Esta característica se llama “Device Bound Session Credentials” (Credenciales de Sesión Vinculadas al Dispositivo) y está diseñada para proteger tus cookies de ser robadas y utilizadas por personas malintencionadas.
Google ha presentado una nueva función web llamada “Device Bound Session Credentials”, Credenciales de sesión vinculadas al dispositivo (DBSC) que ayudará a proteger a los usuarios contra el robo de cookies.
El malware que roba cookies de los usuarios y permite a los atacantes acceder a sus cuentas afecta a una gran cantidad de usuarios en línea.
Por lo general, el malware transfiere todas las cookies de autenticación desde los navegadores del dispositivo a servidores remotos, lo que permite a los atacantes compilar, organizar y comercializar las cuentas pirateadas.
Este robo de cookies se produce después del inicio de sesión, evitando la autenticación de dos factores y otras comprobaciones de reputación que se producen durante el inicio de sesión.
Ejemplo práctico
Tienes una cuenta de Google Drive o un canal de YouTube y tienes bien protegida tu cuenta de Google con una buena contraseña y doble factor de autenticación. Bueno, esto no va a servir de nada ya que el atacante toma directamente las cookies de tu navegador en donde indica a Google que ya tienes una sesión iniciada. El hacker podrá acceder a todos tus datos de Google sin la necesidad de utilizar contraseñas ya que todo lo necesario está en esas cookies que te roba.
El problema y la solución
Chrome y otros navegadores no pueden proteger las cookies del malware con el mismo nivel de acceso que el propio navegador debido a la forma en que interactúan los sistemas operativos y las cookies, especialmente en los sistemas operativos de escritorio.
Se introdujeron las credenciales de sesión vinculadas al dispositivo (DBSC) para resolver este problema.
“Al vincular sesiones de autenticación al dispositivo, DBSC pretende alterar la industria del robo de cookies, ya que extraer estas cookies ya no tendrá ningún valor. Creemos que esto reducirá sustancialmente la tasa de éxito del malware de robo de cookies”, dijo Google .
Los atacantes tendrían que actuar localmente en el dispositivo, lo que aumentaría la eficacia de la detección y limpieza en el dispositivo para dispositivos administrados por la empresa, así como el software antivirus.
La función DBSC protege a sus usuarios del robo de cookies
La API DBSC permite a un servidor establecer una nueva sesión en un dispositivo con un determinado navegador.
Al iniciar una nueva sesión, el navegador genera un nuevo conjunto de claves públicas y privadas localmente en el dispositivo, utilizando el sistema operativo para almacenar de forma segura la clave privada de una manera que dificulte la exportación.
Para la protección de claves, Chrome utilizará herramientas como Trusted Platform Modules (TPM), cuyo objetivo es verificar la integridad de los sistemas operativos y almacenar claves criptográficas.
Dado que cada sesión tiene su clave, DBSC evita que los sitios asocien claves de varias sesiones en el mismo dispositivo para garantizar que no se haya implementado más monitoreo persistente de usuarios.
Usando la configuración de Chrome, el usuario puede eliminar permanentemente las claves generadas.
“DBSC no filtra ninguna información significativa sobre el dispositivo más allá del hecho de que el navegador cree que puede ofrecer algún tipo de almacenamiento seguro. La única información enviada al servidor es la clave pública por sesión que el servidor utiliza para certificar la posesión de la clave más adelante”, dijo Google.
DBSC cumplirá completamente con la eliminación gradual de cookies de terceros en Chrome .
Dependiendo de la configuración del usuario y otros criterios, DBSC estará disponible y/o segmentado en contextos de terceros de la misma manera que lo hacen las cookies de terceros.
Esto es para garantizar que, mientras tanto, las cookies de terceros puedan protegerse adecuadamente y que, si se eliminan gradualmente, DBSC no se convierta en un nuevo vector de seguimiento.
Actualmente, Google está probando un prototipo de DBSC para proteger a algunos usuarios de cuentas de Google que utilizan Chrome Beta.
Los consumidores y usuarios comerciales recibirán inmediatamente una protección mejorada para sus cuentas de Google una vez que se implemente por completo.
Para agregar un grado adicional de protección de la cuenta, la empresa también planea activar esta tecnología para todos los clientes de Google Workspace y Google Cloud.
Varios proveedores de servidores, proveedores de identidad (IdP) como Okta y navegadores como Microsoft Edge han mostrado interés en DBSC para proteger a sus usuarios del robo de cookies.
Cómo habilitar Device Bound Session Credentials
Según Google, los usuarios de navegadores web basados en Chromium que se ejecutan en Windows, Linux y macOS pueden probar DBSC yendo a chrome://flags/ y activando el indicador dedicado “Device Bound Session Credentials”.
¡Hazte miembro del canal para beneficios y contenido exclusivo! ⭐ Suscribirse.
¿Necesitas ayuda o asistencia técnica? Soporte 🛠️.
