Con la sofisticación cada vez mayor de los ataques cibernéticos, proteger la información personal y los datos de sesión es más importante que nunca. Google, consciente de esta necesidad creciente, está trabajando en una nueva función de seguridad para su navegador Chrome, denominada Credenciales de Sesión Vinculadas al Dispositivo (Device Bound Session Credentials, DBSC), con el objetivo de prevenir el robo de cookies de sesión y el acceso no autorizado a cuentas de usuario.

Las cookies de sesión, o cookies de autenticación, son almacenadas por los navegadores cuando un usuario inicia sesión en diferentes sitios web. Estas cookies son esenciales para mantener una sesión de usuario activa, permitiendo a los usuarios navegar y utilizar recursos en internet sin tener que autenticarse en cada página o después de cada acción.

Sin embargo, esta comodidad también presenta un riesgo de seguridad significativo. Si un atacante logra obtener estas cookies, puede realizar ataques de tipo «pass-the-cookie», inyectando tokens de acceso robado en nuevas sesiones web y, por lo tanto, suplantando al usuario original sin necesidad de autenticarse. Este tipo de ataques permite a los atacantes sortear incluso medidas de seguridad adicionales como la autenticación de múltiples factores.

La solución de Google: DBSC

Para contrarrestar esta amenaza, Google está desarrollando DBSC, una función que pretende vincular las sesiones de autenticación al dispositivo específico del usuario, haciendo que las cookies robadas sean inútiles para los atacantes a menos que puedan actuar localmente en el dispositivo.

Según Kristian Monsen, ingeniero de software sénior en el equipo de seguridad de Chrome de Google, esto aumentaría significativamente la detección de presencia de atacantes, ya que se verían obligados a operar directamente en el dispositivo comprometido.

DBSC funciona permitiendo que un servidor inicie una nueva sesión con un navegador específico en un dispositivo. Cuando el navegador inicia una nueva sesión, crea un nuevo par de claves pública/privada localmente en el dispositivo y utiliza el sistema operativo para almacenar de manera segura la clave privada, dificultando su exportación. Chrome utilizará instalaciones como los Módulos de Plataforma de Confianza (Trusted Platform Modules, TPMs) para la protección de claves, los cuales son cada vez más comunes y requeridos para Windows 11, y también está considerando soluciones aisladas por software.

Cada sesión estará asociada con una clave pública. Los servidores pueden verificar si el usuario/dispositivo que accede al recurso tiene la clave privada correspondiente, y lo harán a lo largo de la vida útil de la sesión para asegurar que continúe siendo el mismo dispositivo el que está accediendo.

Para hacer esto viable desde el punto de vista del intervalo de tiempo y para ayudar en la migración de soluciones basadas en cookies existentes, DBSC utiliza estas claves para mantener las cookies de corta duración a través de un punto final definido por DBSC en el sitio web. Esto ocurre fuera del tráfico web regular, reduciendo los cambios necesarios en sitios web y aplicaciones.

Privacidad y estandarización

Monsen asegura que estas claves no pueden ser utilizadas para rastrear a los usuarios en línea, ya que DBSC no permite que los sitios correlacionen claves de diferentes sesiones en el mismo dispositivo. Además, los usuarios podrán eliminar las claves cuando lo deseen.

Google espera que DBSC se convierta en un estándar web abierto, con proveedores de servidores, proveedores de identidad (IdPs) como Okta y navegadores como Microsoft Edge expresando interés en DBSC para proteger a sus usuarios contra el robo de cookies. Google está colaborando con todas las partes interesadas para presentar un estándar que funcione para diferentes tipos de sitios web de manera que preserve la privacidad.

Con este paso Google da un paso significativo en la seguridad de la información en internet y mejora la experiencia del usuario en términos de privacidad y seguridad. La implementación de DBSC podría marcar un antes y un después en la lucha contra el robo de identidad digital y el acceso no autorizado a cuentas, protegiendo de manera efectiva a los usuarios en internet.

 

 

Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre