Vulnerabilidad de Microsoft Edge expone contraseñas en texto plano

La ciberseguridad moderna se basa en una premisa fundamental: los secretos deben permanecer cifrados hasta el último segundo posible. Sin embargo, una reciente revelación ha puesto en tela de juicio esta lógica dentro de uno de los navegadores más utilizados del mundo. Se ha descubierto una crítica vulnerabilidad de Microsoft Edge que expone todas las credenciales guardadas por el usuario en texto plano dentro de la memoria del sistema, eliminando capas de protección esenciales que otros competidores ya han implementado.

El hallazgo, presentado por el experto en seguridad Tom Jøran Sønstebyseter Rønning durante el evento Big Bite of Tech 26 en Oslo, Noruega, ha generado un terremoto en la comunidad de TI. Lo que hace que este caso sea particularmente alarmante no es solo la facilidad con la que se pueden extraer los datos, sino la respuesta oficial de Microsoft, que califica este comportamiento como una decisión “por diseño”. A continuación, analizamos las profundidades técnicas de este fallo y por qué podría obligar a millones de usuarios corporativos a reconsiderar su estrategia de gestión de identidad.

¿En qué consiste la vulnerabilidad de Microsoft Edge?

A diferencia de un error de código o un desbordamiento de búfer tradicional, esta vulnerabilidad de Microsoft Edge reside en la arquitectura de manejo de memoria del navegador. Según la investigación de Rønning, en el momento exacto en que un usuario inicia Microsoft Edge, el navegador toma todo el almacén de contraseñas guardadas (que están cifradas en el disco mediante DPAPI) y las descifra en su totalidad, colocándolas en la memoria RAM en formato de texto plano (plaintext).

Este proceso ocurre de manera automática y global. No importa si el usuario tiene una o mil contraseñas guardadas; todas son cargadas en la memoria del proceso padre de Edge. Peor aún, los datos permanecen allí durante toda la sesión, incluso si el usuario nunca visita los sitios web asociados a esas credenciales. Esto significa que cualquier proceso con privilegios administrativos o de nivel SYSTEM puede escanear la memoria y leer los nombres de usuario y contraseñas como si estuvieran escritos en un documento de texto abierto.

El papel de EdgeSavedPasswordsDumper

Para demostrar la gravedad de su descubrimiento, Rønning lanzó una herramienta de prueba de concepto (PoC) en GitHub denominada EdgeSavedPasswordsDumper. Esta utilidad, escrita en C# y diseñada para ser lo más ligera posible, permite a un atacante —o a un malware de tipo infostealer— realizar las siguientes acciones:

• Identificar el proceso padre de Microsoft Edge en la lista de tareas del sistema.
• Escanear los segmentos de memoria asociados al manejo de credenciales.
• Extraer y mostrar en pantalla todas las contraseñas guardadas en formato legible.
• Evadir ciertos controles de seguridad tradicionales, como el Antimalware Scan Interface (AMSI), al utilizar implementaciones de .NET específicas.

La existencia de esta herramienta democratiza el ataque, permitiendo que incluso actores de amenazas con habilidades técnicas moderadas puedan comprometer la totalidad de las cuentas de un usuario una vez que han logrado acceso inicial al sistema.

La comparativa crítica: Edge frente a Google Chrome y ABE

Uno de los puntos más polémicos de la investigación es que Microsoft Edge, a pesar de estar basado en el motor Chromium, no implementa las mismas salvaguardas de memoria que su pariente cercano, Google Chrome. La diferencia clave radica en una tecnología denominada App-Bound Encryption (ABE).

Google introdujo ABE en Chrome (versión 127 en adelante) para mitigar el auge de los troyanos de robo de información. Esta tecnología funciona de la siguiente manera:

1. Vinculación al proceso: Las claves de cifrado no solo dependen del usuario de Windows, sino de la identidad del ejecutable (chrome.exe). Si otro programa intenta usar las claves, el sistema las bloquea.
2. Descifrado bajo demanda: A diferencia de la vulnerabilidad de Microsoft Edge, Chrome no descifra todo el almacén al inicio. Solo descifra la credencial específica cuando el usuario activa la función de autocompletado o entra al administrador de contraseñas.
3. Efimeridad en memoria: Una vez que la contraseña se utiliza, se elimina o se protege rápidamente en la memoria, reduciendo drásticamente la “ventana de exposición”.

Rønning confirmó que Edge carece de esta protección de tiempo de ejecución para el almacenamiento en memoria. Mientras que Chrome protege sus secretos mediante un servicio de elevación que verifica la firma del binario, Edge parece priorizar el rendimiento, manteniendo los datos listos y descifrados para un acceso instantáneo, lo que irónicamente facilita también el acceso para los atacantes.

Riesgos sistémicos en entornos empresariales y VDI

Si bien la vulnerabilidad de Microsoft Edge es preocupante para un usuario doméstico, su impacto en infraestructuras corporativas es potencialmente catastrófico. El escenario más crítico se presenta en entornos de computación compartida, tales como:

• Virtual Desktop Infrastructure (VDI): Donde múltiples escritorios virtuales corren sobre el mismo hardware físico.
• Servidores de Terminal (Terminal Servers): Donde decenas de usuarios inician sesión simultáneamente en una sola instancia de sistema operativo.
• Entornos Citrix: Muy comunes en sectores financieros y de salud para la entrega de aplicaciones.

En estos entornos, si un atacante logra comprometer una sola cuenta con privilegios administrativos o aprovecha una vulnerabilidad de escalada de privilegios local (LPE), podría ejecutar EdgeSavedPasswordsDumper para recolectar las contraseñas de todos los usuarios que tengan una sesión de Edge abierta en ese servidor. Esto permitiría un movimiento lateral masivo dentro de la red corporativa, ya que muchas de esas contraseñas podrían pertenecer a servicios internos críticos, aplicaciones SaaS o portales de administración.

BeyondTrust, una firma líder en gestión de accesos privilegiados, ha señalado que “el momento en que una contraseña se retiene en memoria en texto claro, deja de ser un mecanismo de autenticación y se convierte en una responsabilidad legal”. En entornos compartidos, esta responsabilidad se multiplica de forma exponencial.

La postura de Microsoft: “By Design” y el debate de la seguridad

Ante la divulgación de estos hallazgos, la respuesta de Microsoft ha sido objeto de intensas críticas. La compañía sostiene que el comportamiento descrito es “por diseño”. El argumento central de los de Redmond es que, para que un atacante pueda leer la memoria del sistema, el dispositivo ya debe estar “fundamentalmente comprometido”.

Desde la perspectiva de Microsoft, el administrador del sistema es el dueño absoluto de la máquina. Si un atacante tiene privilegios de administrador, tiene mil formas más de comprometer al usuario (como instalar keyloggers o interceptar el tráfico). Por lo tanto, consideran que añadir capas de cifrado en memoria para protegerse de un administrador es una medida redundante que afectaría innecesariamente el rendimiento del navegador.

Sin embargo, los expertos en ciberseguridad discrepan profundamente. Craig Lurey, CTO de Keeper Security, argumenta que la seguridad debe aplicarse en capas (Defensa en Profundidad). El hecho de que un sistema esté comprometido a nivel de usuario no debería significar automáticamente que todos los secretos guardados en el navegador deban ser entregados en bandeja de plata. La falta de protecciones modernas en la memoria de Edge es vista como una negligencia técnica en una era donde el malware infostealer es la principal causa de brechas de datos.

El mito del rendimiento frente a la seguridad

La justificación de Microsoft sobre el “balance de rendimiento” también ha sido cuestionada. Si Google Chrome ha logrado implementar App-Bound Encryption y descifrado bajo demanda sin una degradación notable en la experiencia del usuario, ¿por qué Edge, que comparte el mismo núcleo, no puede hacerlo? La comunidad técnica sospecha que se trata más de una cuestión de integración profunda con el ecosistema de Windows y el Password Manager de Microsoft que de limitaciones técnicas reales.

Recomendaciones estratégicas para mitigar el riesgo

Dada la naturaleza de esta vulnerabilidad de Microsoft Edge y la reticencia de la compañía a modificar su arquitectura a corto plazo, los profesionales de seguridad están instando a tomar medidas proactivas. La seguridad de las credenciales no puede depender exclusivamente de las decisiones de diseño del navegador.

1. Migrar a gestores de contraseñas dedicados: Herramientas como Bitwarden, 1Password o Keeper emplean una arquitectura de Zero-Knowledge. Estos gestores no cargan toda la base de datos en texto plano en la memoria del sistema; en su lugar, utilizan procesos aislados y técnicas de cifrado en memoria para asegurar que las credenciales solo sean legibles en el microsegundo en que se necesitan.
2. Deshabilitar el almacenamiento de contraseñas en el navegador: A través de Políticas de Grupo (GPO) en entornos Windows, los administradores pueden (y deben) prohibir que Edge guarde credenciales. Esto obliga a los empleados a utilizar soluciones corporativas más robustas.
3. Implementar MFA de hardware: El uso de llaves de seguridad físicas (como YubiKey) mitiga el riesgo de que una contraseña robada sea útil, ya que el atacante no poseerá el factor físico necesario para completar la autenticación.
4. Monitoreo de procesos: Utilizar herramientas de EDR (Endpoint Detection and Response) para detectar patrones sospechosos de lectura de memoria en procesos de navegadores. El acceso no autorizado a la memoria de `msedge.exe` debería disparar una alerta inmediata.

Conclusión: El fin de la confianza ciega en el navegador

La vulnerabilidad de Microsoft Edge expuesta en 2026 marca un punto de inflexión en la percepción de los navegadores como cajas fuertes de datos. Durante años, los usuarios han confiado sus identidades digitales a la comodidad del autocompletado nativo. Sin embargo, este incidente demuestra que la conveniencia y la seguridad a menudo caminan en direcciones opuestas.

Mientras Microsoft mantenga su postura de que la seguridad de la memoria es una responsabilidad secundaria frente al compromiso total del sistema, el navegador Edge seguirá siendo un vector de alto riesgo para el robo de identidades en masa. Para las empresas, la lección es clara: el navegador es una ventana al mundo, no una bóveda de seguridad. Es imperativo separar la navegación web de la gestión de secretos corporativos antes de que herramientas como EdgeSavedPasswordsDumper se conviertan en el estándar de oro de los ciberataques modernos.