Olvídate de las contraseñas: cómo la nueva función de Google Chrome mantiene tu sesión iniciada de forma segura

Si alguna vez marcaste “mantener sesión iniciada” para no ingresar la contraseña cada vez que abres una página web, esta actualización de Google te toca de cerca.

En Chrome para Windows ya está disponible de forma general la función Credenciales de sesión vinculadas al dispositivo (DBSC) y que, en Google Workspace, quedó habilitada por defecto.

Para entender esta función debes saber que cuando una persona inicia sesión en un sitio, ese servicio entrega un token y el navegador lo guarda en una cookie para mantener la cuenta conectada sin pedir la contraseña de manera constante.

El problema aparece si un atacante logra copiar esa cookie o token: puede intentar usarla para entrar “como si fuera” el usuario. DBSC busca cortar esa vía.

Qué cambia con DBSC en Chrome para Windows

DBSC “ata” la cookie de sesión al dispositivo desde el que se autenticó el usuario. En la práctica, si un delincuente extrae la cookie y la traslada a otra computadora, no debería funcionar.

Según Google, esta protección fortalece la seguridad después del inicio de sesión y vuelve más difícil explotar credenciales de sesión robadas, incluso si hubiera malware en el equipo.

Cómo auditar eventos de vinculación de sesión

Para seguir el comportamiento de la función, los administradores pueden revisar los registros de auditoría desde la herramienta de investigación de seguridad. Ese monitoreo ayuda a detectar eventos de vinculación y a evaluar si DBSC está funcionando como se espera en los equipos con Windows.

Cookies y tokens al iniciar sesión: qué son

Cuando inicias sesión en un sitio web (correo, banco, redes sociales), el sistema necesita una forma de “recordar” que ya te autenticaste para no pedir tu contraseña en cada clic. Para eso se usan cookies y tokens, dos piezas clave del inicio de sesión moderno.

Una cookie es un archivo pequeño que el sitio le pide al navegador guardar. Suele incluir un identificador y preferencias básicas (por ejemplo, idioma), pero en el caso de cuentas también puede guardar un dato que referencia tu sesión.

Las cookies tienen reglas: pueden expirar, limitarse a un dominio y marcarse como “solo por HTTPS” o “no accesible desde JavaScript”, según cómo el sitio las configure.

Un token, en cambio, es una “credencial” digital que representa tu sesión o tu autorización. Puede ser un valor opaco (una cadena sin significado visible) o un token estructurado.

El servidor lo emite después de que te validaste con usuario, contraseña, biometría o segundo factor. Desde ese momento, el navegador lo presenta en cada solicitud para demostrar que la sesión sigue activa, sin volver a enviar la contraseña.

En la práctica, muchas plataformas usan tokens dentro de cookies: el navegador guarda la cookie y la envía automáticamente al sitio en cada visita.

Eso mejora la experiencia, pero introduce un riesgo: si alguien roba esa cookie o token (por malware, phishing o una computadora comprometida), puede intentar entrar como si fueras tú hasta que la sesión expire o se revoque.

Por eso son importantes medidas como el cierre de sesión, la verificación en dos pasos y protecciones que limiten el uso del token a un dispositivo.

Qué es la verificación en dos pasos

La verificación en dos pasos es una medida de seguridad que agrega una segunda prueba de identidad al inicio de sesión.

Además de la contraseña, el servicio pide un código temporal o una confirmación desde otro factor: una app autenticadora, un mensaje SMS, una llamada, una notificación al teléfono o una llave física de seguridad.

Así, aunque un atacante consiga tu contraseña, le falta el segundo elemento para entrar. La verificación en dos pasos reduce el riesgo de accesos no autorizados, especialmente ante filtraciones de contraseñas, phishing y reutilización de claves en distintos sitios.