Chrome refuerza la protección contra el robo de cookies
Google Chrome está incorporando una función de seguridad diseñada para reducir uno de los ataques más peligrosos y menos visibles en internet: el robo de cookies de sesión. Esta técnica permite que un ciberdelincuente pueda acceder a una cuenta incluso después de que el usuario haya iniciado sesión correctamente y, en algunos casos, aunque tenga activada la autenticación en dos pasos.
La nueva protección se llama Device Bound Session Credentials, conocida por sus siglas DBSC. Su objetivo es vincular criptográficamente la sesión de inicio de sesión al dispositivo desde el cual el usuario se autenticó. De esta manera, si un malware roba cookies de sesión y las envía a un atacante, esas cookies no deberían poder reutilizarse fácilmente desde otro equipo. Google explica que DBSC busca reducir el valor de las cookies robadas, porque el atacante también necesitaría demostrar posesión de una clave privada almacenada de forma segura en el dispositivo original.
Qué son las cookies de sesión
Las cookies de sesión son pequeños archivos que los sitios web usan para recordar que un usuario ya inició sesión. Gracias a ellas, no es necesario escribir la contraseña en cada página que se abre dentro de un mismo servicio.
Por ejemplo, cuando se inicia sesión en una cuenta de correo, una red social o una plataforma de trabajo, el navegador guarda una cookie que permite mantener activa esa sesión. El problema aparece cuando un malware logra robar esa cookie. Si el atacante consigue usarla en otro equipo, puede intentar entrar en la cuenta sin conocer necesariamente la contraseña.
| Elemento | Función |
|---|---|
| Usuario | Inicia sesión con contraseña, passkey o segundo factor |
| Sitio web | Crea una sesión autenticada |
| Navegador | Guarda cookies de sesión |
| Cookie robada | Puede permitir secuestro de sesión |
| DBSC | Busca vincular la sesión al dispositivo original |
Por eso el robo de cookies es especialmente grave: puede convertir una sesión legítima en una puerta de entrada para un tercero.
Por qué el robo de cookies es tan peligroso
Muchas personas creen que una contraseña fuerte y la autenticación en dos pasos son suficientes. Aunque ambas medidas son fundamentales, el robo de cookies ataca una etapa posterior: cuando el usuario ya inició sesión.
Google señala que el robo de sesiones suele ocurrir cuando el usuario descarga sin darse cuenta malware en su dispositivo. Una vez activo, ese malware puede extraer cookies existentes del navegador o esperar a que el usuario inicie sesión en nuevas cuentas para robar esos tokens.
Esto es frecuente en ataques con malware tipo infostealer, diseñado para robar credenciales, tokens, cookies, datos del navegador, billeteras digitales y otra información sensible.
Qué es Device Bound Session Credentials
Device Bound Session Credentials es una tecnología que busca ligar una sesión web a un dispositivo específico. Según la documentación técnica de Chrome, DBSC añade una capa de seguridad respaldada por hardware para mitigar el secuestro de sesiones y proteger sesiones autenticadas frente al robo de cookies.
La idea central es sencilla: una cookie robada no debería bastar para acceder desde otro dispositivo. El navegador debe demostrar que la sesión sigue ejecutándose en el equipo original.
Para lograrlo, DBSC usa claves criptográficas asociadas al dispositivo. En Windows, por ejemplo, puede apoyarse en módulos de seguridad como TPM, que permiten generar claves protegidas por hardware. Google indica que estas claves no pueden exportarse fácilmente fuera de la máquina, lo que dificulta que un atacante las robe junto con las cookies.
Cómo funciona DBSC de forma sencilla
El funcionamiento puede explicarse en cuatro pasos:
| Paso | Qué ocurre |
|---|---|
| 1. Inicio de sesión | El usuario accede a una cuenta desde Chrome |
| 2. Vinculación | La sesión se asocia criptográficamente al dispositivo |
| 3. Renovación de cookies | Chrome debe demostrar posesión de la clave privada |
| 4. Protección | Si la cookie se roba, pierde utilidad fuera del equipo original |
En otras palabras, DBSC no solo protege el archivo de cookie. Cambia la lógica de confianza: el sitio web puede pedir al navegador una prueba de que la sesión pertenece al mismo dispositivo donde se inició.
Chrome 146 y disponibilidad en Windows
La función comenzó como una propuesta y prueba técnica, pero ya está llegando de forma más amplia. Google había anunciado el proyecto en 2024 como una capacidad web para combatir el robo de cookies mediante sesiones vinculadas al dispositivo.
Posteriormente, Chrome la ofreció como prueba de origen en Chrome 135 para que desarrolladores pudieran experimentar con la integración.
Reportes recientes indican que DBSC está disponible de forma general en Chrome 146 para Windows, mientras que la compatibilidad con macOS llegará en una versión posterior.
Esto significa que, en equipos Windows compatibles y con Chrome actualizado, la protección comienza a formar parte del navegador. Sin embargo, su efectividad también depende de que los sitios web adopten o integren correctamente esta capacidad en sus flujos de autenticación.
¿Hay que activar algo manualmente?
Para el usuario común, la recomendación principal es mantener Chrome actualizado. DBSC es una tecnología que funciona entre el navegador y los sitios web compatibles. No siempre aparecerá como un botón visible de “activar protección contra cookies robadas”.
En el ámbito empresarial o de Google Workspace, los administradores pueden tener controles específicos para habilitar o gestionar esta protección. Google Workspace informó que DBSC está disponible para Chrome en Windows y ayuda a prevenir secuestros de cuenta al vincular cookies de sesión al dispositivo desde el cual el usuario se autenticó.
Por tanto, hay dos niveles:
| Usuario | Qué debe hacer |
|---|---|
| Usuario personal | Mantener Chrome actualizado y usar buenas prácticas de seguridad |
| Empresa o institución | Revisar políticas de Chrome, Workspace y controles administrativos |
| Desarrollador web | Evaluar integración de DBSC en flujos de autenticación |
| Administrador TI | Confirmar compatibilidad, despliegue y políticas de seguridad |
Si una página promete una “descarga” externa para activar esta función, conviene desconfiar. La protección debe venir desde Chrome y los servicios compatibles, no desde instaladores no oficiales.
Qué problema intenta resolver
DBSC intenta reducir la utilidad de las cookies robadas. Tradicionalmente, si un malware robaba una cookie de sesión válida, podía enviarla a un servidor controlado por el atacante. Luego, el atacante podía intentar usar esa cookie desde otra máquina para acceder a la cuenta.
Con DBSC, la cookie por sí sola pierde valor, porque el navegador necesita demostrar que posee una clave privada vinculada al dispositivo original. Como esa clave no debería poder exportarse, el atacante tiene más dificultades para usar la sesión robada desde otro equipo.
Google resume este enfoque señalando que, al vincular las sesiones de autenticación al dispositivo, se busca desarticular la industria del robo de cookies, ya que extraerlas ya no tendría el mismo valor.
Qué no soluciona esta función
DBSC es un avance importante, pero no elimina todos los riesgos. No debe interpretarse como una protección absoluta contra el malware ni contra todo tipo de robo de información.
DBSC puede ayudar contra:
- uso remoto de cookies robadas;
- secuestro de sesiones desde otro dispositivo;
- ataques basados en reutilización de cookies;
- ciertos escenarios de malware infostealer.
Pero no elimina por completo:
- robo de contraseñas;
- phishing;
- instalación de malware;
- extensiones maliciosas;
- robo de archivos;
- control remoto del equipo;
- captura de pantalla;
- keyloggers;
- ataques locales en el mismo dispositivo.
Si el atacante controla el equipo del usuario, el riesgo sigue siendo alto. DBSC dificulta la reutilización externa de cookies, pero no convierte a un equipo infectado en seguro.
Por qué esto importa para usuarios comunes
Muchos ataques modernos no buscan únicamente la contraseña. Buscan robar la sesión activa. Esto permite saltarse parte de las defensas tradicionales. Por ejemplo, si el usuario ya superó el segundo factor de autenticación, una cookie robada podría intentar reutilizar esa sesión.
Por eso, esta función es importante para cualquier persona que use:
| Servicio | Riesgo si roban la sesión |
|---|---|
| Correo electrónico | Acceso a mensajes, recuperación de otras cuentas |
| Redes sociales | Suplantación, spam, fraude |
| Bancos o fintech | Riesgo financiero |
| Plataformas educativas | Acceso a datos académicos |
| Sistemas empresariales | Robo de información corporativa |
| Tiendas online | Compras no autorizadas |
| Nube personal | Acceso a documentos y archivos |
El correo electrónico es especialmente crítico, porque suele ser la llave de recuperación de muchas otras cuentas.
Recomendaciones para activar la protección indirectamente
Aunque DBSC no siempre sea una opción manual visible, el usuario puede fortalecer su seguridad siguiendo estas acciones:
- Actualizar Chrome a la versión más reciente.
- Evitar instalar extensiones desconocidas.
- Descargar programas solo desde sitios oficiales.
- Usar passkeys cuando estén disponibles.
- Mantener activada la autenticación en dos pasos.
- Revisar sesiones activas en cuentas importantes.
- Cerrar sesión en dispositivos que no se usan.
- Usar antivirus o protección antimalware actualizada.
- Evitar archivos adjuntos sospechosos.
- No ejecutar supuestos “activadores”, cracks o instaladores no verificados.
DBSC ayuda, pero debe formar parte de una estrategia de seguridad más amplia.
Cómo revisar si Chrome está actualizado
El procedimiento general es:
- Abrir Google Chrome.
- Ir al menú de tres puntos.
- Seleccionar Ayuda.
- Entrar en Información de Google Chrome.
- Esperar a que busque actualizaciones.
- Reiniciar el navegador si lo solicita.
Mantener el navegador actualizado es una de las medidas de seguridad más importantes, porque muchas defensas llegan mediante nuevas versiones.
Diferencia entre contraseña, 2FA y cookies de sesión
Es útil diferenciar estos elementos:
| Elemento | Qué protege |
|---|---|
| Contraseña | Entrada inicial a la cuenta |
| 2FA/MFA | Verificación adicional al iniciar sesión |
| Cookie de sesión | Mantiene la sesión activa después del inicio |
| DBSC | Intenta evitar que una sesión robada funcione en otro dispositivo |
| Passkey | Reemplaza o refuerza la autenticación con claves resistentes al phishing |
El robo de cookies ocurre después del inicio de sesión. Por eso, aunque el usuario tenga 2FA, la sesión puede seguir siendo un objetivo.
Relación con passkeys
Google también ha impulsado el uso de passkeys como mecanismo de autenticación más resistente al phishing. En el contexto empresarial, Google Workspace ha presentado DBSC junto con otras medidas de protección contra secuestro de cuentas, incluyendo passkeys y controles contra robo de tokens.
La combinación ideal sería:
- passkeys para reducir phishing y robo de contraseñas;
- DBSC para reducir reutilización de cookies robadas;
- antivirus y buenas prácticas para evitar malware;
- revisión de sesiones activas para detectar accesos sospechosos.
La seguridad moderna no depende de una sola barrera, sino de varias capas.
Implicaciones para empresas y docentes
Este tema también tiene valor educativo. En clases de informática, ciberseguridad, comercio electrónico o transformación digital, puede servir para explicar que una cuenta no se protege únicamente con contraseña.
Actividades sugeridas:
| Actividad | Objetivo |
|---|---|
| Explicar qué es una cookie de sesión | Comprender cómo se mantiene una sesión |
| Comparar contraseña, 2FA y cookies | Diferenciar capas de autenticación |
| Analizar un ataque de infostealer | Entender el robo de sesiones |
| Revisar configuración de Chrome | Promover hábitos de actualización |
| Debatir seguridad en navegadores | Evaluar riesgos cotidianos |
| Simular buenas prácticas | Crear checklist de protección digital |
Para estudiantes universitarios, es especialmente útil porque conecta conceptos técnicos con situaciones reales: robo de cuentas, suplantación, malware y protección del navegador.
Buenas prácticas para evitar robo de cookies
- No instalar extensiones innecesarias.
- Revisar permisos de extensiones instaladas.
- Evitar software pirata o cracks.
- No descargar supuestos optimizadores de PC.
- Mantener Windows y Chrome actualizados.
- Usar cuentas separadas para trabajo y uso personal.
- Cerrar sesión en equipos compartidos.
- Revisar accesos recientes en cuentas críticas.
- Activar passkeys o 2FA.
- Desconfiar de enlaces enviados por correo o mensajería.
El navegador es una puerta de entrada a casi toda la vida digital. Protegerlo es proteger cuentas, datos y reputación.
Preguntas frecuentes sobre protección de cookies en Chrome
¿Qué es DBSC en Chrome?
DBSC significa Device Bound Session Credentials. Es una tecnología que vincula sesiones de autenticación al dispositivo del usuario para reducir el riesgo de robo y reutilización de cookies de sesión.
¿Chrome ya tiene esta función?
Sí, la función ha pasado de pruebas a disponibilidad más amplia. Reportes recientes indican que DBSC está disponible en Chrome 146 para Windows, con soporte para macOS previsto en una versión posterior.
¿Tengo que descargar algo para activar DBSC?
No debe descargarse nada desde sitios externos. La protección forma parte de Chrome y de la integración con sitios compatibles. Para usuarios comunes, la medida principal es mantener Chrome actualizado.
¿DBSC evita todo robo de cuentas?
No. Reduce el riesgo de reutilización de cookies robadas, pero no elimina phishing, malware, robo de contraseñas, extensiones maliciosas ni ataques locales en el dispositivo.
¿Por qué una cookie robada puede ser peligrosa?
Porque puede mantener una sesión activa. Si un atacante logra reutilizarla, podría acceder a una cuenta sin conocer la contraseña del usuario.
¿DBSC reemplaza la autenticación en dos pasos?
No. DBSC complementa la autenticación en dos pasos. La 2FA protege el inicio de sesión; DBSC busca proteger la sesión después del inicio.
¿Sirve para empresas?
Sí. En entornos empresariales, DBSC puede ayudar a reducir secuestros de sesión y accesos no autorizados. Los administradores de Google Workspace tienen documentación específica para implementar protección contra robo de cookies mediante vinculación de sesión.
Recuerde que…
Proteger cookies en Chrome se ha vuelto una prioridad porque los atacantes ya no buscan solo contraseñas: también buscan sesiones activas. La función Device Bound Session Credentials añade una capa de seguridad al vincular la sesión al dispositivo original, haciendo más difícil que una cookie robada funcione desde otra máquina. Sin embargo, no reemplaza las buenas prácticas. Mantener Chrome actualizado, evitar extensiones sospechosas, usar passkeys o 2FA y no descargar software no confiable sigue siendo fundamental para reducir riesgos.
Pueden leer más contenido en fernandojuca.com así como videotutoriales y podcast en youtube.com/fernandojucamaldonado.
Ingeniero en Sistemas de Información y docente universitario en el área de tecnología. Especialista en el desarrollo de sitios web, plataformas e-commerce y entornos virtuales de aprendizaje basados en Moodle. Experiencia en soluciones tecnológicas aplicadas a la educación y a la transformación digital de organizaciones.
