Recientemente se ha descubierto que Microsoft Edge guarda las contraseñas en memoria en formato de texto plano, una práctica que puede comprometer la seguridad de los usuarios, especialmente en equipos compartidos. Este hallazgo plantea dudas sobre la protección real que ofrece el navegador en lo que respecta al almacenamiento de credenciales.
Un experto noruego en ciberseguridad, Tom Jøran Sønstebyseter Rønning, ha identificado que, a diferencia de otros navegadores basados en Chromium, Edge guarda todas las contraseñas cifradas en memoria de forma descifrada al iniciar el navegador, independientemente de si se están utilizando o no. Este comportamiento hace que la información sensible esté más expuesta de lo esperado.
Cómo afecta el guardado de contraseñas en texto plano en Microsoft Edge
Una de las principales preocupaciones es que, aunque para acceder a estas contraseñas se requiere tener permisos administrativos en el equipo, quienes dispongan de estos privilegios en ordenadores compartidos podrían extraer las credenciales almacenadas de otros usuarios conectados.
Esto supone un riesgo en entornos donde varios usuarios comparten el mismo ordenador, ya que un administrador puede acceder a la memoria y obtener todas las contraseñas guardadas sin necesidad de interacción directa con cada cuenta.
El investigador ha desarrollado y publicado una herramienta en GitHub que simula este proceso de extracción de contraseñas guardadas en Edge, demostrando la viabilidad del método.
Comparativa con otros navegadores y la respuesta de Microsoft
En contraste, Google Chrome descifra las contraseñas solo cuando el usuario las necesita, y vincula el proceso a una sesión autenticada, impidiendo que otros procesos del sistema puedan acceder a las claves de cifrado.
Cuando esta vulnerabilidad fue reportada a Microsoft, la empresa respondió que este comportamiento está “diseñado así” y que, tras una revisión, no se considera una vulnerabilidad ni un problema de seguridad que requiera atención inmediata.
Sin embargo, expertos externos insisten en que mantener todas las contraseñas descifradas en memoria representa un punto débil, y que la práctica debería revisarse para evitar riesgos en escenarios de usuarios múltiples o administradores no confiables.
En su documentación, Microsoft defiende que, aunque un atacante con acceso administrativo pueda obtener datos en el sistema, el diseño busca impedir que se extraigan las contraseñas en texto claro de usuarios que no estén iniciados en ese momento. La investigación de Rønning y otros sugiere que esta protección es insuficiente.
Este debate pone en evidencia que incluso navegadores con gran cuota de mercado pueden presentar aspectos mejorables en seguridad, especialmente en la gestión de datos sensibles como las contraseñas guardadas.
Por qué es importante entender estas diferencias en la gestión de contraseñas
Para usuarios que confían en su navegador para almacenar sus credenciales, este hallazgo resalta la importancia de revisar las opciones de seguridad y considerar factores como permisos administrativos y el uso de contraseñas robustas con autenticación de doble factor.
Aunque la mayoría de los usuarios no interactúan con estas vulnerabilidades directamente, la exposición en equipos compartidos o los casos de accesos no autorizados pueden tener consecuencias graves, desde el robo de identidad hasta accesos indebidos a servicios y cuentas personales.
En un entorno tecnológico donde la seguridad de datos es crítica, conocer las diferencias en el comportamiento de los navegadores permite tomar decisiones más conscientes para proteger la información almacenada.
Esta investigación abre una puerta para que Microsoft revise sus procesos internos de gestión de contraseñas y evalúe si mantenerlas descifradas en memoria es una medida justificada o si debe implementarse una política más segura similar a la de otros navegadores.
