Google anunció el martes que está en proceso de prueba de una nueva característica en Chrome denominada Credenciales de Sesión Vinculadas al Dispositivo (DBSC), con el propósito de salvaguardar a los usuarios contra el robo de cookies de sesión por parte de malware.
El prototipo, actualmente en fase de prueba con “algunos” usuarios de cuentas de Google que utilizan Chrome Beta, tiene como objetivo convertirse en un estándar abierto en la web, según informó el equipo Chromium de la empresa tecnológica.
“DBSC tiene como objetivo alterar el panorama del robo de cookies al vincular las sesiones de autenticación al dispositivo, lo que invalidaría la extracción de dichas cookies”, destacó la compañía.
“Creemos que esto reducirá significativamente la eficacia del malware de robo de cookies. Los atacantes se verán obligados a actuar localmente en el dispositivo, lo que facilitará la detección y limpieza, tanto por parte de los programas antivirus como de los dispositivos gestionados por la empresa”.
Este desarrollo surge a raíz de informes que indican que el malware destinado al robo de información ha encontrado métodos para sustraer cookies de forma que eludan la protección de la autenticación multifactor (MFA), permitiendo así a los actores de amenazas acceder de forma no autorizada a cuentas en línea.
Estas tácticas de secuestro de sesiones no son novedosas. En octubre de 2021, el Grupo de Análisis de Amenazas (TAG) de Google detalló una campaña de phishing dirigida a los creadores de contenido de YouTube, donde el malware robaba cookies para apoderarse de sus cuentas y lucrarse a través de estafas con criptomonedas.
A principios de enero, CloudSEK reveló que grupos de ladrones de información como Lumma, Rhadamanthys, Stealc, Meduza, RisePro y WhiteSnake habían actualizado sus capacidades para secuestrar las sesiones de los usuarios, permitiendo acceso continuo a los servicios de Google incluso después de cambiar la contraseña.
En ese momento, Google informó a The Hacker News que “los ataques que involucran malware que roba cookies y tokens no son nuevos; constantemente actualizamos nuestras defensas contra tales técnicas para proteger a los usuarios afectados por el malware”.
Además, recomendó a los usuarios activar la navegación segura mejorada en el navegador Chrome para defenderse contra el phishing y las descargas de malware.
DBSC tiene como objetivo disminuir estos esfuerzos maliciosos mediante la introducción de un enfoque criptográfico que vincula las sesiones al dispositivo, dificultando a los adversarios el abuso de las cookies robadas y el secuestro de cuentas.
Ofrecida a través de una API, la nueva función logra esto al permitir que un servidor asocie una sesión con una clave pública generada por el navegador como parte de un par de claves pública/privada cuando se inicia una nueva sesión.
Es importante destacar que el par de claves se guarda localmente en el dispositivo mediante Módulos de Plataforma Segura (TPM). Además, la API DBSCI permite al servidor verificar la prueba de posesión de la clave privada durante toda la duración de la sesión para asegurar que la sesión permanezca activa en el mismo dispositivo.
“DBSC proporciona una API para que los sitios web controlen la duración de estas claves, detrás de la abstracción de una sesión, y un protocolo para demostrar de forma periódica y automática la posesión de esas claves a los servidores del sitio web”, explicaron Kristian Monsen y Arnar Birgisson de Google.
“Cada sesión tiene una clave separada, y no debería ser posible detectar que dos claves de sesión diferentes provienen del mismo dispositivo. Al vincular la clave privada al dispositivo y realizar pruebas a intervalos adecuados, el navegador puede limitar la capacidad del malware para abusar fuera del dispositivo del usuario, aumentando significativamente la probabilidad de que tanto el navegador como el servidor puedan detectar y mitigar el robo de cookies”.
Una advertencia crucial es que DBSC confía en que los dispositivos de los usuarios cuenten con una forma segura de firmar desafíos y, al mismo tiempo, protejan las claves privadas de la filtración de malware, lo que requiere que el navegador web tenga acceso al TPM.
Google explicó que el soporte para DBSC se implementará inicialmente para aproximadamente la mitad de los usuarios de escritorio de Chrome, dependiendo de las capacidades de hardware de sus máquinas. Además, se espera que este último proyecto esté sincronizado con los planes más amplios de la compañía de eliminar las cookies de terceros en el navegador para fin de año, a través de la iniciativa Privacy Sandbox.
“Esto se hace para asegurar que DBSC no se convierta en un nuevo vector de seguimiento una vez que las cookies de terceros sean eliminadas, y al mismo tiempo, garantizar que dichas cookies estén completamente protegidas mientras tanto”, señalaron. “Si el usuario opta por no recibir cookies, cookies de terceros o cookies para un sitio específico, esto también deshabilitará DBSC en esos escenarios”.
Además, la compañía destacó que está colaborando con varios proveedores de servidores, proveedores de identidades (IdP) y proveedores de navegadores como Microsoft Edge y Okta, quienes han mostrado interés en DBSC. Se espera que las pruebas de origen de DBSC para todos los sitios web compatibles comiencen a finales de año.
FUENTE: The Hacker News https://thehackernews.com/
