Edge, el navegador de Microsoft, enfrenta un problema significativo relacionado con la forma en que almacena las contraseñas en la memoria. Específicamente, carga todas las claves sin cifrar al inicio del navegador. Esta situación puede poner en riesgo las cuentas de los usuarios, lo que requiere una respuesta adecuada por parte de Microsoft.
Esto contrasta con Google Chrome, que utiliza un método conocido como descifrado bajo demanda. Esto significa que las credenciales solo se descifran cuando son necesarias para autocompletar o cuando el usuario necesita ver las contraseñas guardadas. Curiosamente, la documentación de Microsoft reconoce esta situación, advirtiendo que las contraseñas podrían ser accesibles mediante un ataque local. Hasta el momento, más allá de esta documentación, Microsoft no ha emitido ningún comunicado oficial ni ha asignado un identificador CVE específico para este comportamiento.
Contraseñas en texto plano en Edge
Este asunto ha sido examinado por el investigador de seguridad noruego de Palo Alto Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N en la red social X). Recientemente, publicó una prueba de concepto que puedes encontrar en GitHub, donde muestra un vídeo que ilustra este problema que afecta a Edge.
Microsoft Edge carga todas tus contraseñas guardadas en memoria sin cifrado, incluso cuando no las estás utilizando. https://t.co/ci0ZLEYFLB
04 de mayo, 2026 • 16:29
En sus pruebas, este investigador noruego analizó el comportamiento de la memoria de credenciales en navegadores basados en Chromium, como Edge y Chrome. Identificó diferencias notables, como hemos mencionado, en cómo estos navegadores manejan el descifrado de las contraseñas almacenadas.
Es importante señalar que el navegador solicita a los usuarios que se autentiquen nuevamente antes de mostrar las contraseñas en la interfaz del Administrador de contraseñas, pero el proceso del navegador ya almacena esas credenciales en texto claro. Esto significa que pueden ser accesibles para cualquiera que tenga la capacidad de inspeccionar la memoria del proceso.
Aunque existe esa solicitud de reautenticación, no proporciona una protección real para prevenir la filtración de contraseñas a través de la memoria. Mientras el navegador esté abierto, esas claves pueden estar disponibles en la memoria.
Usar el navegador como gestor de contraseñas no es recomendable
El riesgo real es bajo. No se puede considerar una vulnerabilidad crítica que permita a un atacante externo acceder a las contraseñas. Sin embargo, podrían ser robadas si un malware previamente ha accedido al dispositivo. Por lo tanto, es esencial mantener el sistema limpio, protegido y no facilitar el trabajo a los atacantes.
Recomendamos utilizar gestores de contraseñas especializados. Hay muchas opciones, como LastPass, Dashlane, NordPass o 1Password. Estas son alternativas más seguras que confiar en los navegadores, ya sea que uses Edge o no, para almacenar tus claves. A continuación, te presentamos una comparativa entre gestores de contraseña dedicados y los de los navegadores:
Comparativa de gestores de contraseñas dedicados y navegador
| Navegador / Gestor | Método de Carga en Memoria | Riesgo de Exposición |
|---|---|---|
| Microsoft Edge | Carga todas las contraseñas en texto claro al inicio. | Alto (si hay malware local activo). |
| Google Chrome | Descifrado bajo demanda (solo al ser utilizadas). | Medio (ventana de exposición reducida). |
| Gestores Externos (1Password, etc.) | Cifrado robusto y bóveda bloqueada. | Bajo (requiere autorización maestra). |
Es crucial que siempre implementes medidas de seguridad adicionales. Por ejemplo, habilitar la autenticación en dos pasos en tus cuentas proporciona una capa extra de seguridad y ayuda a evitar intrusos. También es recomendable mantener todo actualizado y utilizar un buen software antivirus.
En resumen, Microsoft Edge mantiene las contraseñas en texto claro al iniciarse, lo que podría hacerlas vulnerables en caso de un ataque interno, en la memoria del dispositivo.
Preguntas frecuentes
¿Es posible que roben las contraseñas a través de Internet?
No, este problema de Microsoft Edge no permite que un atacante remoto robe tus contraseñas. Necesitaría tener acceso al equipo previamente.
¿Qué necesita un atacante para acceder a la memoria?
El atacante debe haber infectado el equipo con malware que permita la lectura de la memoria del navegador.
¿Qué navegadores utilizan descifrado bajo demanda como Chrome?
Google Chrome emplea descifrado bajo demanda, asegurando que las credenciales solo se descifren cuando son necesarias. Firefox también cuenta con protecciones similares. Por el contrario, Edge descifra todo al inicio.
