Google eliminó la vulnerabilidad en Chrome, haciendo que las cookies robadas fueran ineficaces

Google añadió protección contra el robo de cookies de sesión en Chrome 146

*La nueva tecnología – Device Bound Session Credentials (DBSC) – vincula criptográficamente las sesiones activas de los usuarios a la infraestructura física de sus dispositivos.*

¿Qué cambió?
Plataforma | Cómo funciona la protección
---|---
Windows | Utiliza el módulo Trusted Platform Module (TPM). El chip genera claves únicas que no se pueden exportar. Las nuevas cookies de sesión solo se emiten después de confirmar que Chrome posee la clave privada.
macOS | La protección se añadirá en una futura actualización del navegador a través de Secure Enclave, equivalente al TPM.

¿Cómo funciona?
1. Al crear una nueva sesión, Chrome genera una clave pública/privada vinculada al chip de seguridad.
2. El servidor recibe solo la clave pública y la usa para cifrar la cookie de sesión.
3. Para acceder a los datos, el cliente debe demostrar posesión de la clave privada – lo cual es posible únicamente en el mismo dispositivo.
4. Si un atacante roba la cookie pero no tiene acceso al chip, la sesión se invalida inmediatamente.

¿Por qué importa?
* Las cookies de sesión son tokens de autenticación que permiten a los usuarios acceder a servicios sin volver a introducir su contraseña.
* Malware (infostealers) como LummaC2 lee estos archivos y la memoria del navegador para robar datos.
* Los métodos de protección basados en software no siempre son efectivos; si un atacante obtiene acceso físico al equipo, puede obtener cookies de cualquier complejidad.

DBSC minimiza el intercambio de datos: solo se envía la clave pública al servidor, mientras que el identificador del dispositivo permanece oculto. Cada sesión está protegida por una clave única, lo que dificulta rastrear la actividad del usuario entre sesiones distintas.

Pruebas y soporte
* Google probó una versión temprana de DBSC con varias plataformas web (incluido Okta).
* Se registró una reducción notable en el robo de sesiones.
* El protocolo se desarrolló en colaboración con Microsoft como estándar web abierto y recibió la aprobación de expertos en seguridad web.

¿Cómo pueden los sitios aprovecharlo?
1. Añada puntos de registro y actualización de cookies de sesión que utilicen DBSC en su backend.
2. Esto no afectará al frontend existente; la compatibilidad se mantiene.

Las especificaciones están disponibles en el sitio de W3C, y una guía detallada de implementación se puede encontrar en la documentación de Google y en los repositorios de GitHub.

Conclusión: La nueva función de Chrome 146 ofrece una protección más fiable contra el robo de cookies de sesión al vincularlas con la infraestructura física del usuario. Esto hace que los tokens robados sean inútiles casi instantáneamente y mejora la seguridad general de las aplicaciones web.