Si usted guarda contraseñas en Microsoft Edge, existe un riesgo de seguridad que debe conocer. Según una nueva revelación, cada vez que abre Edge, el navegador carga inmediatamente en la memoria todas las contraseñas guardadas en formato legible, no solo la contraseña del sitio web en el que está iniciando sesión. Esto significa que las credenciales de cada cuenta guardada en Edge podrían quedar expuestas si un malware, una cuenta de administrador comprometida u otro atacante obtiene acceso a su dispositivo o sesión de usuario.

El hallazgo fue revelado por el investigador de seguridad Tom Jøran Sønstebyseter Rønning(nueva ventana), quien afirma que la respuesta de Microsoft fue que este comportamiento es «por diseño».

La propia documentación de Microsoft indica que Edge cifra las contraseñas guardadas en el disco mediante AES (Advanced Encryption Standard) y reconoce que las contraseñas pueden quedar expuestas si la sesión de usuario o el dispositivo se ven comprometidos. La nueva revelación no rebate esto, sino que plantea una preocupación distinta: Edge carga todas las contraseñas guardadas en la memoria de lectura en cuanto se inicia el navegador, lo que hace que el raspado de memoria (memory scraping) sea mucho más valioso si un atacante obtiene el acceso suficiente.

Esto ocurre un año después de que Microsoft restringiera la gestión de contraseñas en torno a Edge al eliminar gradualmente el almacenamiento y el completado automático de contraseñas en Microsoft Authenticator, empujando a los usuarios que querían seguir usando las funciones de contraseña de Microsoft hacia su propio navegador.

Cómo gestiona Microsoft Edge las contraseñas guardadas

Se supone que las contraseñas deben estar protegidas por el cifrado cuando se almacenan: el cifrado convierte una contraseña legible (texto plano) en datos no legibles (texto cifrado). Para usar esa contraseña para el completado automático, el navegador finalmente tiene que descifrarla de nuevo a un formato legible. La pregunta importante es: ¿cuántos datos de contraseña se vuelven legibles a la vez?

El investigador de seguridad Tom Jøran Sønstebyseter Rønning afirma que Microsoft Edge carga todas las contraseñas guardadas en la memoria del navegador en texto plano en cuanto se inicia, en lugar de descifrar únicamente una contraseña específica cuando es necesaria. Esto incluye todas las contraseñas guardadas en el gestor de contraseñas de Edge, incluso aquellas de sitios web que no visita o que no se completan automáticamente durante la sesión de navegación actual.

Una terminal que muestra cómo Microsoft Edge mantiene expuestas las contraseñas guardadas en texto plano
Fuente: @L1v1ng0ffTh3L4N en X

Eso hace que el aviso de reautenticación de Edge parezca engañoso: la interfaz le solicita que demuestre su identidad antes de mostrar una contraseña, a pesar de que el proceso del navegador ya dispone de cada contraseña guardada en un formato legible.

El investigador probó este comportamiento en varios navegadores basados en Chromium, incluidos Google Chrome, Brave, Vivaldi, Opera y Microsoft Edge. Solo Edge mostró este comportamiento.

Basta con dejar Microsoft Edge abierto

El investigador de seguridad Rob VandenBrink, que escribe para el SANS Internet Storm Center(nueva ventana), reprodujo el problema dejando Microsoft Edge abierto y analizando un volcado de memoria de la sesión del navegador en ejecución. Demostró cómo un usuario de Windows con sesión iniciada puede realizar un volcado de sus credenciales de Edge almacenadas sin derechos adicionales, lo que también significa que un malware que se ejecute como ese usuario podría potencialmente acceder también a esas credenciales.

Dos paneles paralelos que muestran cómo crear fácilmente un archivo de volcado de memoria para Microsoft Edge utilizando el Administrador de tareas de Windows y cómo visualizar fácilmente todas las contraseñas guardadas en el archivo DMP capturado
Fuente: Rob VandenBrink en SANS Internet Storm Center

Una sola sesión comprometida puede exponer todas sus contraseñas

Si un atacante obtiene el acceso suficiente al dispositivo o a la sesión del usuario, puede ser capaz de inspeccionar la memoria del navegador. Si solo se descifra una contraseña cuando es necesario, el atacante tiene un margen de tiempo menor y menos datos que capturar. Pero si cada contraseña guardada ya se encuentra en la memoria sin protección por cifrado, el raspado de memoria se vuelve mucho más valioso.

El riesgo es especialmente grave en entornos compartidos, como servidores de terminales, escritorios remotos, infraestructura de escritorios virtuales o sistemas donde varios usuarios tienen la sesión iniciada al mismo tiempo. Una cuenta de administrador comprometida podría extraer las credenciales guardadas de otros usuarios con la sesión iniciada, incluidas las sesiones desconectadas donde Edge todavía se estuviera ejecutando.

Qué hacer si guardó contraseñas en Microsoft Edge

Esto no significa que la cuenta de cada usuario de Microsoft Edge haya sido hackeada, pero tanto particulares como organizaciones deberían reconsiderar si Edge es el lugar adecuado para almacenar credenciales. Esto es lo que usted puede hacer para mantenerse a salvo:

  • Deje de guardar nuevas contraseñas en el navegador de Microsoft y desactive el gestor de contraseñas de Edge.
  • Mueva sus credenciales guardadas a un gestor de contraseñas seguro. Puede importar fácilmente las contraseñas de Edge a Proton Pass.
  • Elimine las contraseñas guardadas en Edge después de la migración.
  • Cambie las contraseñas de alto riesgo y haga que sean únicas, empezando por el correo electrónico, las cuentas financieras, las herramientas de administrador, las bandejas de entrada de restablecimiento de contraseñas y las cuentas de trabajo. Nuestro gestor de contraseñas tiene una herramienta integrada para este propósito, pero también puede utilizar nuestro generador de contraseñas.
  • Active la autenticación de dos factores (2FA) o las claves de acceso siempre que sea posible, lo que ayuda a reducir los daños si una contraseña queda expuesta. Proton Pass es compatible con las claves de acceso y la 2FA para todas sus cuentas guardadas. También puede utilizar nuestra app de autenticación para gestionar de forma segura el acceso a su cuenta de Proton.
  • Para los equipos de TI: revise las políticas de contraseñas de Edge y desactive el almacenamiento de contraseñas del navegador para reducir el riesgo de la organización. Un gestor de contraseñas para empresas controlado centralmente es superior a que los empleados almacenen contraseñas en navegadores individuales.

Sus contraseñas merecen algo mejor que Microsoft Edge

La divulgación de Microsoft Edge es un recordatorio de que sus credenciales más sensibles no deberían almacenarse en un gestor de contraseñas propiedad de una empresa que trata este tipo de exposición como un comportamiento esperado, a pesar de que plantea preocupaciones de seguridad obvias para personas y organizaciones.

Con Proton Pass, sus contraseñas, alias, claves de acceso y códigos 2FA están protegidos por el cifrado de extremo a extremo, y usted mantiene el control sobre dónde y cómo los utiliza.

Crear una cuenta gratuita de Proton Pass