Se supone que los administradores de contraseñas aparte de facilitarle la vida a las personas tienen que almacenar las credenciales de inicio de sesión de manera segura. Solo deben descifrarse en el momento de su uso y eliminarse de la memoria inmediatamente.
Por ejemplo Google Chrome practica el descifrado bajo demanda.
Por lo tanto, las contraseñas solo aparecen brevemente en texto claro durante el llenado automático de formularios de inicio de sesión o cuando los usuarios quieren verlas.
Chrome endurece aún más su modelo con «App-Bound Encryption» que vincula criptográficamente las claves de descifrado a un proceso de Chrome seguro.
Esto evita que otros procesos de la máquina reutilicen esas claves para acceder a las credenciales guardadas.
Brave y otros navegadores basados en Chromium también implementan protecciones similares.
Sin embargo, el administrador de contraseñas del navegador Edge guarda las contraseñas en la memoria en texto claro (sin cifrar) y las mantiene allí continuamente.
Básicamente, el texto claro o sin formato hace referencia a cualquier información legible presentada en un formato accesible y utilizable sin la necesidad de una clave de descifrado.
Microsoft Edge ayuda a proteger las contraseñas guardadas exigiendo autenticación antes de poder verlas o utilizarlas para rellenar formularios.
A partir del 4 de junio de 2026 esta autentificación se llevará a cabo mediante las opciones de inicio de sesión del dispositivo.
Si bien es una buena medida sirve de bien poco ante los volcados de memoria.
En el caso de un sistema con Windows.
Si un atacante obtiene acceso administrativo a un equipo mediante algún servicio de escritorio remoto, podría volcar la memoria del proceso de Edge (siempre que identifique el proceso correcto) y recuperar los nombres de usuario y contraseñas guardadas en texto plano.
No es precisamente coser y cantar. Tampoco debe poner paranoicos a los usuarios particulares, ya que los perpetradores acostumbra a buscar objetivos más golosos.
Aunque la posibilidad de ser víctima siempre está ahí.
Los usuarios de Linux y macOS que utilizan Edge pueden estar tranquilos. La extracción no es posible por razones de arquitectura de sistema operativo.
Para ello habría que desactivar una serie de protecciones mediante acceso físico a la máquina lo que obviamente está fuera del alcance de cualquier atacante remoto.
¿Es intencional o se trata de un error?
Un investigador de seguridad noruego llamado Rønning utilizo una herramienta de prueba de concepto alojada en GitHub.
Según este hombre el experimento demostró que las contraseñas estaban expuestas en texto plano dentro de la memoria del proceso del navegador.
Después contactó con Microsoft antes de revelar públicamente el hallazgo.
Rønning dice que la compañía con sede en Redmond respondió afirmando que este comportamiento de Microsoft Edge es por diseño. Dicho de otra manera: totalmente intencional.
El tema fue discutido públicamente en X, donde Rønning compartió sus observaciones.
Confirmación
Rob VandenBrink, un investigador del SANS Internet Storm Center, reprodujo y confirmó el comportamiento de forma independiente.
El proceso que llevó a cabo (explicado de manera sencilla) fue el siguiente:
- Abrió Microsoft Edge sin navegar a ningún sitio web.
- Ejecuto el Administrador de tareas de Windows.
- En la pestaña «Detalles», localizo el proceso principal
msedge.exe. - Hizo clic sobre él con el botón derecho del ratón.
- Selecciono la opción «Crear archivo de memoria» (este paso requiere privilegios de administrador).
- Abrió el archivo de volcado con la herramienta Strings (disponible en el paquete Microsoft Sysinternals).
- Buscó
comhttpsque corresponde al formato en el que se almacenan las credenciales.
Que dice Microsoft al respecto
En su sitio web, Microsoft justifica el funcionamiento de Edge afirmando que lo que se busca es un equilibrio entre la seguridad y la experiencia del usuario.
Los navegadores de Internet (incluido Microsoft Edge) no están equipados con defensas para proteger contra amenazas cuando todo el dispositivo se ve comprometido debido a un programa malicioso [sic].
En otras palabras, Microsoft afirma que un navegador no es una solución de seguridad y piensa que no es posible proteger las contraseñas si un dispositivo se ve comprometido por algún tipo de código malicioso.
Y en este sentido no le falta razón.
Por ejemplo, Remus un ladrón de información que hereda las capacidades básicas de Lumma, es capaz de robar las contraseñas almacenadas en los navegadores Chrome, Edge, Brave y Avast sin necesidad de privilegios de administrador.
Se propaga mediante los sospechosos habituales:
- Archivos adjuntos de correo electrónico.
- Anuncios maliciosos.
- Ingeniería social.
- Vulnerabilidades del sistema y de las aplicaciones.
También existen otras herramientas como «Chrome App-Bound Encryption Decryption» capaces de hacer algo similar.
Por lo tanto, si los villanos se lo proponen poco importa la forma en que los distintos navegadores manejen las contraseñas.
Si queremos mantenerlas un poco más seguras lo más sensato es guardarlas en algún medio extraíble.
Una unidad USB puede funcionar como una bóveda portátil que incluso se puede cifrar muy fácilmente.
Solamente hay que expulsarla adecuadamente para reducir el riesgo de que se corrompa.
Por otro lado, es conveniente etiquetarla discretamente y hacer una copia de seguridad separada. También hay que evitar usarla en ordenadores públicos y dispositivos prestados.
Otra opción son los administradores de contraseñas tanto locales como en la nube. Aunque también pueden presentar vulnerabilidades.
