Chrome se blinda contra el robo de cookies

Google ha comenzado a desplegar una importante mejora de seguridad en Chrome destinada a frenar uno de los ataques más utilizados por el malware moderno: el robo de cookies de sesión. A partir de Chrome 146 en Windows, el navegador incorpora una nueva tecnología llamada Device Bound Session Credentials (DBSC), diseñada para impedir que los ciberdelincuentes reutilicen cookies robadas para acceder a cuentas de usuario. Se trata de una medida que busca reforzar la seguridad del navegador frente a una amenaza que en los últimos años se ha vuelto especialmente común en campañas de malware orientadas al robo de credenciales.

El robo de sesiones es una técnica relativamente habitual en el ecosistema del malware actual. Cuando un equipo se infecta con programas como los conocidos infostealers, estos pueden copiar las cookies almacenadas en el navegador y enviarlas a los servidores de los atacantes. Como esas cookies contienen tokens de sesión válidos, los delincuentes pueden acceder a cuentas online sin necesidad de conocer la contraseña ni superar mecanismos de autenticación multifactor. De hecho, este tipo de ataques se ha convertido en uno de los métodos preferidos de muchos grupos de ciberdelincuentes, que incluso llegan a vender sesiones activas de cuentas comprometidas en foros clandestinos.

La nueva tecnología de Chrome intenta cortar ese problema de raíz cambiando el enfoque de la defensa. En lugar de intentar detectar el robo de cookies una vez que ya ha ocurrido, DBSC vincula criptográficamente cada sesión web al dispositivo desde el que se creó, de modo que esas credenciales no pueden reutilizarse en otros equipos aunque los atacantes consigan extraerlas. De esta forma, incluso si el malware logra copiar las cookies del navegador, estas dejan de ser útiles fuera del dispositivo original.

Para conseguirlo, el navegador utiliza módulos de seguridad integrados en el hardware del dispositivo. En Windows se apoya en el Trusted Platform Module (TPM), mientras que en macOS empleará el Secure Enclave, soporte que llegará en una futura versión del navegador. Estos chips permiten generar pares de claves criptográficas cuya clave privada no puede copiarse ni exportarse fuera del dispositivo, lo que hace imposible que un atacante la utilice desde otra máquina incluso aunque consiga acceder a los archivos del navegador.

Cuando un sitio web emite una cookie de sesión compatible con este sistema, el servidor exige que el navegador demuestre que posee la clave privada correspondiente al dispositivo original. Si un atacante roba esa cookie y trata de utilizarla desde otro sistema, no podrá proporcionar esa prueba criptográfica, por lo que la sesión quedará invalidada. En la práctica, esto convierte las cookies robadas en credenciales inútiles fuera del equipo en el que se generaron originalmente.

Google asegura además que el sistema ha sido diseñado teniendo muy en cuenta la privacidad de los usuarios. Cada sesión web utiliza su propia clave independiente, lo que impide que los sitios puedan utilizar este mecanismo para rastrear la actividad del usuario entre diferentes páginas o construir identificadores persistentes del dispositivo. El sistema también limita la información que se comparte con los servidores, evitando que se filtren identificadores de hardware o datos que puedan emplearse para crear huellas digitales del dispositivo.

La compañía también ha indicado que esta tecnología forma parte de un estándar web abierto desarrollado en el W3C, en cuya definición han colaborado otras empresas del sector como Microsoft u Okta. Durante las fases iniciales de pruebas, Google asegura haber observado una reducción significativa en los intentos de robo de sesión. De cara al futuro, la compañía planea ampliar sus capacidades para proteger también procesos de autenticación más complejos, como sistemas de inicio de sesión único (SSO) en entornos empresariales, además de estudiar soluciones basadas en software para dispositivos más antiguos que no disponen de módulos de seguridad dedicados.

Más inormación