Una solución innovadora contra el robo de cookies de sesión.
Google está desarrollando una nueva función de seguridad para Chrome con el objetivo de proteger las cookies de sesión y evitar el acceso no autorizado a cuentas de usuario. Esta función, llamada Credenciales de Sesión Vinculadas al Dispositivo (DBSC por sus siglas en inglés), busca contrarrestar los ataques cibernéticos cada vez más sofisticados.
Las cookies de sesión, esenciales para mantener una sesión activa en sitios web, pueden ser objeto de ataques como el «pass-the-cookie», que permite a los hackers suplantar la identidad del usuario sin autenticación adicional. La solución de Google, DBSC, vincula las sesiones de autenticación al dispositivo del usuario, lo que hace que las cookies robadas sean inútiles para los atacantes, a menos que puedan actuar localmente en el dispositivo comprometido.
DBSC: Vinculando la autenticación al dispositivo del usuario.
Esta función crea un nuevo par de claves pública/privada en el dispositivo del usuario y utiliza sistemas como los Módulos de Plataforma de Confianza (TPMs) para proteger la clave privada. Cada sesión estará asociada con una clave pública, lo que permite a los servidores verificar la autenticidad del dispositivo que accede al recurso.
DBSC mantiene las cookies de corta duración a través de un punto final definido, lo que reduce los cambios necesarios en los sitios web y aplicaciones. Además, garantiza la privacidad de los usuarios al no permitir que los sitios correlacionen claves de diferentes sesiones en el mismo dispositivo, y permite a los usuarios eliminar las claves cuando lo deseen.
Google espera que DBSC se convierta en un estándar web abierto, con diversos actores de la industria interesados en su implementación para proteger a los usuarios contra el robo de cookies. Esta medida representa un avance significativo en la seguridad en línea y promete mejorar la experiencia del usuario en términos de privacidad y seguridad.
Paulina Jara