Evita el robo de cookies con la vinculación de sesiones

Google Workspace mejora automáticamente la seguridad de las sesiones en línea de tus usuarios con las credenciales de sesión vinculadas al dispositivo (DBSC). El DBSC está diseñado para evitar el secuestro de sesiones, también conocido como robo de cookies.

Este tipo de ciberataque se produce cuando un tercero no autorizado obtiene el control de la sesión web activa de un usuario robando la cookie de sesión, a menudo a través de software malicioso en el dispositivo del usuario. Una cookie de sesión es un pequeño archivo de datos que contiene el identificador de sesión único que emite el sitio web durante el acceso. Al presentar esta cookie robada, el atacante puede hacerse pasar por el usuario legítimo y continuar con su sesión autenticada.

Las DBSC vinculan la sesión de un usuario a su dispositivo específico, lo que dificulta que los atacantes usen cookies robadas en otros dispositivos. Esto crea un límite de seguridad basado en hardware que reduce el riesgo de acceso no autorizado a las cuentas de usuario y mantiene seguros los datos sensibles. La DBSC está activada de forma predeterminada para todas las cuentas de Workspace. No es necesario que el administrador realice ninguna acción para activar esta protección.

Requisitos para usar el DBSC

  • Navegador Chrome: Versión 146 o posterior para Windows Para obtener más información, consulta Cómo actualizar Google Chrome.
  • Seguridad de hardware: Requiere funciones de seguridad basadas en hardware para almacenar de forma segura las claves criptográficas que se usan para vincular la sesión al dispositivo. En Windows, se trata de un módulo de plataforma segura (TPM), que es estándar en la mayoría de los dispositivos que ejecutan Windows 11. Consulta la documentación del fabricante del dispositivo para confirmar las capacidades del hardware.

Cómo se aplica la protección de DBSC

La protección de DBSC se aplica automáticamente cuando el dispositivo y el navegador de un usuario cumplen con los requisitos técnicos necesarios. En algunos casos, es posible que las sesiones no se vinculen. Estos son algunos de los motivos comunes:

  • Entorno no compatible: Problemas con el sistema operativo, la versión del navegador o la seguridad del hardware del usuario (como un TPM en Windows)
  • Sesiones existentes: La protección con DBSC solo se aplica a las sesiones nuevas. Los usuarios que ya habían accedido cuando se activó el DBSC deben salir y volver a acceder para vincular su sesión.
  • Modificaciones del navegador: Algunas extensiones del navegador o los cambios manuales en las cookies pueden impedir que DBSC funcione correctamente.

Aplica el DBSC con el Acceso adaptado al contexto

Se limita a las apps web para computadoras y no se aplica a las APIs ni a las apps para dispositivos móviles

Puedes mejorar aún más la seguridad exigiendo que los usuarios tengan DBSC para acceder a apps específicas de Google Workspace. Cuando aplicas DBSC, se les solicita a los usuarios que vuelvan a acceder si el sistema detecta una diferencia con una sesión vinculada establecida anteriormente. Esta reautenticación permite que el sistema intente una nueva vinculación segura. Se bloquea el acceso a la app protegida a los usuarios de plataformas no admitidas. Esta medida de seguridad se configura a través del Acceso adaptado al contexto.

Para configurar la aplicación de la DBSC, sigue estos pasos:

  1. Sigue las instrucciones para crear un nivel de acceso personalizado en Permite el acceso a las apps solo desde sesiones vinculadas al DBSC.
  2. Asigna el nivel de acceso a las apps a las que deseas que solo se acceda a través de sesiones vinculadas al DBSC en el modo de supervisor para simular la aplicación sin bloquear el acceso del usuario.
  3. Después de evaluar el impacto, asigna niveles de acceso en el modo activo para aplicar el acceso solo a las sesiones vinculadas al DBSC. Para obtener más información, consulta Implementa el Acceso adaptado al contexto.

La aplicación forzosa del DBSC no es inmediata, lo que significa que, después de que un usuario accede, hay un período de gracia antes de que se aplique la aplicación forzosa. Este diseño admite posibles problemas de vinculación temporales. Una vez que se vinculan, el sistema verifica periódicamente si los usuarios que acceden a las apps especificadas tienen sesiones vinculadas a DBSC. Cualquier reautenticación restablecerá este período de gracia, y no se aplicará el DBSC durante esa reautenticación.

Investiga problemas de protección y sesiones de DBSC

Puedes usar la herramienta de investigación de seguridad para supervisar la protección del DBSC y solucionar problemas de interrupciones de sesiones. Existen 2 fuentes de registros para la actividad del DBSC:

  • Eventos de registro del usuario: Supervisa la vinculación de tokens de acceso a los dispositivos del usuario.
  • Eventos de registro de la Evaluación de Acceso: Revisa el estado de cookies específicas.

Nota: Los eventos de registro de DBSC solo son visibles para la cuenta principal cuando varias cuentas de usuario acceden al mismo perfil del navegador Chrome.

Paso 1: Busca la actividad del DBSC en los eventos del registro de usuarios

Usa esta fuente de datos para ver si las DBSC vinculan correctamente las claves a los dispositivos de los usuarios y validan las sesiones.

Para verificar si DBSC está vinculando claves, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro del usuario.
  3. Haga clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como el operadory luegoVinculación de clave de DBSC como el evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, revisa la columna Estado del evento:
    • Succeeded: La protección con DBSC está activada para el usuario y la sesión está protegida.
    • Failed: La vinculación de DBSC falló y la protección no se activó para el usuario.
    • No hay resultados: No se intentó aplicar la protección de DBSC para esta sesión del usuario.

Para verificar si DBSC valida las sesiones, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haga clic en Agregar condición.
  3. En Atributo, selecciona Eventoy luegoEs como el operadory luegoValidación de clave de DBSC como el evento.
  4. Haz clic en Buscar.
  5. En la tabla de resultados, revisa la columna Estado del evento:
    • Succeeded: La cookie se validó correctamente.
    • Fallida: Falló la validación del DBSC. Haz clic en el estado para obtener información adicional, como un código de error.

Una falla no necesariamente significa que el usuario está experimentando interrupciones de sesión. Los usuarios podrían sufrir interrupciones si se producen varios errores de validación sucesivos.

Paso 2: Verifica si hay denegaciones de acceso en los eventos de registro de la evaluación de acceso

Usa esta fuente de datos para ver si se denegó el acceso a la cookie de un usuario.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro de evaluación de acceso.
  3. Haga clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como el operadory luegoDeny Cookie Validation Request como el evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, haz clic en Rechazado en la columna Estado del evento o en el vínculo de la columna Descripción para abrir un panel lateral en el que puedes revisar los siguientes motivos de falla:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Los eventos de registro se agrupan por sesión. Para administrar el volumen de registros, solo se registra un evento por hora para cada sesión única y tipo de falla. No se registran otros intentos con los mismos detalles durante esa hora.

Paso 3: Investiga si las interrupciones de sesión se deben al DBSC

Los usuarios pueden salir de su cuenta por varios motivos, como límites de duración de la sesión, políticas definidas por el administrador o problemas de red. Si bien el cierre de sesión no siempre indica un problema del DBSC, las secuencias de registros específicas pueden ayudar a identificar la actividad potencial relacionada con el DBSC o las instancias en las que el sistema bloqueó una sesión comprometida.

Usa estos puntos para identificar la actividad relacionada con el DBSC:

  • Revisa las secuencias de registros: Si encuentras errores de validación de claves de DBSC seguidos de una solicitud de validación de cookies denegada, es posible que el DBSC sea la causa del cierre de sesión del usuario.
  • Comprende el impacto en el usuario: Para mantener la seguridad de la cuenta, el usuario debe volver a acceder si el proceso de vinculación encuentra un error.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.