Google ha hecho Credenciales de sesión vinculadas al dispositivo (DBSC) generalmente disponible para todos los usuarios de Windows de su navegador web Chrome, meses después de que comenzara a probar la función de seguridad en versión beta abierta.
La disponibilidad pública está actualmente limitada a usuarios de Windows en Chrome 146, y la expansión de macOS está planificada en una próxima versión de Chrome.
«Este proyecto representa un importante paso adelante en nuestros esfuerzos continuos para combatir el robo de sesiones, que sigue siendo una amenaza frecuente en el panorama de seguridad moderno», dijeron los equipos de Chrome y Seguridad de cuentas de Google en una publicación del jueves.
El robo de sesión implica la filtración encubierta de cookies de sesión del navegador web, ya sea reuniendo las existentes o esperando a que la víctima inicie sesión en una cuenta en un servidor controlado por un atacante.
Normalmente, esto sucede cuando los usuarios descargan inadvertidamente malware para robar información en sus sistemas. Estas familias de malware ladrón (de las cuales hay muchas, como Atomic, Lumma y Vidar Stealer) tienen capacidades para recopilar una amplia gama de información de los sistemas comprometidos, incluidas las cookies.
Debido a que las cookies de sesión suelen tener una vida útil más prolongada, los atacantes pueden aprovecharlas para obtener acceso no autorizado a las cuentas en línea de las víctimas sin tener que conocer sus contraseñas. Una vez recolectados, estos tokens se empaquetan y venden a otros actores de amenazas para obtener ganancias financieras. Los ciberdelincuentes que los adquieran pueden realizar sus propios ataques.
DBSC, anunciado por primera vez por Google en abril de 2024, tiene como objetivo contrarrestar este abuso vinculando criptográficamente la sesión de autenticación a un dispositivo específico. Al hacerlo, la idea es hacer que las cookies pierdan su valor incluso si son robadas por malware.
«Lo hace utilizando módulos de seguridad respaldados por hardware, como el Módulo de plataforma segura (TPM) en Windows y Secure Enclave en macOS, para generar un par de claves pública/privada único que no se puede exportar desde la máquina», explicó Google.
«La emisión de nuevas cookies de sesión de corta duración depende de que Chrome demuestre la posesión de la clave privada correspondiente al servidor. Debido a que los atacantes no pueden robar esta clave, cualquier cookie exfiltrada caducará rápidamente y se volverá inútil para esos atacantes».
En caso de que el dispositivo de un usuario no admita el almacenamiento seguro de claves, DBSC vuelve elegantemente al comportamiento estándar sin interrumpir el flujo de autenticación, dijo Google en su documentación para desarrolladores.
El gigante tecnológico dijo que ha observado una reducción significativa en el robo de sesiones desde su lanzamiento, una indicación temprana del éxito de la contramedida. El lanzamiento oficial es solo el comienzo, ya que la compañía planea llevar DBSC a una gama más amplia de dispositivos e introducir capacidades avanzadas para integrarse mejor con entornos empresariales.
Google, que trabajó con Microsoft para diseñar el estándar con el objetivo de convertirlo en un estándar web abierto, también enfatizó que la arquitectura DBSC es privada por diseño y que el enfoque de clave distinta garantiza que los sitios web no puedan usar las credenciales de sesión para correlacionar la actividad de un usuario en diferentes sesiones o sitios en el mismo dispositivo.
«Además, el protocolo está diseñado para ser sencillo: no filtra identificadores de dispositivos ni datos de certificación al servidor más allá de la clave pública por sesión requerida para certificar la prueba de posesión», añadió. «Este intercambio mínimo de información garantiza que DBSC ayude a proteger las sesiones sin permitir el seguimiento entre sitios ni actuar como un mecanismo de toma de huellas digitales del dispositivo».