Google refuerza la seguridad con credenciales de sesión vinculadas al dispositivo, claves de acceso y nuevas políticas de día cero.

Redazione RHC : 2 agosto 2025 07:45

Google está ampliando los límites de la seguridad con una nueva iniciativa: creaCredenciales de Sesión Vinculadas al Dispositivo (DBSC), una función beta pública que ayuda a proteger a los usuarios del robo de cookies de sesión.

Inicialmente presentado como prototipo en abril de 2024, el sistema ya está disponible en el navegador Chrome para Windows y vincula las sesiones de autenticación a un dispositivo específico. Esto significa que, incluso si se roban las cookies, un atacante no podrá usarlas en otro ordenador.

Según el director de gestión de productos de Google Workspace, DBSC refuerza la protección posterior al inicio de sesión al bloquear la autorización remota desde otro dispositivo. Esta asociación impide la reutilización de cookies para capturar la sesión y mejora la integridad de los datos de autorización. La tecnología está diseñada para reforzar la protección de la cuenta no solo al iniciar sesión, sino durante toda la interacción con los servicios.

Además de DBSC, Google anunció una mayor compatibilidad con la tecnología de clave de acceso, ahora disponible para más de 11 millones de clientes empresariales de Google Workspace. También se han introducido nuevas herramientas administrativas para controlar el registro de claves y limitar su uso únicamente a tokens de hardware.

Al mismo tiempo, la compañía está lanzando pruebas cerradas de un nuevo mecanismo de intercambio de señales de seguridad: Shared Signals Framework (SSF). Este protocolo, basado en el estándar OpenID, está diseñado para transferir rápidamente información sobre posibles incidentes entre diferentes sistemas. SSF crea una arquitectura en la que algunos servicios («transmisores«) pueden notificar rápidamente a otros («receptores«) sobre actividad sospechosa, lo que les permite responder instantáneamente a las amenazas y sincronizar las medidas de protección.

Además, Google Project Zero, la división especializada en la detección de vulnerabilidades de día cero, anunció el lanzamiento de una iniciativa piloto denominada Transparencia en los Informes. Su objetivo es reducir el tiempo transcurrido entre la creación de una solución y su disponibilidad para los usuarios finales. A menudo, el problema no se produce a nivel de usuario, sino en empresas que utilizan componentes externos y no tienen tiempo para integrar la solución recibida en sus propios productos. La nueva fase del proceso de divulgación de vulnerabilidades exige que la información sobre el problema se publique en el plazo de una semana desde su entrega al desarrollador.

Los informes ahora incluirán el nombre del proveedor o proyecto, el nombre del producto, la fecha de envío y el plazo de divulgación de 90 días. La lista piloto ya incluye dos vulnerabilidades de Windows, un error en el decodificador unificado Dolby y tres errores en el proyecto Google BigWave.

Google también planea utilizar este enfoque en el proyecto Big Sleep, una herramienta experimental de IA desarrollada en colaboración con DeepMind. Su objetivo es utilizar inteligencia artificial para automatizar la investigación de vulnerabilidades y acelerar el análisis de amenazas potenciales. Al mismo tiempo, la compañía enfatiza que no se publicarán detalles técnicos, código PoC ni material que pueda ser útil para los atacantes hasta que finalice el período de divulgación.

Esto refleja una tendencia más amplia en Google: un enfoque en un modelo de ciberdefensa proactivo, coordinado y tecnológicamente avanzado, destinado a minimizar los tiempos de respuesta ante incidentes y aumentar la transparencia en todo el ecosistema de software.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli