Uno de los riesgos más serios que enfrentamos en Internet es el robo de cookies de sesión. Google Chrome ha introducido una nueva función para combatir esta amenaza. Se trata de la protección de Credenciales de Sesión Vinculadas al Dispositivo (DBSC, por sus siglas en inglés), que está disponible desde la versión 146 de Chrome para Windows. Su propósito es bloquear el malware que roba información y cookies de sesión.
Cuando accedes a una página web e inicias sesión, el navegador guarda una cookie para mantener tu sesión activa. Así, no es necesario volver a ingresar la contraseña si, por ejemplo, cierras y reabres la pestaña de Facebook. Si un malware logra robar esa cookie de sesión, un atacante podría entrar a tu cuenta sin necesidad de la contraseña, incluso eludiendo la autenticación en dos pasos.
Chrome se protege contra el robo de cookies de sesión
Este problema es muy serio, ya que los atacantes no tendrían que robar la contraseña ni emplear tácticas de ingeniería social para eludir la autenticación en dos pasos. Además, podrían seguir dentro de la cuenta incluso si cambias la contraseña. Esto representa una vulnerabilidad significativa al navegar.
A través del blog de seguridad de Google, en una publicación del 9 de abril, anunciaron la inclusión de esta nueva protección en la versión 146 del navegador. Por ahora, solo los usuarios de Windows se beneficiarán de esta novedad, aunque se espera que pronto esté disponible para los que usan macOS.
Esta función opera vinculando criptográficamente la sesión del usuario a su hardware específico, como el chip de seguridad del dispositivo. En Windows, se utiliza el Módulo de Plataforma Segura (TPM) y en macOS, el Enclave Seguro. Las claves privadas y públicas únicas para cifrar y descifrar información sensible son generadas por el chip de seguridad, lo que impide su exportación del dispositivo.
Desde Google, en su anuncio, indican que “la emisión de nuevas cookies de sesión de corta duración depende de que Chrome demuestre al servidor que posee la clave privada correspondiente”. Sin esta clave, cualquier cookie de sesión que se filtre caducaría rápidamente y sería inútil.
Los sitios deben aplicar esta función
No solo es responsabilidad del navegador Chrome, sino que los sitios web también necesitarán implementar esta función. Esto incluye plataformas como Facebook, Gmail o cualquier otro servicio donde inicies sesión. Google ha creado una guía para desarrolladores web que detalla la implementación de DBSC.
Como usuario, es esencial que mantengas tu navegador actualizado. Esto te ayudará a garantizar una conexión segura y a prevenir problemas que puedan amenazar tu seguridad. Esta recomendación se aplica a cualquier software que instales en tu dispositivo.
En resumen, Google avanza en la mejora de la seguridad de Chrome. Su objetivo es resguardar a los usuarios contra el robo de cookies de sesión, un problema grave y complicado de detectar.
Preguntas frecuentes
¿Cómo puedo saber si mi Chrome ya tiene activada la protección DBSC?
Asegúrate de tener Chrome 146 o superior. En Windows, ve a Configuración > Acerca de Chrome para verificar la versión. La protección DBSC se activa automáticamente si tu dispositivo cuenta con un chip TPM funcional.
¿Qué debo hacer si ya me han robado cookies de sesión anteriormente?
Cierra todas las sesiones activas en tus cuentas sensibles (banco, correo, redes sociales) y vuelve a iniciar sesión. Cambia las contraseñas de las cuentas afectadas. La nueva protección DBSC evitará futuros robos, pero no restaurará las sesiones ya comprometidas.
¿Está disponible en todos los sistemas operativos?
Actualmente, esta característica está disponible solo para Windows. Se espera su llegada a otros sistemas operativos en un futuro cercano.
