Una nueva falla de seguridad permite espiar a los usuarios de Internet que visitan sitios web y ven videos

Los usuarios de Internet dejan muchas huellas en los sitios web y servicios en línea. Para garantizar un cierto nivel de protección de datos, se han adoptado medidas como cortafuegos, conexiones VPN y modos de privacidad del navegador. Sin embargo, un fallo de seguridad descubierto recientemente permite eludir todas estas medidas de protección.

Los informáticos del Instituto de Tecnología Aplicada de Procesamiento de Información y Comunicación (IAIK) de la Universidad Tecnológica de Graz (TU Graz) han podido rastrear detalladamente las actividades en línea de los usuarios simplemente monitoreando las fluctuaciones en la velocidad de su conexión a Internet. Para explotar esta vulnerabilidad, conocida como «SnailLoad», no es necesario ningún código malicioso ni interceptar el tráfico de datos. Se ven afectados todos los tipos de dispositivos finales y conexiones a Internet.

Los investigadores han publicado su trabajo en un papel titulado «SnailLoad: Explotación de mediciones de latencia de red remota sin JavaScript».

Los atacantes rastrean las fluctuaciones de latencia en la conexión a Internet a través de la transferencia de archivos

Los atacantes solo necesitan haber tenido contacto directo con la víctima en una única ocasión previa. En esa ocasión, la víctima descarga un archivo pequeño y básicamente inofensivo del servidor del atacante sin darse cuenta, por ejemplo, mientras visita un sitio web o ve un video publicitario.

Como este archivo no contiene ningún código malicioso, el software de seguridad no puede reconocerlo. La transferencia de este archivo es extremadamente lenta, lo que proporciona al atacante información continua sobre la variación de latencia de la conexión a Internet de la víctima. En pasos posteriores, esta información se utiliza para reconstruir la actividad en línea de la víctima.

‘SnailLoad’ combina datos de latencia con la toma de huellas digitales del contenido en línea

«Cuando la víctima accede a una página web, ve un vídeo online o habla con alguien a través de un vídeo, la latencia de la conexión a Internet fluctúa según un patrón determinado que depende del contenido concreto que se esté utilizando», explica Stefan Gast, del IAIK. Esto se debe a que todo el contenido online tiene una huella digital única: para una transmisión eficiente, el contenido online se divide en pequeños paquetes de datos que se envían uno tras otro desde el servidor host al usuario. El patrón de la cantidad y el tamaño de estos paquetes de datos es único para cada contenido online, como una huella digital humana.

Los investigadores recopilaron previamente las huellas dactilares de un número limitado de vídeos de YouTube y sitios web populares para realizar pruebas. Cuando los sujetos de prueba utilizaron estos vídeos y sitios web, los investigadores pudieron reconocerlos mediante las correspondientes fluctuaciones de latencia.

«Sin embargo, el ataque también funcionaría al revés», explica Daniel Gruss, del IAIK. «Los atacantes primero miden el patrón de fluctuaciones de latencia cuando una víctima está en línea y luego buscan contenido en línea con la huella digital correspondiente».

Las conexiones lentas a Internet facilitan el trabajo de los atacantes

Al espiar a sujetos de prueba que estaban viendo vídeos, los investigadores lograron una tasa de éxito de hasta el 98%.

«Cuanto mayor es el volumen de datos de los vídeos y más lenta la conexión a Internet de las víctimas, mayor es la tasa de éxito», afirma Gruss. En consecuencia, la tasa de éxito en el espionaje de sitios web básicos se redujo a alrededor del 63%.

«Sin embargo, si los atacantes alimentan sus modelos de aprendizaje automático con más datos de los que incluimos en nuestra prueba, estos valores seguramente aumentarán», afirma Gruss.

Una laguna prácticamente imposible de cerrar

«Cerrar esta brecha de seguridad es difícil. La única opción sería que los proveedores ralentizaran artificialmente las conexiones a Internet de sus clientes siguiendo un patrón aleatorio», afirma Gruss. Sin embargo, esto provocaría retrasos notables en aplicaciones en las que el tiempo es un factor crítico, como las videoconferencias, las transmisiones en vivo o los juegos de computadora en línea.

El equipo dirigido por Gast y Gruss ha creado un Sitio web que describe SnailLoad En detalle. Presentarán el trabajo científico sobre el agujero en las conferencias. Sombrero negro de EE. UU. 2024 y Simposio de seguridad de USENIX.