Google ha desarrollado Device Bound Session Credentials, una nueva protección de Chrome que reduce el riesgo de secuestro de sesiones mediante cookies robadas. La función vincula determinadas sesiones al dispositivo original, de forma que una cookie extraída por malware pierde valor cuando se intenta reutilizar desde otro ordenador.
Chrome refuerza las sesiones de navegación frente al robo de cookies
El robo de cookies de sesión permite acceder a una cuenta sin conocer la contraseña, ya que esas cookies mantienen la sesión abierta después del inicio de sesión. Cuando un malware consigue copiarlas y enviarlas a un atacante, la cuenta puede quedar expuesta aunque el usuario no haya compartido sus credenciales.
Device Bound Session Credentials, también conocido como DBSC, cambia ese funcionamiento en las sesiones compatibles. Chrome genera un par de claves vinculado al dispositivo y guarda la clave privada en hardware seguro, como el TPM en Windows o Secure Enclave en macOS. Después, el servidor solo renueva las cookies de corta duración si Chrome demuestra que conserva la clave privada del equipo original.
Las cookies robadas dejan de servir en otro dispositivo
DBSC no impide que un malware infecte un ordenador ni elimina por completo el riesgo de robo de datos. La protección actúa después, cuando el atacante intenta usar una cookie robada desde otro dispositivo. Sin la clave privada guardada en el equipo legítimo, esa sesión deja de ser útil para mantener el acceso a la cuenta.
Google dirige esta medida contra los infostealers, una categoría de malware especializada en extraer contraseñas, cookies y otros datos del navegador. Para el usuario, el cambio queda integrado en Chrome y no altera la forma habitual de usar las cuentas de Google.
Quién puede acceder a Device Bound Session Credentials
Google ha iniciado la disponibilidad pública de DBSC en Windows a partir de Chrome 146, mientras que la llegada a macOS está prevista para Chrome 148. La función requiere hardware compatible para guardar las claves de forma segura, por lo que no todos los equipos antiguos podrán usarla en las mismas condiciones.
La protección se aplica a clientes de Google Workspace, suscriptores de Workspace Individual y usuarios con cuentas personales de Google. En entornos Workspace está activada por defecto y no hay un ajuste de administrador para desactivarla.
Qué cambia para los usuarios de Chrome
El usuario no tiene que activar DBSC manualmente, sino que Chrome aplica la protección automáticamente cuando la cuenta, la versión del navegador y el hardware cumplen los requisitos. Algunas sesiones abiertas antes del despliegue pueden requerir un nuevo inicio de sesión para quedar vinculadas al dispositivo.
La medida reduce el riesgo de reutilización de cookies robadas, pero no sustituye a otras prácticas básicas de seguridad. Mantener Chrome actualizado, evitar descargas sospechosas y revisar el equipo ante cualquier señal de infección sigue siendo necesario, porque un ordenador comprometido continúa poniendo en riesgo las cuentas abiertas en el navegador.