Es sabido que a los hackers se les hace agua la boca con las cookies, y no precisamente porque disfruten de los dulces. El incremento de las medidas de seguridad para iniciar sesión, como la autenticación multifactor, que les dificulta apropiarse de las contraseñas, ha ocasionado que su plan de constante de robar datos se haya desplazado a las cookies de autenticación del navegador.
Las galletas, cuya función es recordar preferencias de navegación, como el idioma o la moneda, también mantienen la sesión activa para facilitar la experiencia de usuario, pero pueden ser sustraídas a través de malware y utilizadas para actividades delictivas o para vender las cuentas comprometidas a otros ciberdelincuentes.
Por este motivo, Google está elaborando una nueva tecnología que aplicará al navegador Chrome que se llama DBSC (Device Bound Session Credentials) o Credenciales de sesión vinculadas al dispositivo, para brindar mayor protección a los usuarios frente al robo de sus cookies.
Este prototipo consiste en vincular las sesiones de autenticación a un dispositivo específico y lograr, de esta manera, que las cookies robadas sean inútiles si se utilizan fuera de él, es decir que, si un atacante logra apoderarse de ellas, no podrá usarlas en otro dispositivo porque no tendrá la clave privada correspondiente.
Cómo funcionará la API DBSC
Según explican desde el blog Chromium, esta nueva función permitirá que cuando el usuario inicie una nueva sesión con un navegador específico en un dispositivo, se cree un par de claves pública/privada que se almacenará en el sistema operativo de ese dispositivo. El objetivo es que la clave privada sea difícil de exportar y esté protegida por Módulos de plataforma segura (TPM).
Concretamente, “la API permite a un servidor asociar una sesión con esta clave pública, como reemplazo o aumento de las cookies existentes, y verificar la prueba de posesión de la clave privada durante toda la vida de la sesión. Para que esto sea factible desde el punto de vista de la latencia y para ayudar a las migraciones de soluciones basadas en cookies existentes, DBSC utiliza estas claves para mantener la frescura de las cookies de corta duración a través de un punto final dedicado definido por DBSC en el sitio web”.
Además, cada sesión tendrá una clave única y esta nueva función de seguridad garantizará que no haya seguimiento de los usuarios al no permitir que los sitios correlacionen claves de diferentes sesiones en el mismo dispositivo.
También es importante señalar que el usuario podrá eliminar las claves creadas en cualquier momento eliminando los datos del sitio en la configuración de Chrome.
Otros proveedores, como Okta y Microsoft Edge, se han mostrado interesados en aplicar esta tecnología para proteger a sus usuarios del robo de cookies, por lo que el proyecto se está desarrollando abiertamente en GitHub con el objetivo de convertirse en un estándar web abierto.
Dado que el prototipo aún está en una etapa de creación y experimentación con usuarios que ejecutan Chrome Beta, el plan de Google es permitir pruebas para todos los sitios web interesados para finales de 2024.