FROST: el ataque que convierte al SSD en un espía silencioso dentro del navegador
Una nueva investigación demuestra que un sitio web puede inferir qué aplicaciones usás y qué páginas visitás analizando cómo responde tu disco SSD.
No necesita malware, permisos especiales ni explotar una vulnerabilidad clásica: alcanza con abrir una pestaña del navegador.
Durante años, gran parte de las investigaciones sobre side channels se enfocaron en procesadores, cachés, memoria y mecanismos internos del hardware. Pero un nuevo trabajo académico llamado FROST (Fingerprinting Remotely using OPFS-based SSD Timing) apunta a un objetivo mucho menos explorado: los discos SSD modernos.
Lo llamativo no es solamente que utiliza el almacenamiento como canal lateral. Lo realmente preocupante es que puede ejecutarse desde JavaScript dentro de una página web, sin necesidad de instalar software en el sistema de la víctima.
El problema no es acceder a tus archivos
A primera vista podría parecer que el ataque roba información almacenada en el disco.
No funciona así.
FROST no necesita leer documentos, bases de datos ni archivos personales. De hecho, el navegador sigue respetando el aislamiento habitual entre sitios y el sistema operativo.
Lo que explota es algo mucho más sutil: las variaciones de tiempo que aparecen cuando distintas aplicaciones compiten por acceder al SSD.
Cuando programas, navegadores, clientes de mensajería o herramientas del sistema realizan operaciones intensivas de lectura y escritura, generan patrones de actividad específicos sobre la unidad de almacenamiento.
Esos patrones producen pequeñas fluctuaciones en la latencia del disco.
Y esas fluctuaciones pueden medirse.
Cómo funciona FROST
El ataque se apoya en una característica relativamente moderna de los navegadores llamada Origin Private File System (OPFS).
Esta API permite que una aplicación web almacene archivos localmente dentro de un espacio aislado propio, sin acceso al resto del sistema. Fue diseñada para mejorar el rendimiento de aplicaciones complejas que funcionan desde el navegador.
Los investigadores descubrieron que OPFS ofrece una forma suficientemente rápida y precisa de interactuar con el almacenamiento como para transformar al SSD en una fuente de señales observables.
A nivel conceptual, el proceso ocurre así:
El usuario visita una página controlada por el atacante.
El sitio genera operaciones constantes sobre archivos almacenados mediante OPFS.
Mientras tanto, otras aplicaciones del sistema continúan utilizando el SSD normalmente.
La competencia por recursos del disco genera pequeñas variaciones de tiempo.
Esas variaciones se registran como una secuencia de mediciones.
Modelos de machine learning entrenados previamente intentan asociar esos patrones con actividades concretas.
El resultado es una especie de “huella digital” de la actividad del equipo.
Qué puede detectar
Los investigadores evaluaron el ataque en escenarios de fingerprinting de sitios web y aplicaciones.
En lugar de observar el tráfico de red o inspeccionar contenido, el sistema intenta inferir qué está haciendo el usuario únicamente a partir del comportamiento del SSD.
Según los resultados publicados, el modelo logró identificar patrones asociados a navegación web y uso de aplicaciones con niveles de precisión suficientemente altos como para demostrar que el canal lateral es práctico.
Esto significa que, en teoría, una página maliciosa podría intentar distinguir si el usuario está utilizando determinadas aplicaciones o visitando ciertos sitios mientras mantiene abierta la pestaña atacante.
No implica acceso directo al contenido de esas aplicaciones.
Pero sí representa una fuga de metadatos sobre la actividad del sistema.
Y en seguridad, los metadatos suelen ser más valiosos de lo que parecen.
Por qué esto preocupa a los investigadores
La mayoría de los side channels modernos suelen requerir condiciones relativamente específicas:
ejecución de código local,
privilegios elevados,
acceso físico,
o interfaces especializadas del sistema operativo.
FROST elimina gran parte de esas barreras.
El ataque puede ejecutarse desde una página web común utilizando funcionalidades legítimas del navegador.
Eso cambia significativamente el modelo de riesgo.
Ya no se trata de comprometer primero el dispositivo para después observarlo.
La observación comienza desde el navegador.
Los navegadores ya fueron advertidos
Los investigadores reportaron sus hallazgos a los equipos de seguridad de Chromium, Firefox y Safari.
Las respuestas muestran algo interesante sobre cómo la industria interpreta actualmente este tipo de amenazas.
Según el paper, Chromium indicó que considera los ataques de fingerprinting fuera de su definición tradicional de vulnerabilidad de seguridad. Apple reconoció el problema pero lo considera actualmente fuera de alcance, mientras que Mozilla confirmó haber recibido el reporte aunque todavía no implementó mitigaciones específicas.
Esto refleja una tensión creciente en la seguridad moderna.
Muchas capacidades incorporadas para mejorar rendimiento, experiencia de usuario o funcionalidades avanzadas terminan ampliando la superficie disponible para técnicas de observación indirecta.
El desafío de los navegadores modernos
FROST también expone una tendencia más amplia.
Durante años, los navegadores fueron evolucionando desde simples visualizadores de páginas web hacia plataformas de ejecución cada vez más complejas.
Hoy pueden acceder a aceleración gráfica, sistemas de archivos locales, procesamiento multimedia, bases de datos internas, IA local y múltiples APIs avanzadas.
Cada nueva capacidad mejora la experiencia del usuario.
Pero también crea nuevas oportunidades para construir canales laterales inesperados.
FROST no rompe el aislamiento tradicional del navegador.
Lo rodea.
Utiliza comportamientos físicos del hardware para inferir información que nunca debería estar disponible para una página web.
Y esa es justamente la característica más inquietante de este trabajo: demuestra que, incluso cuando los mecanismos de seguridad funcionan correctamente, la infraestructura subyacente todavía puede filtrar señales suficientes como para reconstruir parte de la actividad del usuario.
No hay evidencia pública de que el ataque esté siendo explotado activamente fuera de entornos de investigación. Pero el estudio vuelve a poner sobre la mesa una pregunta incómoda para toda la industria tecnológica:
¿Hasta qué punto un navegador moderno puede seguir acumulando acceso a recursos locales sin convertirse, involuntariamente, en una plataforma de observación del sistema operativo?