Un grupo de investigadores de la Universidad Tecnológica de Graz ha desarrollado un nuevo método de espionaje en Internet llamado SnailLoad, que puede determinar con un 98% de precisión el vídeo que está viendo un usuario y con un 63% las webs que visita.
Titulado “SnailLoad: Exploiting Remote Network Latency Measurements without JavaScript”, el paper es obra de Stefan Gast, Roland Czerny, Jonas Juffinger, Fabian Rauscher, Simone Franza y Daniel Gruss, quienes explican cómo esta técnica no requiere la instalación de malware ni la observación del tráfico de red mediante un ataque de tipo “person-in the-middle”. Es más, ni siquiera es necesario que el atacante esté físicamente cerca para monitorizar los paquetes Wi-Fi.
SnailLoad aprovecha las “sutiles variaciones en los tiempos de ida y vuelta de los paquetes de red”, que llevan una señal de canal lateral influida por la actividad de la víctima. Al hacer que el usuario descargue un pequeño archivo, el atacante puede medir la latencia y los cambios en la velocidad de la conexión a Internet para deducir la actividad del usuario. El nombre de este nuevo tipo de ataque se debe a la lenta velocidad de la descarga, comparada con la de un caracol. “Aparte de ser lento”, explican los investigadores, “SnailLoad, al igual que un caracol, deja rastros y es un poco espeluznante”.
El ataque es totalmente pasivo y remoto, y es capaz de determinar con precisión qué vídeo está viendo un usuario o en qué actividad de la web está inmerso. Por si fuera poco, la única forma de mitigarlo es degradando la conexión a Internet, algo que la mayoría de los usuarios no estarían dispuestos a hacer. Los investigadores advierten que “la causa raíz no puede eliminarse y es necesario seguir investigando para encontrar soluciones satisfactorias”.
Aunque esta amenaza se basa únicamente en investigaciones de laboratorio y es poco probable que se explote en el mundo real, de momento, este nuevo método “demuestra la amplia gama de posibles vectores de ataque” que podrían “estresar significativamente al personal de seguridad”, según Boris Cipot, ingeniero de seguridad en el Grupo de Integridad de Software de Synopsys, quien también advirtió que “es posible que ya se estén utilizando vectores de ataque similares sin que lo sepamos”.
