AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google refuerza la protección frente a secuestro de cuentas con DBSC en Chrome

admin

Introducción

Google ha anunciado la disponibilidad general de la funcionalidad de seguridad Device Bound Session Credentials (DBSC) para el navegador Chrome, una medida orientada a combatir el creciente riesgo de secuestro de cuentas (account takeover, ATO) mediante el robo de cookies de autenticación. Esta innovación, que ya está siendo desplegada progresivamente para todos los usuarios de Chrome, representa un cambio sustancial en la gestión de credenciales de sesión, especialmente en entornos corporativos y de alta sensibilidad.

Contexto del Incidente o Vulnerabilidad

El robo de cookies de sesión se ha consolidado en los últimos años como una de las técnicas preferidas por los actores de amenaza para evadir mecanismos de autenticación multifactor (MFA) y obtener acceso persistente a cuentas de usuario. Los ataques de malware, phishing y herramientas como infostealers (RedLine, Raccoon Stealer, Vidar, entre otros) han evidenciado la facilidad con la que es posible exfiltrar tokens de sesión y utilizarlos desde dispositivos no autorizados, eludiendo la detección por los sistemas de seguridad tradicionales.

En 2023, Google detectó un incremento significativo en los incidentes asociados a la reutilización de cookies robadas, afectando tanto a usuarios particulares como a organizaciones bajo cumplimiento de normativas como GDPR y la Directiva NIS2. La respuesta de Google ha sido acelerar el desarrollo y despliegue de DBSC, en línea con las tendencias del sector de reforzar los controles de autenticación y gestión de sesiones.

Detalles Técnicos

DBSC: Funcionamiento y Arquitectura

La funcionalidad Device Bound Session Credentials (DBSC) introduce un mecanismo criptográfico que vincula las credenciales de sesión a un dispositivo concreto. Cuando un usuario inicia sesión en un servicio compatible desde Chrome, el navegador genera y almacena localmente una clave privada única asociada al dispositivo. Las cookies de sesión se firman digitalmente con esta clave, impidiendo que puedan ser reutilizadas desde otro equipo, aunque sean exfiltradas.

– CVE asociadas: Aunque DBSC no responde a una vulnerabilidad concreta, actúa como mitigación de técnicas explotadas en CVEs como CVE-2022-30780 (session fixation) y CVE-2021-21224 (cookie theft).
– Vectores de ataque bloqueados: Exfiltración de cookies vía malware, ataques man-in-the-browser (MiTB), phishing avanzado, explotación de extensiones maliciosas.
– TTP MITRE ATT&CK: Técnicas T1550 (Use Alternate Authentication Material) y T1539 (Steal Web Session Cookie).
– Indicadores de compromiso (IoC): Presencia de cookies reutilizadas en ubicaciones geográficas inusuales, logs de acceso con tokens no emitidos por el dispositivo legítimo, intentos de acceso concurrente desde múltiples endpoints.

Compatibilidad y despliegue

DBSC está disponible desde Chrome 123 y versiones posteriores, en sistemas Windows, macOS y Linux. Actualmente, la funcionalidad se activa por defecto en Chrome Enterprise y se irá ampliando gradualmente al canal estable para usuarios particulares y empresas en las próximas semanas.

Impacto y Riesgos

La implementación de DBSC reduce drásticamente el riesgo de secuestro de cuentas por reutilización de cookies, uno de los vectores más explotados en ataques dirigidos a altos ejecutivos (CEO fraud), administradores cloud, y cuentas con privilegios elevados. Según datos internos de Google, más del 80% de los incidentes críticos gestionados en 2023 implicaron acceso ilegítimo por robo de sesión, a pesar de la configuración de MFA.

No obstante, el despliegue de DBSC plantea ciertos retos operativos: aplicaciones internas que no soporten el nuevo esquema podrían requerir actualizaciones, y existen implicaciones en la gestión de sesiones remotas y dispositivos compartidos. Asimismo, el impacto en la privacidad y el cumplimiento de GDPR deberá ser evaluado, dado que el binding de sesiones a hardware específico implica un tratamiento diferenciado de los datos personales.

Medidas de Mitigación y Recomendaciones

– Actualizar Chrome a la versión 123 o superior en todos los endpoints corporativos.
– Revisar la compatibilidad de aplicaciones internas con DBSC y planificar pruebas piloto en entornos controlados.
– Monitorizar logs de acceso en busca de intentos de reutilización de credenciales desde dispositivos no autorizados.
– Complementar DBSC con políticas de control de acceso adaptativo (Zero Trust) y segmentación de red.
– Informar y formar a los usuarios sobre los cambios en la gestión de sesiones y posibles incidencias en el acceso remoto.

Opinión de Expertos

Especialistas en ciberseguridad como Kevin Mitnick y equipos de respuesta a incidentes (CSIRT) de grandes consultoras como Deloitte y KPMG han valorado positivamente el enfoque de Google. “La vinculación de sesiones a dispositivos es una evolución lógica ante la escalada de ataques por robo de cookies, especialmente en entornos donde el MFA ya no es suficiente”, señalan. Sin embargo, advierten sobre la necesidad de evaluar el impacto en entornos BYOD y la interoperabilidad con sistemas legacy.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, DBSC marca un antes y un después en la protección de credenciales de sesión, obligando a revisar las políticas de autenticación y a priorizar la actualización de navegadores y aplicaciones web. Desde el punto de vista de cumplimiento, la adopción de DBSC puede considerarse una medida proactiva frente a los requisitos de protección de datos de GDPR y las obligaciones de ciberresiliencia impuestas por NIS2.

Los usuarios, por su parte, experimentarán una mayor protección ante el robo de sesión, aunque pueden verse impactados por requisitos adicionales al acceder desde nuevos dispositivos o tras reinstalaciones.

Conclusiones

La generalización de DBSC en Chrome supone un avance significativo en la defensa frente a ataques de secuestro de cuentas y protege tanto a usuarios individuales como a empresas frente a una de las amenazas más persistentes y rentables para los actores de amenaza. La implantación de este mecanismo, junto a una estrategia de defensa en profundidad, permitirá elevar el nivel de madurez de la gestión de identidades y reducir la superficie de exposición a ataques avanzados.

(Fuente: www.bleepingcomputer.com)