Las prácticas de seguridad tradicionales son excelentes herramientas para proteger su vida digital. Si utiliza una contraseña única para cada una de sus cuentas y configura la autenticación de dos factores (2FA) para cualquiera que la admita, los piratas informáticos tendrán dificultades para acceder a sus datos. Sin embargo, ni siquiera 2FA es infalible: los piratas informáticos todavía tienen herramientas para eludir sus medidas de seguridad y abrirse camino en sus espacios en línea, sin que sea culpa suya.
Afortunadamente, Google está implementando una nueva medida de seguridad que debería reducir estas vulnerabilidades. Mientras esté ejecutando la última versión de Chrome, las personas que quieran ingresar a sus cuentas ahora deberían enfrentar una batalla cuesta arriba más dura.
Cómo las cookies de sesión ponen en riesgo sus cuentas
Según lo informado por Bleeping Computer, Google lanzó oficialmente «Credenciales de sesión vinculadas al dispositivo» (DBSC) para Chrome esta semana. Sin embargo, para comprender DBSC, debe comprender cómo funcionan las cookies de sesión. Cuando inicia sesión en un sitio web en su navegador, ese sitio le emite una identificación única. Esta identificación se almacena como un pequeño archivo en su dispositivo: esta es la cookie de sesión. La idea es permitir que el sitio web lo rastree mientras lo usa, incluso cuando navega por sus distintas páginas web.
Hay varios usos para las cookies de sesión, incluidos carritos de compras y sitios web con varias páginas, pero a los efectos de esta explicación, lo importante que debe saber es que se utilizan para mantener su sesión de inicio de sesión. El sitio web puede utilizar la cookie de sesión para «recordar» que usted ha iniciado sesión, algo así como darle una pulsera cuando ingresa a un evento con entrada. De esa manera, no tendrá que volver a autenticarse cada vez que acceda al sitio: puede ingresar su contraseña e incluso un código 2FA una vez y poder regresar al sitio web sin repetir el proceso (al menos hasta que caduque la cookie de sesión).
Si bien se supone que las cookies de sesión solo residen en el dispositivo que las creó (y temporalmente), son un objetivo principal para los piratas informáticos. Si alguien puede robar las cookies de su sesión, puede suplantar su inicio de sesión en su dispositivo, incluso si el sitio web en cuestión utiliza 2FA para mayor seguridad. Por lo general, estos sitios web le solicitarán su nombre de usuario, contraseña y un código 2FA antes de permitir que se inicie sesión. Pero si un pirata informático roba su cookie de sesión, puede engañar al sitio web haciéndole creer que es usted en el dispositivo en el que ya se autenticó. En otras palabras, te han robado la pulsera y se la han puesto ellos mismos. Un portero no sabrá que lo robaron; solo verán que lo tienen y asumirán que su boleto ya fue verificado.
La nueva función de seguridad de Google Chrome evita el robo de cookies de sesión
DBSC funciona garantizando que las cookies de su sesión se almacenen en algún lugar de difícil acceso para los piratas informáticos. En el futuro, todas las cookies de sesión generadas en Chrome (y en otros navegadores basados en Chromium) se almacenarán en el Módulo de plataforma segura de su PC o en el Secure Enclave de su Mac. Estos chips están diseñados para almacenar datos confidenciales y protegerlos con cifrado. Sólo el chip de seguridad tiene las claves para descifrar la información allí. Eso significa que incluso si los piratas informáticos infectan con éxito su Mac o PC con malware, les resultará extremadamente difícil acceder al chip de seguridad y robar las cookies de sesión.
Google ha estado probando DBSC en versión beta desde abril, después de anunciarlo por primera vez en 2024. Ahora, está disponible para prácticamente todos los usuarios de Chrome, incluidos los usuarios de Workspace y Enterprise, así como aquellos con cuentas personales. Si bien el anuncio original de Google sólo indica explícitamente que la función está disponible en Chrome para Windows, su página de ayuda DBSC señala que también está disponible para Mac.
¿Qué opinas hasta ahora?
Cómo asegurarse de que está ejecutando DBSC en Chrome
Google dice que DBSC está habilitado de forma predeterminada para todos los usuarios de Workspace Chrome y que los administradores no pueden desactivarlo. La compañía no especifica si eso también se aplica a las cuentas personales, aunque es probable que así sea. Me comuniqué con Google para obtener una aclaración y actualizaré este artículo si recibo una respuesta.
Sin embargo, Google no parece estar agregando DBSC retroactivamente a todas las versiones de Chrome. Según la página de ayuda de DBSC, la función está disponible en Chrome versión 146 o posterior en Windows y en Chrome versión 148 o posterior en Mac. Para asegurarse de que está ejecutando DBSC, querrá instalar la última versión de Chrome por su parte, solo para estar seguro.
Para actualizar, haga clic en los tres puntos en la parte superior derecha, luego elija Ayuda > Acerca de Google Chrome. Permita que Chrome busque la última actualización y, si hay una disponible, elija «Reiniciar» para instalarla.