Google ha comenzado a desplegar de forma amplia la tecnología Device Bound Session Credentials (DBSC) para los usuarios de Google Chrome 146 en Windows. Este cambio supone uno de los avances más relevantes de los últimos años en la protección de sesiones web, con el objetivo explícito de restar valor al robo de cookies y dificultar el secuestro de cuentas en línea.
Robo de cookies y secuestro de sesión: un vector de ataque crítico
El secuestro de sesión (session hijacking) sigue siendo una de las amenazas más efectivas en la web moderna. La mecánica es directa: si un atacante consigue cookies de sesión válidas del navegador de la víctima, puede acceder a sus cuentas sin necesidad de contraseña ni de pasar por la autenticación multifactor.
En la práctica, estas cookies suelen obtenerse mediante malware tipo info‑stealer, que el usuario descarga sin darse cuenta junto con software pirata, «cracks», instaladores falsos o adjuntos de correos de phishing. Familias de malware como Atomic Stealer, Lumma o Vidar Stealer están diseñadas específicamente para recolectar:
— cookies y tokens de sesión;
— contraseñas almacenadas en el navegador;
— datos de autocompletado e historial de navegación;
— credenciales de monederos de criptomonedas y otra información sensible.
Informes recientes de empresas de seguridad indican que millones de perfiles de navegador comprometidos terminan a la venta en mercados clandestinos cada año. Muchas de estas cookies tienen vida útil prolongada, lo que permite a los atacantes mantener acceso persistente a buzones de correo, paneles de administración, servicios en la nube o sistemas corporativos durante semanas o meses, eludiendo todos los controles de autenticación del inicio de sesión.
Cómo protege Device Bound Session Credentials las sesiones en Chrome
Para mitigar este problema estructural, Google presentó Device Bound Session Credentials en abril de 2024. La idea central es sencilla pero potente: vincular criptográficamente la sesión a un dispositivo concreto, de forma que una cookie robada fuera de ese equipo resulte inutilizable.
Claves protegidas por hardware: TPM y Secure Enclave
DBSC se apoya en módulos de seguridad por hardware. En Windows utiliza el Trusted Platform Module (TPM) y, en el caso de macOS, el Secure Enclave. Sobre estos componentes se genera un par de claves pública/privada único para el navegador, donde la clave privada nunca abandona el dispositivo ni puede exportarse.
Cuando el usuario se autentica, Chrome deja de limitarse a solicitar cookies tradicionales. En su lugar, negocia con el servidor tokens de sesión asociados a ese par de claves. El servidor ve la clave pública como un identificador criptográfico y exige que el navegador demuestre que posee la clave privada correspondiente, alojada de forma segura en el TPM o en el Secure Enclave.
Cookies de corta duración y prueba de posesión del dispositivo
DBSC modifica también el ciclo de vida de las cookies: cada nuevo cookie de sesión, de muy corta duración, solo se emite después de que Chrome pruebe criptográficamente que controla la clave privada. Este proceso se basa en protocolos estándar de firma y verificación, sin exponer información sensible adicional.
Para un atacante, esto cambia radicalmente el escenario. Aunque un info‑stealer consiga extraer cookies del navegador y exfiltrarlas, estos tokens caducan rápidamente y no pueden renovarse, porque el atacante no tiene acceso a la clave privada protegida por hardware del dispositivo de la víctima.
En aquellos equipos que no disponen de un entorno de almacenamiento seguro de claves, DBSC se desactiva de forma transparente y el flujo de autenticación vuelve al comportamiento clásico, manteniendo la compatibilidad y facilitando una adopción gradual.
Despliegue en Chrome 146 y adopción por parte de servicios web
En esta primera fase, DBSC está habilitado para todos los usuarios de Google Chrome 146 en Windows. Google ha anunciado que la compatibilidad con macOS llegará en versiones posteriores del navegador. Según datos compartidos por la compañía durante la beta pública, ya se observa una reducción medible en los secuestros de sesión exitosos en los servicios que han probado la función.
La tecnología requiere implementación tanto en el navegador como en el lado servidor. Las aplicaciones web deben adaptar la gestión de sus tokens de sesión para soportar el nuevo modelo device‑bound. A medida que grandes plataformas de correo, colaboración y servicios en la nube incorporen DBSC, el impacto será especialmente relevante en el entorno empresarial, donde un solo token de sesión comprometido puede abrir la puerta a recursos críticos.
Privacidad, cumplimiento normativo y ventajas para las empresas
DBSC se ha desarrollado conjuntamente con Microsoft, con la intención de convertirlo en un estándar web abierto que otros navegadores y proveedores puedan adoptar. Un aspecto clave del diseño es que la mejora de seguridad no vaya en detrimento de la privacidad del usuario.
La arquitectura de DBSC está pensada para que:
— los sitios no puedan usar estos credenciales para rastrear al usuario entre diferentes dominios;
— el servidor reciba únicamente la clave pública necesaria para verificar la sesión, sin identificadores persistentes del dispositivo ni datos de atestación;
— DBSC no funcione como un mecanismo de huella digital del dispositivo ni refuerce técnicas de tracking entre sitios.
Para las organizaciones, esta combinación de mayor seguridad de sesión y respeto a la privacidad resulta especialmente relevante en el contexto de regulaciones como el RGPD y otras normativas de protección de datos. Reducir la exposición a robos de cookies disminuye el riesgo de brechas de información, accesos no autorizados y sanciones derivadas de incidentes de seguridad.
Ante la proliferación de info‑stealers y del comercio de cookies robadas, DBSC destaca como una medida técnicamente sólida y pragmática para robustecer las sesiones web. Las empresas deberían comenzar a evaluar la compatibilidad de sus aplicaciones con este estándar, reforzar la protección de sus endpoints frente a malware y actualizar sus políticas para exigir versiones recientes de Chrome. Adoptar tecnologías como Device Bound Session Credentials no solo mejora la defensa frente al robo de cuentas, sino que también contribuye a erosionar el modelo económico de las campañas basadas en el secuestro de sesión, elevando el coste de los ataques para los ciberdelincuentes.
