Evita el robo de cookies con la vinculación de sesiones (beta)

Como administrador, puedes mejorar la seguridad de las sesiones en línea de tus usuarios implementando las Credenciales de sesión vinculadas al dispositivo (DBSC). El DBSC está diseñado para evitar el secuestro de sesiones, también conocido como robo de cookies.

Este tipo de ciberataque se produce cuando un tercero no autorizado obtiene el control de la sesión web activa de un usuario robando la cookie de sesión, a menudo a través de software malicioso en el dispositivo del usuario. Una cookie de sesión es un pequeño archivo de datos que contiene el identificador de sesión único que emite el sitio web durante el acceso. Al presentar esta cookie robada, el atacante puede hacerse pasar por el usuario legítimo y continuar con su sesión autenticada.

Las DBSC funcionan vinculando la sesión de un usuario a su dispositivo específico, lo que dificulta que los atacantes usen cookies robadas en otros dispositivos. Con DBSC, puedes reducir el riesgo de acceso no autorizado a las cuentas de los usuarios y mantener seguros los datos sensibles de los usuarios.

Requisitos para usar el DBSC

  • Chrome para Windows: Actualmente, DBSC solo está disponible en el navegador Chrome para dispositivos Windows.
  • Seguridad de hardware (TPM): El dispositivo del usuario debe tener un módulo de plataforma segura (TPM), que es un componente de hardware estándar que ya está disponible para la mayoría de los dispositivos que ejecutan Windows 11. Este hardware almacena de forma segura las claves criptográficas que se usan para vincular la sesión al dispositivo. Por lo general, los usuarios pueden encontrar información sobre la disponibilidad del TPM en la configuración del sistema de su dispositivo o consultando la documentación del fabricante.
  • Versión de Chrome: El usuario debe tener la versión 136 o posterior de Chrome. Para obtener más detalles, consulta Cómo actualizar Google Chrome.
  • Cuenta principal: La protección de DBSC y los datos de eventos de registro solo están disponibles para la cuenta principal en un perfil del navegador Chrome.

Nota: La vinculación de sesión protege la mayoría de las cookies de Google, aunque algunas cookies o sesiones pueden permanecer sin vincular.

Activa DBSC

Antes de comenzar: Si es necesario, obtén información para aplicar el parámetro de configuración a un departamento o grupo.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Control de sesión de Google.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. (Opcional) Para aplicar el parámetro de configuración solo a algunos usuarios, en el costado, selecciona una unidad organizativa (que se suele usar para departamentos) o un grupo de configuración (opción avanzada).

    La configuración de los grupos anula la de las unidades organizativas. Más información

  3. En Credenciales de sesión vinculadas al dispositivo, selecciona Habilitar DBSC.
  4. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar (o Sin configurar para un grupo).

Aplica el DBSC con el Acceso adaptado al contexto

Se limita a las apps web para computadoras y no se aplica a las APIs ni a las apps para dispositivos móviles

Puedes mejorar aún más la seguridad exigiendo que los usuarios tengan DBSC para acceder a apps específicas de Google Workspace. Cuando aplicas DBSC, se les solicita a los usuarios que vuelvan a acceder si el sistema detecta una diferencia con una sesión vinculada establecida anteriormente. Esta reautenticación permite que el sistema intente una nueva vinculación segura. Se bloquea el acceso a la app protegida a los usuarios de plataformas no admitidas. Esta medida de seguridad se configura a través del Acceso adaptado al contexto.

Para configurar la aplicación de DBSC, sigue estos pasos:

  1. Activa las DBSC para los usuarios que quieras proteger. Para conocer los pasos, consulta Cómo activar el DBSC.
  2. Sigue las instrucciones para crear un nivel de acceso personalizado en Permite el acceso a las apps solo desde sesiones vinculadas al DBSC.
  3. Asigna el nivel de acceso a las apps a las que deseas que solo se acceda a través de sesiones vinculadas al DBSC en el modo de supervisor para simular la aplicación sin bloquear el acceso del usuario.
  4. Después de evaluar el impacto, asigna niveles de acceso en el modo activo para aplicar el acceso solo a las sesiones vinculadas al DBSC. Para obtener más información, consulta Cómo implementar el Acceso adaptado al contexto.

La aplicación forzosa del DBSC no es inmediata, lo que significa que, después de que un usuario accede, hay un período de gracia antes de que se aplique la aplicación forzosa. Este diseño admite posibles problemas de vinculación temporales. Una vez que se vincula, el sistema verifica periódicamente si los usuarios que acceden a las apps especificadas tienen sesiones vinculadas a DBSC. Cualquier reautenticación restablecerá este período de gracia, y el DBSC no se aplicará durante esa reautenticación.

Investiga problemas de protección y sesiones de DBSC

Puedes usar la herramienta de investigación de seguridad para supervisar la protección del DBSC y solucionar problemas de interrupciones de sesiones. Existen 2 fuentes de registro para la actividad del DBSC:

  • Eventos de registro del usuario: Supervisa la vinculación de tokens de acceso a los dispositivos del usuario.
  • Eventos de registro de la Evaluación de Acceso: Revisa el estado de cookies específicas.

Paso 1: Busca la actividad del DBSC en los eventos del registro de usuarios

Usa esta fuente de datos para ver si las DBSC vinculan correctamente las claves a los dispositivos de los usuarios y validan las sesiones.

Para verificar si DBSC está vinculando claves, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro del usuario.
  3. Haga clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como el operadory luegoVinculación de clave de DBSC como el evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, revisa la columna Estado del evento:
    • Succeeded: La protección con DBSC está activada para el usuario y la sesión está protegida.
    • Failed: La vinculación de DBSC falló y la protección no se activó para el usuario.
    • No hay resultados: No se intentó proteger la sesión del usuario con DBSC.

Para verificar si DBSC valida las sesiones, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haga clic en Agregar condición.
  3. En Atributo, selecciona Eventoy luegoEs como el operadory luegoValidación de clave de DBSC como el evento.
  4. Haz clic en Buscar.
  5. En la tabla de resultados, revisa la columna Estado del evento:
    • Succeeded: La cookie se validó correctamente.
    • Fallida: Falló la validación del DBSC. Haz clic en el estado para obtener información adicional, como un código de error.

Un error no necesariamente significa que el usuario está experimentando interrupciones de sesión. Los usuarios podrían sufrir interrupciones si se producen varios errores de validación sucesivos.

Paso 2: Verifica si hay rechazos de acceso en los eventos de registro de la evaluación de acceso

Usa esta fuente de datos para ver si se denegó el acceso a la cookie de un usuario.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro de evaluación de acceso.
  3. Haga clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como el operadory luegoDeny Cookie Validation Request como el evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, haz clic en Rechazado en la columna Estado del evento o en el vínculo de la columna Descripción para abrir un panel lateral en el que puedes revisar los siguientes motivos de falla:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Los eventos de registro se agrupan por sesión. Solo se registra un evento por usuario cada hora, incluso si se bloquean varios intentos de acceso durante ese período.

Paso 3: Investiga si las interrupciones de sesión se deben al DBSC

Los usuarios pueden salir de su cuenta por varios motivos, como límites de duración de la sesión, políticas definidas por el administrador o problemas de red. Si bien un cierre de sesión no siempre indica un problema del DBSC, las secuencias de registros específicas pueden ayudar a identificar la actividad potencial relacionada con el DBSC o las instancias en las que el sistema bloqueó una sesión vulnerada.

Usa estos puntos para identificar la actividad relacionada con el DBSC:

  • Revisa las secuencias de registros: Si encuentras errores de validación de claves de DBSC seguidos de una solicitud de validación de cookies rechazada, es posible que el DBSC sea la causa del cierre de sesión del usuario.
  • Comprende el impacto en el usuario: Para mantener la seguridad de la cuenta, el usuario debe volver a acceder si el proceso de vinculación encuentra un error.
  • Exime a los usuarios de las DBSC: Si un usuario cierra sesión de forma constante, puedes crear un grupo de configuración exento de las DBSC y agregar al usuario a ese grupo para evaluar si las DBSC son la causa de los cierres de sesión.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.