Depuis le 9 avril 2026, Google a implementado una protección criptográfica en Chrome 146 en Windows, diseñada para neutralizar una de las técnicas más utilizadas en el arsenal de los ciberdelincuentes: el robo de cookies de sesión.
Google está abordando directamente uno de los tesoros más codiciados por los ciberdelincuentes: las cookies de sesión. Estos pequeños archivos almacenados en el navegador permiten permanecer conectado a una cuenta sin tener que escribir la contraseña nuevamente, lo que proporciona un acceso directo al correo electrónico, redes sociales, servicios bancarios o herramientas profesionales de una víctima sin necesidad de conocer sus credenciales.
Es precisamente esto lo que buscan los infostealers, malware especializado en la recolección de datos en máquinas comprometidas, como la familia Lumma, que incluye sistemáticamente un módulo para aspirar las cookies almacenadas en los navegadores.
Las cookies robadas se revenden en mercados cibercriminales y los compradores pueden utilizar estas cookies para acceder directamente a las cuentas objetivo, conocido como secuestro de sesión.
Para contrarrestar esta técnica, Google lanzó en 2024 una solución estructural llamada DBSC (Credenciales de Sesión Vinculadas al Dispositivo), desplegada el 9 de abril de 2026 para usuarios de Windows en Google Chrome. Esta tecnología tiene como objetivo hacer que cada cookie sea inutilizable fuera del dispositivo en el que fue creada.
El principio de DBSC es hacer que una cookie de sesión sea inseparable del dispositivo en el que fue creada. Concretamente, Chrome genera un par de claves criptográficas y almacena la clave privada en el chip de seguridad del dispositivo, TPM (Módulo de Plataforma de Confianza) en Windows o Secure Enclave en macOS. Estos componentes están diseñados para nunca exponer la clave que les ha sido confiada. Pueden usarla para firmar datos, pero nunca la comunican hacia afuera.
Ahora, en cada renovación de la cookie de sesión, Chrome debe demostrar al servidor que posee esta clave, firmando un mensaje con ella. El servidor verifica la firma antes de emitir una nueva cookie temporal.
Un atacante todavía podría robar la cookie, pero no la clave, que permanece confinada en el chip. Cuando la cookie expira, se vuelve imposible renovarla sin esta prueba criptográfica.
En resumen, antes de DBSC, robar la cookie era suficiente. Después de DBSC, también es necesario robar el dispositivo.
Google afirma haber notado una reducción significativa en el robo de sesiones desde el lanzamiento de la fase de pruebas en beta abierta en julio de 2025. Por ahora, la implementación general solo se aplica a usuarios de Windows en Chrome 146, con una extensión para macOS prevista en los próximos meses. En dispositivos con chips de seguridad compatibles, el navegador cambiará automáticamente al comportamiento clásico sin protección DBSC.
El estándar fue diseñado en colaboración con Microsoft con la intención de convertirlo en una norma web abierta que otros navegadores puedan adoptar a largo plazo.
