Google ha activado en Chrome una defensa silenciosa contra un tipo de ataque cada vez más habitual: el robo de sesiones mediante la extracción de cookies y otros archivos de autenticación. La nueva función busca que copiar credenciales desde un disco duro ya no sirva para suplantar identidades en la red, y lo hace sin pedir ninguna acción al usuario.
La protección —conocida por sus siglas en inglés como DBSC— se está desplegando para cuentas personales y de Google Workspace y actúa en segundo plano, integrándose con el hardware del equipo para invalidar credenciales clonadas. A continuación explicamos cómo funciona, qué cambia para los usuarios y qué supone para los atacantes.
Qué protege DBSC y por qué era necesaria esta barrera
En los últimos años han proliferado ataques en los que el software malicioso extrae cookies y archivos de sesión del equipo víctima. Con esos datos, los delincuentes pueden acceder a cuentas sin conocer la contraseña ni superar la verificación en dos pasos, simplemente trasladando los ficheros a otra máquina.
- Robo de cookies: malware que copia los archivos de sesión almacenados en el disco.
- Clonación de perfil: uso de esos ficheros en un dispositivo distinto para hacerse pasar por el usuario.
- Mercado de credenciales: venta y reventa de accesos que funcionan indefinidamente.
DBSC pretende cortar ese flujo: en lugar de que los datos de acceso sean simples pases transportables, Chrome los liga al equipo físico desde el que se inició sesión.
Cómo liga Chrome tus credenciales al equipo (explicación técnica pero clara)
La idea central es mover la prueba de identidad hacia el hardware mediante criptografía. Cuando te autenticas en un servicio compatible, el navegador genera un par de claves y guarda la clave privada dentro del chip de seguridad del ordenador, que no permite su exportación.
Elementos clave del proceso
- Generación de clave: Chrome crea un par de claves únicas por sesión o por cuenta, según la implementación.
- Almacenamiento seguro: la clave privada queda cifrada y anclada al chip de seguridad (por ejemplo, un TPM o elemento equivalente).
- Verificación continua: el servidor exige pruebas criptográficas periódicas para renovar cookies o tokens.
Si un atacante copia las cookies desde el disco, esos ficheros serán insuficientes: el servidor requerirá una firma generada por la clave privada que solo puede emitir el chip original. En la práctica, eso convierte a las credenciales robadas en material inútil fuera del equipo comprometido.
Qué implica esto para el usuario: activación, configuración y rendimiento
Google ha diseñado DBSC para que funcione sin que los usuarios tengan que involucrarse. La protección se activa por defecto en Chrome en cuentas personales y de empresa, y su despliegue será progresivo.
- Sin configuración manual: no es necesario abrir menús ni cambiar ajustes.
- Operación invisible: la experiencia de navegación y el rendimiento no deben verse afectados en el uso cotidiano.
- Compatibilidad: la renovación de sesiones y la verificación se ejecutan automáticamente cuando se accede a servicios que lo soportan.
La implementación gradual significa que algunos usuarios verán la protección antes que otros, pero cuando esté activa estará habilitada por defecto y no requerirá intervención administrativa para la mayoría de las cuentas.
Consecuencias para los ciberdelincuentes y el mercado de credenciales
Al depender de un elemento físico dentro del equipo, DBSC cambia las reglas del juego para quienes comercian con accesos comprometidos. Aunque un malware con control total del sistema podría actuar mientras permanece activo, los credenciales pierden valor si se extraen y se intentan reutilizar fuera del dispositivo.
- Los vendedores de bases de datos de credenciales verán reducirse la eficacia de sus productos.
- Los atacantes que sólo cuentan con archivos clonados necesitarán comprometer también el hardware o mantener acceso persistente al equipo original.
- Si la infección es eliminada, la capacidad de los atacantes para utilizar las sesiones robadas desaparece.
Despliegue y buenas prácticas para empresas y usuarios
Google ha anunciado el inicio del despliegue para todas las cuentas personales y de Google Workspace. La activación será por defecto y gradual, por lo que no habrá que modificar la configuración del navegador en la mayoría de los casos.
Recomendaciones prácticas
- Actualizar Chrome a la versión más reciente para recibir DBSC en cuanto esté disponible.
- Mantener el sistema operativo y el firmware del equipo actualizados, ya que la protección depende del hardware de seguridad.
- Seguir buenas prácticas: usar contraseñas robustas, activar 2FA cuando sea posible y evitar instalar software de origen dudoso.
Google sostiene que limitar la utilidad temporal de las credenciales robadas será un paso importante para reducir el mercado negro de accesos y las campañas de suplantación masiva. La medida también obliga a los atacantes a elevar su sofisticación, porque ya no basta con copiar ficheros desde el disco.
Artículos similares
- Gestor de contraseñas de Google: qué es, dónde encontrarlo y trucos útiles
- Chrome dejará de recibir actualizaciones en esta versión de macOS, advierte Google
- Google: oculta la IA al buscar con este ajuste y elimínala para siempre
- Cuentas online antiguas: por qué son un peligro y cómo borrarlas
- Extensión de Chrome para Claude: evita quedarte sin créditos
Tomás Villalba es un periodista especializado en ciencia y tecnología. Sus artículos destacan la inteligencia artificial, el espacio, la robótica y las innovaciones digitales que están transformando el mundo. Con un estilo claro y preciso, ayuda a los lectores a comprender los avances que influyen en su vida diaria.
