Sitios web espían tu unidad de estado sólido
Por Joe Wilkins .Publicado el
2026/05/31 14:16
Hoy en día, es casi imposible navegar por la red sin dejar algún rastro de tu actividad. Esto se debe a un panóptico de cookies, registradores de pulsaciones de teclas (keystroke loggers), huellas digitales, píxeles de seguimiento y probablemente otros horrores que ni siquiera han salido a la luz. Quizás suene paranoico, pero es exactamente lo que un grupo de investigadores en Austria ha descubierto en una nueva y demoledora investigación sobre ciberseguridad.
Según el artículo publicado recientemente, del que se hizo eco inicialmente Ars Technica, los investigadores han detectado un tipo de ataque sin interacción que los sitios web pueden ejecutar fácilmente para acceder a los datos almacenados en tu ordenador.
El método se llama FROST, siglas en inglés de fingerprinting remotely using OPFS-based SSD timing (generación de huellas dactilares de forma remota mediante la medición de tiempos en SSD basados en OPFS). Es un nombre complejo, sin duda, pero básicamente permite a los sitios web maliciosos espiar la actividad de tu ordenador sin necesidad de instalar ningún software ni de engañarte para que hagas clic en enlaces de correos electrónicos sospechosos.
¿Cómo funciona el ataque?
Según los expertos, este sistema aprovecha el funcionamiento de la unidad de estado sólido (SSD) de tu ordenador, los dispositivos de almacenamiento interno que han sustituido en gran medida a los discos duros magnéticos en el mercado de consumo. Cada vez que visitas un sitio, el SSD de tu ordenador empieza a registrar una intensa actividad, lo que permite a las páginas web almacenar archivos temporales para mejorar tu experiencia de navegación.
Los ataques FROST se aprovechan de esto creando un archivo masivo —hablamos de varios gigabytes— que, en la práctica, bloquea al ordenador para que no pueda transferir fuera del SSD lo que considera datos web temporales.
Mientras se procesa ese archivo gigantesco, el sitio web malicioso es capaz de sondear los tiempos de los datos entrantes de otros sitios, generando información que luego se puede analizar a través de un modelo de aprendizaje automático (machine learning) para predecir qué más estás haciendo en internet.
Un nivel de precisión alarmante
Aunque la palabra "predecir" sugiere que el atacante está adivinando, el método FROST es increíblemente eficaz a la hora de identificar lo que la víctima hace en su ordenador. Los investigadores señalan que, al utilizar esta técnica, su modelo de aprendizaje automático fue capaz de predecir qué sitios visitaría un usuario con una tasa de precisión del 88.95%, y pudo predecir correctamente las aplicaciones utilizadas el 95.83% de las veces.
Lo peor de todo es que el sistema funciona independientemente del navegador que utilices. Al operar a través de tu SSD, un atacante podría, teóricamente, rastrear tu navegación web en Firefox basándose en un sitio web abierto desde Google Chrome. Aunque los investigadores solo experimentaron con esta técnica en dispositivos Mac y Linux, advirtieron que los sistemas Windows no son inmunes.
Declaraciones clave: "En principio, sería posible entrenar un modelo en cualquier actividad del sistema que genere accesos al SSD de forma fiable", afirmó a Ars Technica el autor principal del estudio, Hannes Weissteiner.
Si bien FROST representa el tipo de vulnerabilidad que probablemente deba ser corregida por los desarrolladores web, Ars Technica señala que se pueden mitigar los riesgos cerrando las pestañas de los sitios web tan pronto como dejes de usarlas. No es una solución definitiva, pero podría evitar que te conviertas en la próxima víctima de este nuevo y temible tipo de ciberataque.
Califica este tema