Underc0de - La Casa de los Informáticos

Google ha dado un paso decisivo en la protección de usuarios al lanzar de forma general las Credenciales de Sesión Limitadas por Dispositivo (DBSC) en su navegador Google Chrome para sistemas Windows. Esta innovadora tecnología de seguridad busca mitigar uno de los ataques más persistentes en el panorama actual: el robo de sesiones.

Tras varios meses en fase beta, la funcionalidad ya está disponible para usuarios que ejecutan Chrome 146 en Windows, con planes confirmados para su expansión a macOS en futuras versiones.

¿Qué es DBSC y por qué es importante?

Las Device Bound Session Credentials (DBSC) representan un avance significativo en la protección de sesiones web. Su objetivo principal es impedir que las cookies de sesión robadas puedan ser reutilizadas por atacantes, un problema crítico que afecta tanto a usuarios individuales como a organizaciones.

El robo de sesiones es una técnica ampliamente utilizada por ciberdelincuentes, que consiste en extraer cookies de autenticación desde el navegador de la víctima. Estas cookies permiten acceder a cuentas activas sin necesidad de conocer credenciales como usuario y contraseña.

Este tipo de ataques suele estar vinculado a infecciones por malware tipo stealer, como Lumma Stealer, Vidar Stealer o Atomic Stealer, capaces de recolectar datos sensibles incluyendo:

• Cookies de sesión
• Credenciales almacenadas
• Tokens de autenticación
• Claves API

Una vez recopiladas, estas cookies pueden ser vendidas en mercados clandestinos o utilizadas directamente para comprometer cuentas críticas.

Cómo funciona DBSC: seguridad basada en hardware

La innovación clave de DBSC radica en vincular criptográficamente la sesión de autenticación a un dispositivo específico. Esto se logra mediante el uso de módulos de seguridad respaldados por hardware.

En sistemas Windows, DBSC utiliza el Trusted Platform Module, mientras que en macOS empleará el Secure Enclave.

Mecanismo técnico

El proceso funciona de la siguiente manera:

• Se genera un par de claves criptográficas (pública y privada) único por dispositivo
• La clave privada nunca abandona el hardware del sistema
• El navegador debe demostrar la posesión de la clave privada para validar la sesión
• Las cookies emitidas tienen una vida útil corta y están vinculadas a esa clave

Esto implica que, incluso si un atacante logra robar una cookie de sesión, no podrá reutilizarla desde otro dispositivo, ya que no posee la clave privada correspondiente.

Impacto directo: cookies robadas pierden valor

Uno de los mayores beneficios de DBSC es que reduce drásticamente el valor de las cookies robadas en el mercado negro.

Tradicionalmente, las cookies de sesión tienen una duración prolongada, lo que permite a los atacantes mantener acceso persistente a cuentas comprometidas. Sin embargo, con DBSC:

• Las cookies tienen una vida útil limitada
• Están criptográficamente ligadas al dispositivo original
• No pueden reutilizarse en otros sistemas

Esto rompe el modelo económico del cibercrimen basado en la venta de sesiones robadas.

Compatibilidad y comportamiento adaptativo

Google ha diseñado DBSC con compatibilidad progresiva. En dispositivos que no cuentan con almacenamiento seguro de claves, el sistema vuelve automáticamente a un comportamiento estándar sin interrumpir la experiencia del usuario.

Esto garantiza:

• Adopción gradual sin fricción
• Compatibilidad con hardware antiguo
• Experiencia de usuario transparente
• Privacidad por diseño: sin rastreo ni fingerprinting

Uno de los aspectos más destacados de DBSC es su enfoque en la privacidad. A diferencia de otras tecnologías de autenticación, DBSC ha sido diseñado para evitar el rastreo entre sitios.

Entre sus características clave:

• No expone identificadores únicos de dispositivo
• No comparte datos de atestación innecesarios
• Solo transmite la clave pública por sesión
• Evita la correlación entre sesiones o sitios

Esto asegura que la protección adicional no comprometa la privacidad del usuario ni se convierta en un mecanismo de huella digital (fingerprinting).

Colaboración con Microsoft y futuro estándar web

Para el desarrollo de DBSC, Google ha trabajado en colaboración con Microsoft, con el objetivo de establecer esta tecnología como un estándar web abierto.

Este enfoque busca:

• Facilitar la adopción por otros navegadores
• Crear un ecosistema de autenticación más seguro
• Reducir el impacto global del robo de sesiones

Además, la compañía planea expandir DBSC a más plataformas y mejorar su integración con entornos empresariales, lo que podría convertirlo en un pilar clave en estrategias de seguridad corporativa.

Resultados iniciales: reducción del robo de sesiones

Según datos internos de Google, la implementación inicial de DBSC ha mostrado una reducción significativa en los incidentes de robo de sesiones, lo que valida su eficacia como contramedida.

Aunque aún se encuentra en sus primeras fases de despliegue global, los resultados indican que esta tecnología podría redefinir la forma en que se gestionan las sesiones web en el futuro.

Un cambio de paradigma en la autenticación web

El lanzamiento de DBSC en Google Chrome marca un antes y un después en la lucha contra el robo de sesiones. Al eliminar la reutilización de cookies robadas, esta tecnología no solo protege a los usuarios, sino que también debilita uno de los modelos más lucrativos del cibercrimen.

En un contexto donde los ataques evolucionan rápidamente, iniciativas como DBSC demuestran que la seguridad debe integrarse a nivel estructural, aprovechando el hardware y la criptografía para ofrecer protección real.

La adopción masiva de este tipo de tecnologías será clave para construir un ecosistema digital más seguro, resiliente y confiable.

Fuente: https://thehackernews.com/