Google ha presentado las Credenciales de Sesión Vinculadas al Dispositivo con Chrome 146 para Windows. Esta característica de seguridad vincula las cookies de sesión criptográficamente al hardware de un dispositivo, haciendo imposible el uso de cookies robadas en una máquina diferente.

El soporte para macOS aún no ha sido anunciado. Esta característica fue presentada por primera vez en 2024 y se desarrolló como un estándar web abierto en colaboración con Microsoft.

¿Cómo Funciona DBSC en Chrome 146?

DBSC vincula la sesión del navegador de un usuario al hardware de seguridad del dispositivo; en Windows, esto es el Módulo de Plataforma Confiable y en macOS es el Área Segura. Al crear la sesión, el chip de seguridad genera un par de claves pública y privada únicas.

Dado que la clave privada no puede ser exportada fuera del dispositivo, cualquier cookie de sesión robada por malware se vuelve inútil en otro lugar. Las cookies de sesión de corta duración solo se otorgan cuando Chrome puede demostrar que tiene la clave privada correspondiente al servidor. Sin esta prueba, las cookies filtradas caducarán y no podrán ser utilizadas por el atacante para autenticarse en el servicio objetivo.

¿Por Qué las Cookies de Sesión Son un Objetivo Importante para el Malware?

Las cookies de sesión funcionan como tokens de autenticación que permiten a un navegador acceder a un servicio en línea y no requieren que el usuario inicie sesión continuamente. Los malware como LummaC2, que roba información, apuntan a estas cookies porque permiten omitir completamente el proceso de inicio de sesión.

Google señala que cuando el malware obtiene acceso a una computadora, puede leer los archivos locales y la memoria donde los navegadores almacenan las cookies de autenticación. También enfatiza que una solución completamente basada en software no puede prevenir por completo la filtración de cookies a nivel del sistema operativo.

DBSC aborda este problema a nivel de hardware, asegurando que los datos robados se vuelvan inútiles sin acceso físico.

Privacidad de DBSC, Proceso de Pruebas y Adopción

Cada sesión de DBSC genera una clave única, lo que ayuda a evitar que los sitios web vinculen múltiples sesiones o actividades en diferentes sitios en el mismo dispositivo. El protocolo intercambia la clave pública necesaria para demostrar la propiedad por sesión y no comparte identificadores de dispositivo.

Durante el año pasado, Google probó una versión temprana de DBSC en varias plataformas web, incluyendo Okta, y durante este tiempo observó una disminución en los incidentes de robo de sesión. La especificación de DBSC fue publicada en el sitio web del W3C. Los sitios web pueden respaldar esto agregando puntos finales de registro y renovación especiales que no requieren cambios en el código de frontend existente.

DBSC está actualmente activo en Chrome 146 en Windows. Google no ha anunciado un marco de tiempo o un plan de soporte para una nueva versión de Chrome para macOS.