Actualidad
Google activa en Chrome una protección que dificulta el robo de cuentas mediante cookies
La función DBSC ya se despliega en Chrome para Windows y alcanza a usuarios de Google Workspace y cuentas personales; vincula la sesión al dispositivo para impedir accesos desde otra computadora.
Google comenzó a desplegar en Chrome para Windows una nueva protección contra el robo de cuentas mediante cookies de sesión, archivos que permiten mantener abierta una cuenta después del inicio de sesión. La herramienta se llama Device Bound Session Credentials (DBSC) y se activa por defecto para usuarios compatibles.
La novedad fue informada por Google Workspace el 28 de mayo de 2026. La empresa indicó que DBSC ya está disponible de forma general en el navegador para Windows y que el despliegue gradual comenzó el 25 de mayo, con un plazo de hasta 60 días para completar la disponibilidad.
La función alcanza a clientes de Google Workspace, suscriptores de Workspace Individual y usuarios con cuentas personales de Google. En el caso de Workspace, los administradores no deben realizar ninguna acción para habilitarla y tampoco existe un ajuste para desactivarla desde la consola.
Cómo actúan los atacantes
Las cookies de sesión permiten que una persona continúe conectada a Gmail, Drive u otros servicios sin ingresar su contraseña en cada visita. Sin embargo, también pueden convertirse en un objetivo para los ciberdelincuentes.
Cuando un usuario descarga un programa malicioso, el software puede extraer esas cookies del navegador y enviarlas a un atacante. Luego, el delincuente puede intentar abrir la cuenta desde otro equipo sin conocer la contraseña y, en algunos casos, sin atravesar la verificación en dos pasos.
Google señaló que familias de malware dedicadas al robo de información, como LummaC2, desarrollaron técnicas cada vez más avanzadas para obtener estas credenciales y comercializar accesos comprometidos.
Qué cambia con DBSC en Google Chrome
Con DBSC, Chrome vincula la sesión de inicio de sesión al dispositivo en el que fue creada. Para hacerlo, genera una clave pública y otra privada que quedan protegidas por componentes de seguridad del equipo.
En Windows, el sistema utiliza el Trusted Platform Module (TPM), un chip presente en la mayoría de los equipos compatibles con Windows 11. La clave privada no puede exportarse fácilmente del dispositivo.
De ese modo, aunque un atacante consiga robar una cookie, no tendrá la clave necesaria para renovarla desde otra computadora. Chrome debe demostrar periódicamente al servidor que conserva la clave privada original para obtener nuevas cookies de corta duración.
“DBSC cambia fundamentalmente la capacidad de la web para defenderse de esta amenaza”, afirmó Google al presentar la tecnología en abril. Según la compañía, las cookies extraídas “expiran rápidamente y se vuelven inútiles” para los atacantes.
Requisitos y disponibilidad
La protección requiere Chrome 146 o posterior en Windows y un equipo con seguridad de hardware compatible. Para macOS, la documentación de Google Workspace establece como requisito Chrome 148 o posterior y un dispositivo con Secure Enclave.
Además, DBSC se aplica a nuevas sesiones. Por eso, quienes ya estaban conectados antes de la activación pueden necesitar cerrar sesión e ingresar nuevamente para que la protección vincule la cuenta al dispositivo.
Google informó que, durante las pruebas previas, observó una reducción significativa del robo de sesiones protegidas con DBSC. La medida busca limitar una modalidad de ataque que permite tomar cuentas aun cuando el usuario utiliza contraseñas seguras y autenticación en dos pasos.
