Al interceptar estos pequeños fragmentos de datos estructurados, los atacantes logran saltarse cualquier barrera de verificación biométrica o códigos SMS, ingresando a cuentas corporativas y bancarias como si fueran el usuario legítimo. Para atajar esta crisis de seguridad perimetral, Google ha iniciado el despliegue automatizado de una arquitectura tecnológica que transfiere la custodia de la identidad digital desde el software del navegador directamente al hardware de la máquina.
La implementación global de esta medida marca un punto de inflexión en la estrategia de protección de datos en entornos de movilidad y escritorio. Con respecto a la necesidad de blindar estos elementos frente al malware moderno, Sundar Pichai, director ejecutivo de Google, señaló en un reciente simposio sobre infraestructuras de red: «La seguridad basada exclusivamente en software ha alcanzado sus límites operativos frente a amenazas que actúan con privilegios de administrador local; el futuro de la confianza online exige un ecosistema híbrido donde las identidades virtuales estén firmadas de manera indisoluble por las instrucciones matemáticas latentes en el silicio de cada ordenador». Bajo esta premisa, el navegador Chrome ha dejado de almacenar las sesiones en directorios planos expuestos para delegar su validación en los esquemas criptográficos del ordenador.
-¿Cómo el Módulo de Plataforma Segura neutraliza el malware de extracción?
La tecnología que articula este nuevo perímetro defensivo se denomina DBSC (Device Bound Session Credentials o Credenciales de Sesión Vinculadas al Dispositivo). El propósito fundamental de este protocolo es destruir la viabilidad económica y operativa de los denominados infostealers, programas maliciosos diseñados específicamente para penetrar en los directorios locales del usuario, compactar las bases de datos de cookies de navegación y enviarlas a servidores remotos controlados por organizaciones criminales.
Con el sistema tradicional, una vez que el atacante poseía el archivo de la cookie, le bastaba con inyectarlo en el navegador de cualquier otra computadora situada en cualquier parte del mundo para suplantar la identidad de la víctima instantáneamente, eludiendo por completo las solicitudes de contraseña o códigos secundarios. El protocolo DBSC altera esta dinámica mediante un procedimiento criptográfico de bajo nivel:
- Generación de claves asimétricas: Al iniciar sesión en un servicio web compatible, Chrome invoca el chip TPM (Trusted Platform Module o Módulo de Plataforma Segura) de la placa base del ordenador para generar un par de llaves criptográficas únicas y privadas.
- Aislamiento del secreto digital: La clave privada se almacena dentro del hardware del chip TPM, un componente físico inmune a las directivas de extracción de los virus lógicos que operan en el sistema operativo.
- Desafío y verificación en tiempo real: A lo largo de la sesión de navegación, el servidor web del servicio (por ejemplo, la cuenta de Google) envía desafíos periódicos al navegador. Chrome debe firmar digitalmente estos desafíos utilizando la clave protegida por el hardware local.
Si un hacker consigue clonar las cookies de un equipo protegido con DBSC y las traslada a su terminal, el servidor detectará de inmediato que las peticiones web carecen de la firma criptográfica originada por el componente físico TPM emisor. Al no poder resolver el desafío de silicio, la sesión se invalida automáticamente, transformando los datos robados en una cadena de caracteres inútil.
-Estado del despliegue en cuentas personales y corporativas
El desarrollo de esta infraestructura criptográfica no es un proyecto improvisado; los ingenieros de software de Mountain View comenzaron a trazar las primeras líneas de código y pruebas de concepto a principios de 2024. Inicialmente, debido a la complejidad de coordinar las llamadas del navegador con las diferentes revisiones de hardware de los fabricantes de placas base, la herramienta se desplegó de forma restringida y requería que los administradores de sistemas informáticos en entornos de red empresariales habilitaran las directivas de manera manual a través de políticas de grupo complejas.
La madurez del código ha permitido dar el salto hacia la automatización total. Google ha retirado la obligatoriedad de la intervención del usuario, activando DBSC de forma interna y transparente tanto para las cuentas corporativas gestionadas bajo perfiles de infraestructura como para los cientos de millones de usuarios individuales que utilizan cuentas de Google de carácter personal. El cortafuegos criptográfico opera en segundo plano sin generar latencia en los flujos de carga web ni alterar la fluidez de las rutinas de inicio de sesión diarias.
Para verificar que la estación de trabajo cuenta con este nivel de protección activa frente al robo de credenciales, el usuario no debe realizar ninguna alteración en el registro del sistema operativo ni configurar modificadores avanzados. El único requisito técnico indispensable consiste en auditar que el navegador se encuentre en la versión 146 o en cualquier compilación posterior. Al acceder al panel de control interno de la aplicación y corroborar la vigencia del software en un entorno con soporte físico TPM activo, el ordenador queda integrado de manera automática dentro de la nueva red de validación por hardware de la firma tecnológica.