El robo de cookies es un problema serio en la web moderna. Las cookies son pequeños archivos que los sitios web usan para recordar información sobre tu visita, como mantener tu sesión iniciada o recordar tus preferencias de sitio. Sin embargo, esto también las convierte en un blanco atractivo para los atacantes, quienes pueden robar estas cookies para acceder a tus cuentas en línea.
Este tipo de malware, que a menudo se difunde mediante engaños, puede capturar todas las cookies de autenticación de tu navegador y enviarlas a servidores remotos, permitiendo a los atacantes vender cuentas comprometidas. Este método es especialmente problemático porque sucede después de iniciar sesión, por lo que el robo de cookies puede eludir medidas de seguridad como la autenticación de dos factores.
Para combatir este problema, Chrome está trabajando en una nueva tecnología llamada Device Bound Session Credentials (DBSC). Esta tecnología tiene como objetivo hacer que las cookies robadas sean inútiles al vincular las sesiones de autenticación al dispositivo en sí. Funciona permitiendo que un servidor inicie una sesión con un navegador específico en un dispositivo, creando un par de claves pública/privada en el dispositivo. La clave privada se almacena de manera segura y se hace difícil de exportar. Esto significa que, incluso si un atacante roba una cookie, no podrá usarla en otro dispositivo porque no tendrá la clave privada correspondiente.
DBSC también utiliza una API que permite a los servidores asociar una sesión con esta clave pública y verificar la posesión de la clave privada a lo largo de la vida de la sesión. Esto se logra manteniendo la frescura de las cookies de corta duración a través de un punto de acceso definido por DBSC, lo que facilita la migración de soluciones basadas en cookies existentes y asegura que la sesión permanezca en el mismo dispositivo.
Una parte clave de DBSC es su enfoque en la privacidad del usuario. La tecnología está diseñada para no permitir que los sitios web correlacionen claves de diferentes sesiones en el mismo dispositivo, lo que significa que no agrega seguimiento persistente de los usuarios. Además, cualquier clave creada se puede eliminar en cualquier momento eliminando los datos del sitio en la configuración de Chrome.
Inicialmente, se espera que Chrome soporte DBSC para aproximadamente la mitad de los usuarios de escritorio, basándose en las capacidades de hardware actuales de las máquinas de los usuarios. Chrome se compromete a desarrollar este estándar de manera que no se abuse de él para segmentar a los usuarios basándose en el hardware del cliente.
DBSC está alineado con la eliminación gradual de las cookies de terceros en Chrome, asegurando que no se convierta en un nuevo vector de seguimiento una vez que las cookies de terceros sean eliminadas, al tiempo que protege esas cookies mientras tanto.
Chrome actualmente está experimentando con un prototipo de DBSC para proteger a algunos usuarios de Cuentas de Google que usan Chrome Beta, con el objetivo de proporcionar una capa adicional de seguridad para las cuentas de Google y Google Workspace, así como para los clientes de Google Cloud. La tecnología también ha despertado interés en otros proveedores de servicios, proveedores de identidad como Okta, y navegadores como Microsoft Edge, quienes desean asegurar a sus usuarios contra el robo de cookies.