3 min de lectura

El fallo de la memoria de contraseñas de Edge deja a Microsoft en mal lugar

Microsoft Edge tiene un problema en el manejo de contraseñas que suena menor hasta que piensas como un atacante: cada contraseña guardada se descifra y queda en memoria en texto claro durante toda la

Microsoft Edge tiene un problema en el manejo de contraseñas que parece menor hasta que piensas como un atacante: cada contraseña guardada se descifra y queda en memoria en texto claro durante toda la sesión de navegación. Microsoft afirma que eso es intencional, pero la compensación es, como mínimo, incómoda, sobre todo para un navegador construido sobre la misma base de código Chromium que impulsa a Chrome.

El problema fue divulgado por el investigador de seguridad Tom Rønning, que descubrió que Edge carga todas las contraseñas almacenadas en la memoria al iniciarse, incluso si nunca abres los sitios a los que pertenecen. Eso convierte a Edge en un objetivo más fácil para el malware que busca secretos en la RAM, que es precisamente el tipo de tarea para la que están diseñados los infostealers modernos. Lo curioso es que Edge es el que se sale de la norma: Rønning dijo que otros navegadores basados en Chromium que probó no se comportaban así.

Cómo Microsoft Edge gestiona las contraseñas guardadas

Microsoft Edge descifra las contraseñas guardadas y las mantiene en memoria en texto claro durante toda la sesión. Chrome, en cambio, solo descifra las credenciales cuando realmente se necesitan, por ejemplo durante el autocompletado, y utiliza cifrado ligado a la aplicación (Application-Bound Encryption) para dificultar la extracción. Esa diferencia importa porque la memoria es adonde acuden los atacantes cuando ya han sorteado las defensas más sencillas.

Microsoft dijo a CyberNews que ese comportamiento existe para que los usuarios puedan iniciar sesión rápidamente, y que explotarlo requeriría acceso administrativo al dispositivo. Esa respuesta es técnicamente correcta y, en la práctica, incompleta. Los profesionales de seguridad señalan habitualmente que el acceso a nivel de administrador ya supone una brecha grave, pero también advierten que existe una ventana más estrecha antes de ese punto en la que la memoria expuesta aún puede ser recolectada.

Recomendado

Signal prueba usar teléfonos Android como dispositivos vinculados

Por qué la exposición de la memoria sigue siendo importante

El consejo práctico de los expertos en seguridad es aburrido porque es correcto: deja de almacenar contraseñas en el navegador y usa en su lugar un gestor de contraseñas dedicado. Los navegadores son cómodos, y la comodidad suele ser la forma en que la seguridad es asaltada en un callejón oscuro.

Los usuarios de Edge no son los únicos empujados hacia mejores hábitos. Google ha estado orientando a Chrome hacia más inteligencia local y más almacenamiento local, lo que demuestra lo enmarañado que se ha vuelto el navegador moderno: en parte herramienta de seguridad, en parte caja fuerte de identidades, en parte vehículo de entrega de IA. Microsoft puede argumentar que su diseño está optimizado para la velocidad, pero la velocidad es una excusa débil cuando las credenciales permanecen expuestas en la memoria más tiempo del necesario.

El problema mayor para la confianza en los navegadores

No se trata tanto de un fallo concreto como de la cantidad de confianza que los navegadores acumulan por defecto. Ya no son solo ventanas al mundo web; son almacenes de contraseñas, herramientas de pago, motores de sincronización y ahora plataformas de IA. Cuanto más hacen, más dolorosos se vuelven sus atajos de seguridad.

Es poco probable que Microsoft cambie de rumbo rápidamente si cree que el diseño actual es intencional y rápido. La mejor pregunta es si los usuarios seguirán tratando el almacenamiento de contraseñas en el navegador como una simple comodidad tras otro recordatorio de que «guardado» no siempre significa «seguro».

Tomas Berg

Computing Editor

Tomas lives in the terminal. He covers chips, laptops, and operating systems with a focus on performance and efficiency. He reads kernel changelogs the way other people read fiction, and he's always on the hunt for the perfect mechanical keyboard switch. If it processes data, Tomas has an opinion on it.

// Sigue leyendo