cada sitio web se ejecuta en un entorno aislado y, por lo general, no puede acceder a otras pesta\u00f1as, y mucho menos al hardware del ordenador. Si bien los ciberdelincuentes encuentran lagunas en estas defensas de vez en cuando, no es eso lo que est\u00e1 ocurriendo en este caso.<\/p>\n

El ataque FROST no necesita vulnerar el navegador; funciona perfectamente incluso con todas las medidas de seguridad est\u00e1ndar activadas. En cambio, se aprovecha de una funci\u00f3n del navegador totalmente leg\u00edtima denominada sistema de archivos privado de origen (OPFS), que les proporciona a los sitios web su propio espacio de almacenamiento virtual para guardar datos. Sin embargo, aunque este almacenamiento est\u00e1 aislado digitalmente, los datos siguen escribi\u00e9ndose f\u00edsicamente en la misma SSD que utilizan todas las dem\u00e1s aplicaciones y p\u00e1ginas web abiertas en el ordenador.<\/p>\n

Los investigadores descubrieron que, si una p\u00e1gina maliciosa bombardea constantemente a la SSD con solicitudes de datos, los retrasos microsc\u00f3picos en el acceso a los datos pueden ayudar a determinar qu\u00e9 otros procesos se est\u00e1n ejecutando en el PC. Antes de entrar en detalles sobre c\u00f3mo consiguen hacerlo, echemos un vistazo r\u00e1pido a la teor\u00eda que subyace al ataque.<\/p>\n

Una breve explicaci\u00f3n a los ataques de canal lateral<\/h2>\n

El t\u00e9rmino \u201ccanal lateral\u201d se refiere a un m\u00e9todo de espionaje en un ordenador, o incluso un solo microchip, de manera indirecta. En lugar de interceptar los datos propiamente dichos, un atacante podr\u00eda analizar las fluctuaciones en el consumo de energ\u00eda, supervisar la temperatura de componentes espec\u00edficos o detectar la radiaci\u00f3n electromagn\u00e9tica, entre otras cosas. En teor\u00eda, esto significa que alguien podr\u00eda escuchar a escondidas una conversaci\u00f3n<\/a> en una habitaci\u00f3n simplemente utilizando el rat\u00f3n de un ordenador, ya que el sensor \u00f3ptico es capaz de captar las vibraciones sonoras. Del mismo modo, observar las fluctuaciones en la velocidad de reloj de una CPU podr\u00eda permitirle a un ciberdelincuente robar una clave de cifrado<\/a>. Incluso algo tan sencillo como una luz LED en un lector de tarjetas de identidad puede filtrar datos suficientes<\/a> sobre el funcionamiento interno del dispositivo como para que un atacante pueda clonar una tarjeta inteligente.<\/p>\n

Lo interesante de estas filtraciones de datos indirectas, al menos desde el punto de vista de un ciberdelincuente, es que no son f\u00e1ciles de detectar. Los fabricantes de dispositivos rara vez las tienen en cuenta a la hora de dise\u00f1ar sistemas de seguridad. Sin embargo, la desventaja es igual de evidente: extraer informaci\u00f3n mediante un mecanismo que nunca se dise\u00f1\u00f3 para la transmisi\u00f3n de datos suele resultar complejo, lento y laborioso. Los investigadores austriacos se centraron en un subtipo espec\u00edfico conocido como ataque de canal lateral por contenci\u00f3n. Aqu\u00ed es donde se produce la filtraci\u00f3n, ya que varios procesos compiten por el mismo recurso. En este caso, ese recurso en disputa es el ancho de banda de la unidad de almacenamiento.<\/p>\n

Detalles del ataque FROST<\/h2>\n

Este canal lateral espec\u00edfico se ha estudiado antes, entre otros, en un art\u00edculo de investigaci\u00f3n<\/a> de 2025. En aquel entonces, sin embargo, la configuraci\u00f3n era bastante sencilla: los investigadores ejecutaban un programa en un ordenador que serv\u00eda de fuente de datos, mientras que un segundo programa, que se ejecutaba en la misma m\u00e1quina, intentaba interceptar dichos datos. Aunque eso est\u00e1 bien para un estudio acad\u00e9mico te\u00f3rico, el modelo de ataque no era precisamente revolucionario. Despu\u00e9s de todo, si un ciberdelincuente ya puede ejecutar cualquier programa que desee, no necesita depender de canales laterales; tiene muchas formas directas de robar los datos.<\/p>\n

Aun as\u00ed, el estudio del a\u00f1o pasado no fue una completa p\u00e9rdida de tiempo. Demostr\u00f3 que la resoluci\u00f3n obtenida al supervisar una SSD es bastante alta, que la filtraci\u00f3n de datos es real y que la informaci\u00f3n capturada puede resultar realmente \u00fatil. El ataque FROST es, en esencia, una continuaci\u00f3n l\u00f3gica de la misma idea.<\/p>\n

As\u00ed es como funciona en la pr\u00e1ctica. Supongamos que hay un archivo bastante grande en una SSD lleno de datos aleatorios. Un proceso espec\u00edfico lee estos datos a intervalos regulares y mide el tiempo que tarda en recibir una respuesta. Esta velocidad var\u00eda en funci\u00f3n de la carga de trabajo de la unidad con otras tareas. Los retrasos en el acceso son indicios que revelan la actividad de la unidad. Los investigadores austriacos demostraron que, al representar gr\u00e1ficamente estos retrasos a lo largo del tiempo, es posible determinar con una exactitud razonable qu\u00e9 otra tarea se est\u00e1 ejecutando en el ordenador en ese preciso momento.<\/p>\n

\"Gr\u00e1ficos<\/a>

Patrones de latencia distintos que se generan al abrir determinadas p\u00e1ginas web. Fuente.<\/a><\/p><\/div>\n

Los investigadores elaboraron gr\u00e1ficos de latencia, como los que se muestran arriba, para una amplia variedad de sitios web y aplicaciones que se ejecutan localmente. Lo que descubrieron fueron patrones distintivos, o huellas digitales, que se generaban cada vez que se cargaba una p\u00e1gina web concreta o se iniciaba una aplicaci\u00f3n. Capturar estas breves ventanas de tiempo durante el inicio o la carga requiere supervisar continuamente la SSD durante un per\u00edodo prolongado. Sin embargo, estos patrones resultaron ser notablemente congruentes en los distintos sistemas; los autores probaron con \u00e9xito su m\u00e9todo tanto en un ordenador de sobremesa con Linux como en un Mac Mini de Apple. A partir de ah\u00ed, el siguiente paso parece bastante sencillo: se toma un cat\u00e1logo de huellas digitales conocidas, se miden los retrasos reales de las SSD, se comparan ambos datos y as\u00ed se sabe exactamente qu\u00e9 aplicaciones abre el usuario y qu\u00e9 sitios web visita. Pero \u00bfc\u00f3mo se puede llevar a cabo este tipo de vigilancia de forma discreta, sin instalar malware en el ordenador de la v\u00edctima?<\/p>\n

Ah\u00ed es donde entra en juego una funci\u00f3n relativamente nueva de los navegadores denominada sistema de archivos privado de origen (OPFS). Un atacante hipot\u00e9tico no tiene por qu\u00e9 enga\u00f1ar al usuario para que descargue un troyano sospechoso. Lo \u00fanico que tienen que hacer es que la v\u00edctima visite una p\u00e1gina web dise\u00f1ada espec\u00edficamente para ello, y dicha p\u00e1gina utilizar\u00e1 el OPFS para rastrear de forma sigilosa la actividad de la SSD. Este ingenioso acr\u00f3nimo re\u00fane todos estos elementos: FROST significa Fingerprinting Remotely using OPFS-based SSD Timing (identificaci\u00f3n remota mediante huellas digitales utilizando mediciones temporales de una SSD basadas en el OPFS). A continuaci\u00f3n, se detalla paso a paso c\u00f3mo se desarrolla el ataque en su totalidad:<\/p>\n

\"El<\/a>

C\u00f3mo se puede utilizar el m\u00e9todo FROST para espiar la actividad de un ordenador. Fuente.<\/a><\/p><\/div>\n

Limitaciones del m\u00e9todo<\/h2>\n

Al igual que cualquier ataque de canal lateral, FROST no est\u00e1 precisamente dise\u00f1ado para ser r\u00e1pido. Es un proceso lento y met\u00f3dico. Para determinar exactamente c\u00f3mo de lento es, los investigadores construyeron un banco de pruebas espec\u00edfico para medirlo.<\/p>\n

\"Organizaci\u00f3n<\/a>

La organizaci\u00f3n del banco de pruebas para medir la velocidad de extracci\u00f3n de datos a trav\u00e9s del OPFS. Fuente<\/a>.<\/p><\/div>\n

El equipo ejecut\u00f3 un programa en un ordenador para transmitir datos de forma indirecta. Puede pensarse como un esp\u00eda digital que transmite un mensaje secreto cambiando la forma en la que interact\u00faa con el disco duro. Por ejemplo, un 1 en el c\u00f3digo binario del mensaje podr\u00eda significar que el programa est\u00e1 usando activamente la SSD, mientras que un 0 significa que est\u00e1 inactivo. Al mismo tiempo, configuraron un receptor dentro del navegador web que acced\u00eda a la unidad de almacenamiento a trav\u00e9s del OPFS. Como tanto el receptor del navegador como el programa del transmisor compet\u00edan por el ancho de banda de la SSD, el navegador experimentaba peque\u00f1os retrasos en la velocidad cada vez que el transmisor enviaba datos de forma activa.<\/p>\n

Esta extra\u00f1a configuraci\u00f3n logr\u00f3 transmitir datos a 661\u00a0bits por segundo, con una exactitud de casi el 90\u00a0%, en un ordenador de sobremesa con Linux y un procesador AMD. En un Mac Mini de Apple con macOS, la velocidad de transferencia alcanz\u00f3 los 719\u00a0bits por segundo, con una exactitud que tambi\u00e9n rondaba el 90\u00a0%. Si bien estos n\u00fameros son ligeramente m\u00e1s bajos que los del estudio del a\u00f1o pasado, que se bas\u00f3 en aplicaciones instaladas directamente en el ordenador,\u00a0la brecha no es tan grande.<\/p>\n

Dicho esto, la verdadera amenaza del ataque FROST no es la transmisi\u00f3n de datos sin procesar, sino el seguimiento de lo que hace el usuario. Aunque un ciberdelincuente disponga de una base de datos de huellas digitales de aplicaciones y sitios web concretos, la informaci\u00f3n filtrada a trav\u00e9s de un sitio malicioso que utilice el OPFS contiene demasiados datos irrelevantes. Al fin y al cabo, el ordenador est\u00e1 constantemente leyendo y escribiendo datos en la SSD en segundo plano. Para filtrar todo ese ruido digital, los investigadores recurrieron a una herramienta que se est\u00e1 convirtiendo en algo habitual en los ciberataques modernos: una red neuronal. Una IA entrenada con huellas digitales conocidas de la SSD podr\u00eda identificar con seguridad la actividad del usuario incluso en medio de un caos de datos en segundo plano. Los resultados finales son reveladores. En el Mac Mini de Apple, la IA identific\u00f3 con exactitud qu\u00e9 p\u00e1gina web abr\u00eda el usuario en el 89 % de los casos, y acert\u00f3 el 96 % de las veces qu\u00e9 aplicaciones locales se abr\u00edan. Lo m\u00e1s importante es que incluso pod\u00eda detectar qu\u00e9 p\u00e1ginas web se abr\u00edan en un navegador totalmente distinto al que se estaba ejecutando en la pesta\u00f1a maliciosa. Parece un aut\u00e9ntico para\u00edso para los ciberdelincuentes, salvo por una lista enorme de inconvenientes en el mundo real.<\/p>\n

\u00bfEs el ataque FROST una amenaza del mundo real?<\/h2>\n

El simple hecho de saber qu\u00e9 aplicaciones se abren o qu\u00e9 sitios web se visitan no le da mucha ventaja al atacante. Este tipo de datos suele ser \u00fatil para los anunciantes que quieren crear un perfil digital del usuario sin su permiso; sin embargo, poner en marcha este m\u00e9todo de rastreo a gran escala no es nada realista. El problema radica en la forma en la que los ordenadores administran los datos: el sistema transfiere habitualmente a la RAM los datos a los que se accede con m\u00e1s frecuencia. Como todo el ataque FROST se basa en medir el ancho de banda relativamente lento de la SSD f\u00edsica, los datos que est\u00e1n en la RAM son, en la pr\u00e1ctica, invisibles para este m\u00e9todo. Para sortear este obst\u00e1culo, la p\u00e1gina web maliciosa tendr\u00eda que obligar al OPFS a crear un archivo enorme, de m\u00e1s de un gigabyte. No hace falta decir que una p\u00e1gina web que acapare los recursos del disco duro de una forma tan agresiva despertar\u00eda inmediatamente sospechas. Lo m\u00e1s probable es que las soluciones EDR o XDR<\/a> lo marquen como actividad an\u00f3mala.<\/p>\n

En definitiva, esto significa que el ataque FROST, al igual que la mayor\u00eda de los m\u00e9todos de espionaje de canal lateral, solo resulta viable para operaciones muy espec\u00edficas. Pero eso nos lleva de vuelta al punto de partida: saber qu\u00e9 aplicaciones abre alguien o qu\u00e9 p\u00e1ginas web visita es una recompensa bastante m\u00edsera para el enorme esfuerzo que supone llevar a cabo una maniobra tan sofisticada.<\/p>\n

Aun as\u00ed, FROST est\u00e1 a a\u00f1os luz de la mayor\u00eda de los ataques de canal lateral acad\u00e9micos en cuanto a su aplicabilidad en el mundo real. No requiere malware preinstalado, y la v\u00edctima no tiene que hacer nada m\u00e1s que abrir una p\u00e1gina maliciosa. Como m\u00ednimo, esta investigaci\u00f3n nos recuerda de forma contundente lo complejos que son los ordenadores modernos y cu\u00e1ntos puntos ciegos inesperados pueden dar lugar a filtraciones de datos. A la hora de crear sistemas ultraseguros para datos de m\u00e1xima confidencialidad, es imprescindible tener en cuenta las particularidades del hardware. Si el premio es lo bastante grande, un atacante decidido no dudar\u00e1 en dedicar el tiempo necesario para dise\u00f1ar un ataque complejo y muy espec\u00edfico. Estudios como este demuestran que, en el mundo de la ciberseguridad, ese escenario no es imposible.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Investigadores austriacos han descubierto una nueva y extra\u00f1a forma en que los ciberdelincuentes podr\u00edan robar datos confidenciales.<\/p>\n","protected":false},"author":665,"featured_media":32275,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3728,1427,3781],"class_list":{"0":"post-32274","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques-de-canal-lateral","11":"tag-hardware","12":"tag-ssd"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/frost-fingerprinting-attack\/30818\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/frost-fingerprinting-attack\/25859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/frost-fingerprinting-attack\/30661\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/frost-fingerprinting-attack\/42049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/frost-fingerprinting-attack\/55970\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/frost-fingerprinting-attack\/30761\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/frost-fingerprinting-attack\/36329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/frost-fingerprinting-attack\/36219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ataques-de-canal-lateral\/","name":"ataques de canal lateral"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32274"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32274\/revisions"}],"predecessor-version":[{"id":32280,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32274\/revisions\/32280"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32275"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}