Las cookies no son solo algo que los sitios tienen para molestarte cada #$%& vez que los visitas debido al RGPD. Son una de las formas más básicas que tienen los sitios para identificar usuarios específicos, para bien o para mal. Robar y falsificar esas cookies es un vector popular para los ataques de robo de identidad, razón por la cual la última actualización de Chrome intenta mantenerlas seguras.
Como se explica en este Publicación de blog de cromo (descubierto por Computadora que suena), robar las cookies de autenticación de un usuario mediante ingeniería social permite que otra persona simule una sesión iniciada desde una ubicación remota.
Un escenario de ejemplo: hace clic en un enlace de su «CEO» (un correo electrónico de phishing con un encabezado falso), que instala un proceso en segundo plano que observa su navegador. Inicia sesión en su banco, incluso utilizando la autenticación de dos factores para mayor seguridad. El proceso elimina la cocción activa de su navegador, después del inicio de sesión y otra persona puede pretender ser usted usando esa cookie para simular la sesión de inicio de sesión activa.
La solución de Google al problema son las credenciales de sesión vinculadas al dispositivo. La empresa está desarrollando DBSC. como herramienta de código abierto, con la esperanza de que se convierta en un estándar web ampliamente utilizado. La idea básica es que, además de una cookie de seguimiento que identifica a un usuario, el navegador utiliza datos adicionales para vincular esa sesión a un dispositivo específico (su computadora o teléfono) de modo que no pueda ser falsificado fácilmente en otra máquina.
Esto se logra con una clave pública/privada creada por un chip de Módulo de plataforma segura, o TPM, que Quizás recuerdes la gran transición a Windows 11. La mayoría de los dispositivos modernos vendidos en los últimos años tienen algún hardware que logra esto, como los muy promocionados chips Titan de Google en teléfonos Android y Chromebooks. Al permitir que servidores seguros vinculen la actividad del navegador a un TPM, se crea un par de sesión y dispositivo que otro usuario no puede duplicar, incluso si logra deslizar la cookie relevante.
Si eres como yo, eso podría activar una alarma de privacidad en tu cabeza, especialmente viniendo de una empresa que recientemente tuvo que eliminar datos que estaba rastreando desde los navegadores en modo incógnito. La publicación del blog de Chromium continúa diciendo que el sistema DBSC no permite la correlación de una sesión a otra, ya que cada emparejamiento de sesión y dispositivo es único. «La única información enviada al servidor es la clave pública por sesión que el servidor utiliza para certificar la posesión de la clave más adelante», dice Kristian Monsen, miembro del equipo de Chrome.
Google dice que otras empresas web y de navegadores están interesadas en esta nueva herramienta de seguridad, incluido el equipo Edge de Microsoft y la empresa de gestión de identidades Okta. DBSC se está probando actualmente en Chrome versión 125 (en la versión pre-beta de Chrome Dev ahora) y posteriores.