Si alguna vez has marcado la opción “mantener sesión iniciada” para evitar escribir tu contraseña cada vez que entras a un sitio web, esta novedad de Google Chrome te afecta directamente.
En la versión de Chrome para Windows ya está disponible de manera general la función llamada Credenciales de sesión vinculadas al dispositivo (DBSC). En Google Workspace, esta opción se activó por defecto.
Para entender cómo funciona, hay que recordar que cuando una persona inicia sesión en un sitio, ese servicio entrega un token y el navegador lo guarda en una cookie para mantener la cuenta conectada sin tener que pedir la contraseña constantemente.
El problema surge si un atacante logra copiar esa cookie o token: puede intentar usarla para hacerse pasar por el usuario. DBSC busca eliminar esa posibilidad.
Qué cambia con DBSC en Chrome para Windows
DBSC “ata” la cookie de sesión al dispositivo desde el que el usuario se autenticó. En la práctica, si un delincuente extrae la cookie y la traslada a otra computadora, no debería funcionar.
Según Google, esta protección fortalece la seguridad después del inicio de sesión y dificulta explotar credenciales de sesión robadas, incluso si hay malware en el equipo.
Cómo auditar eventos de vinculación de sesión
Para monitorear el comportamiento de la función, los administradores pueden revisar los registros de auditoría desde la herramienta de investigación de seguridad. Ese monitoreo ayuda a detectar eventos de vinculación y a evaluar si DBSC opera como se espera en los equipos con Windows.
Cookies y tokens al iniciar sesión: qué son
Cuando inicias sesión en un sitio web (correo, banco, redes sociales), el sistema necesita una forma de “recordar” que ya te autenticaste para no pedir tu contraseña en cada clic. Para eso se usan cookies y tokens, dos piezas clave del inicio de sesión moderno.
Una cookie es un archivo pequeño que el sitio le pide al navegador guardar. Suele incluir un identificador y preferencias básicas (por ejemplo, idioma), pero en el caso de cuentas también puede guardar un dato que referencia tu sesión.
Las cookies tienen reglas: pueden expirar, limitarse a un dominio y marcarse como “solo por HTTPS” o “no accesible desde JavaScript”, según cómo el sitio las configure.
Un token, en cambio, es una credencial digital que representa tu sesión o tu autorización. Puede ser un valor opaco (una cadena sin significado visible) o un token estructurado.
El servidor lo emite después de que te validaste con usuario, contraseña, biometría o segundo factor. Desde ese momento, el navegador lo presenta en cada solicitud para demostrar que la sesión sigue activa, sin volver a enviar la contraseña.
En la práctica, muchas plataformas usan tokens dentro de cookies: el navegador guarda la cookie y la envía automáticamente al sitio en cada visita.
Eso mejora la experiencia, pero introduce un riesgo: si alguien roba esa cookie o token (por malware, phishing o una computadora comprometida), puede intentar entrar como si fueras tú hasta que la sesión expire o se revoque.
Por eso son importantes medidas como el cierre de sesión, la verificación en dos pasos y protecciones que limiten el uso del token a un dispositivo.
Qué es la verificación en dos pasos
La verificación en dos pasos es una medida de seguridad que agrega una segunda prueba de identidad al inicio de sesión.
Además de la contraseña, el servicio pide un código temporal o una confirmación desde otro factor: una app autenticadora, un mensaje SMS, una llamada, una notificación al teléfono o una llave física de seguridad.
Así, aunque un atacante consiga tu contraseña, le falta el segundo elemento para entrar. La verificación en dos pasos reduce el riesgo de accesos no autorizados, especialmente ante filtraciones de contraseñas, phishing y reutilización de claves en distintos sitios.
Fuente: Infobae