El Origin Private File System (OPFS) es una de esas funciones del navegador que pasan desapercibidas. Se diseñó para que aplicaciones web complejas, como VS Code for Web, Google Docs offline o editores de video en el navegador, pudieran almacenar archivos localmente sin pedir permisos al usuario cada dos segundos. Todo dentro de un sandbox, aislado del sistema. Parecía una buena idea.
Hasta que un equipo de investigadores de la Universidad Tecnológica de Graz demostró que el OPFS también puede usarse para espiar. Y lo llamaron FROST.
Qué es FROST y cómo funciona
FROST (Fingerprinting Remotely using OPFS-based SSD Timing) es una técnica que permite a un sitio web malicioso medir la actividad de tu disco duro SSD usando solo JavaScript, sin malware, sin extensiones, sin permisos especiales. Solo necesitas visitar la página.
El ataque funciona así: el sitio crea un archivo enorme (de 1 GB o más) dentro del OPFS y empieza a leerlo repetidamente. Como el archivo es demasiado grande para la memoria caché, cada lectura fuerza una operación real en el SSD.
Mientras tanto, si tienes otras pestañas abiertas, incluso en otro navegador, o aplicaciones ejecutándose, todas compiten por el mismo SSD. Esa competencia genera microfluctuaciones en los tiempos de lectura que el JavaScript puede medir.
Esas fluctuaciones pasan por una red neuronal convolucional que aprende a reconocer el “ritmo” de cada sitio web o aplicación. El resultado: con un 95.83% de precisión, el ataque puede identificar qué aplicación tienes abierta.
Con un 88.95% puede saber qué sitio web estás visitando en otra pestaña de Safari desde una pestaña maliciosa en Chrome.
Google dice que no es su problema
Lo más inquietante no es la técnica en sí, sino la reacción de quienes podrían parcharla. Los investigadores reportaron responsablemente el hallazgo a Google, Apple y Mozilla antes de publicarlo.
El equipo de Chromium respondió que no considera el fingerprinting como una vulnerabilidad de seguridad. Apple lo calificó como “fuera de scope”, aunque dejó abierta la posibilidad de mitigaciones futuras. Mozilla reconoció el hallazgo pero no implementó ninguna corrección.
Traducción: los tres navegadores más usados del mundo saben que existe este vector de espionaje y ninguno tiene un parche en camino.
Lo que esto significa para el usuario
FROST no es un exploit clásico. No rompe el sandbox, no accede a tus archivos, no instala nada. Pero tampoco necesita hacerlo: el simple hecho de medir la contención del SSD le basta para construir un perfil detallado de tu actividad digital. Qué apps usas, a qué horas, qué sitios visitas. Sin que hagas nada más que abrir una página.
Las mitigaciones existen: limitar el tamaño máximo de los archivos OPFS, restringir los temporizadores de alta precisión cuando OPFS está activo, o simplemente pedir permiso al usuario antes de crear archivos grandes.
Pero mientras los fabricantes de navegadores no actúen, cualquiera con una página web y conocimientos de JavaScript podría implementar FROST.
Por ahora no hay indicios de ataques en la naturaleza. Pero la lección ya está clara: una función diseñada para hacer la web más capaz se ha convertido en una puerta trasera para el espionaje, y a los responsables no parece importarles.
Qué puedes hacer hoy
Cerrar las pestañas que no uses. Revisar el almacenamiento de los sitios en la configuración de tu navegador. Y mantener un ojo en cuánto espacio están ocupando las páginas que visitas. Hasta que Chrome, Safari y Firefox decidan mover ficha, esa es la única defensa.