Chrome activa Device Bound Session Credentials para todos: adiós al robo de cookies de sesión

Pablo Ariel Di Loreto / / 2 minutos de lectura
Chrome activa Device Bound Session Credentials para todos: adiós al robo de cookies de sesión

Google habilitó Device Bound Session Credentials (DBSC) para todos los usuarios de Chrome. La función vincula las sesiones al hardware del dispositivo para frenar el robo de cookies de sesión, una de las técnicas más usadas hoy para secuestrar cuentas saltándose incluso la autenticación de dos factores.

El problema que ataca

Cuando iniciás sesión en un sitio, el navegador guarda una cookie de sesión que te mantiene autenticado. El problema es que esa cookie, si un atacante la roba —con malware tipo infostealer, por ejemplo—, le permite hacerse pasar por vos sin necesitar tu contraseña ni tu segundo factor. Es el clásico «session hijacking», y se volvió un negocio enorme para el cibercrimen.

Cómo funciona DBSC

Device Bound Session Credentials ata la sesión al dispositivo donde se creó, usando claves criptográficas resguardadas por el hardware. La idea es simple y potente: aunque alguien logre robar la cookie, esta deja de servir fuera del equipo original, porque el sitio puede verificar criptográficamente que la sesión sigue corriendo en el dispositivo legítimo. La cookie sola, sin el hardware, no alcanza.

Disponible para todos

Tras un período de pruebas, Google generalizó la función a todos los usuarios de Chrome. El precio a pagar es algo de fricción en escenarios multidispositivo, donde la sesión deja de ser tan trivialmente portable entre equipos. Es un intercambio razonable frente al nivel de sofisticación que alcanzaron los ataques de robo de sesión.

Un cambio de fondo en cómo se protege la sesión

DBSC mueve la defensa desde «esconder mejor la cookie» hacia «hacer que la cookie no sirva en otro lado». Es el tipo de cambio estructural que ataca la raíz del problema en vez del síntoma, y marca un camino que probablemente sigan otros navegadores y plataformas. ¿Tu organización ya contempla el robo de sesión dentro de su modelo de amenazas, o todavía piensa la seguridad de cuentas solo en clave de contraseñas y MFA? Contanos.

Fuentes

Escrito por

Pablo Ariel Di Loreto

Profesor. Informático. Fanático del helado de dulce de leche. Director de Ingeniería en MODO, y Secretario del Microsoft Users Group Asociación Civil. Además, soy owner de iniciativas como ConoSurTech y Aprender IT.

Ver todas las entradas de Pablo Ariel Di Loreto →

Must Read

Suscribirse
Notificarme de
guest

0 Comentarios
Viejos
Nuevos Más votados
Feedback entre líneas
Ver todos los Comentarios

Comienza a escribir y presioná "enter" para buscar
Scroll al inicio
0
Nos encantaría conocer tu opinión: ¡comenta!x