**Google** afirma que la función de seguridad DBSC (Credenciales de Sesión Vinculadas al Dispositivo) de **Chrome** ya está disponible de forma general y se está implementando para todos los usuarios con el fin de prevenir la toma de control de cuentas. Disponible en beta desde abril, DBSC se anunció por primera vez en 2024 como una forma de vincular criptográficamente las cookies de sesión a un dispositivo específico, impidiendo que los hackers utilicen dichas cookies robadas para eludir la autenticación multifactor (MFA) y secuestrar las cuentas de los usuarios. ### Cómo Funciona DBSC DBSC funciona vinculando criptográficamente las sesiones de usuario al hardware, como el chip de seguridad de su computadora (por ejemplo, el Trusted Platform Module (TPM) en **Windows** y el Secure Enclave en **macOS**). Dado que las claves públicas/privadas únicas utilizadas para cifrar y descifrar datos sensibles son generadas por el chip de seguridad, no pueden ser robadas, lo que impide a los atacantes utilizar cookies de sesión robadas. "DBSC cambia fundamentalmente la capacidad de la web para defenderse de esta amenaza al pasar del paradigma de detección reactiva a la prevención proactiva, asegurando que las cookies exfiltradas con éxito no puedan ser utilizadas para acceder a las cuentas de los usuarios", dijo **Google** en abril. "DBSC fortalece la seguridad de la cuenta después de que los usuarios inician sesión y ayuda a vincular una cookie de sesión —pequeños archivos utilizados por los sitios web para recordar la información del usuario— al dispositivo desde el que un usuario se autenticó. Incluso si hubiera malware presente en el dispositivo del usuario, DBSC reduce el riesgo de robo de sesión y hace que sea significativamente más difícil para los actores maliciosos explotar las cookies de sesión robadas", añadió esta semana.  La función se está implementando ahora para todos los clientes de **Google Workspace**, suscriptores de Workspace Individual y usuarios con cuentas personales de **Google**. **Google** añadió que estará habilitada por defecto para todos los clientes de **Google Workspace** tras su implementación y que los administradores no podrán deshabilitarla. ### Abusos Pasados y Mitigación En el pasado, los actores de amenazas abusaron del endpoint no documentado de la API "MultiLogin" de **Google** OAuth para generar nuevas cookies de autenticación después de que expiraran las robadas. Las operaciones de malware de robo de información **Lumma** y **Rhadamanthys** también afirmaron que podían restaurar cookies de autenticación de **Google** caducadas robadas en ataques para obtener acceso a las cuentas de **Google** de los usuarios infectados. En ese momento, **Google** recomendó a los clientes que eliminaran el malware de sus dispositivos y recomendó habilitar el modo de seguridad Enhanced Safe Browsing de **Chrome** para defenderse de ataques de phishing y malware. Sin embargo, la nueva función de seguridad DBSC (Credenciales de Sesión Vinculadas al Dispositivo) de Chrome debería bloquear eficazmente a los actores maliciosos de abusar de dichas cookies robadas, ya que no tendrán acceso a las claves criptográficas necesarias para utilizarlas.