Google ha puesto freno a tus cookies: el esperado DBSC ya está disponible

Google amplía los límites de la seguridad con una nueva iniciativa, haciendo pública la versión beta de la tecnología Device Bound Session Credentials (DBSC), una función diseñada para proteger a los usuarios contra el robo de cookies de sesión. Inicialmente presentada como prototipo en abril de 2024, esta tecnología ya está disponible en el navegador Chrome para Windows y vincula las sesiones de autenticación a un dispositivo específico. Esto significa que, incluso si se roban las cookies, el atacante no podrá utilizarlas en otro ordenador.

Según el director de gestión de productos de Google Workspace, DBSC refuerza la seguridad después del inicio de sesión al impedir la autorización remota desde otro dispositivo. Este vínculo impide la reutilización de cookies para secuestrar sesiones y mejora la integridad de los datos de autenticación. La tecnología está diseñada para proteger las cuentas no solo en el momento del acceso, sino durante todo el uso de los servicios.

Además de DBSC, Google anunció la ampliación del soporte para la tecnología de llaves de acceso (passkeys), que ahora estará disponible para más de 11 millones de clientes empresariales de Google Workspace. También se han introducido nuevas herramientas administrativas que permiten controlar el registro de llaves y restringir su uso exclusivamente a tokens físicos.

Paralelamente, la compañía lanza una prueba cerrada de un nuevo mecanismo de intercambio de señales de seguridad: el marco Shared Signals Framework (SSF). Este protocolo, basado en el estándar OpenID, está diseñado para permitir la transmisión rápida de información sobre posibles incidentes entre diferentes sistemas. SSF crea una arquitectura en la que unos servicios (“emisores”) pueden informar rápidamente a otros (“receptores”) sobre actividades sospechosas, lo que permite una respuesta inmediata ante amenazas y la sincronización de las medidas de protección.

Además, la división Google Project Zero, especializada en la detección de vulnerabilidades de día cero, anunció el lanzamiento de una iniciativa piloto llamada Reporting Transparency. Su objetivo es reducir el intervalo entre la creación del parche y su disponibilidad para los usuarios finales. A menudo, el problema no radica en los usuarios, sino en las empresas que utilizan componentes de terceros y no logran integrar los parches a tiempo en sus productos. Esta nueva etapa en el proceso de divulgación de vulnerabilidades prevé la publicación de información sobre el problema detectado en un plazo de una semana tras su entrega al desarrollador.

Los informes ahora incluirán el nombre del fabricante o proyecto, el nombre del producto, la fecha de envío del informe y la fecha límite según la política de divulgación de 90 días. En la lista piloto ya se encuentran dos vulnerabilidades en Windows, un error en el decodificador Dolby Unified Decoder y tres fallos en el proyecto Google BigWave.

Google también planea aplicar este enfoque al proyecto Big Sleep, una herramienta experimental de inteligencia artificial desarrollada junto con DeepMind. Su propósito es emplear IA para automatizar la búsqueda de vulnerabilidades y acelerar el análisis de posibles amenazas. La empresa aclara que no se publicarán detalles técnicos, código de prueba (PoC) ni materiales que puedan ser útiles para actores maliciosos hasta que expire el plazo de divulgación.

Todo esto refleja una tendencia más amplia por parte de Google: centrarse en un modelo de ciberdefensa proactivo, coordinado y tecnológicamente avanzado, destinado a reducir el tiempo de respuesta ante incidentes y aumentar la transparencia en el ecosistema del software.