Netcrook Logo
👤 NEURALSHIELD
🗓️ 10 Apr 2026   🌍 North America

Ladrones de Cookies, Superados: El Nuevo Bloqueo de Hardware de Chrome Frustra los Robos de Sesiones Robadas

La actualización 146 de Chrome para Windows vincula las credenciales de sesión web a tu dispositivo, cerrando la puerta a los ladrones de cookies - y cambiando las reglas del juego para los ciberdelincuentes.

Imagina esto: inicias sesión en tu banco, revisas tu correo electrónico y cierras tu portátil, sin sospechar que un malware al acecho podría haberse quedado con tus llaves digitales. Durante años, los ciberdelincuentes han prosperado robando cookies de sesión, una táctica de bajo esfuerzo y alta recompensa que les permite secuestrar cuentas sin necesidad de tu contraseña. Pero con el último movimiento de Chrome 146, los días de robos fáciles de cookies en Windows podrían estar contados.

Datos Rápidos

  • Chrome 146 para Windows introduce las Credenciales de Sesión Vinculadas al Dispositivo (DBSC), atando las cookies de sesión al hardware del dispositivo.
  • Las cookies robadas se vuelven inútiles en cualquier máquina que no sea aquella en la que fueron creadas.
  • DBSC aprovecha el Módulo de Plataforma Segura (TPM) en Windows para el almacenamiento criptográfico de claves.
  • Google desarrolló DBSC junto a Microsoft y publicó su protocolo como un estándar abierto de la web.
  • Aún no hay fecha para soporte en macOS; DBSC solo está disponible en Windows con Chrome 146.

El Tarro de Cookies se Cierra: Cómo DBSC Sacude la Economía del Cibercrimen

Las cookies de sesión son las llaves maestras de la web - pequeños archivos que le dicen a los sitios que ya has iniciado sesión, para que no tengas que ingresar tus credenciales una y otra vez. Pero esa comodidad tiene un precio. Infostealers como LummaC2 están diseñados para robar estas cookies de la memoria o el disco del navegador, vendiéndolas en foros clandestinos a cualquiera que quiera acceso instantáneo a tu vida digital. Las defensas tradicionales - firewalls de software, antivirus y sandboxes de navegador - han tenido dificultades para mantenerse al día, porque una vez que el malware llega a tu máquina, normalmente puede leer lo mismo que tu navegador.

Aquí entran las Credenciales de Sesión Vinculadas al Dispositivo. En lugar de depender únicamente del software, DBSC añade una barrera de hardware: cuando inicias una sesión, Chrome genera un par único de claves criptográficas usando el Módulo de Plataforma Segura (TPM) de tu dispositivo. La clave privada nunca abandona tu equipo. Los servidores solo emiten cookies de sesión cuando Chrome puede demostrar que posee la clave correspondiente. Si un malware roba la cookie pero no puede robar la clave, la cookie es solo peso muerto digital - no sirve en ningún otro lugar. Esto significa que, incluso si los atacantes logran vulnerar tu sistema, no pueden reutilizar tu sesión en otro sitio, trastocando una gran parte del cibercrimen.

DBSC también es consciente de la privacidad. Cada sesión obtiene su propia clave, dificultando que los sitios rastreen a los usuarios entre sesiones o servicios. Solo se comparte la parte pública de la clave, y no se exponen identificadores del dispositivo. Las pruebas de un año de Google - including con grandes plataformas como Okta - han mostrado una caída medible en los incidentes de robo de sesiones, lo que sugiere que el vínculo con el hardware realmente cierra la puerta a las intrusiones basadas en cookies.

Por ahora, DBSC es exclusivo de Windows y solo en Chrome 146. Los sitios web deben actualizar sus servidores para soportar el protocolo, pero no se requieren cambios en el frontend. Aunque la función aún no está disponible en macOS, el estándar abierto ya está publicado, lo que significa que otros navegadores y sistemas podrían sumarse pronto.

Mirando al Futuro: ¿Una Nueva Era en la Seguridad Web?

Al vincular las sesiones digitales con el mundo físico de los chips de hardware, Google y Microsoft están redefiniendo las líneas de batalla en la lucha contra el secuestro de cuentas. No detendrá todos los ataques - el malware en tu dispositivo sigue siendo un gran riesgo - pero sí hace que uno de los trucos criminales más lucrativos sea mucho menos rentable. Para usuarios y defensores por igual, eso es una victoria que vale la pena celebrar. Para los ciberdelincuentes, el tarro de cookies fácil acaba de cerrarse de golpe.

WIKICROOK

  • Cookie de Sesión: Una cookie de sesión es un archivo temporal en tu navegador que te mantiene conectado a un sitio web; si se roba, puede permitir que otros accedan a tu cuenta.
  • Módulo de Plataforma Segura (TPM): Un Módulo de Plataforma Segura (TPM) es un chip de hardware en computadoras modernas que almacena de forma segura claves de cifrado y es obligatorio para Windows 11.
  • Credenciales de Sesión Vinculadas al Dispositivo (DBSC): Las Credenciales de Sesión Vinculadas al Dispositivo asocian los tokens de sesión al hardware de un dispositivo, impidiendo que los atacantes reutilicen datos de sesión robados en otros dispositivos.
  • Infostealer: Un infostealer es un malware diseñado para robar datos sensibles - como contraseñas, tarjetas de crédito o documentos - de computadoras infectadas sin que el usuario lo sepa.
  • Par de Claves Pública/Privada: Un par de claves pública/privada consiste en dos claves criptográficas vinculadas: una pública para compartir, y una privada para descifrado y autenticación segura.
Chrome 146 Device Bound Session Credentials Cybercrime
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news