3 min de lectura

Chrome vincula discretamente las cookies de sesión a tu dispositivo

Chrome en Windows recibe una mejora de seguridad que la mayoría de la gente nunca verá, y ese es precisamente el argumento de venta. Google ha empezado a desplegar Device Bound Session Credentials, o

Imagen: digitaltrends.com

Chrome en Windows recibe una mejora de seguridad que la mayoría de la gente nunca verá, y ese es precisamente el argumento de venta. Google ha empezado a desplegar Device Bound Session Credentials, o DBSC, para los usuarios de Google Workspace en Chrome en Windows, incluidos suscriptores individuales y personas que usan cuentas personales, con la función activada por defecto.

La idea es lo bastante simple como para explicarla y lo bastante molesta para los delincuentes como para importar: la cookie de sesión de tu navegador queda vinculada al dispositivo que la creó. Si el malware roba esa cookie y se la entrega a un atacante, el token debería ser inútil en otra máquina, lo que cierra una de las vías más sencillas para secuestrar una cuenta después de iniciar sesión.

Cómo DBSC cambia la seguridad de las sesiones en Chrome

Las cookies de sesión son la razón por la que no tienes que iniciar sesión otra vez cada vez que abres una página. También son un objetivo favorito del malware porque pueden permitir que un atacante acceda directamente a una cuenta sin necesitar la contraseña y, en algunos casos, sin activar la autenticación de dos factores. DBSC añade una comprobación del dispositivo en segundo plano, de modo que la cookie robada deja de ser una llave universal y pasa a ser mucho más difícil de reutilizar.

Es un movimiento sensato y que llega tarde. La web ha dependido de las cookies durante décadas, pero la industria también intenta avanzar hacia un manejo de sesiones más ligado al dispositivo y resistente al phishing, por eso trabajos similares ya han aparecido en otros navegadores y en iniciativas de estándares. La experiencia del usuario sigue igual; la parte de seguridad se vuelve mucho menos ingenua.

Recomendado

La GoPro Mission 1 Pro clava el vídeo en 8K pero duele el precio

Por qué la actualización de Chrome importa para los usuarios cotidianos

Este tipo de protección suele funcionar mejor en silencio, porque la seguridad ruidosa suele ser solo marketing con una tipografía más bonita. DBSC no detendrá todos los trucos de toma de control de cuentas, pero corta una vía común de ataque posterior al inicio de sesión que ha sido más fácil de explotar de lo que la mayoría de la gente querría creer.

El momento también encaja con una tendencia más amplia: los navegadores son cada vez menos proclives a tratar un fragmento de credenciales copiado como legítimo solo porque parezca válido. Espera que estas protecciones ancladas al dispositivo se extiendan, especialmente en entornos empresariales donde un portátil infectado puede convertirse en un problema muy caro muy rápidamente.

Qué deben esperar los usuarios de Chrome a continuación

Por ahora, la conclusión práctica es aburrida en el mejor sentido. Si usas Chrome en Windows e inicias sesión con una cuenta de Google, DBSC ya debería estar funcionando en segundo plano sin ninguna configuración, y la señal más obvia de que ha tenido éxito es que no pasa nada en absoluto.

La pregunta más grande es qué tan rápido este tipo de protección se convierte en algo estándar en toda la web. Una vez que más servicios empiecen a depender de sesiones vinculadas al dispositivo, copiar una cookie puede dejar de ser un atajo y convertirse en un callejón sin salida, que es exactamente donde los atacantes merecen estar.

Tomas Berg

Computing Editor

Tomas lives in the terminal. He covers chips, laptops, and operating systems with a focus on performance and efficiency. He reads kernel changelogs the way other people read fiction, and he's always on the hunt for the perfect mechanical keyboard switch. If it processes data, Tomas has an opinion on it.

vía digitaltrends.com

// Sigue leyendo