## Chrome Fortalece la Seguridad de Sesión con DBSC **Google** está reforzando la seguridad de **Chrome** con la introducción de las Credenciales de Sesión Vinculadas al Dispositivo (DBSC) en la versión 146, inicialmente para usuarios de Windows. Esta mejora tiene como objetivo neutralizar la amenaza del malware infostealer al prevenir la explotación de cookies de sesión robadas. El soporte para macOS está programado para un lanzamiento futuro.  El sistema DBSC funciona estableciendo un enlace criptográfico entre la sesión de un usuario y el hardware de su dispositivo, aprovechando el Módulo de Plataforma Confiable (TPM) en Windows y, en el futuro, el Secure Enclave en macOS. Esto asegura que las claves privadas necesarias para descifrar datos de sesión sensibles permanezcan seguras dentro del hardware. Dado que las claves públicas/privadas únicas para cifrar y descifrar datos sensibles son generadas por el chip de seguridad, no pueden ser exportadas de la máquina. Esto impide que el atacante utilice datos de sesión robados porque la clave privada única que los protege no puede ser exportada de la máquina. "La emisión de nuevas cookies de sesión de corta duración depende de que **Chrome** demuestre la posesión de la clave privada correspondiente al servidor", declaró **Google** en su anuncio. Sin esta clave, cualquier cookie de sesión exfiltrada se vuelve inmediatamente inválida. ### Cómo Funciona DBSC Una cookie de sesión actúa como un token de autenticación de larga duración, creado en el lado del servidor basándose en el nombre de usuario y la contraseña. Los atacantes a menudo apuntan a estas cookies utilizando malware especializado, como **LummaC2**, para eludir los métodos de autenticación tradicionales.  *Interacción navegador-servidor en el contexto del protocolo DBSC. Fuente: Google* "Crucialmente, una vez que el malware sofisticado ha obtenido acceso a una máquina, puede leer los archivos locales y la memoria donde los navegadores almacenan las cookies de autenticación. Como resultado, no hay una forma confiable de prevenir la exfiltración de cookies utilizando solo software en ningún sistema operativo", explicó **Google**. El protocolo DBSC está diseñado teniendo en cuenta la privacidad. Cada sesión está respaldada por una clave distinta, lo que impide que los sitios web correlacionen la actividad del usuario entre sesiones o sitios. El protocolo minimiza el intercambio de información, requiriendo solo la clave pública por sesión para la prueba de posesión y evitando la fuga de identificadores del dispositivo. ### Colaboración Industrial En pruebas con plataformas como **Okta**, **Google** observó una reducción significativa en los incidentes de robo de sesiones. **Google** colaboró con **Microsoft** para desarrollar DBSC como un estándar web abierto, incorporando comentarios de la comunidad de seguridad web. Los sitios web pueden implementar DBSC agregando puntos finales dedicados de registro y actualización a sus backends, asegurando la compatibilidad con los frontends existentes. Los desarrolladores pueden encontrar detalles de implementación en la guía y especificaciones de **Google** en el sitio web del Consorcio World Wide Web (W3C), con un explicador disponible en GitHub.