Durante mucho tiempo, los hackers han aprovechado una técnica silenciosa: el robo de cookies de sesión. Estas pequeñas piezas de información permiten que una persona permanezca conectada a plataformas como correos electrónicos, redes sociales o servicios bancarios sin tener que escribir la contraseña constantemente. El problema crítico es que, a diferencia de las contraseñas, una cookie robada no necesita 2FA ni biometría para funcionar: si alguien la tiene, entra directamente.
El ataque que se volvió industrial
El robo de cookies dejó de ser una técnica de élite para convertirse en un negocio masivo. El robo de credenciales se ha convertido en uno de los negocios más lucrativos para los grupos de ciberdelincuentes. Muchos ataques actuales ya no buscan obtener contraseñas directamente. En cambio, utilizan malware para extraer sesiones activas almacenadas dentro del navegador. Los datos robados suelen venderse en mercados ilegales donde otros delincuentes los utilizan para fraudes, espionaje o robo de identidad.
El caso más conocido es el de Linus Tech Tips. Un empleado abrió lo que parecía un PDF adjunto en un correo, que en realidad era un ejecutable cargado de malware. El malware se ejecutó en el sistema, descifró la base de datos de cookies y envió el token de sesión al atacante. Con el secuestro de sesión, el atacante pudo acceder a toda la cuenta de YouTube del canal sin conocer ninguna contraseña. No hace falta que seas un creador famoso: el mismo método funciona contra cualquier cuenta activa.
Cómo DBSC corta ese circuito
La solución de Chrome es trasladar la seguridad del software —que se puede copiar— al hardware físico del equipo, que no. DBSC funciona vinculando criptográficamente las sesiones del usuario al hardware físico del equipo, utilizando los chips de seguridad integrados en las placas base modernas. En sistemas Windows, se apoya en el Módulo de Plataforma Segura (chip TPM). Estos chips están diseñados para impedir la extracción de información, garantizando que la clave privada nunca salga del equipo.
La lógica es directa: si un hacker logra extraer la cookie de tu sesión bancaria, no puede usarla en su computadora porque le falta la clave privada que quedó guardada en el chip TPM de la tuya. La sesión quedará atada al hardware del dispositivo original, lo que hace que la exfiltración de cookies deje de tener valor.
Por qué es distinto a lo que ya tenías
La diferencia con el doble factor de verificación es conceptual. El 2FA verifica quién sos al iniciar sesión. DBSC protege la sesión una vez que ya está abierta, que es exactamente cuando el robo de cookies ataca. Son capas de protección distintas que se complementan, no se reemplazan. Tener ambas activas es el escenario más seguro.
Opera en silencio y ya está activo
La función ya se está desplegando para todas las cuentas personales y de Google Workspace. La implementación no requiere intervención manual: cada vez que un usuario accede a un servicio compatible desde la versión más reciente de Chrome, el proceso de protección se ejecuta de forma automática. Solo hace falta tener Chrome actualizado y, de preferencia, un equipo con chip TPM, que incluye la mayoría de las computadoras con Windows fabricadas desde 2016.
Cerrar sesión