Así protege Google las sesiones de Chrome con DBSC
Durante años, los ciberdelincuentes han buscado robar las cookies de sesión. Estos pequeños archivos permiten que permanezcamos conectados a correo, banca y redes corporativas sin tener que volver a introducir la contraseña constantemente. El problema es que, si se roban, los atacantes obtienen acceso directo a nuestras cuentas.
Para combatir esta amenaza, Google ha lanzado una defensa criptográfica estructural llamada Device Bound Session Credentials (DBSC) y que ya está disponible públicamente para usuarios de Windows en Google Chrome 146 desde el 9 de abril de 2026.
El problema, los infostealers y el robo de sesiones
El robo de sesiones suele comenzar con malware. Los llamados infostealers , como la familia LummaC2, están diseñados para extraer silenciosamente cookies de autenticación almacenadas en el navegador.
Una vez robadas, estas cookies permiten:
- Evitar las contraseñas y la autenticación multifactor
- Secuestrar cuentas activas
- Revender accesos en mercados clandestinos
Este tipo de ataque se hizo más frecuente cuando las aplicaciones web empezaron a basarse en micro servicios y cambió la forma de autentificar a los usuarios.
Hasta ahora, la defensa era principalmente reactiva, detectando el fraude después de que ocurría.
Con DSBC, ahora las cookies están ligadas al dispositivo
DBSC introduce un enfoque preventivo muy eficaz, vinculando criptográficamente la sesión al hardware del dispositivo.
Chrome ahora utiliza módulos de seguridad físicos como el TPM en Windows (y próximamente el Secure Enclave en macOS). De esta forma, ahora cuando se inicia una sesión:
- Chrome genera un par de claves criptográficas.
- La clave privada queda guardada dentro del chip de seguridad.
- Nunca puede exportarse ni copiarse.
- Cada renovación de cookie requiere demostrar que la clave sigue en el dispositivo original.
El resultado es que ahora, para robar la cookie, ya no basta para secuestrar la cuenta. En la práctica, el atacante necesitaría también robar el equipo físico.
En dispositivos sin hardware compatible, Chrome seguirá usando el sistema tradicional.
DSBC está pensado para proteger la privacidad, desde el diseño
Google afirma que DBSC fue diseñado para evitar el rastreo de los usuarios:
- Cada sesión usa una clave única.
- No se comparten identificadores del dispositivo.
- No puede utilizarse como técnica de fingerprinting.
El estándar comenzó a desarrollarse en 2024 dentro del consorcio W3C, en colaboración con Microsoft, y fue probado con empresas como Okta antes de su lanzamiento oficial.
Lo que viene
El despliegue actual es solo el inicio:
- Soporte para macOS llegará en próximas versiones de Chrome.
- Futuras mejoras protegerán los procesos de Single Sign-On (SSO).
- Se integrarán certificados mTLS y llaves de seguridad hardware.
- También se investigan claves software para equipos sin chips seguros.
Con DBSC, Google busca inutilizar uno de los métodos más efectivos del cibercrimen moderno. Si la adopción se generaliza, el robo de cookies podría convertirse en una amenaza del pasado.
Deja una respuesta