Un nuevo ataque te rastrea por el navegador incluso con JavaScript deshabilitado

Un nuevo ataque te rastrea por el navegador incluso con JavaScript deshabilitado

Javier Jiménez

A la hora de utilizar el navegador podemos sufrir muchos tipos de ataques que comprometan nuestra seguridad o privacidad. Los piratas informáticos llevan a cabo estrategias muy variadas para lograr su objetivo. Esto hace que debamos estar protegidos y no cometer errores. En este artículo vamos a hablar de un nuevo ataque contra el navegador que permite rastrear a los usuarios incluso con JavaScript deshabilitado.

Atacan el navegador incluso con JavaScript deshabilitado

Un grupo de investigadores de seguridad han encontrado una nueva manera de atacar un navegador al explotar un fallo y poder filtrar información con la que rastrear a los usuarios. Esto podría ocurrir incluso con JavaScript completamente deshabilitado.

Se trata concretamente de un ataque de canal lateral que no requiere de JavaScript para ejecutarse. Esto significa que los bloqueadores de secuencias de comandos no van a poder actuar para detenerlo. Es más complejos de prevenir y por tanto pone en riesgo a los usuarios.

Al evitar JavaScript, los ataques de canal lateral también puede resultar en ataques de rastreo de microarquitectura que funcionan en plataformas de hardware, incluidas las CPU Intel Core, AMD Ryzen, Samsung Exynos 2100 y Apple M1, lo que lo convierte en el primer ataque de canal lateral conocido.

Este estudio ha sido realizado por investigadores de seguridad de la Universidad Ben-Gurion, Universidad de Michigan y la Universidad de Adelaide.

Hay que indicar que los ataques de canal lateral generalmente se basan en datos indirectos como la sincronización, el sonido, el consumo de energía, las emisiones electromagnéticas, las vibraciones y el comportamiento de la caché con el objetivo de inferir datos secretos en un sistema. Específicamente, los canales laterales de microarquitectura explotan el uso compartido de los componentes de un procesador en el código que se ejecuta en diferentes dominios de protección para filtrar información secreta como claves criptográficas.

Además, los estudios también han demostrado anteriormente ataques totalmente automatizados como «Rowhammer.js» que se basan únicamente en un sitio web con JavaScript malicioso para desencadenar fallos en el hardware remoto, obteniendo así acceso sin restricciones a los sistemas de los visitantes del sitio web.

Ahora bien, estos ataques se podían mitigar al deshabilitar JavaScript. Sin embargo esto no ocurre en esta ocasión. Han visto que funciona incluso en navegadores como Tor o Chrome, que tienen JavaScript deshabilitado por completo.

Cómo evitar problemas al navegar por Internet

Como siempre decimos, es esencial mantener la seguridad al navegar por la red. Es muy importante que utilicemos programas de seguridad, como puede ser un antivirus, con el objetivo de evitar ataques que puedan comprometernos. Pero también lo es disponer de las últimas versiones y todos los parches instalados. De esta forma corregiremos vulnerabilidades que puedan comprometernos.

Ahora bien, si hay algo fundamental para mantener la seguridad y privacidad en todo momento es el sentido común. Necesitamos evitar errores como puede ser acceder a sitios maliciosos o reducir el impacto al navegar por Internet mediante servicios que puedan ser inseguros.

El objetivo de todo esto es estar protegidos y hacer frente a posibles ataques que puedan poner en riesgo nuestros datos. Necesitamos mantener la privacidad a salvo y también lograr que los equipos funcionen lo mejor posible.