Evita el robo de cookies con la vinculación de sesiones (beta)

Como administrador, puedes mejorar la seguridad de las sesiones en línea de tus usuarios implementando las Credenciales de sesión vinculadas al dispositivo (DBSC). Las DBSC están diseñadas para evitar el secuestro de sesiones, también conocido como robo de cookies.

Este tipo de ciberataque se produce cuando un tercero no autorizado obtiene el control de la sesión web activa de un usuario robando la cookie de sesión, a menudo a través de software malicioso en el dispositivo del usuario. Una cookie de sesión es un pequeño archivo de datos que contiene el identificador de sesión único que emite el sitio web durante el acceso. Al presentar esta cookie robada, el atacante puede hacerse pasar por el usuario legítimo y continuar con su sesión autenticada.

Las DBSC funcionan vinculando la sesión de un usuario a su dispositivo específico, lo que dificulta que los atacantes usen cookies robadas en otros dispositivos. Si usas DBSC, puedes reducir el riesgo de acceso no autorizado a las cuentas de usuario y mantener seguros los datos sensibles de los usuarios.

Requisitos para usar DBSC

  • Chrome para Windows: Actualmente, las DBSC solo están disponibles en el navegador Chrome para dispositivos Windows.
  • Seguridad de hardware (TPM): El dispositivo del usuario debe tener un Módulo de plataforma segura (TPM), que es un componente de hardware estándar que ya está disponible para la mayoría de los dispositivos que ejecutan Windows 11. Este hardware almacena de forma segura las claves criptográficas que se usan para vincular la sesión al dispositivo. Por lo general, los usuarios pueden encontrar información sobre la disponibilidad de TPM en la configuración del sistema de su dispositivo o consultando la documentación del fabricante del dispositivo.
  • Versión de Chrome: El usuario debe tener la versión 136 de Chrome o una posterior. Para obtener más detalles, ve a Actualiza Google Chrome.
  • Cuenta principal: La protección de DBSC y los datos de eventos de registro solo están disponibles para la cuenta principal en un perfil del navegador Chrome.

Nota: La vinculación de sesiones protege la mayoría de las cookies de Google, aunque es posible que algunas cookies o sesiones no estén vinculadas.

Activa las DBSC

Antes de comenzar: Si es necesario, obtén información para aplicar el parámetro de configuración a un departamento o grupo.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Control de sesiones de Google.

    Requiere tener el privilegio de administrador de Configuración de seguridad.

  2. (Opcional) Para aplicar el parámetro de configuración solo para algunos usuarios, en el costado, selecciona una unidad organizativa (la opción habitual para departamentos) o un grupo de configuración (avanzado).

    La configuración de los grupos anula la de las unidades organizativas. Más información

  3. En Credenciales de sesión vinculadas al dispositivo, selecciona Habilitar DBSC.
  4. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar (o Sin configurar para un grupo).

Aplica las DBSC con el Acceso adaptado al contexto

Limitado a apps web para computadoras y no aplicable a apps para dispositivos móviles ni APIs

Puedes mejorar aún más la seguridad exigiendo que los usuarios tengan DBSC para acceder a apps específicas de Google Workspace. Cuando aplicas las DBSC, se les solicita a los usuarios que vuelvan a acceder si el sistema detecta una diferencia con una sesión vinculada establecida anteriormente. Esta reautenticación permite que el sistema intente una nueva vinculación segura. Los usuarios de plataformas no compatibles no pueden acceder a la app protegida. Esta medida de seguridad se configura a través del Acceso adaptado al contexto.

Para configurar la aplicación de DBSC, sigue estos pasos:

  1. Activa las DBSC para los usuarios que deseas proteger. Para conocer los pasos, consulta Activa las DBSC.
  2. Sigue las instrucciones para crear un nivel de acceso personalizado en Permite el acceso a las apps solo desde sesiones vinculadas a DBSC.
  3. Asigna el nivel de acceso a las apps a las que deseas acceder solo a través de sesiones vinculadas a DBSC en el modo de supervisor para simular la aplicación sin bloquear el acceso de los usuarios.
  4. Después de evaluar el impacto, asigna niveles de acceso en el modo activo para aplicar el acceso solo a través de sesiones vinculadas a DBSC. Para obtener más detalles, consulta Implementa el Acceso adaptado al contexto.

La aplicación de DBSC no es inmediata, lo que significa que, después de que un usuario accede, hay un período de gracia antes de que se aplique la aplicación. Este diseño se adapta a posibles problemas de vinculación temporales. Una vez vinculados, el sistema verifica periódicamente si los usuarios que acceden a las apps especificadas tienen sesiones vinculadas a DBSC. Cualquier reautenticación restablecerá este período de gracia, y las DBSC no se aplicarán durante esa reautenticación.

Investiga problemas de protección y sesiones de DBSC

Puedes usar la herramienta de investigación de seguridad para supervisar la protección de DBSC y solucionar problemas de interrupciones de sesiones. Existen 2 fuentes de registro para la actividad de DBSC:

  • Eventos de registro del usuario: Supervisa la vinculación de tokens de acceso a los dispositivos de los usuarios.
  • Eventos de registro de la evaluación de acceso : Revisa el estado de cookies específicas.

Paso 1: Busca la actividad de DBSC en los eventos de registro del usuario

Usa esta fuente de datos para ver si DBSC vincula correctamente las claves a los dispositivos de los usuarios y valida las sesiones.

Para verificar si DBSC vincula las claves, sigue estos pasos:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Registro de usuario eventos.
  3. Haz clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como operadory luegoVinculación de claves de DBSC como evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, revisa la columna Estado del evento :
    • Éxito: La protección de DBSC está activada para el usuario y la sesión está protegida.
    • Error: No se pudo realizar la vinculación de DBSC y la protección no está activada para el usuario.
    • Sin resultados: No se intentó la protección de DBSC para esta sesión de usuario.

Para verificar si DBSC valida las sesiones, sigue estos pasos:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Agregar condición.
  3. En Atributo, selecciona Eventoy luegoEs como operadory luegoValidación de claves de DBSC como evento.
  4. Haz clic en Buscar.
  5. En la tabla de resultados, revisa la columna Estado del evento :
    • Éxito : La cookie se validó correctamente.
    • Error : No se pudo realizar la validación de DBSC. Haz clic en el estado para obtener información adicional, como un código de error.

Una falla no significa necesariamente que el usuario esté experimentando interrupciones de sesiones. Los usuarios pueden sufrir interrupciones si se producen varias fallas de validación consecutivas.

Paso 2: Busca denegaciones de acceso en los eventos de registro de la evaluación de acceso

Usa esta fuente de datos para ver si se denegó el acceso a la cookie de un usuario.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Centro de seguridad y luego Herramienta de investigación.

    Requiere tener el privilegio de administrador del Centro de seguridad.

  2. En Fuente de datos, selecciona Eventos de registro de la evaluación de acceso.
  3. Haz clic en Agregar condición.
  4. En Atributo, selecciona Eventoy luegoEs como operadory luegoDenegar solicitud de validación de cookies como evento.
  5. Haz clic en Buscar.
  6. En la tabla de resultados, haz clic en Denegado en la columna Estado del evento o en el vínculo de la columna Descripción para abrir un panel lateral en el que puedes revisar los siguientes motivos de falla:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Los eventos de registro se agrupan por sesión. Solo se registra un evento por usuario cada hora, incluso si se bloquean varios intentos de acceso durante ese período.

Paso 3: Investiga si las interrupciones de sesiones son causadas por DBSC

Los usuarios pueden salir de sus cuentas por varios motivos, como límites de duración de la sesión , políticas definidas por el administrador o problemas de red. Si bien el cierre de sesión no siempre indica un problema de DBSC, las secuencias de registro específicas pueden ayudar a identificar posibles actividades relacionadas con DBSC o instancias en las que el sistema bloqueó una sesión en riesgo.

Usa estos puntos para identificar la actividad relacionada con DBSC:

  • Revisa las secuencias de registro: Si encuentras fallas en la Validación de claves de DBSC seguidas de una Denegación de solicitud de validación de cookies, es posible que DBSC sea la causa del cierre de sesión del usuario.
  • Comprende el impacto en el usuario: Para mantener la cuenta segura, un usuario debe volver a acceder si el proceso de vinculación encuentra un error.
  • Exime a los usuarios de DBSC: Si un usuario cierra sesión de forma constante, puedes crear un grupo de configuración exento de DBSC y agregar al usuario a ese grupo para evaluar si DBSC está causando los cierres de sesión.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.