Blog

Microsoft Edge almacena las contraseñas en la memoria como texto claro

Microsoft Edge almacena las contraseñas en la memoria como texto claro

Se supone que los administradores de contraseñas aparte de facilitarle la vida a las personas tienen que almacenar las credenciales de inicio de sesión de manera segura. Solo deben descifrarse en el momento de su uso y eliminarse de la memoria inmediatamente.

Por ejemplo Google Chrome practica el descifrado bajo demanda.

Por lo tanto, las contraseñas solo aparecen brevemente en texto claro durante el llenado automático de formularios de inicio de sesión o cuando los usuarios quieren verlas.

Chrome endurece aún más su modelo con «App-Bound Encryption» que vincula criptográficamente las claves de descifrado a un proceso de Chrome seguro.

Esto evita que otros procesos de la máquina reutilicen esas claves para acceder a las credenciales guardadas.

Brave y otros navegadores basados en Chromium también implementan protecciones similares.

Si bien esto no es infalible, por lo menos aporta una capa de seguridad.

Sin embargo, el administrador de contraseñas del navegador Edge guarda las contraseñas en la memoria en texto claro (sin cifrar) y las mantiene allí continuamente.

Básicamente, el texto claro o sin formato hace referencia a cualquier información legible presentada en un formato accesible y utilizable sin la necesidad de una clave de descifrado.

Microsoft Edge ayuda a proteger las contraseñas guardadas exigiendo autenticación antes de poder verlas o utilizarlas para rellenar formularios.

A partir del 4 de junio de 2026 esta autentificación se llevará a cabo mediante las opciones de inicio de sesión del dispositivo.

Si bien es una buena medida sirve de bien poco ante los volcados de memoria.

En el caso de un sistema con Windows.

Si un atacante obtiene acceso remoto a un equipo podría volcar la memoria del proceso de Edge (siempre que identifique el proceso correcto) y recuperar los nombres de usuario y contraseñas guardadas en texto plano.

No es precisamente coser y cantar. Tampoco debe poner paranoicos a los usuarios particulares, ya que los perpetradores acostumbra a buscar objetivos más golosos.

Aunque la posibilidad de ser víctima siempre está ahí.

Los usuarios de Linux y macOS que utilizan Edge pueden estar tranquilos. La extracción no es posible por razones de arquitectura del sistema operativo. 

Para ello habría que desactivar una serie de protecciones mediante acceso físico a la máquina lo que obviamente está fuera del alcance de cualquier atacante remoto.

¿Es intencional o se trata de un error?

Un investigador de seguridad noruego llamado ​​Rønning utilizo una herramienta de prueba de concepto alojada en GitHub.

Según este hombre el experimento demostró que las contraseñas estaban expuestas en texto plano dentro de la memoria del proceso del navegador.

Después contactó con Microsoft antes de revelar públicamente el hallazgo.

Rønning dice que la compañía con sede en Redmond respondió afirmando que este comportamiento de Microsoft Edge es por diseño. Dicho de otra manera: totalmente intencional.

El tema fue discutido públicamente en X, donde Rønning compartió sus observaciones.

Confirmación

Rob VandenBrink, un investigador del SANS Internet Storm Center, reprodujo y confirmó el comportamiento de forma independiente.

 El proceso que llevó a cabo (explicado de manera sencilla) fue el siguiente:

  1. Abrió Microsoft Edge sin navegar a ningún sitio web.
  2. Ejecuto el Administrador de tareas de Windows.
  3. En la pestaña «Detalles», localizo el proceso principal msedge.exe.
  4. Hizo clic sobre él con el botón derecho del ratón.
  5. Selecciono la opción «Crear archivo de volcado de memoria» (este paso requiere  privilegios de administrador).
  6. Abrió el archivo de volcado con la herramienta Strings (disponible en el paquete Microsoft Sysinternals).
  7. Buscó  comhttps que corresponde al formato en el que se almacenan las credenciales.

Proceso Microsoft Edge

Que dice Microsoft al respecto

En su sitio web, Microsoft justifica el funcionamiento de Edge afirmando que lo que se busca es un equilibrio entre la seguridad y la experiencia del usuario.

Los navegadores de Internet (incluido Microsoft Edge) no están equipados con defensas para proteger contra amenazas cuando todo el dispositivo se ve comprometido debido a un programa malicioso [sic].

En otras palabras, Microsoft afirma que un navegador no es una solución de seguridad y piensa que no es posible proteger las contraseñas si un dispositivo se ve comprometido por algún tipo de código malicioso.

Este sentido no han descubierto nada nuevo.

Todos sabemos que si los villanos consiguen comprometer un sistema poco importa la manera en que los navegadores web manejen las contraseñas.

Por ejemplo, Remus un ladrón de información que hereda las capacidades básicas de Lumma, es capaz de robar las contraseñas almacenadas en los navegadores Chrome, Edge, Brave y Avast sin necesidad de privilegios de administrador. 

Pero esto no es excusa para que un mal diseño de Microsoft Edge todavía se lo ponga más fácil a los ciberdelincuentes.

En cualquier caso, esta historia es otro recordatorio de que las credenciales más sensibles no deberían almacenarse en los administradores de contraseñas de los navegadores web.

Sobre todo si la empresa que los gestiona trata este tipo de imponderables como un «comportamiento normal».

Contenido relacionado

Información

Infosegur.net 

Licencia de Creative Commons 4.0

Made in Humans

Artículos actualizados

Temas

Privacidad Amenazas Estafas Seguridad informática Windows Internet Ingeniería social Malware Teléfonos móviles Contraseñas Herramientas Software malicioso Inteligencia artificial Redes Linux Seguridad de sitios web VPN Redes sociales Software de código abierto Seguridad de Linux Vulnerabilidades Android Correo electrónico