Tu disco duro delata qué webs visitas: así funciona FROST

Un ataque llamado FROST permite a cualquier sitio web espiar tus pestañas abiertas y aplicaciones activas midiendo los tiempos de acceso a tu SSD. No necesitas hacer clic ni instalar nada: basta con que la página se cargue en tu navegador.

Por qué importa

Hasta ahora, los navegadores protegían tu historial con sandboxing y políticas de mismo origen. FROST rompe esa barrera usando un canal lateral basado en el rendimiento del almacenamiento. El ataque funciona en Chrome, Edge y Brave, y los investigadores lo demostraron en sistemas Windows, Linux y macOS. La privacidad que dabas por sentada en tu escritorio acaba de perder una capa.

Para el usuario medio, esto significa que un anuncio malicioso o un sitio comprometido podría saber si tienes abierta tu banca online, tu correo del trabajo o una pestaña de streaming. No se trata de robar contraseñas, sino de perfilar tu actividad en tiempo real.

Qué dice el contexto

• FROST son las siglas de “Fingerprinting Remotely Using OPFS-based SSD Timing”. Aprovecha la API OPFS (Origin Private File System) que los navegadores usan para almacenar datos locales.
• El ataque mide el tiempo que tarda el SSD en leer o escribir pequeños fragmentos de datos. Como cada aplicación genera patrones únicos de acceso, el sitio puede deducir qué programas o pestañas están abiertos.
• Los investigadores probaron el ataque con éxito en 18 sitios populares (Gmail, YouTube, Reddit, etc.) y lograron identificarlos con más del 90% de precisión.
• No hay parche disponible aún. Los navegadores están evaluando mitigaciones, como limitar la resolución de los temporizadores o deshabilitar OPFS en contextos de terceros.
• El SSD no se desgasta ni se daña: el ataque solo mide tiempos, no escribe datos masivos.

Lo que puedes hacer

1. Usa un navegador con protección antihuellas, como Firefox con ResistFingerprinting activado o Brave con bloqueo estricto de huellas. Reduce la precisión de los temporizadores que FROST necesita.