Microsoft Edge almacenaba contraseñas en texto plano en la memoria del proceso, una realidad silenciosamente peligrosa para los usuarios del segundo navegador de escritorio más popular del mundo. Cuando un investigador de seguridad publicó una prueba de concepto, la respuesta inicial de Microsoft fue que ese comportamiento era "by design" -es decir, intencionado. La empresa dio marcha atrás bajo presión pública y anunció que Edge 148 cambiará la forma en que se gestionan las credenciales en memoria. El episodio es un recordatorio contundente de que el gestor de contraseñas integrado en el navegador no es la caja fuerte segura que la mayoría de los usuarios asumen.
Qué hacía Edge con tus contraseñas
El investigador de seguridad Tom Jøran Rønning publicó una prueba de concepto que demostraba que Microsoft Edge descifra todo el almacén de contraseñas guardadas al iniciarse y mantiene cada credencial en texto plano en la memoria del proceso durante toda la sesión de navegación, independientemente de si visitas esos sitios o utilizas el autocompletado.
No es así como otros navegadores basados en Chromium manejan los mismos datos. Chrome, por ejemplo, solo carga una contraseña en memoria como texto plano en el momento en que el usuario solicita explícitamente verla en el gestor de contraseñas o cuando se activa el autocompletado para esa credencial concreta. Edge hacía exactamente lo contrario: descifraba todo a la vez y lo dejaba en la RAM.
La consecuencia práctica: cualquier proceso que se ejecute con privilegios de administrador en tu equipo -malware, una aplicación comprometida o un atacante remoto con acceso elevado- podía leer todas tus contraseñas guardadas examinando la memoria del proceso de Edge. Sin necesidad de romper el cifrado, sin necesidad de acceder al disco. Solo había que leer lo que Edge ya había decodificado.
La defensa "By Design" de Microsoft - y el paso atrás
Cuando los hallazgos de Rønning se hicieron públicos, la respuesta inicial de Microsoft fue que el comportamiento de mantener contraseñas en texto plano en memoria era una decisión de diseño deliberada. El argumento de la empresa: este enfoque acelera el autocompletado y el inicio de sesión, y leer la memoria de otro proceso ya requiere de una máquina comprometida o de acceso elevado, un escenario que Microsoft consideraba fuera del alcance de la seguridad a nivel de navegador.
Ese argumento no sobrevivió al escrutinio público. La lógica de la "máquina ya comprometida", a veces denominada "minimización tras la brecha", es precisamente la razón por la que existe la investigación en seguridad: una vez que los atacantes están en tu máquina, minimizar lo que pueden recopilar importa enormemente. Dejar todas las contraseñas guardadas descifradas en la RAM durante toda la sesión es lo contrario de la gestión de daños.
Bajo la presión de la comunidad de seguridad, Microsoft rectificó su posición. A partir de Edge 148, el navegador dejará de precargar todas las contraseñas almacenadas en memoria en forma no cifrada. Las credenciales seguirán el mismo modelo que Chrome: solo se cargarán en memoria como texto plano cuando sea estrictamente necesario.
Por qué esto es más grave de lo que Microsoft admitió
El argumento de que "de todas formas se necesitan privilegios de administrador" pasa por alto varios escenarios de ataque reales donde las contraseñas en texto plano en la RAM representan un riesgo adicional significativo:
- Malware de rastreo de memoria: Los ladrones de credenciales escanean rutinariamente la memoria de los procesos del navegador. El diseño de Edge lo hacía trivialmente sencillo: no se requería ningún trabajo de descifrado.
- Ataques entre procesos: Ciertas clases de vulnerabilidades permiten que procesos con privilegios más bajos lean la memoria de procesos con privilegios más altos, eludiendo las protecciones normales del sistema operativo.
- Análisis forense de memoria en vivo: Las fuerzas del orden y actores adversariales que realizan un análisis de memoria en vivo de una máquina en ejecución podrían extraer todas las credenciales guardadas sin tocar jamás la base de datos cifrada en el disco.
- Equipos compartidos o gestionados: En entornos empresariales, varios usuarios o administradores de TI pueden tener acceso a herramientas de inspección de memoria que podrían exponer las credenciales de la sesión de otro usuario.
La escala de la exposición también importa. Edge es uno de los navegadores más utilizados del mundo, con cientos de millones de instalaciones en entornos de consumo y empresariales. El gestor de contraseñas es una función central, no un caso marginal. Un fallo de diseño a este nivel afecta a un número enorme de usuarios que confiaron en el navegador para gestionar sus credenciales de forma segura.
Qué deberías hacer ahora
Hasta que Edge 148 llegue a tu dispositivo, la ventana de exposición sigue activa. Aquí tienes pasos concretos para reducir tu riesgo:
- Comprueba tu versión actual de Edge en edge://settings/help - si es inferior a la 148, el problema está presente.
- Elimina las contraseñas sensibles del gestor de contraseñas integrado de Edge y migrálas a una aplicación de gestión de contraseñas independiente. Los gestores independientes cifran las credenciales en reposo y solo las descifran en memoria en el momento de su uso.
- Activa las actualizaciones automáticas de Edge para que la versión 148 se instale tan pronto como esté disponible en tu canal.
- Revisa si alguna cuenta de trabajo o de administrador está almacenada en Edge en equipos compartidos o gestionados por la empresa, donde otros usuarios o el personal de TI podrían tener acceso a herramientas de inspección de memoria.
La lección más amplia es de carácter arquitectónico. Los gestores de contraseñas integrados en los navegadores sacrifican un límite de seguridad significativo a cambio de comodidad. Cuando un navegador mantiene todas las credenciales descifradas en la RAM, el cifrado que protege esas contraseñas en el disco no ofrece ninguna protección contra cualquier atacante o malware que acceda al proceso en ejecución. Un gestor de contraseñas dedicado, en cambio, opera con un espacio de memoria separado y un ciclo de vida de descifrado estrictamente controlado.
Este incidente también pone de relieve la importancia de la investigación de seguridad independiente. La posición inicial de Microsoft de "by design" habría persistido indefinidamente sin un PoC público que forzara el asunto a la luz pública. La capacidad de la comunidad de seguridad para revisar, cuestionar y exponer el comportamiento de software ampliamente implantado es un control crítico sobre las decisiones de los fabricantes que afectan a cientos de millones de usuarios.
