Adiós al Robo de Cookies: Google Chrome Lanza DBSC para Proteger tu Privacidad
La privacidad en línea es una preocupación constante para los usuarios de internet, y Google Chrome ha dado un paso significativo para mejorar la seguridad con la introducción de Device Bound Session Credentials (DBSC).
Este innovador sistema tiene como objetivo proteger a los usuarios de los robos de cookies, un problema que ha permitido a los ciberdelincuentes acceder a cuentas de usuarios sin necesidad de contraseñas, incluso burlando la autenticación de dos factores (2FA).
¿Qué es DBSC?
Device Bound Session Credentials (DBSC) es una nueva función de seguridad desarrollada por Google que asocia las credenciales de sesión con un dispositivo específico mediante un par de claves criptográficas, una pública y otra privada. Este mecanismo asegura que las cookies de autenticación solo puedan ser utilizadas en el dispositivo donde fueron creadas, haciendo inútiles las cookies robadas en cualquier otro dispositivo.
¿Cómo Funciona DBSC?
Cuando un usuario inicia sesión en un sitio web, Chrome genera un par de claves criptográficas. La clave privada se almacena de forma segura en el dispositivo del usuario, utilizando el Trusted Platform Module (TPM) del hardware o métodos basados en software si el hardware no lo soporta. La clave pública se envía al servidor del sitio web.
Durante la sesión, el servidor verifica periódicamente la presencia de la clave privada en el dispositivo original antes de permitir cualquier acción. Esto garantiza que, incluso si un atacante roba la cookie, no podrá usarla sin la clave privada que permanece protegida en el dispositivo.
Beneficios de DBSC
Protección Mejorada: DBSC aumenta significativamente la seguridad al vincular las cookies a dispositivos específicos, lo que reduce drásticamente la eficacia del malware de robo de cookies. Los atacantes se verán obligados a actuar localmente en el dispositivo, lo que facilita la detección y limpieza por parte del software antivirus y de los administradores de dispositivos empresariales.
Privacidad del Usuario: DBSC no filtra información significativa sobre el dispositivo más allá de la confirmación de la posesión de la clave pública, asegurando que no se utilice como vector de seguimiento una vez eliminadas las cookies de terceros.
Compatibilidad y Futuro: Google está trabajando para que DBSC se convierta en un estándar abierto en la web. Actualmente, la función se está probando en la versión Beta de Chrome y se espera que esté disponible para todos los usuarios hacia finales de 2024. Además, otros navegadores como Microsoft Edge y proveedores de identidad como Okta han mostrado interés en adoptar esta tecnología.
Implementación y Pruebas
Los usuarios que deseen probar DBSC pueden hacerlo habilitando la opción «enable-bound-session-credentials» en las configuraciones avanzadas de Chrome (chrome://flags). Esto permitirá a los usuarios experimentar la nueva capa de seguridad antes de su lanzamiento oficial.
Conclusión
La introducción de Device Bound Session Credentials por parte de Google Chrome representa un avance significativo en la lucha contra el robo de cookies y la mejora de la seguridad de las cuentas en línea. Al vincular las cookies de sesión a dispositivos específicos mediante claves criptográficas, DBSC garantiza que los usuarios puedan navegar con mayor tranquilidad, sabiendo que sus credenciales de sesión están protegidas contra el acceso no autorizado.
