Chrome 146 se blinda contra el robo de sesiones en Windows con DBSC

Google ha implementado Device Bound Session Credentials (DBSC), o 'Credenciales de Sesión Ligadas al Dispositivo' en español, para todos los usuarios de Windows que utilizan el navegador Chrome 146. Esta nueva función de seguridad busca combatir el robo de sesiones, un problema común donde los atacantes sustraen las cookies de sesión para acceder a cuentas online sin necesidad de contraseñas. La medida llega meses después de que Google comenzara a probar esta característica en fase beta y se espera que llegue a macOS en futuras versiones de Chrome.

¿Cómo funciona DBSC?

DBSC busca evitar el robo de cookies, que son pequeños archivos que almacenan información de inicio de sesión. Los delincuentes usan programas maliciosos (malware), como Atomic, Lumma o Vidar Stealer, para robar estas cookies y acceder a tus cuentas. DBSC soluciona esto "atando" la sesión de autenticación a un dispositivo específico mediante criptografía.

• Utiliza módulos de seguridad integrados en el hardware, como el Trusted Platform Module (TPM) en Windows y el Secure Enclave en macOS.
• Estos módulos generan un par de claves (una pública y otra privada) únicas para cada dispositivo, que no pueden ser exportadas del equipo.
• Chrome debe demostrar al servidor que posee la clave privada correcta para obtener nuevas cookies de sesión. Como los atacantes no pueden robar esta clave, las cookies robadas se vuelven inútiles rápidamente.

Si un dispositivo no es compatible con el almacenamiento seguro de claves, DBSC vuelve al comportamiento normal sin interrumpir el proceso de autenticación.

¿Qué impacto tiene?

Google afirma haber observado una reducción significativa en el robo de sesiones desde el lanzamiento inicial de DBSC. La empresa planea expandir esta tecnología a más dispositivos e integrar capacidades avanzadas para entornos empresariales.

Privacidad ante todo

Google, en colaboración con Microsoft, diseñó DBSC como un estándar web abierto, priorizando la privacidad. La arquitectura garantiza que los sitios web no puedan usar las credenciales de sesión para rastrear la actividad de un usuario entre diferentes sesiones o sitios en el mismo dispositivo. Además, el protocolo está diseñado para ser eficiente y no revela identificadores del dispositivo ni datos de certificación al servidor, más allá de la clave pública necesaria por sesión.

Qué significa esto para ti

Si eres usuario de Chrome en Windows, la versión 146 ya incluye esta protección de forma automática. Mantén tu navegador actualizado para beneficiarte de las últimas mejoras de seguridad. Para empresas, DBSC representa una capa adicional de protección contra el acceso no autorizado a cuentas corporativas, especialmente valiosa en entornos donde el robo de credenciales es una amenaza constante.