Chrome 146 protege tus cuentas con DBSC: adiós al robo de cookies de sesión

Chrome 146 introduce Device Bound Session Credentials (DBSC) en Windows: las cookies de sesión quedan vinculadas al hardware del dispositivo y no pueden reutilizarse en otros equipos

Seguridad · Google Chrome · Windows · DBSC · Autenticación

Chrome 146 cierra el robo de cookies de sesión con DBSC: cómo funciona y cómo activarlo

Google Chrome para Windows introduce Device Bound Session Credentials (DBSC) a partir de la versión 146. La tecnología vincula criptográficamente las cookies de sesión al hardware del dispositivo, neutralizando uno de los métodos de robo de cuentas más efectivos aunque el atacante consiga los tokens de autenticación.

📌 En resumen

• Chrome 146 para Windows activa DBSC (Device Bound Session Credentials), que vincula las cookies de sesión al hardware del dispositivo mediante criptografía.
• Si un atacante roba tus tokens de sesión, no podrá usarlos en otro dispositivo: quedan invalidados automáticamente fuera de tu equipo.
• Esta protección neutraliza el robo de sesión incluso cuando el atacante ha conseguido saltarse el doble factor de autenticación (2FA).
• La función llegó antes en fase beta para Google Workspace y ahora se integra de forma oficial en Chrome para todos los usuarios de Windows.
• macOS recibirá DBSC en el futuro, sin fecha confirmada. Para verificar tu versión: menú Chrome → Ayuda → Información de Google Chrome.

Índice

1. El problema que DBSC resuelve
2. Cómo funciona DBSC técnicamente
3. Disponibilidad: Windows ahora, macOS después
4. Cómo comprobar y actualizar Chrome

El robo de cookies de sesión ha sido durante años uno de los métodos más efectivos para comprometer cuentas sin necesidad de conocer la contraseña ni superar el doble factor de autenticación. Chrome 146 para Windows introduce una tecnología que cierra esa vía de ataque de forma estructural: Device Bound Session Credentials (DBSC).

La idea es sencilla en concepto pero poderosa en implementación: las cookies de sesión dejan de ser portátiles. Quedan atadas al dispositivo donde se crearon, y cualquier intento de usarlas en otro equipo las invalida automáticamente.

El problema que DBSC resuelve

Para entender el valor de DBSC hay que entender primero el ataque que neutraliza. El robo de sesión mediante cookies es una técnica que no requiere conocer tu contraseña ni interceptar tu código de verificación. Solo necesita acceso a los tokens de autenticación almacenados en el navegador.

Por qué el robo de cookies es especialmente peligroso

Cuando inicias sesión en cualquier servicio web, el servidor genera una cookie que certifica que eres tú. Esa cookie es suficiente para acceder a tu cuenta sin volver a introducir contraseña ni código 2FA. Si un atacante la obtiene, tiene acceso completo. El malware diseñado específicamente para robar estas cookies, los llamados infostealers, es uno de los tipos de malware más distribuidos actualmente.

Sin DBSC

• Cookie robada = acceso completo
• Token válido en cualquier dispositivo
• 2FA no protege contra este ataque
• El atacante opera como si fuera tú

Con DBSC

• Cookie robada = inútil fuera del dispositivo
• Token vinculado al hardware original
• Intento de reutilización invalida la sesión
• El atacante no puede operar con los tokens robados

Los vectores de infección más comunes que permiten este tipo de robo son la descarga de archivos infectados con malware y la instalación de extensiones maliciosas en el navegador. DBSC no impide la infección, pero neutraliza el beneficio que el atacante obtendría de ella en lo que respecta al robo de sesiones.

Cómo funciona DBSC técnicamente

Device Bound Session Credentials utiliza criptografía asimétrica para vincular las cookies de sesión al hardware específico del dispositivo. El proceso funciona en varias fases que ocurren de forma transparente para el usuario.

1

Generación de par de claves en el dispositivo Al iniciar sesión, Chrome genera un par de claves criptográficas (pública y privada) vinculadas al hardware del dispositivo a través del chip de seguridad (TPM en Windows). La clave privada nunca abandona el dispositivo.

2

Vinculación de la sesión a la clave del dispositivo El servidor asocia la cookie de sesión a la clave pública del dispositivo. Para que la sesión sea válida, las futuras peticiones deben firmarse con la clave privada correspondiente.

3

Verificación continua durante la sesión Periódicamente, el servidor solicita una prueba criptográfica de que el dispositivo original sigue siendo el que opera la sesión. Chrome firma esa prueba con la clave privada del hardware.

4

Invalidación automática en dispositivos ajenos Si alguien intenta usar la cookie robada en otro dispositivo, no dispone de la clave privada original. La verificación falla y la sesión se invalida automáticamente sin necesidad de acción del usuario.

La clave del diseño: DBSC no añade fricción al usuario legítimo porque toda la criptografía ocurre en segundo plano. El usuario no ve nada diferente. Solo el atacante que intenta reutilizar una sesión robada experimenta el resultado: acceso denegado sin posibilidad de saltar la verificación porque no tiene acceso al hardware original.

DBSC vincula criptográficamente cada cookie de sesión al chip de seguridad del dispositivo. Sin la clave privada del hardware original, los tokens robados son inutilizables

Disponibilidad: Windows ahora, macOS después

DBSC no es completamente nuevo: Google lo probó en fase beta con cuentas de Google Workspace durante el año pasado. La novedad de Chrome 146 es su integración oficial para todos los usuarios de Chrome en Windows, no solo para entornos corporativos.

Windows Disponible Activo desde Chrome 146. Requiere chip TPM compatible, presente en la mayoría de equipos modernos con Windows 10/11.

macOS Pendiente Google ha confirmado que llegará a macOS, pero sin fecha concreta. El sistema utilizará el Secure Enclave del chip Apple en lugar del TPM.

Linux Sin confirmar No hay información oficial sobre soporte para Linux en el roadmap actual de DBSC.

Android / iOS Sin confirmar Los dispositivos móviles tienen sus propios mecanismos de seguridad de sesión. DBSC para móviles no está en el roadmap publicado.

Cómo comprobar y actualizar Chrome

DBSC se activa automáticamente al actualizar Chrome a la versión 146 o superior en Windows. No requiere configuración adicional ni activar ninguna opción en los ajustes del navegador.

1. Abre Google Chrome en tu equipo Windows.
2. Pulsa el icono de tres puntos en la esquina superior derecha del navegador.
3. Selecciona Ayuda en el menú desplegable.
4. Haz clic en Información de Google Chrome.
5. Chrome verificará automáticamente si hay actualizaciones disponibles y las instalará si es necesario.
6. Reinicia el navegador cuando se solicite para aplicar la actualización.

Si tu Chrome ya está en la versión 146 o superior, DBSC está activo. No hay ningún indicador visual en la interfaz que lo confirme: la protección opera de forma completamente transparente en segundo plano.

---

Conclusión: DBSC en Chrome 146 es uno de los avances de seguridad más relevantes en navegadores de los últimos años porque ataca un vector de compromiso que hasta ahora era prácticamente imposible de detener una vez que el malware había actuado. Vincular criptográficamente las cookies de sesión al hardware del dispositivo convierte el robo de tokens en una operación inútil para el atacante. La protección es transparente para el usuario legítimo y efectiva contra quien intente reutilizar sesiones robadas. Si usas Chrome en Windows, actualizar a la versión 146 activa esta protección automáticamente. Si usas macOS, tendrás que esperar a la implementación pendiente.