Google está trabajando en una nueva función de seguridad para Chrome llamada Device Bound Session Credentials (DBSC), destinada a impedir que los atacantes utilicen cookies de sesión robadas para acceder a cuentas de usuario.<!–more–
Las cookies de sesión (es decir, de autenticación) son almacenadas por los navegadores cuando un usuario se conecta a recursos web. Conseguirlas permite a los atacantes montar ataques «pass-the-cookie» inyectando tokens de acceso robados en nuevas sesiones web y así «suplantar» al usuario original sin tener que autenticarse.
Device Bound Session Credentials | Desbaratando el ecosistema del robo de cookies
Desde hace tiempo, los atacantes roban las cookies de sesión -generalmente con malware- para poder eludir la autenticación multifactor.
DBSC pretende vincular las sesiones de autenticación al dispositivo, de modo que las cookies robadas pierdan todo su valor para los atacantes a menos que puedan actuar localmente en el dispositivo. Pero si se ven obligados a hacerlo, es más probable que se detecte su presencia, afirma Kristian Monsen, ingeniero de software senior del equipo Chrome Counter Abuse de Google.
«En un alto nivel, la API DBSC permite a un servidor iniciar una nueva sesión con un navegador específico en un dispositivo. Cuando el navegador inicia una nueva sesión, crea un nuevo par de claves pública y privada localmente en el dispositivo, y utiliza el sistema operativo para almacenar de forma segura la clave privada de manera que sea difícil de exportar», explicó.
«Chrome utilizará instalaciones como los módulos de plataforma de confianza (TPM) para la protección de claves, que son cada vez más habituales y se exigen para Windows 11, y estamos estudiando la posibilidad de admitir también soluciones aisladas por software.»
Cada sesión estará asociada a una clave pública. Los servidores podrán comprobar si el usuario/dispositivo que accede al recurso tiene la clave privada, y lo harán a lo largo de la vida de la sesión para asegurarse de que la sesión sigue en el mismo dispositivo.
«Para que esto sea factible desde el punto de vista de la latencia y para facilitar la migración de las soluciones basadas en cookies existentes, DBSC utiliza estas claves para mantener la frescura de las cookies de corta duración a través de un punto final dedicado definido por DBSC en el sitio web. Esto ocurre fuera de la banda del tráfico web normal, lo que reduce los cambios necesarios en los sitios web y aplicaciones heredados», añade Monsen.
Sin seguimiento en línea
Monsen asegura que estas claves no pueden utilizarse para rastrear a los usuarios en línea, ya que DBSC no permite a los sitios correlacionar claves de diferentes sesiones en el mismo dispositivo. Además, los usuarios podrán borrar las claves cuando lo deseen.
«DBSC estará totalmente alineado con la eliminación progresiva de las cookies de terceros en Chrome. En contextos de terceros, DBSC tendrá la misma disponibilidad y/o segmentación que las cookies de terceros, según lo establezcan las preferencias del usuario y otros factores. Con ello se pretende garantizar que el DBSC no se convierta en un nuevo vector de rastreo una vez que se eliminen las cookies de terceros, al tiempo que se garantiza que dichas cookies puedan estar totalmente protegidas mientras tanto», señaló.
«Si el usuario rechaza por completo las cookies, las cookies de terceros o las cookies de un sitio específico, también se desactivará DBSC en esos casos».
DBSC: ¿Un estándar web abierto?
Esta función aún está en fase de trabajo y es experimental, limitada a algunos usuarios que ejecutan Chrome Beta, y el plan de Google es ponerla a disposición de los desarrolladores para que la prueben a finales de año.
Google también espera que DBSC se convierta en un estándar web abierto.
«Muchos proveedores de servidores, proveedores de identidad (IdP) como Okta, y navegadores como Microsoft Edge han expresado su interés en DBSC, ya que quieren proteger a sus usuarios contra el robo de cookies. Estamos trabajando con todas las partes interesadas para asegurarnos de que podemos presentar un estándar que funcione para diferentes tipos de sitios web de una manera que preserve la privacidad», compartió Monsen.
