O Google começou a liberar globalmente o recurso Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) no Chrome, uma tecnologia criada para combater uma ameaça que tem preocupado especialistas em segurança digital nos últimos anos: o roubo de cookies de sessão. Embora pouco conhecido pelo público em geral, esse tipo de ataque permite que criminosos assumam contas legítimas mesmo quando a vítima utiliza senha forte e autenticação em duas etapas.
A popularização da autenticação multifator (MFA) elevou significativamente o nível de proteção dos usuários. No entanto, grupos criminosos passaram a buscar caminhos alternativos para contornar essas barreiras. Em vez de tentar descobrir senhas, muitos passaram a roubar diretamente as sessões já autenticadas armazenadas nos navegadores.
Com a chegada do DBSC no Chrome, o Google pretende dificultar esse cenário ao vincular a sessão do usuário ao próprio dispositivo. A iniciativa representa uma mudança importante na forma como a segurança online é tratada, deixando de focar apenas na proteção das credenciais para também proteger o ambiente onde elas são utilizadas.
O que é o roubo de cookies e por que ele é tão perigoso
Sempre que um usuário faz login em um site, o navegador recebe pequenos arquivos chamados cookies de sessão. Eles funcionam como identificadores temporários que informam ao serviço que aquela pessoa já foi autenticada.
Graças a esses cookies, não é necessário digitar usuário e senha a cada nova página acessada. O problema surge quando criminosos conseguem copiar esses arquivos e transferi-los para outro computador.
Nesse cenário, o invasor não precisa descobrir a senha nem passar pela autenticação em duas etapas. Como o cookie comprova que a sessão já foi validada anteriormente, muitos serviços permitem o acesso imediato à conta.
Esse método se tornou extremamente popular entre cibercriminosos porque é rápido, eficiente e difícil de detectar. Em muitos casos, a vítima só percebe o problema quando já perdeu o controle da conta ou quando informações sensíveis foram acessadas.
A técnica afeta diversos serviços online, incluindo plataformas corporativas, contas de e-mail, redes sociais, sistemas financeiros e ambientes de produtividade utilizados por empresas.
Imagem: Google
O papel dos malwares infostealers
O crescimento do roubo de cookies está diretamente ligado à disseminação dos chamados infostealers, malwares desenvolvidos especificamente para coletar informações armazenadas nos dispositivos das vítimas.
Essas ameaças procuram senhas salvas, dados de preenchimento automático, históricos de navegação e, principalmente, cookies de sessão válidos.
Entre os exemplos mais conhecidos estão os malwares Lumma e Rhadamanthys, frequentemente associados a campanhas de roubo de credenciais em larga escala.
Esses programas evoluíram rapidamente nos últimos anos e passaram a explorar recursos internos dos navegadores para obter dados protegidos. O resultado foi um aumento expressivo dos ataques de sequestro de sessão, uma técnica que permite aos criminosos assumir contas sem precisar quebrar mecanismos tradicionais de autenticação.
Para especialistas em segurança, essa tendência demonstrou que apenas proteger a senha já não era suficiente. Era necessário criar formas de impedir que sessões roubadas fossem reutilizadas em outros dispositivos.
Como funciona o DBSC no Chrome
O DBSC (Device Bound Session Credentials) foi desenvolvido justamente para resolver esse problema.
A tecnologia adiciona uma camada extra de verificação que vincula a sessão autenticada ao dispositivo utilizado pelo usuário. Em vez de confiar apenas no cookie armazenado no navegador, o sistema passa a exigir uma validação criptográfica associada ao equipamento original.
Na prática, isso significa que o cookie sozinho deixa de ser suficiente para garantir acesso à conta.
Mesmo que um malware consiga copiar todos os arquivos relacionados à sessão, o invasor não conseguirá utilizá-los em outro computador sem possuir também a credencial criptográfica vinculada ao dispositivo da vítima.
Essa abordagem reduz significativamente a eficácia dos ataques baseados em roubo de sessões e representa um avanço importante na proteção das identidades digitais.
Além disso, a implementação ocorre de forma transparente para o usuário final, sem exigir alterações na rotina de navegação ou configurações complexas.
O uso do TPM e Secure Enclave
Um dos principais diferenciais do DBSC é sua integração com os mecanismos de segurança presentes no hardware moderno.
Nos computadores com Windows, a proteção pode utilizar o Trusted Platform Module (TPM), um chip dedicado ao armazenamento seguro de chaves criptográficas.
Já nos dispositivos da Apple, essa função é desempenhada pelo Secure Enclave, um ambiente isolado criado para proteger informações críticas do sistema.
Esses componentes foram projetados para impedir que dados sensíveis sejam extraídos por softwares maliciosos ou por acessos não autorizados.
Quando uma sessão protegida pelo DBSC precisa ser validada, o navegador utiliza uma chave armazenada de forma segura nesse hardware para comprovar que o acesso está sendo realizado pelo dispositivo legítimo.
Caso um criminoso tente reutilizar um cookie roubado em outro computador, a validação falhará porque a chave necessária não estará disponível.
Essa combinação entre software e hardware cria uma barreira muito mais difícil de contornar do que os modelos tradicionais de autenticação baseados apenas em credenciais armazenadas no navegador.
Quem recebe a novidade e o impacto no Google Workspace
A liberação do recurso está sendo realizada gradualmente e faz parte da estratégia do Google para fortalecer a proteção das contas online.
Usuários comuns poderão se beneficiar da tecnologia à medida que serviços compatíveis adotarem o suporte ao DBSC. Como o mecanismo depende tanto do navegador quanto das plataformas utilizadas, a implementação tende a crescer progressivamente ao longo dos próximos meses.
No ambiente corporativo, o impacto pode ser ainda mais relevante.
Empresas que utilizam o Google Workspace passam a contar com uma camada adicional de proteção contra ataques que visam roubo de credenciais e comprometimento de contas corporativas.
Administradores de TI também poderão aplicar políticas específicas relacionadas ao uso desse mecanismo, aumentando a segurança de colaboradores que acessam informações sensíveis diariamente.
Para organizações que enfrentam ameaças constantes de phishing, malware e espionagem digital, a proteção de sessões vinculadas ao dispositivo representa um reforço importante na estratégia de defesa.
Como o DBSC muda o futuro da segurança na web
Durante muitos anos, a indústria de segurança concentrou seus esforços na proteção de senhas. Posteriormente, a autenticação multifator se tornou a principal resposta contra o roubo de credenciais.
O crescimento dos ataques baseados em cookies mostrou, porém, que os criminosos estavam migrando para novos vetores de ataque.
Com o DBSC, surge uma abordagem mais moderna, focada não apenas na autenticação do usuário, mas também na validação do dispositivo utilizado durante a sessão.
Essa mudança reduz consideravelmente o valor dos cookies roubados para os atacantes e dificulta a atuação de malwares especializados em sequestro de sessões.
Embora nenhuma tecnologia seja capaz de eliminar completamente os riscos, a iniciativa representa um passo importante na construção de uma web mais segura.
Conclusão
A chegada das Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) ao Chrome marca uma evolução significativa na proteção contra o roubo de cookies de sessão. Ao associar credenciais autenticadas ao hardware do dispositivo, o Google dificulta uma das técnicas mais utilizadas atualmente para invadir contas sem precisar de senha.
A novidade beneficia tanto usuários domésticos quanto empresas, especialmente em um cenário onde ataques baseados em infostealers continuam crescendo em escala global.
Manter o navegador atualizado, utilizar autenticação multifator e adotar boas práticas de segurança continuam sendo medidas fundamentais. Agora, com o suporte ao DBSC, os usuários do Chrome contam com uma camada adicional de proteção para manter suas contas mais seguras diante das ameaças modernas.
