Google desplegó una actualización de seguridad en Chrome 146 para Windows que cambia la forma en que el navegador protege las sesiones de los usuarios. La función se llama Device Bound Session Credentials (DBSC) y apunta directamente contra el malware de tipo infostealer, diseñado para robar cookies de sesión.
El mecanismo es directo: las cookies quedan vinculadas al hardware del dispositivo mediante criptografía.
Cómo funciona la protección
DBSC utiliza el chip TPM (Trusted Platform Module) en Windows y el Secure Enclave en macOS para generar un par de claves único. Cuando una cookie de sesión caduca, Chrome debe demostrar que posee la clave privada antes de renovarla.
El resultado es que una cookie robada se vuelve inútil sin acceso físico al dispositivo original. La telemetría inicial de Google ya muestra una reducción medible en los intentos exitosos de secuestro de sesión en los servicios que adoptaron el protocolo.
Un problema creciente
El robo de cookies de sesión se convirtió en una de las técnicas más efectivas de los ciberdelincuentes. Permite a un atacante acceder a cuentas sin necesidad de contraseña ni autenticación de dos factores, simplemente replicando la sesión activa en otro equipo.
Con esta actualización, Google busca cerrar esa vía de ataque. El soporte para macOS llegará en una futura versión de Chrome.
