Protección contra Robo de Cookies: Google Chrome Beta Prueba el Nuevo DBSC
Google está dando grandes pasos para proteger a los usuarios de Chrome contra el robo de cookies de sesión por parte de malware. La compañía anunció recientemente que está probando una nueva característica en Chrome Beta llamada “Device Bound Session Credentials” Credenciales de Sesión Vinculadas al Dispositivo (DBSC), diseñada para hacer que la exfiltración de cookies sea inútil para los atacantes.
¿Qué es el DBSC y cómo funciona?
El DBSC es un nuevo enfoque de seguridad implementado por Google en su navegador Chrome. Su objetivo principal es proteger a los usuarios contra el robo de cookies de sesión por parte de malware. Tradicionalmente, los atacantes han utilizado cookies robadas para obtener acceso no autorizado a cuentas en línea, incluso después de que se implementen medidas de autenticación de múltiples factores (MFA).
El DBSC vincula las sesiones de autenticación a un dispositivo específico, lo que dificulta a los atacantes aprovechar las cookies robadas para acceder a cuentas en línea. Esto se logra mediante una técnica criptográfica que asocia la sesión con una clave pública creada por el navegador cuando se inicia una nueva sesión. Esta clave pública se almacena localmente en el dispositivo utilizando Módulos de Plataforma Confiables (TPM), lo que garantiza su seguridad contra el malware.
Beneficios del DBSC para los usuarios de Chrome
El DBSC ofrece una capa adicional de protección para los usuarios de Chrome al hacer que sea más difícil para los atacantes aprovechar las cookies robadas. Al vincular las sesiones de autenticación al dispositivo, el DBSC reduce la efectividad del malware de robo de cookies al obligar a los atacantes a operar localmente en el dispositivo comprometido. Esto facilita la detección y limpieza del malware por parte de los programas antivirus y los equipos de administración de dispositivos empresariales.
Además, el DBSC proporciona a los sitios web una API para controlar la vida útil de las claves asociadas a las sesiones, lo que aumenta aún más la seguridad al limitar la ventana de oportunidad para el abuso de cookies robadas.
Implementación y futuro del DBSC
Google está realizando pruebas piloto del DBSC con algunos usuarios de Chrome Beta y tiene como objetivo convertirlo en un estándar web abierto en el futuro. La implementación del DBSC se alinea con los planes más amplios de Google de eliminar gradualmente las cookies de terceros en el navegador Chrome a través de la iniciativa Privacy Sandbox.
Para garantizar una adopción exitosa, Google está trabajando con proveedores de servidores, proveedores de identidad (IdPs) y otros navegadores web como Microsoft Edge y Okta. Se espera que los ensayos de origen para el DBSC en todos los sitios web compatibles comiencen antes de fin de año.
Preguntas frecuentes (FAQs)
1. ¿Qué pasa si mi dispositivo no es compatible con TPM? Si tu dispositivo no es compatible con los Módulos de Plataforma Confiables (TPM), es posible que no puedas aprovechar completamente la protección proporcionada por el DBSC. Sin embargo, Google está trabajando en formas de garantizar la seguridad de los usuarios sin depender exclusivamente de los TPM.
2. ¿El DBSC afectará el rendimiento de Chrome? Google ha diseñado el DBSC con un enfoque en el rendimiento y la eficiencia. Aunque puede haber una ligera sobrecarga en términos de recursos de hardware, los beneficios en términos de seguridad compensan esta pequeña reducción en el rendimiento.
3. ¿Cuándo estará disponible el DBSC para todos los usuarios de Chrome? Se espera que Google amplíe gradualmente el soporte para el DBSC a todos los usuarios de Chrome en el futuro cercano, con ensayos de origen programados para comenzar antes de fin de año.