Evita el robo de cookies con la vinculación de sesiones

Google Workspace mejora automáticamente la seguridad de las sesiones en línea de los usuarios con las Credenciales de sesión vinculadas al dispositivo (DBSC). Las DBSC están diseñadas para evitar el secuestro de sesiones, también conocido como robo de cookies.

Este tipo de ciberataque se produce cuando una parte no autorizada obtiene el control de la sesión web activa de un usuario robando la cookie de sesión, a menudo a través de software malicioso en el dispositivo del usuario. Una cookie de sesión es un pequeño archivo de datos que contiene el identificador de sesión único que emite el sitio web durante el acceso. Al presentar esta cookie robada, el atacante puede hacerse pasar por el usuario legítimo y continuar con su sesión autenticada.

Las DBSC vinculan la sesión de un usuario a su dispositivo específico, lo que dificulta que los atacantes usen cookies robadas en otros dispositivos. Esto crea un límite de seguridad basado en hardware que reduce el riesgo de acceso no autorizado a las cuentas de los usuarios y mantiene seguros los datos sensibles. Las DBSC están activadas de forma predeterminada para todas las cuentas de Workspace. No es necesario que el administrador realice ninguna acción para activar esta protección.

Requisitos para usar las DBSC

  • Navegador Chrome: Versión 146 o posterior para Windows y versión 148 o posterior para macOS. Para obtener más detalles, consulta Actualiza Google Chrome.
  • Seguridad de hardware: Requiere funciones de seguridad basadas en hardware para almacenar de forma segura las claves criptográficas que se usan para vincular la sesión al dispositivo. En Windows, se trata de un módulo de plataforma de confianza (TPM), que es estándar en la mayoría de los dispositivos que ejecutan Windows 11. En macOS, se trata de un enclave seguro (disponible en la mayoría de las laptops Mac más recientes). Consulta la documentación del fabricante del dispositivo para confirmar las capacidades de hardware.

Cómo se aplica la protección de las DBSC

La protección de las DBSC se aplica automáticamente cuando el dispositivo y el navegador de un usuario cumplen con los requisitos técnicos necesarios. En algunos casos, es posible que las sesiones no estén vinculadas. Estos son algunos motivos comunes:

  • Entorno no compatible: Problemas con el sistema operativo, la versión del navegador o la seguridad de hardware del usuario (como un TPM en Windows)
  • Sesiones existentes: La protección de las DBSC solo se aplica a las sesiones nuevas. Los usuarios que ya habían accedido cuando se activaron las DBSC deben salir y volver a acceder para vincular su sesión.
  • Modificaciones del navegador: Ciertas extensiones del navegador o cambios manuales en las cookies pueden impedir que las DBSC funcionen correctamente.

Aplica las DBSC con el Acceso adaptado al contexto

Limitado a las apps web para computadoras y no aplicable a las apps para dispositivos móviles ni a las APIs

Puedes mejorar aún más la seguridad si exiges que los usuarios tengan las DBSC para acceder a apps específicas de Google Workspace. Cuando aplicas las DBSC, se les solicita a los usuarios que vuelvan a acceder si el sistema detecta una diferencia con una sesión vinculada establecida anteriormente. Esta nueva autenticación permite que el sistema intente una nueva vinculación segura. Los usuarios de plataformas no compatibles no pueden acceder a la app protegida. Esta medida de seguridad se configura a través del Acceso adaptado al contexto.

Para configurar la aplicación de las DBSC, haz lo siguiente:

  1. Sigue las instrucciones para crear un nivel de acceso personalizado en Permite el acceso a las apps solo desde sesiones vinculadas a las DBSC.
  2. Asigna el nivel de acceso a las apps a las que deseas acceder solo a través de sesiones vinculadas a las DBSC en modo de supervisor para simular la aplicación sin bloquear el acceso de los usuarios.
  3. Después de evaluar el impacto, asigna niveles de acceso en modo activo para aplicar el acceso solo a través de sesiones vinculadas a las DBSC. Para obtener más detalles, consulta Implementar el Acceso adaptado al contexto.

La aplicación de las DBSC no es inmediata, lo que significa que, después de que un usuario accede, hay un período de gracia antes de que se aplique la aplicación. Este diseño se adapta a posibles problemas de vinculación temporales. Una vez vinculadas, el sistema verifica periódicamente si los usuarios que acceden a las apps especificadas tienen sesiones vinculadas a las DBSC. Cualquier nueva autenticación restablecerá este período de gracia, y las DBSC no se aplicarán durante esa nueva autenticación.

Investiga los problemas de protección y sesión de las DBSC

Puedes usar la herramienta de investigación de seguridad para supervisar la protección de las DBSC y solucionar problemas de interrupciones de sesión. Existen 2 fuentes de registro para la actividad de las DBSC:

  • Eventos de registro del usuario: Supervisa la vinculación de tokens de acceso a los dispositivos de los usuarios.
  • Eventos de registro de la evaluación de acceso : Revisa el estado de cookies específicas.

Nota: Los eventos de registro de las DBSC solo son visibles para la cuenta principal cuando varias cuentas de usuario acceden al mismo perfil del navegador Chrome.

Paso 1: Busca la actividad de las DBSC en los eventos de registro del usuario eventos

Usa esta fuente de datos para ver si las DBSC vinculan correctamente las claves a los dispositivos de los usuarios y validan las sesiones.

Para verificar si las DBSC vinculan claves, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Registro de usuario eventos.
  3. Haz clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como operadory luegoVinculación de claves de DBSC como evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, revisa la columna Estado del evento :
    • Succeeded: La protección de las DBSC está activada para el usuario y la sesión está protegida.
    • Error: No se pudo realizar la vinculación de las DBSC y la protección no está activada para el usuario.
    • No results: No se intentó aplicar la protección de las DBSC para esta sesión de usuario.

Para verificar si las DBSC validan sesiones, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Agregar condición.
  3. En Atributo, selecciona Eventoy luegoEs como operadory luegoValidación de claves de DBSC como evento.
  4. Haz clic en Buscar.
  5. En la tabla de resultados, revisa la columna Estado del evento :
    • Succeeded : La cookie se validó correctamente.
    • Error: No se pudo realizar la validación de las DBSC. Haz clic en el estado para obtener información adicional, como un código de error.

Una falla no necesariamente significa que el usuario experimente interrupciones de sesión interrupciones. Los usuarios podrían sufrir interrupciones si se producen varias fallas de validación consecutivas.

Paso 2: Busca denegaciones de acceso en los eventos de registro de la evaluación de acceso

Usa esta fuente de datos para ver si se denegó el acceso a la cookie de un usuario.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro de la evaluación de acceso.
  3. Haz clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como operadory luegoDenegar solicitud de validación de cookies como evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, haz clic en Denied en la columna Estado del evento o en el vínculo de la columna Descripción para abrir un panel lateral en el que puedes revisar los siguientes motivos de falla:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Los eventos de registro se agrupan por sesión. Para administrar el volumen de registros, solo se registra un evento por hora para cada sesión y tipo de falla únicos. No se registran otros intentos con los mismos detalles durante esa hora.

Paso 3: Investiga si las interrupciones de sesión son causadas por las DBSC

Los usuarios pueden salir de sus cuentas por varios motivos, como límites de duración de la sesión , políticas definidas por el administrador o problemas de red. Si bien una salida no siempre indica un problema de las DBSC, las secuencias de registro específicas pueden ayudar a identificar posibles actividades relacionadas con las DBSC o instancias en las que el sistema bloqueó una sesión en riesgo.

Usa estos puntos para identificar la actividad relacionada con las DBSC:

  • Revisa las secuencias de registro: Si encuentras fallas en la Validación de claves de DBSC seguidas de una Denegación de solicitud de validación de cookies, las DBSC podrían ser la causa de la salida del usuario.
  • Comprende el impacto en el usuario: Para mantener la cuenta segura, un usuario debe volver a acceder si el proceso de vinculación encuentra un error.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.