# Google Chrome Implementa Credenciales de Sesión Vinculadas al Dispositivo para Mitigar el Robo de Sesiones **Google** ha lanzado oficialmente las **Credenciales de Sesión Vinculadas al Dispositivo (DBSC)** para todos los usuarios de Windows de su navegador web **Chrome**, tras una fase de pruebas beta abierta. Esta mejora de seguridad tiene como objetivo combatir la amenaza generalizada del robo de sesiones, con planes de extender la función a macOS en futuras versiones.  ## Abordando la Amenaza del Robo de Sesiones El robo de sesiones implica la extracción no autorizada de cookies de sesión del navegador web de un usuario, a menudo facilitada por malware que roba información como Atomic, Lumma y Vidar Stealer. Estas cookies, que pueden tener una vida útil prolongada, permiten a los atacantes acceder a cuentas en línea sin necesidad de contraseñas. Los tokens robados se venden frecuentemente a otros ciberdelincuentes, lo que permite actividades maliciosas adicionales. ## Cómo Funciona DBSC Anunciado por primera vez en abril de 2024, **DBSC** mitiga este riesgo al vincular criptográficamente las sesiones de autenticación a un dispositivo específico. Esto se logra utilizando módulos de seguridad respaldados por hardware, como el Trusted Platform Module (**TPM**) en Windows y el Secure Enclave en macOS, para generar un par de claves pública/privada único que no se puede exportar del dispositivo.  **Google** explica que la emisión de nuevas cookies de sesión de corta duración depende de que **Chrome** demuestre la posesión de la clave privada correspondiente al servidor. Dado que los atacantes no pueden robar esta clave, cualquier cookie exfiltrada expira rápidamente y se vuelve inútil. En casos donde un dispositivo carece de soporte para almacenamiento seguro de claves, **DBSC** vuelve sin problemas al comportamiento estándar sin interrumpir el proceso de autenticación. ## Éxito Temprano y Planes Futuros **Google** informa una reducción significativa en el robo de sesiones desde el lanzamiento inicial de **DBSC**, lo que indica la efectividad de esta contramedida. La compañía planea expandir **DBSC** a una gama más amplia de dispositivos e introducir funciones avanzadas para una mejor integración con entornos empresariales. ## Diseño Centrado en la Privacidad **Google**, en colaboración con **Microsoft**, diseñó el estándar **DBSC** con la privacidad en mente, con el objetivo de establecerlo como un estándar web abierto. La arquitectura garantiza que los sitios web no puedan utilizar las credenciales de sesión para correlacionar la actividad del usuario entre diferentes sesiones o sitios en el mismo dispositivo. El protocolo está diseñado para ser ligero, evitando la fuga de identificadores de dispositivo o datos de atestación más allá de la clave pública por sesión requerida para la prueba de posesión. Este intercambio mínimo de información garantiza que **DBSC** asegure las sesiones sin permitir el seguimiento entre sitios ni actuar como un mecanismo de huella digital del dispositivo.