Vesper
ENESFRTR
Gráficos
Artículos:DeportesSaludHistoriaTecnología
Markets
EUR/USD1.1631 0.05%GBP/USD1.3431 0.03%USD/JPY159.47 0.03%USD/CHF0.7870 0.06%AUD/USD0.7139 0.12%USD/CAD1.3831 0.02%USD/CNY6.7939 0.17%USD/INR95.81 0.12%USD/BRL5.0477 0.04%USD/ZAR16.36 0.03%USD/TRY45.90 0.02%Gold$4,391.00BTC$73,260 3.20%ETH$1,986 4.44%SOL$80.89 3.34%
Tecnología

Los sitios web tienen una nueva manera de espiar a sus visitantes: analizar la actividad de sus SSD

Ars Technicahace 2 h
ShareXWhatsAppTelegramLinkedIn
Una sala de servidores de centro de datos con equipos iluminados
Photo: Brett Sayles / Pexels

Investigadores académicos han revelado que los sitios web han encontrado una nueva forma de rastrear a los visitantes: observar la actividad del disco SSD (solid-state drive) del visitante a través del navegador. Según Ars Technica, esta técnica de ataque puede perfilar el dispositivo del visitante de una manera que difiere de la mayoría de las protecciones actuales del navegador; esto crea una nueva preocupación para la privacidad en la web.

En el núcleo de la técnica de ataque están las diferencias de tiempo en las consultas que el navegador realiza de forma indirecta al sistema operativo mediante JavaScript y otras API web. El sitio web inicia operaciones controladas de lectura/escritura de archivos y mide los tiempos de respuesta. Las diferencias en la estructura de caché interna de los SSD y el comportamiento del controlador del disco permiten extraer inferencias a partir de estas mediciones.

El equipo de investigación documentó que diversos modelos de SSD (Samsung, Crucial, Western Digital, Kingston) muestran comportamientos de 'firma' distintos. Esta firma permitió que los datos generados durante una sesión de navegador se utilizaran para clasificar con alta precisión el modelo de SSD del dispositivo. Puede catalogarse como una técnica clásica de 'fingerprinting', pero es una variante adaptada a la capa del SSD.

Desde el punto de vista del impacto en la privacidad, esta técnica supera medidas existentes del navegador, como el borrado de cookies o el modo de incógnito. Incluso después de que un usuario haya borrado las cookies de su navegador, dado que la firma del SSD permanece estable, puede establecerse un vínculo entre las visitas posteriores. No está claro todavía cómo responderán las leyes vigentes de privacidad, como el RGPD de la Unión Europea y la CCPA de California, a este tipo de técnica de rastreo.

Las pruebas señaladas en el informe de investigación muestran que la técnica puede funcionar con alta precisión en condiciones de laboratorio. Sin embargo, existen varias limitaciones en los escenarios reales de ataque: si el SSD del visitante está bajo uso intensivo, la sensibilidad de las mediciones disminuye; el comportamiento del controlador del SSD en dispositivos móviles difiere de las versiones de escritorio; y los métodos de inyección de ruido temporal (timing-noise injection) aplicados por el navegador pueden reducir la tasa de éxito del ataque.

Esta investigación forma parte de una literatura más amplia sobre 'ataques de canal lateral' (side-channel attacks). En 2018, los ataques Spectre y Meltdown utilizaban las funcionalidades de ejecución especulativa de las arquitecturas de CPU modernas para filtrar datos. El nuevo ataque basado en SSD sigue una lógica similar pero se centra en una capa de hardware distinta. La proliferación de ataques de canal lateral plantea una difícil cuestión política para los fabricantes de hardware y los desarrolladores de navegadores.

Los principales navegadores como Mozilla Firefox, Google Chrome, Apple Safari y Microsoft Edge actualizan continuamente sus protecciones de privacidad. Se espera una respuesta de los desarrolladores de navegadores tras el descubrimiento de la actual técnica de ataque SSD; sin embargo, la protección contra ataques de canal lateral puede exigir sacrificar el rendimiento del hardware. Este compromiso se describe como una decisión política importante para las empresas de navegadores.

Para la industria de la publicidad y la recopilación de datos, nuevas técnicas como el ataque SSD ponen a prueba los límites legales y técnicos de los modelos de negocio existentes. La política App Tracking Transparency implementada por Apple en iOS en 2021 y la estrategia de eliminación progresiva de cookies de Google en Chrome (Privacy Sandbox) reflejan que el sector está bajo una creciente presión de vigilancia. El ataque SSD es una nueva prueba técnica que refuerza esa presión.

Para los usuarios, las medidas de protección directas son limitadas. Los enfoques sugeridos incluyen el uso de una VPN, añadir ruido temporal mediante extensiones del navegador y utilizar herramientas de investigación especializadas. Sin embargo, estas medidas no son accesibles para usuarios comunes; la renovación de las leyes de privacidad y el fortalecimiento de las protecciones predeterminadas del navegador siguen siendo la principal fuente de protección para los individuos.

Desde el punto de vista regulatorio, las Autoridades de Protección de Datos (DPA) de la UE habían comenzado a evaluar técnicas similares de fingerprinting de dispositivos en el marco de la directiva ePrivacy. La clasificación legal del ataque SSD puede requerir que, bajo la legislación actual de privacidad, se trate como 'una técnica de rastreo que requiere el consentimiento explícito del usuario'. Esto afectará a los costes operativos de cumplimiento de los sitios web.

Este artículo no constituye un consejo para prácticas de ciberseguridad; los detalles técnicos se basan en los reportajes de Ars Technica y en los documentos publicados por investigadores académicos. Para los usuarios preocupados por la privacidad, las decisiones sobre protección de datos personales deben tomarse en consulta con especialistas en ciberseguridad o en privacidad.

Este artículo es un resumen editorial asistido por IA basado en Ars Technica. La imagen es una foto de archivo de Brett Sayles en Pexels.