Google ha comenzado el despliegue amplio de una nueva función de seguridad de Chrome que vincula las sesiones de inicio de sesión al hardware del dispositivo, un cambio relevante para cualquiera que tenga monederos de criptomonedas.
Key Points:
- Google released Device Bound Session Credentials, which lock browser session cookies to a computer's security chip.
- The protection blocks a common attack that lets thieves bypass two-factor (2FA) logins by stealing cookies.
- Crypto users face added risk, since infostealer malware routinely targets wallets and exchange sessions.
Cómo protege ahora Chrome las cookies de inicio de sesión
Informes publicados esta semana detailed el lanzamiento generalizado de Device Bound Session Credentials, conocido como DBSC, tras meses de pruebas en navegadores basados en Chromium.
La herramienta ya llega a la mayoría de los usuarios, desde cuentas de Workspace y Enterprise hasta cuentas personales. Vincula cada inicio de sesión a una clave criptográfica que nunca abandona el dispositivo.
Una cookie de sesión funciona como una pulsera en un evento con entrada, permitiendo que un sitio recuerde un inicio de sesión sin pedir una contraseña o un código de dos factores en cada visita.
Los ladrones valoran mucho estos archivos porque una cookie robada puede bypass por completo esa segunda capa, y estos tokens suelen venderse en mercados de la dark web. DBSC almacena la clave dentro de un módulo de plataforma segura (TPM) en Windows o en el Secure Enclave en Mac, y luego obliga al navegador a demostrar que posee la clave antes de renovar cualquier cookie.
El resultado es una cookie que se vuelve inútil en otra máquina.
También lee: Kalshi Wins CFTC Approval For First U.S. Bitcoin Perpetual Futures
Por qué debería importar a los traders cripto
Para los usuarios de criptomonedas, una sesión secuestrada puede significar fondos vaciados en lugar de un correo comprometido. El malware ladrón de información ahora recopila cookies del navegador, contraseñas guardadas y archivos de monederos en una sola pasada antes de enviarlos a un servidor remoto.
Un análisis found que el robo de credenciales estuvo presente en aproximadamente un tercio de las intrusiones rastreadas el año pasado, una señal de lo habitual que se ha vuelto esta táctica.
El negocio también se ha industrializado, con investigadores que flagging un stealer por suscripción llamado Storm que se alquila por menos de 1.000 dólares al mes y que apunta a monederos a través de extensiones del navegador y aplicaciones de escritorio.
Otras variantes watch las sesiones vinculadas a Binance, Coinbase, MetaMask y Trust Wallet, y luego roban la cookie para entrar en la cuenta sin necesidad de contraseña.
El largo camino de DBSC hasta los usuarios
Google primero unveiled DBSC en 2024, antes de pasarlo por una beta pública y llevarlo al lanzamiento general en Chrome 146 y posteriores para Windows, y en la versión 148 y posteriores para Mac.
La empresa enabled esta protección por defecto para las cuentas de Workspace, donde los administradores no pueden desactivarla. Para los traders que dejan pestañas de exchanges y extensiones de monederos abiertas todo el día, la actualización cierra silenciosamente una de las rutas más sencillas hacia su dinero.
Lee después: Dogecoin Reserves Edge Up To 28B As Whale Support Stays Weak