Nueva tecnica de rastreo web permite a los sitios espiar a los visitantes mediante la actividad de sus unidades SSD
Qué pasó
Un grupo de investigadores dio a conocer una tecnica de espionaje digital denominada FROST, sigla en ingles de fingerprinting remotamente mediante tiempos de SSD basados en OPFS, que permite a un sitio web conocer que otras paginas mantiene abiertas el visitante, incluso en navegadores diferentes, asi como las aplicaciones que se ejecutan en segundo plano en su equipo.
El mecanismo se basa en un canal lateral de contencion, es decir, una via indirecta de filtracion de informacion que aprovecha las manifestaciones fisicas del hardware. En este caso, el codigo JavaScript embebido en el sitio atacante interactua con el OPFS, un sistema de archivos privado asignado por el navegador a cada origen web, y mide los tiempos de las operaciones de entrada y salida que compiten por los recursos de la unidad de estado solido del visitante.
A diferencia de ataques de canal lateral previos, FROST opera integramente desde el navegador, sin necesidad de instalar software malicioso ni de obtener permisos especiales del usuario. Basta con que la persona abra la pagina que aloja el codigo para que el sistema comience a registrar las variaciones de rendimiento del almacenamiento.
Los datos temporales recopilados son procesados posteriormente por una red neuronal convolucional previamente entrenada, capaz de inferir patrones y asociarlos con sitios web o aplicaciones especificas. Los investigadores subrayaron que la superficie de ataque de los navegadores se ha ampliado de forma considerable a medida que plataformas como Google, Microsoft y Adobe han incorporado suites ofimaticas, editores de imagen y video, e incluso entornos de desarrollo integrados que funcionan completamente en el navegador.
El estudio advierte que, aunque cada sistema de archivos OPFS se encuentra aislado mediante entornos sandbox, la propia actividad de entrada y salida que este genera es suficiente para entregar informacion sensible a un atacante. La investigacion fue publicada como un paper academico y recogida por la publicacion especializada Ars Technica.
Contexto
El hallazgo se inscribe en una tendencia creciente de sofisticacion de las tecnicas de rastreo digital que ha puesto en jaque a reguladores y a la industria de la privacidad a nivel global. En los ultimos meses, companias como Meta y Yandex fueron sorprendidas utilizando mecanismos para eludir los resguardos de privacidad de los navegadores y vincular la actividad de los usuarios entre distintas plataformas.
Los navegadores contemporaneos han dejado de ser simples visores de documentos para convertirse en plataformas de ejecucion de aplicaciones complejas. Esta evolucion, que ha permitido el desarrollo de herramientas de productividad y software profesional en linea, ha incrementado de manera paralela la superficie vulnerable expuesta a ataques de canal lateral, un tipo de amenaza que explota las caracteristicas fisicas del hardware en lugar de las debilidades del software.
En el ambito academico y de ciberseguridad, los canales laterales de contencion han sido objeto de estudio durante anos, pero la mayoria de las investigaciones requerian acceso local al equipo o la instalacion de software especializado. FROST marca un punto de inflexion al demostrar que un ataque de este tipo puede ejecutarse de forma remota, unicamente a traves del navegador, lo que reduce sustancialmente la barrera tecnica para potenciales atacantes.
La investigacion refuerza la urgencia de que los fabricantes de navegadores y los desarrolladores de estandares web revisen los mecanismos de aislamiento de recursos, en particular la gestion del almacenamiento local y las APIs que permiten la escritura y lectura de archivos por parte de los sitios web.
Impacto para empresas chilenas
Para las empresas chilenas, en especial para aquellas que operan plataformas de comercio electronico, servicios financieros en linea o herramientas de productividad basadas en la nube, el descubrimiento de FROST plantea desafios relevantes en materia de seguridad de la informacion y cumplimiento normativo. La legislacion local, particularmente la Ley 19.628 sobre proteccion de datos personales, establece obligaciones claras para las entidades que tratan datos de ciudadanos, y una brecha derivada de este tipo de tecnicas podria generar responsabilidades legales.
Las pequenas y medianas empresas que han digitalizado sus procesos y dependen de aplicaciones web para gestionar ventas, inventario o relacion con clientes deben considerar que sus equipos de trabajo pueden estar expuestos a esta clase de rastreo, lo que potencialmente revela informacion comercial sensible a terceros, como los sistemas internos que utilizan o los servicios de la competencia que estan evaluando.
Desde la perspectiva de la industria tecnologica nacional, el hallazgo abre una oportunidad para que proveedores locales de ciberseguridad y firmas consultoras incorporen esta amenaza en sus evaluaciones de riesgo y ofrezcan servicios de auditoria especializados. Asimismo, refuerza la necesidad de que los departamentos de tecnologias de la informacion de companias de mayor envergadura actualicen sus politicas de uso de navegadores y contemplen la capacitacion de sus colaboradores en materia de higiene digital.
En el sector publico, particularmente en organismos que manejan informacion reservada o datos sensibles de ciudadanos, la adopcion de medidas adicionales de seguridad, como navegadores reforzados o entornos de navegacion aislados, podria convertirse en una prioridad en el corto plazo.
Qué sigue
Los investigadores anticipan que la publicacion de su trabajo motivara una respuesta de los principales fabricantes de navegadores, entre ellos Google Chrome, Mozilla Firefox y Apple Safari, para mitigar o restringir el acceso al OPFS desde sitios web que no requieran almacenamiento local persistente. Es probable que en los proximos meses se implementen parches y modificaciones a las APIs involucradas.
A mas largo plazo, el caso FROST podria acelerar la adopcion de estandares web que incorporen mecanismos de proteccion contra canales laterales de contencion, un ambito que hasta ahora habia recibido atencion limitada por parte de la comunidad de desarrolladores. La tension entre la creciente capacidad de los navegadores para ejecutar aplicaciones complejas y la necesidad de preservar la privacidad del usuario continuara marcando la agenda de la industria en el corto y mediano plazo.
¿Necesitas software que se adapte exactamente a tu negocio?
Web apps, dashboards, APIs y plataformas a medida. Código propio, sin licencias ni plataformas genéricas.
Cotiza tu proyectoRespuesta en menos de 24h · Cotizacion sin compromiso
Artículos Relacionados
Railway capta US$100 millones para competir con AWS en infraestructura cloud nativa para inteligencia artificial
La plataforma cloud con sede en San Francisco anunció una ronda Serie B liderada por TQ Ventures, con la que busca posicionarse como alternativa a los proveedores tradicionales como Amazon Web Services y Google Cloud. La compañía, que ya cuenta con dos millones de desarrolladores y procesa más de diez millones de despliegues mensuales, apunta a reducir los tiempos de implementación que resultan críticos en la era de los asistentes de programación basados en inteligencia artificial. La valoración la sitúa entre las startups de infraestructura más relevantes surgidas durante el actual ciclo de inversión en IA.
Apple reporta US$ 1,4 billones en transacciones de la App Store, donde el 90% no paga comisiones a la compañía
La tecnológica estadounidense presentó su informe anual sobre el ecosistema de su tienda de aplicaciones, indicando que las facturaciones y ventas de desarrolladores alcanzaron los US$ 1,4 billones durante 2025. Según la compañía, el 90% de esas transacciones no generaron comisiones para Apple. El reporte se publica días antes de la Conferencia Mundial de Desarrolladores (WWDC), donde se esperan anuncios relevantes en materia de inteligencia artificial.
Nuevo modelo de cobro de GitHub Copilot genera rechazo entre desarrolladores por alza en costos
Microsoft anunció el cambio desde una tarifa plana a un modelo de facturación basado en el consumo de tokens para GitHub Copilot, lo que provocaría un aumento significativo en los costos para usuarios individuales y pequeñas empresas. Desarrolladores en foros como Reddit y X reportaron incrementos que van desde US$29 hasta cerca de US$750 mensuales. La medida entrará en vigencia el 1 de junio de 2026 y reaviva el debate sobre la sostenibilidad del modelo de negocios de las herramientas de inteligencia artificial.