Un equipo de investigadores de la Universidad Tecnológica de Graz, conocido por desarrollar ataques como MDS, NetSpectre, Throwhammer y ZombieLoad, ha presentado un nuevo método de espionaje digital llamado SnailLoad. Este ataque de canal lateral es capaz de determinar si un usuario ha visitado sitios web específicos o si ha visto determinados videos en YouTube, sin necesidad de interceptar directamente su tráfico.
Se menciona que el motivo de llamar a este nuevo ataque «SnailLoad» es por la referencia tanto al modo en que el ataque se ejecuta como a su efecto. El servidor atacante envía archivos de manera extremadamente lenta, casi como a “paso de caracol”. Este comportamiento permite al atacante medir cuidadosamente los retrasos en la conexión. Además, al igual que un caracol deja rastro, este ataque deja una huella digital que revela las actividades en línea del usuario.
Cómo funciona SnailLoad
La clave de este ataque radica en explotar un cuello de botella presente en todas las conexiones a Internet, concretamente en la conocida “last mile”, es decir, el tramo entre el proveedor de servicios y el usuario. Al saturar este enlace, SnailLoad aprovecha los cambios en la latencia de los paquetes de red para inferir qué actividad está realizando la víctima.
A diferencia de otros métodos de rastreo que dependen de ataques MITM o de un análisis de tráfico más sofisticado, SnailLoad no requiere interceptar las comunicaciones del usuario. Basta con que la víctima acceda a una página controlada por el atacante. Desde allí, el servidor comienza a enviar archivos o imágenes pesadas a una velocidad extremadamente lenta. Durante ese tiempo, los cambios en los retrasos de los paquetes permiten al atacante deducir si la víctima está visitando sitios web o reproduciendo contenido en plataformas como YouTube.
Lo más preocupante es que ni siquiera es necesario ejecutar código JavaScript en el navegador de la víctima: el flujo de tráfico continuo es suficiente para generar el análisis.
Precisión del ataque y factores determinantes
La efectividad de SnailLoad depende directamente del tipo de conexión a Internet. En pruebas realizadas con tecnologías como ADSL, FTTH, FTTB y LTE, la precisión varió notablemente. Para identificar uno de los diez videos más populares de YouTube, la tasa de éxito osciló entre un 37 % y un 98 %, dependiendo de la conexión.
Del mismo modo, en los experimentos dirigidos a detectar la apertura de sitios web populares, el nivel de precisión alcanzó un máximo del 62,8 %. Las conexiones FTTH resultaron ser las más vulnerables, mientras que FTTB ofreció mayor resistencia. Sin embargo, cualquier tipo de conexión doméstica puede verse afectada.
Otro factor que influye es la cantidad de tráfico externo en la red del usuario: cuanto más tráfico heterogéneo exista, más difícil resulta identificar patrones precisos.
¿Deberíamos preocuparnos por SnailLoad?
Aunque el ataque es técnicamente viable y afecta a la mayoría de las conexiones de Internet, los investigadores creen que es poco probable que se explote activamente en la actualidad. La razón principal es que, si bien SnailLoad aprovecha los cuellos de botella de ancho de banda cerca del dispositivo del usuario, requiere condiciones controladas y un conocimiento técnico considerable por parte del atacante.
Por ejemplo, que tu router no responda a los pings no significa que estés protegido, ya que los ACK de TCP (confirmaciones de recepción de paquetes) contienen la misma información que permite al atacante realizar su análisis.
Dificultades para mitigar este ataque
Eliminar la vulnerabilidad de raíz no es sencillo. El problema principal surge de la diferencia de ancho de banda entre la red troncal del proveedor y las conexiones individuales de los usuarios. Mientras esta desigualdad exista, el ataque seguirá siendo posible.
Algunas posibles medidas de mitigación incluyen añadir tráfico aleatorio en segundo plano, ejecutar aplicaciones que generen tráfico heterogéneo o introducir ruido en la conexión. Sin embargo, estas soluciones son limitadas y no resuelven por completo el problema.
Finalmente, cabe mencionar que SnailLoad es un ejemplo más de cómo la privacidad en Internet sigue enfrentando riesgos inesperados. Aunque su explotación práctica aún no se ha generalizado, su existencia demuestra que incluso los mecanismos más básicos de la infraestructura de red pueden usarse con fines de vigilancia.
El código del lado del servidor que permite ejecutar SnailLoad ya está disponible públicamente en GitHub bajo licencia MIT, lo que significa que cualquiera con conocimientos técnicos puede estudiarlo o incluso reproducirlo.
Interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.
Continúar leyendo...