Pulsaciones, contraseñas y pestañas del navegador: investigadores austríacos pueden espiar a usuarios a través del caché del sistema operativo

Investigadores del Instituto Austriaco de Tecnología presentaron en la conferencia NDSS 2026 un análisis detallado y mejoras de los ataques mediante la caché de páginas de los sistemas operativos. El trabajo titulado «Eviction Notice» demuestra cómo las vulnerabilidades en los mecanismos de gestión de la caché permiten realizar ataques de canal lateral sin privilegios y con permisos de sistema mínimos.

La caché de páginas es una parte de la memoria RAM en la que el sistema operativo coloca datos usados recientemente del disco para acelerar accesos posteriores. Este enfoque incrementa significativamente el rendimiento, pero también genera riesgos potenciales. Si un atacante puede determinar qué páginas de archivos están en la caché, puede deducir las acciones de otros usuarios —por ejemplo, si se ha enviado un formulario de contraseña o si se ha accedido a un sitio web concreto.

En 2019 ya se describieron los primeros ataques contra la caché de páginas, pero el nuevo trabajo va más allá. El equipo describió cuatro primitivos clave —mecanismos de interacción con la caché: recarga (reload), vaciado (flush), expulsión (evict) y monitoreo (monitor). Combinándolos, se pueden construir cinco técnicas de ataque diferentes, incluyendo Flush+Monitor y Evict+Reload. Estos métodos permiten, por ejemplo, registrar pulsaciones de teclas, determinar si está abierto el interfaz gráfico de autenticación o vigilar las acciones dentro de las aplicaciones.

Uno de los hallazgos más relevantes fue el uso de la llamada al sistema «posix_fadvise» con la bandera «POSIX_FADV_DONTNEED», que no solo permite eliminar páginas de la caché, sino que —mediante una medición precisa del tiempo de ejecución— también permite determinar si la página estaba en la caché antes. Esto convierte la eliminación en otra fuente de filtración de información.

Además, los autores lograron eludir el mecanismo integrado en el núcleo de Linux denominado «read-ahead», que predice qué páginas se solicitarán en el futuro y las carga de forma anticipada. Para ello aplicaron dos estrategias: leer el archivo en orden inverso y usar la llamada al sistema «readahead», que permite controlar con precisión qué páginas se cargan en la caché sin activar la precarga automática.

Para monitorizar la presencia de páginas en la caché sin cargarlas se utilizó la llamada al sistema «preadv2» con la bandera «RWF_NOWAIT», que devuelve un error si la página solicitada no está en memoria. Otro mecanismo —«cachestat»—, introducido en el núcleo de Linux en la versión 6.5, fue considerado vulnerable y ya recibió el identificador CVE-2025-21691. Gracias a la notificación oportuna al equipo de desarrolladores del núcleo, la vulnerabilidad se corrigió a principios de 2025.

Sin embargo, los dos mecanismos principales —los mencionados «posix_fadvise» y «preadv2»— siguen sin protección. Sus modificaciones podrían romper la compatibilidad hacia atrás, lo que dificulta la implementación de restricciones. A la vez, son los que permiten crear los métodos de análisis lateral más precisos y robustos.

Los autores demostraron cómo, con base en las técnicas descritas, se pueden implementar canales encubiertos de comunicación entre procesos, detectar actividad dentro de contenedores Docker, identificar eventos en navegadores e incluso realizar un ataque contra la interfaz de autenticación. Esto plantea cuestiones no solo sobre la seguridad de los datos de los usuarios, sino también sobre la protección de sistemas en entornos aislados.

El trabajo subraya la necesidad de revisar decisiones arquitectónicas en los sistemas operativos modernos. Teniendo en cuenta que los ataques pueden realizarse sin privilegios de superusuario y no requieren el uso de vulnerabilidades en el sentido tradicional, las medidas de defensa deben adaptarse a las nuevas clases de amenazas.