¿Cómo puede una web espiarte mirando la actividad de tu disco SSD?

Una web maliciosa podría inferir qué páginas visita una persona o qué aplicaciones tiene abiertas midiendo pequeñas variaciones en la actividad de su disco SSD. No necesita leer documentos, ni instalar un programa, ni colarse en carpetas privadas como un ladrón con linterna. La técnica se llama FROST, acrónimo de Fingerprinting Remotely using OPFS-based SSD Timing, y funciona como una forma de espionaje lateral: no observa el contenido, sino el ruido que deja el sistema al trabajar. Es menos cinematográfico que un hackeo de película, pero bastante más inquietante porque ocurre dentro del navegador, ese lugar donde la vida moderna finge ser cómoda y segura al mismo tiempo.

La investigación muestra que un sitio controlado por un atacante puede utilizar JavaScript y el sistema de archivos privado del navegador, conocido como OPFS, para crear lecturas del disco y medir la latencia. Es decir, cuánto tarda el SSD en responder. Cuando otras webs o aplicaciones usan también el almacenamiento, aparecen pequeñas demoras, como pisadas en una habitación contigua. Con suficientes mediciones y un modelo entrenado para reconocer patrones, esas pisadas pueden convertirse en una huella: una web abierta, una aplicación en uso, una rutina digital que el usuario no ha querido revelar.

Conviene no inflar el globo hasta convertirlo en una película de espías soviéticos. FROST no demuestra que cualquier página pueda leer tus fotos, tus contratos o tus contraseñas del SSD. Lo que plantea es otra cosa: que el navegador, al permitir ciertas operaciones locales muy rápidas y sin permisos visibles, puede abrir un canal lateral capaz de deducir actividad. Como quien no ve la carretera, pero cuenta los coches por el temblor del puente.

FROST, OPFS y el truco del disco ocupado

El punto delicado está en OPFS, el Origin Private File System. Es una tecnología legítima, pensada para que las aplicaciones web modernas puedan guardar y manipular archivos dentro de un espacio privado asociado a cada origen web. Sirve para editores, herramientas de trabajo, aplicaciones con datos locales, entornos que necesitan rendimiento y acceso más fino que el clásico almacenamiento del navegador. Sobre el papel, no es un agujero negro: cada web ve su propio espacio, no el escritorio del usuario. La ironía, siempre tan puntual, es que esa misma eficiencia puede convertirse en una herramienta de medición.

FROST aprovecha precisamente ese margen. La web atacante crea un archivo grande dentro de OPFS y realiza lecturas aleatorias muy pequeñas, de 4 KB, midiendo los tiempos de respuesta. Si el archivo es lo bastante grande para no quedar completamente absorbido por la memoria caché del sistema, las lecturas golpean el SSD de verdad. Y ahí empieza la música de fondo: cuando otra aplicación, otra pestaña o incluso otro navegador generan actividad de disco, el SSD se congestiona un poco. Poco, pero medible. Ese retraso, repetido miles de veces, dibuja una firma digital.

La imagen doméstica ayuda: imagina una cocina con una sola encimera. Nadie te dice quién está cocinando, nadie te enseña los platos, pero cada vez que intentas cortar pan notas si alguien acaba de dejar una olla, lavar un cuchillo o abrir un cajón. No ves la receta, pero percibes la actividad. FROST hace algo parecido con el disco: no roba el archivo; escucha el atasco.

En sus pruebas, los investigadores señalan resultados llamativos: una puntuación F1 del 88,95 % para identificar webs en un escenario cerrado con las 50 páginas más relevantes de su experimento, un 86,95 % en un escenario abierto también centrado en 50 webs, y un 95,83 % para reconocimiento de aplicaciones en macOS. La puntuación F1 no es una “precisión” simple, sino una medida que combina acierto y capacidad para no confundir categorías. Traducido sin bata blanca: el sistema no adivinaba al azar. Se equivocaba, sí, pero encontraba patrones con una consistencia suficiente para preocupar.

Qué puede detectar y qué no

Lo que FROST intenta detectar no es el contenido exacto de una conversación de WhatsApp Web, ni el texto de un documento, ni la contraseña escrita en un formulario. Su terreno es la huella de actividad: qué web podría estar cargándose, qué aplicación genera lecturas o escrituras, qué patrón de uso se parece a uno ya entrenado. En seguridad informática esto se conoce como fingerprinting, una forma de identificación por rasgos indirectos. No se pregunta qué estás leyendo, sino a qué se parece el ruido que deja lo que estás haciendo.

El estudio también habla de canales encubiertos, con capacidades medidas de 661,63 bit/s en Linux y 891,77 bit/s en macOS en sus pruebas. No es una autopista para sacar vídeos, ni mucho menos, pero sí una prueba de que el canal existe y transporta información. Esa es la parte incómoda: una capacidad pequeña puede bastar cuando lo que se quiere filtrar no es una película de dos gigas, sino una señal, una etiqueta, una confirmación.

Ahora bien, el ataque tiene condiciones. La víctima debe visitar una página controlada por el atacante, aunque no tenga que hacer nada más. El archivo usado para medir debe ser grande. El sistema debe permitir que esas operaciones realmente lleguen al disco SSD. Y el patrón observado debe parecerse a algo que el atacante haya entrenado antes. En informática, como en la política, la palabra “posible” suele necesitar muchos apellidos.

El propio trabajo técnico explica que OPFS está soportado en los grandes navegadores de escritorio desde 2023 y que Chromium y Safari pueden permitir un uso muy amplio del espacio de disco para almacenamiento OPFS, mientras Firefox maneja límites distintos por origen. Esa amplitud es útil para aplicaciones web serias, claro. También deja margen para abusos raros. Raros, no imposibles.

Por qué importa para la privacidad cotidiana

Durante años nos hemos acostumbrado a pensar la privacidad digital como una batalla de permisos visibles. La cámara pide permiso. El micrófono pide permiso. La ubicación, al menos en teoría, pide permiso. Luego están las cookies, ese pequeño teatro burocrático con botones enormes para aceptar y botones microscópicos para rechazar. FROST pertenece a una familia más sutil: ataques que no preguntan por un dato, sino que explotan efectos secundarios del sistema.

Eso cambia el tono del debate. Un usuario normal puede ser muy cuidadoso con los permisos y aun así quedar expuesto a señales indirectas. No porque haya pulsado “aceptar micrófono”, sino porque el navegador ofrece a las webs herramientas cada vez más potentes para comportarse como aplicaciones de escritorio. La web ya no es una página estática con texto y fotos. Es oficina, editor de vídeo, juego, mapa, banco, agenda, nube, taller. Y para hacer todo eso necesita acceso local, cachés, almacenamiento, procesos en segundo plano. La comodidad tiene motor. Y el motor deja vibración.

La comparación con otros canales laterales no es gratuita. En seguridad, un canal lateral puede surgir por consumo eléctrico, tiempos de ejecución, cachés de procesador, tráfico de red, ruido acústico o comportamiento de memoria. El ataque no entra por la puerta principal; se cuela por la sombra que proyecta la puerta. FROST lleva esa lógica al SSD desde JavaScript, dentro del navegador, sin código nativo instalado. Ahí está la novedad periodística y técnica.

La consecuencia no es que mañana todas las webs vayan a convertirse en detectives del disco duro. La consecuencia realista es más sobria y más seria: el navegador sigue acumulando funciones potentes sin que el usuario tenga una visión clara de qué se permite, cuánto se guarda y durante cuánto tiempo. Un sitio puede almacenar datos locales en OPFS; el usuario, salvo que revise el uso de almacenamiento o limpie datos del sitio, apenas lo percibe. El navegador, ese mayordomo tan educado, guarda muchas cosas en cuartos sin cartel.

Los límites que rebajan el pánico

El primer límite es físico y bastante vulgar: el ataque necesita espacio. Para evitar que el sistema sirva las lecturas desde caché y forzar accesos reales al SSD, el archivo usado por la web atacante debe ser grande, incluso muy grande. En Chrome y Safari, una web puede llegar a reservar una porción muy amplia del espacio total del disco mediante OPFS; en un equipo con poco almacenamiento libre, eso ya no suena a espionaje invisible, sino a “por qué mi portátil se ha quedado sin espacio”. Bendita modernidad: hasta el susto viene con consumo de gigas.

Ese detalle importa mucho. Un ataque que devora decenas o cientos de gigas tiene más posibilidades de levantar sospechas. No siempre, porque muchos usuarios viven con discos llenos, cachés infladas y carpetas de descargas que parecen vertederos arqueológicos. Pero no es lo mismo rastrear una cookie que esconder un elefante en el pasillo.

El segundo límite está en el alcance de las pruebas. El trabajo muestra resultados especialmente completos en macOS y mediciones relevantes en Linux, pero no convierte cada ordenador Windows, cada SSD externo o cada configuración doméstica en una víctima idéntica. Los investigadores demuestran una técnica y su viabilidad; el salto hacia ataques masivos, silenciosos y comercialmente útiles requiere más piezas. Entre ellas, entrenamiento, persistencia, compatibilidad, paciencia y una víctima que visite la página atacante el tiempo suficiente.

El tercer límite es estadístico. FROST no “sabe” con certeza absoluta lo que haces; clasifica patrones. Y los patrones pueden confundirse, sobre todo en equipos con mucho ruido: sincronización de nube, antivirus, actualizaciones, videojuegos, editores pesados, pestañas a medio morir, el sistema haciendo sus pequeñas tareas de fontanería. La privacidad no se defiende negando el riesgo, pero tampoco conviene vender cada investigación como el Apocalipsis con favicon.

Aun así, el riesgo no se evapora. Muchos ataques de privacidad empiezan así: primero parecen demasiado finos, demasiado académicos, demasiado dependientes del laboratorio. Luego alguien los simplifica, los combina con publicidad, analítica, huellas del navegador, direcciones IP, cuentas abiertas y horarios de uso. La tecnología rara vez llega sola al abuso; llega en pandilla.

La reacción de los navegadores abre otra discusión

Los investigadores comunicaron sus hallazgos a Google, Apple y Mozilla. Chromium respondió que no considera los ataques de fingerprinting como vulnerabilidades de seguridad; Apple situó el ataque, al menos por ahora, fuera de alcance, aunque podría estudiar mitigaciones; Mozilla reconoció los hallazgos, sin aplicar medidas todavía. La fotografía es conocida: los investigadores señalan una fuga potencial, los navegadores calibran coste, impacto y compatibilidad, y el usuario queda en medio, con su portátil caliente y su fe menguante.

La posición de los navegadores tiene una explicación técnica, aunque no siempre tranquilizadora. OPFS existe porque muchas aplicaciones web necesitan rendimiento local. Cortarlo sin matices puede romper herramientas legítimas. Pedir permiso para todo puede cansar al usuario hasta convertir cada aviso en una mosca en la pantalla. Limitar mucho el tamaño de los archivos puede proteger, pero también puede fastidiar aplicaciones que trabajan con vídeo, mapas, bases de datos locales o proyectos pesados.

El trabajo plantea mitigaciones posibles: restringir el tamaño máximo de los archivos OPFS sin permiso persistente, notificar al usuario cuando una web guarda grandes cantidades de datos, limitar temporizadores de alta resolución cuando se usa OPFS o exigir permiso explícito para habilitar ciertas operaciones. Ninguna solución es gratis. La seguridad informática rara vez lo es. Siempre se paga en comodidad, rendimiento, compatibilidad o paciencia.

La decisión de si esto debe considerarse “vulnerabilidad” o “riesgo de privacidad” tampoco es una discusión semántica menor. Si entra en la primera categoría, suele haber más presión para corregir. Si queda en la segunda, puede acabar en esa estantería triste de los problemas conocidos, documentados, comentados en conferencias y aceptados como parte del precio de navegar por internet. Ya saben: innovación por delante, consentimiento detrás, recogiendo los platos.

Qué puede hacer un usuario sin volverse paranoico

El usuario corriente no puede parchear OPFS desde casa, ni rediseñar el modelo de permisos de Chrome, Safari o Firefox entre café y café. Pero sí puede reducir exposición. Lo más obvio sigue siendo lo más aburrido: mantener el navegador actualizado, evitar webs sospechosas, no abrir enlaces raros, usar bloqueadores de contenido fiables y revisar de vez en cuando qué sitios almacenan datos en el equipo. Lo aburrido, por desgracia, funciona más a menudo que lo brillante.

Borrar los datos de un sitio elimina también su almacenamiento OPFS. Esto no desactiva por arte de magia un ataque mientras la página está abierta, pero sí corta la persistencia de archivos grandes creados por un dominio concreto. En navegadores modernos se puede revisar el almacenamiento por sitio desde la configuración de privacidad o datos del sitio. No hace falta hacerlo cada media hora como quien mira debajo de la cama; basta con saber que existe.

También conviene vigilar una señal muy terrenal: la desaparición repentina de espacio libre. Si un portátil pierde decenas de gigas sin explicación, no siempre será FROST; casi nunca lo será, de hecho. Puede ser una actualización, una caché, una copia de seguridad, un editor de vídeo, una nube duplicando archivos, la vida. Pero una web que reserva una cantidad enorme de almacenamiento local debería levantar una ceja. Aunque sea solo una.

Separar perfiles de navegador para actividades sensibles puede ayudar contra algunos rastreos cotidianos, aunque FROST recuerda que la separación no es una muralla perfecta cuando el recurso compartido es el mismo SSD. Usar un navegador para banca y otro para navegar por páginas desconocidas reduce superficie en ciertos escenarios, pero no convierte el disco en dos discos. Aquí no hay amuletos. Hay capas.

Los entornos más sensibles —periodistas de investigación, abogados, activistas, empresas con información estratégica— deberían tomarse esta clase de técnicas con más seriedad que el usuario doméstico medio. No porque FROST sea el arma definitiva, sino porque revela una tendencia: el navegador puede filtrar señales por lugares inesperados. Para esos perfiles, aislar tareas en máquinas distintas, usar sistemas endurecidos, limitar JavaScript en sitios no confiables y controlar almacenamiento local no es manía; es higiene digital.

El SSD también habla, aunque no queramos escucharlo

La noticia de FROST no significa que internet acabe de descubrir un superpoder infalible para espiar a cualquiera. Significa algo más incómodo, más adulto: cuanto más potente se vuelve el navegador, más difícil resulta mantener una frontera nítida entre lo que una web puede hacer y lo que debería poder hacer. El SSD era, para la mayoría, una pieza muda: rápido, silencioso, enterrado bajo el teclado. Ahora sabemos que incluso su silencio puede tener ritmo.

La lección no es apagar el ordenador y volver al fax, esa distopía con olor a oficina cerrada. La lección es exigir navegadores más transparentes con el almacenamiento local, límites más sensatos para APIs potentes y una cultura de seguridad que no trate el fingerprinting como una molestia menor. Porque las webs ya no solo miran cookies, cabeceras y pantallas. Algunas, si se les deja, aprenderán a mirar el temblor del suelo.

FROST no abre una puerta principal. Abre una rendija. Y en privacidad digital, las rendijas tienen mala costumbre: primero entra un hilo de aire, luego polvo, luego alguien pregunta por qué hacía frío en casa.