Evita el robo de cookies con la vinculación de sesiones (beta)

Como administrador, puedes mejorar la seguridad de las sesiones en línea de tus usuarios implementando credenciales de sesión vinculadas al dispositivo (DBSC). El DBSC está diseñado para evitar el secuestro de sesiones, también conocido como robo de cookies.

Este tipo de ciberataque se produce cuando un tercero no autorizado obtiene el control de la sesión web activa de un usuario robando la cookie de sesión (un pequeño archivo de datos que contiene el identificador único de la sesión) que emite el sitio web durante el acceso. Al presentar esta cookie robada, el atacante puede suplantar al usuario legítimo y continuar con su sesión autenticada.

Las DBSC funcionan vinculando la sesión de un usuario a su dispositivo específico, lo que dificulta que los atacantes usen cookies robadas en otros dispositivos. Con DBSC, puedes reducir el riesgo de acceso no autorizado a las cuentas de los usuarios y mantener seguros los datos sensibles de los usuarios.

Requisitos para usar el DBSC

  • Actualmente, DBSC solo está disponible en el navegador Chrome para dispositivos Windows.
  • El dispositivo del usuario debe tener un módulo de plataforma de confianza (TPM), que es un componente de hardware estándar que ya está disponible para la mayoría de los dispositivos que ejecutan Windows 11, para almacenar y procesar datos criptográficos de forma segura. Por lo general, los usuarios pueden encontrar información sobre la disponibilidad del TPM en la configuración del sistema de su dispositivo o consultando la documentación del fabricante.
  • El usuario debe tener la versión 136 o una posterior de Chrome. Para obtener más detalles, consulta Cómo actualizar Google Chrome.

Nota: Durante la fase beta, la vinculación de sesión solo protege una selección limitada de cookies de Google, lo que significa que no se protegerán todas las cookies de un usuario.

Activa DBSC

Antes de comenzar: Si es necesario, obtén información para aplicar el parámetro de configuración a un departamento o grupo.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoControl de acceso y datosy luegoControl de sesiones de Google.

    Es necesario tener el privilegio de administrador de Configuración de seguridad.

  2. (Opcional) Para aplicar el parámetro de configuración solo a algunos usuarios, en el costado, selecciona una unidad organizativa (que se suele usar para departamentos) o un grupo de configuración (opción avanzada).

    La configuración de los grupos anula la de las unidades organizativas. Más información

  3. En Credenciales de sesión vinculadas al dispositivo, selecciona Habilitar DBSC.
  4. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar (o Sin configurar para un grupo).

Posibles resultados de activar DBSC

Después de activar las DBSC, es posible que los usuarios experimenten lo siguiente:

  • Interrupciones de la sesión: Si la sesión de un usuario es válida, pero el proceso de vinculación encuentra un error, el sistema le solicita al usuario que vuelva a acceder. Esto protege la cuenta y los datos del usuario.
  • Problemas persistentes: Si un usuario tiene problemas con el DBSC de forma constante, es posible que se cierre su sesión con frecuencia. En estos casos, los usuarios deben comunicarse con su administrador para obtener asistencia en la solución de problemas, lo que podría incluir inhabilitar el DBSC para su cuenta. El administrador puede crear un grupo que esté exento del DBSC y agregar al usuario a ese grupo.

Aplica el DBSC con el Acceso adaptado al contexto

Se limita a las apps web para computadoras y no se aplica a las APIs ni a las apps para dispositivos móviles

Puedes mejorar aún más la seguridad exigiendo que los usuarios tengan DBSC para acceder a apps específicas de Google Workspace. Se denegará el acceso a los usuarios que intenten acceder a apps protegidas sin una sesión vinculada a DBSC. Esta medida de seguridad se configura a través del acceso adaptado al contexto.

Para configurar la aplicación de DBSC, sigue estos pasos:

  1. Activa las DBSC para los usuarios que quieras proteger. Para conocer los pasos, consulta Cómo activar el DBSC.
  2. Sigue las instrucciones para crear un nivel de acceso personalizado en Permite el acceso a las apps solo desde sesiones vinculadas al DBSC.
  3. Asigna el nivel de acceso a las apps a las que deseas que solo se acceda a través de sesiones vinculadas al DBSC en el modo de supervisor para simular la aplicación sin bloquear el acceso del usuario.
  4. Después de evaluar el impacto, asigna niveles de acceso en el modo activo para aplicar el acceso solo a las sesiones vinculadas al DBSC. Para obtener más información, consulta Implementa el Acceso adaptado al contexto.

La aplicación forzosa del DBSC no es inmediata, lo que significa que, después de que un usuario accede, hay un período de gracia antes de que se aplique la aplicación forzosa. Este diseño admite posibles problemas de vinculación temporales. Una vez que se vinculan, el sistema verifica periódicamente si los usuarios que acceden a las apps especificadas tienen sesiones vinculadas a DBSC. Cualquier reautenticación restablecerá este período de gracia, y el DBSC no se aplicará durante esa reautenticación.

Verifica los eventos de registro de DBSC

Después de activar la DBSC, puedes revisar los eventos de registro del usuario para verificar si se produjo un evento de DBSC. Por ejemplo, puedes verificar si la vinculación de la clave de DBSC se realizó correctamente o no.

Nota: Los eventos de registro de DBSC solo son visibles para la cuenta principal cuando varias cuentas de usuario acceden al mismo perfil del navegador Chrome.

Para verificar si ocurrió un evento, haz lo siguiente:

  1. Abre Eventos de registro del usuario.
    Para obtener más información, consulta Eventos de registro de usuarios.
  2. Haz clic en Agregar un filtroy luegoEvento.
  3. Selecciona un evento de DBSC y haz clic en Aplicar.

Para obtener detalles sobre los eventos, consulta la siguiente tabla:

Nombre del evento Descripción
Vinculación de claves de DBSC Se intentó vincular la sesión de un usuario a su dispositivo. El estado del evento muestra Completado o Con errores. Si la vinculación se realiza correctamente, se genera un nuevo par de claves del TPM y la clave se vincula al dispositivo.
Validación de claves de DBSC

No se pudo validar la clave de DBSC, lo que generó uno de los siguientes códigos de error:

  • DBSC_KEY_VERIFICATION_FAILED
  • DBSC_FAILURE_REASON_UNKNOWN


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.