{"id":29322,"date":"2026-07-01T08:43:56","date_gmt":"2026-07-01T14:43:56","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=29322"},"modified":"2026-07-01T10:20:31","modified_gmt":"2026-07-01T16:20:31","slug":"frost-fingerprinting-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/frost-fingerprinting-attack\/29322\/","title":{"rendered":"El ataque FROST: c\u00f3mo el SSD y sus demoras de acceso revelan lo que hace el usuario"},"content":{"rendered":"<p>Hace poco, cient\u00edficos de la Universidad T\u00e9cnica de Graz (Austria) publicaron <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf\" target=\"_blank\" rel=\"noopener nofollow\">un documento<\/a> en el que detallan un nuevo m\u00e9todo para detectar la actividad de los usuarios a trav\u00e9s de un navegador web. Lo fascinante de esta nueva t\u00e9cnica, a la que han llamado FROST, es que el espionaje se realiza utilizando la unidad de estado s\u00f3lido (SSD) de la computadora. El ataque, sin entrar en minucias t\u00e9cnicas, funciona as\u00ed: un hacker atrae a una v\u00edctima a un sitio web especial; mientras el sitio est\u00e9 abierto, el atacante puede determinar exactamente qu\u00e9 aplicaciones est\u00e1 iniciando el usuario y qu\u00e9 otras p\u00e1ginas web est\u00e1 visitando.<\/p>\n<p>\u00bfC\u00f3mo puede ser esto? La primera reacci\u00f3n, por supuesto, es echarle la culpa al navegador. Pero la cuesti\u00f3n es que, en los navegadores modernos, cada sitio web se ejecuta en un entorno aislado; as\u00ed, en general, un sitio abierto en una pesta\u00f1a es incapaz de tocar el que se ha abierto en otra, y mucho menos el hardware de la computadora. De tanto en tanto, es cierto, los hackers encuentran alg\u00fan hueco en estas defensas, pero ese no es el caso esta vez. El ataque FROST no necesita hacerle nada al navegador: funciona incluso si est\u00e1n activas todas las medidas de seguridad est\u00e1ndar. FROST explota una funci\u00f3n del navegador completamente inocente, llamada OPFS (siglas en ingl\u00e9s de \u201csistema de archivos de origen privado\u201d). A trav\u00e9s de esta funci\u00f3n, los sitios web obtienen un espacio virtual propio para almacenar informaci\u00f3n. El espacio est\u00e1 aislado de manera digital, pero los datos se escriben f\u00edsicamente en el mismo SSD que usa cualquier otra aplicaci\u00f3n o sitio web que se abra en la computadora. Los investigadores descubrieron que si una p\u00e1gina maliciosa bombardea el SSD con solicitudes de datos, los retrasos microsc\u00f3picos que se generan al acceder a los datos pueden ayudar a determinar qu\u00e9 m\u00e1s se est\u00e1 ejecutando en el equipo. Ya veremos en detalle c\u00f3mo se logra esto, pero, primero, demos un vistazo a la teor\u00eda del ataque.<\/p>\n<h2>Una breve introducci\u00f3n a los ataques de canal lateral<\/h2>\n<p>El t\u00e9rmino \u201ccanal lateral\u201d se refiere a un m\u00e9todo usado para espiar una computadora, o incluso un solo microchip, de manera indirecta. En lugar de interceptar informaci\u00f3n en s\u00ed, un atacante puede, por ejemplo, analizar fluctuaciones en el consumo de energ\u00eda, observar la radiaci\u00f3n electromagn\u00e9tica o monitorear la temperatura de componentes puntuales. En teor\u00eda, esto permite, por ejemplo, usar el mouse de una computadora para <a href=\"https:\/\/www.kaspersky.com\/blog\/mic-e-mouse-attack\/54659\/\" target=\"_blank\" rel=\"noopener nofollow\">escuchar en secreto una conversaci\u00f3n<\/a> que ocurra en una habitaci\u00f3n, ya que el sensor \u00f3ptico del mouse puede captar las vibraciones del sonido. Del mismo modo, un hacker podr\u00eda <a href=\"https:\/\/latam.kaspersky.com\/blog\/hertzbleed-attack\/25052\/\" target=\"_blank\" rel=\"noopener\">robar una clave de cifrado<\/a> al observar c\u00f3mo fluct\u00faa la velocidad del reloj de un procesador. Incluso algo tan simple como el LED de un lector de tarjetas puede filtrar <a href=\"https:\/\/www.kaspersky.com\/blog\/led-data-exfiltration\/48523\/\" target=\"_blank\" rel=\"noopener nofollow\">informaci\u00f3n suficiente<\/a> sobre el funcionamiento interno del lector para que un atacante clone una tarjeta inteligente.<\/p>\n<p>Lo \u201cmaravilloso\u201d (para el hacker) de estas fugas de datos indirectas es que no son f\u00e1ciles de detectar. Los fabricantes de dispositivos rara vez las tienen en cuenta cuando crean un sistema de seguridad. Pero estos m\u00e9todos tienen, claro, una desventaja obvia: por lo general, extraer informaci\u00f3n usando un mecanismo que no se dise\u00f1\u00f3 para transmitir datos es complejo, lento y trabajoso. Los investigadores austriacos se centraron en un subtipo de ataque espec\u00edfico llamado \u201cataque de canal lateral por contienda\u201d. En este tipo de ataque, lo que permite la fuga es que varios procesos que compiten por el mismo recurso. Aqu\u00ed, el recurso en contienda es el ancho de banda de la unidad de almacenamiento.<\/p>\n<h2>El ataque FROST por dentro<\/h2>\n<p>En realidad, el estudio de FROST no es el primero sobre este canal lateral. Existe, por ejemplo, <a href=\"https:\/\/arxiv.org\/pdf\/2411.10883\" target=\"_blank\" rel=\"noopener nofollow\">una investigaci\u00f3n<\/a> de 2025 sobre mismo el tema. Pero en el estudio m\u00e1s antiguo, el despliegue fue bastante sencillo: en una computadora, los investigadores ejecutaron un programa que actuaba como fuente de datos mientras un segundo programa, abierto en la misma m\u00e1quina, trataba de interceptar esos datos. Esto es razonable para un estudio acad\u00e9mico te\u00f3rico, pero el modelo de ataque no fue precisamente innovador. Despu\u00e9s de todo, si el hacker puede ejecutar cualquier programa, no necesita recurrir a canales laterales complejos: tiene muchas formas directas de robar informaci\u00f3n.<\/p>\n<p>Aun con esto, el estudio de 2025 no fue una p\u00e9rdida de tiempo. Demostr\u00f3 que la resoluci\u00f3n que se obtiene al monitorear un SSD es bastante alta, que la fuga de datos existe y que la informaci\u00f3n captada puede ser \u00fatil. El ataque FROST es, b\u00e1sicamente, un desarrollo l\u00f3gico de la misma idea.<\/p>\n<p>El ataque funciona as\u00ed. Supongamos que hay un archivo bastante grande en un SSD lleno de datos aleatorios. Un proceso espec\u00edfico lee esos datos a intervalos regulares y mide qu\u00e9 tan r\u00e1pido obtiene una respuesta. La velocidad var\u00eda seg\u00fan lo ocupado que est\u00e9 el disco en otras tareas. Las demoras en el tiempo de acceso revelan la actividad de la unidad. Los investigadores austriacos demostraron que, al graficar esas demoras, pod\u00edan identificar \u2014con razonable precisi\u00f3n\u2014 qu\u00e9 otra tarea se estaba ejecutando simult\u00e1neamente en el equipo.<\/p>\n<div id=\"attachment_29328\" style=\"width: 1471px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101719\/frost-fingerprinting-attack-delays.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-29328\" class=\"wp-image-29328 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101719\/frost-fingerprinting-attack-delays.jpg\" alt=\"Gr\u00e1ficos de demora\" width=\"1461\" height=\"831\"><\/a><p id=\"caption-attachment-29328\" class=\"wp-caption-text\">Patrones de latencia distintivos generados al abrir sitios web puntuales <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fuente <\/a><\/p><\/div>\n<p>Los investigadores crearon gr\u00e1ficos de latencia, como los que se ven arriba, para una amplia variedad de sitios web y aplicaciones locales. Lo que descubrieron fueron patrones distintivos, o huellas digitales, que se generan cada vez que se cargan un sitio web o una aplicaci\u00f3n puntuales. Para captar estas ventanas de carga, que duran una fracci\u00f3n de segundo, el SSD se debe monitorear continuamente durante un largo tiempo. Pero sorteado este aspecto, los patrones resultaron ser notablemente similares en sistemas diferentes: los autores tuvieron \u00e9xito con su m\u00e9todo tanto en un escritorio Linux como en una Mac Mini de Apple. En este punto, los pasos siguientes son bastante obvios: tome un cat\u00e1logo de huellas digitales conocidas, mida las demoras de los SSD en el mundo real, haga coincidir huella con medici\u00f3n\u2026 y sabr\u00e1 exactamente qu\u00e9 sitios est\u00e1 visitando y qu\u00e9 aplicaciones est\u00e1 abriendo el usuario. Pero \u00bfc\u00f3mo se realiza esta vigilancia en secreto, sin instalar malware en el equipo de la v\u00edctima?<\/p>\n<p>Ah\u00ed es donde entra en juego una caracter\u00edstica relativamente nueva de los navegadores: el sistema de archivos de origen privado (OPFS). Un atacante hipot\u00e9tico no necesita enga\u00f1ar al usuario para que descargue un troyano sospechoso. El atacante solo necesita convencer a la v\u00edctima de que visite una p\u00e1gina web dise\u00f1ada especialmente, la cual usar\u00e1 la funci\u00f3n OPFS para vigilar en secreto la actividad del SSD. El nombre del ataque, FROST, es un ingenioso juego de palabras en ingl\u00e9s que hace referencia a los componentes del ataque. Aqu\u00ed est\u00e1 el desglose, de principio a fin, de c\u00f3mo se desarrolla el ataque:<\/p>\n<div id=\"attachment_29330\" style=\"width: 1534px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101808\/frost-fingerprinting-attack-scheme.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-29330\" class=\"wp-image-29330 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101808\/frost-fingerprinting-attack-scheme.jpg\" alt=\"El modus operandi de FROST\" width=\"1524\" height=\"817\"><\/a><p id=\"caption-attachment-29330\" class=\"wp-caption-text\">C\u00f3mo puede usarse el m\u00e9todo FROST para espiar lo que ocurre en una computadora <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fuente <\/a><\/p><\/div>\n<h2>Limitaciones del m\u00e9todo<\/h2>\n<p>Como cualquier ataque de canal lateral, FROST no est\u00e1 pensado para ser un m\u00e9todo veloz. Es un proceso lento y met\u00f3dico. Para medir cu\u00e1n lento, los investigadores dise\u00f1aron un banco de pruebas espec\u00edfico.<\/p>\n<div id=\"attachment_29331\" style=\"width: 1679px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101902\/frost-fingerprinting-attack-test.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-29331\" class=\"wp-image-29331 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2026\/07\/01101902\/frost-fingerprinting-attack-test.jpg\" alt=\"La configuraci\u00f3n del banco de pruebas de FROST\" width=\"1669\" height=\"600\"><\/a><p id=\"caption-attachment-29331\" class=\"wp-caption-text\">Configuraci\u00f3n del banco de pruebas para medir la velocidad de extracci\u00f3n de datos a trav\u00e9s de OPFS <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fuente <\/a><\/p><\/div>\n<p>Los investigadores ejecutaron un programa en una computadora para transmitir datos indirectamente. Para hacerse una idea del m\u00e9todo, imagine un esp\u00eda digital que transmite un mensaje en secreto cambiando la forma en que interact\u00faa con el disco duro. As\u00ed, por ejemplo, un 1 en un mensaje de c\u00f3digo binario podr\u00eda significar que el programa est\u00e1 usando el SSD, mientras que un 0 significar\u00eda que no lo est\u00e1 haciendo. Como contraparte de la transmisi\u00f3n, en un navegador web, los investigadores configuraron un receptor que acced\u00eda a la unidad de almacenamiento a trav\u00e9s de OPFS. Debido a que tanto el transmisor como el receptor del navegador compet\u00edan por el ancho de banda del SSD, el navegador sufr\u00eda peque\u00f1as demoras de acceso cada vez que el transmisor enviaba datos.<\/p>\n<p>En un escritorio Linux con procesador AMD, esta extra\u00f1a configuraci\u00f3n logr\u00f3 transmitir datos a 661\u00a0bits por segundo, con casi un 90\u00a0% de precisi\u00f3n. En macOS, instalado en la Mac Mini de Apple, la tasa de transferencia alcanz\u00f3 los 719\u00a0bits por segundo y la precisi\u00f3n roz\u00f3 tambi\u00e9n el 90\u00a0%. Si bien estos n\u00fameros son un poco m\u00e1s bajos que los del estudio de 2025, en el que se usaron aplicaciones instaladas directamente en la computadora, la diferencia no es tan grande.<\/p>\n<p>Dicho todo esto, el ataque FROST es peligroso no tanto porque se lo pueda usar para transmitir datos sin procesar, sino porque permite rastrear lo que hace el usuario. Incluso si un hacker tiene una base de datos de huellas digitales asociadas a aplicaciones y sitios web espec\u00edficos, la informaci\u00f3n que se puede filtrar mediante OPFS con un sitio malicioso es demasiado \u201cruidosa\u201d. Al fin y al cabo, una computadora siempre est\u00e1 leyendo y escribiendo en el SSD en segundo plano. Para quitar el ruido digital, los investigadores recurrieron a una herramienta cada vez m\u00e1s com\u00fan en los ciberataques modernos: una red neuronal. Si se la entrena con las huellas digitales asociadas a un SSD, una IA puede analizar un embrollo de datos y hallar con precisi\u00f3n la actividad del usuario. Al aplicar esta t\u00e9cnica, se obtienen resultados sorprendentes. En la Mac Mini de Apple, la IA pudo determinar qu\u00e9 sitio web hab\u00eda abierto el usuario el 89\u00a0% de las veces y tuvo una precisi\u00f3n del 96\u00a0% para determinar qu\u00e9 aplicaciones locales se hab\u00edan iniciado. Quiz\u00e1s m\u00e1s importante, pudo incluso detectar qu\u00e9 sitios web se hab\u00edan abierto en un navegador completamente diferente al que ten\u00eda cargada la pesta\u00f1a maliciosa. El sue\u00f1o del hacker, \u00bfverdad? Tal vez. Pero, en el mundo real, hay una enorme lista de contras. Todo esto suena como el sue\u00f1o absoluto del hacker, pero, en el mundo real, viene con una enorme lista de contras.<\/p>\n<h2>\u00bfEl ataque FROST es, en verdad, un riesgo?<\/h2>\n<p>El mero hecho de saber qu\u00e9 aplicaciones se abren o qu\u00e9 sitios web se visitan no le da una gran ventaja a un atacante. Este tipo de datos puede ser \u00fatil para un anunciante que busca crear sin permiso el perfil digital de un usuario, pero implementar este m\u00e9todo de seguimiento a gran escala no es realista. El principal obst\u00e1culo es la manera fundamental en la que las computadoras manejan los datos. El sistema vuelca regularmente los datos a los que m\u00e1s se accede a la memoria RAM. Como el ataque FROST se basa en medir el ancho de banda (relativamente lento) del SSD f\u00edsico, los datos almacenados en la RAM son, en efecto, invisibles para FROST. Para sortear este obst\u00e1culo, la p\u00e1gina web malintencionada tendr\u00eda que obligar a la funci\u00f3n OPFS a crear un archivo gigante, de m\u00e1s de un gigabyte. No hace falta decir que un sitio web que acapare tan agresivamente los recursos del disco disparar\u00eda todas las alertas. <a href=\"https:\/\/latam.kaspersky.com\/next?icid=es-la_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___knext____1d42b04bb235d08d\" target=\"_blank\" rel=\"noopener\">Con casi toda seguridad, las soluciones EDR o XDR<\/a> marcar\u00edan la actividad como an\u00f3mala.<\/p>\n<p>En \u00faltima instancia, esto significa que el ataque FROST, como la mayor\u00eda de los m\u00e9todos de espionaje por canales laterales, solo es pr\u00e1ctico para operaciones altamente espec\u00edficas. Pero eso nos lleva directamente al punto inicial: saber qu\u00e9 aplicaciones abre alguien o por qu\u00e9 p\u00e1ginas web navega es una recompensa bastante magra por todo el esfuerzo que requiere un truco tan sofisticado.<\/p>\n<p>Aun con esto, en lo que hace a la practicidad en el mundo real, FROST est\u00e1 a a\u00f1os luz de la mayor\u00eda de los ataques de canal lateral meramente acad\u00e9micos. No requiere de malware preinstalado y la v\u00edctima no tiene que hacer m\u00e1s que abrir una p\u00e1gina maliciosa. Cuando menos, esta investigaci\u00f3n es un claro recordatorio de lo complejas que son las computadoras modernas y de cu\u00e1ntos puntos ciegos inesperados pueden llevar a una filtraci\u00f3n de datos. Al construir sistemas ultraseguros para datos altamente clasificados, es vital considerar las peculiaridades del hardware. Cuando el premio lo vale, un atacante decidido invertir\u00e1 con gusto el tiempo para construir un ataque complejo hiperespec\u00edfico. Investigaciones como esta demuestran que, en el mundo de la ciberseguridad, esa posibilidad es muy real.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Investigadores austriacos hallaron un m\u00e9todo extra\u00f1o con el que los hackers pueden robar informaci\u00f3n confidencial.<\/p>\n","protected":false},"author":665,"featured_media":29323,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[6053,104,1687],"class_list":{"0":"post-29322","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques-de-canal-lateral","11":"tag-hardware","12":"tag-ssd"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/frost-fingerprinting-attack\/29322\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/frost-fingerprinting-attack\/30818\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/frost-fingerprinting-attack\/25859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/frost-fingerprinting-attack\/30661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/frost-fingerprinting-attack\/42049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/frost-fingerprinting-attack\/55970\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/frost-fingerprinting-attack\/25138\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/frost-fingerprinting-attack\/30761\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/frost-fingerprinting-attack\/36329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/frost-fingerprinting-attack\/36219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataques-de-canal-lateral\/","name":"ataques de canal lateral"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29322","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=29322"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29322\/revisions"}],"predecessor-version":[{"id":29332,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29322\/revisions\/29332"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/29323"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=29322"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=29322"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=29322"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}