Descubren una técnica con la que espías y ciberdelincuentes pueden desenmascarar a cualquier usuario con solo visitar una página web

El escándalo Pegasus ha puesto de relieve el interés que tanto mafias de cibercriminales como estados enteros tienen por desanonimizar a los internautas. La industria de los programas espías sigue al alza, y a medida que la huella que los usuarios generan en la red sigue ensanchándose, también lo hacen las técnicas para rastrearlas.

Una de estas técnicas la acaban de descubrir investigadores del Instituto Tecnológico de Nueva Jersey, en Estados Unidos. Aunque presentarán los detalles de su hallazgo en una conferencia en Boston llamada Usenix Security Symposium, que tendrá lugar el mes que viene, Wired ha accedido a algunos detalles de la misma.

La técnica, en apariencia sencilla, es bastante sofisticada. Lo único que necesitan los atacantes es tener el control de un dominio o una página web, y la capacidad de engañar a sus potenciales víctimas para que entren en ella. Gracias a las herramientas que han desarrollado, los atacantes que tienen acceso a esta herramienta pueden desanonimizar a sus víctimas una vez la visiten.

Para eso, necesitan tener un listado previo de potenciales identidades. El caso de uso teórico que exponen los investigadores y que recoge Wired es un foro de activistas en el que, aunque los usuarios usan pseudónimos para interactuar, la policía sospecha de las identidades de varios de ellos.

Las autoridades lo único que tendrían que postear sería un contenido que redirigiese a esa página web maliciosa. De la misma manera que en plataformas como Dropbox o Google Drive solo un determinado grupo de personas pueden acceder a un contenido, en función de si la persona que lo subió les ha dado acceso, la policía puede hacer lo propio.

WhatsApp te dejará ocultar a tus contactos si estás conectado, una funcionalidad demandada por expertos en privacidad

Si un usuario con su pseudónimo accede al contenido, lo puede ver, navegar sobre él, significará que las autoridades han logrado hacer match entre ese internauta sin identificar y una de esas identidades que hubiesen recopilado previamente de plataformas y redes sociales como Facebook. Se acabó su anonimato.

El funcionamiento es muy sofisticado, aunque la analogía puede servir: el atacante puede incrustar una foto subida a un Google Drive y compartida únicamente con una cuenta de correo electrónico de potencial interés. Se quiere comprobar si el propietario de esa cuenta de correo es uno de los usuarios anónimos que pueblan el foro.

Debido a las opciones de privacidad en este caso de Google, es imposible saber si la cuenta destinataria ha podido ver el contenido. Pero los investigadores en cuestión han descubierto que pueden analizar información accesible de su navegador, así como el comportamiento de su procesador y las peticiones que ha realizado su equipo informático para ver el contenido.

La estrategia es conocida como "ataque de canal lateral" porque los expertos han conseguido mejorar su eficacia gracias a algoritmos de aprendizaje automático que están consiguiendo catalogar todos esos datos sobre el navegador y el procesador de las potenciales víctimas en función de si la información es útil o no lo es para desanonimizar a cualquiera.

2021 fue el año en el que más vulnerabilidades de día cero han detectado los expertos en ciberseguridad, pero esto no es necesariamente malo

"Si eres un usuario de internet medio, no pensarás demasiado en tu privacidad cuando visitas alguna página web", explica a Wired Reza Curtmola, uno de los investigadores de este estudio y profesor de ciencias de la computación en el Instituto Tecnológico de Nueva Jersey. "Pero hay algunos usuarios que se pueden ver mucho más afectados por la pérdida de privacidad".

"Por ejemplo, personas que organizan o participan en protestas políticas, periodistas o personas que simplemente quieren tejer redes con sus colegas y sus afines de una minoría. Y lo que hace muy peligrosos este tipo de ataques es que son muy discretos: simplemente visitas una página web y no tienes ni idea de que tu información se ha visto expuesta", advierte.

Junto con los resultados de investigación, que se compartirán el mes que viene con el resto de la comunidad de ciberseguridad, los expertos también han desarrollado una extensión para navegadores que ayuda a proteger toda esa información que puede desvelar tu identidad.

Por el momento, grandes navegadores como Chrome o Firefox no han reaccionado a estos hallazgos, y Curtmola llega incluso a sugerir que la solución de raíz a esta vulnerabilidad puede llegar incluso al proceso de diseño y manufactura de semiconductores. Los investigadores ya están en contacto con el consorcio de la World Wide Web para abordar este nuevo problema.

Confían en que se encontrarán soluciones, aunque advierten que los proveedores tienen que comprobar primero que este es un agujero lo suficientemente grave y preocupante como para destinar recursos a cerrarlo. "Debemos convencerles", apunta.