Microsoft anunció una importante mejora de seguridad para Microsoft Edge destinada a evitar que las contraseñas almacenadas en el gestor integrado del navegador permanezcan cargadas en memoria en texto claro tras el inicio del proceso.
La decisión llega después de que el investigador de seguridad Tom Jøran Sønstebyseter Rønning revelara públicamente un comportamiento que permitía que todas las credenciales guardadas en Edge fueran descifradas automáticamente al arrancar el navegador y permanecieran accesibles en memoria incluso cuando no estaban siendo utilizadas.
El caso generó una fuerte discusión dentro de la comunidad de ciberseguridad, especialmente después de que Microsoft inicialmente calificara el comportamiento como “intencionado” y parte del diseño esperado del navegador.
El problema de seguridad descubierto en Microsoft Edge
La vulnerabilidad fue revelada públicamente el 4 de mayo por el investigador Tom Jøran Sønstebyseter Rønning, quien demostró que el gestor de contraseñas integrado de Edge descifraba automáticamente todas las credenciales almacenadas durante el arranque del navegador.
Según el análisis técnico, las contraseñas permanecían cargadas en memoria del proceso de Edge incluso cuando:
- El usuario no las estaba utilizando
- No existían formularios activos
- No se requería autenticación inmediata
- El gestor de contraseñas estaba inactivo
Esto abría la posibilidad de que un atacante con acceso suficiente al sistema pudiera extraer credenciales directamente desde la memoria RAM del navegador.
Investigador publica una PoC para extraer contraseñas
Además de divulgar el problema, el investigador también publicó una prueba de concepto (PoC) capaz de volcar las contraseñas almacenadas desde procesos activos de Microsoft Edge.
Según explicó:
- Un atacante con privilegios de administrador podría acceder a contraseñas de otros usuarios.
- Sin privilegios elevados, la herramienta aún podía acceder a procesos Edge ejecutados por el mismo usuario.
La PoC evidenciaba cómo las credenciales permanecían accesibles en memoria mucho más tiempo del necesario.
El investigador comparó además el comportamiento de Edge con otros navegadores basados en Chromium, concluyendo que Edge era el único que mantenía este diseño de carga persistente de credenciales.
Chrome utiliza un enfoque más seguro
Durante el análisis, Tom Jøran Sønstebyseter Rønning destacó que Google Chrome utiliza un enfoque considerablemente más restrictivo.
Según explicó, Chrome dificulta significativamente la extracción de contraseñas desde memoria al:
- Evitar descifrar todas las credenciales al inicio
- Reducir la persistencia de secretos en RAM
- Limitar exposición innecesaria
- Aplicar mejores prácticas de aislamiento
Esta diferencia generó cuestionamientos sobre las decisiones de diseño implementadas por Microsoft Edge pese a compartir gran parte de la arquitectura Chromium.
Microsoft inicialmente defendió el comportamiento
Uno de los aspectos más polémicos del caso fue la respuesta inicial de Microsoft.
El investigador indicó que reportó el problema a Microsoft antes de hacerlo público, pero la compañía respondió inicialmente que el comportamiento era “por diseño”.
Posteriormente, Microsoft reiteró a algunos medios especializados que:
“Esta es una función esperada de la aplicación”.
La empresa argumentaba que el escenario descrito se encontraba dentro del modelo de amenazas considerado aceptable para el navegador.
En particular, Microsoft señalaba que los ataques requerían acceso administrativo previo al dispositivo, un escenario que tradicionalmente queda fuera del threat model estándar de muchas aplicaciones cliente.

Microsoft cambia de postura y aplicará una corrección
Pese a la postura inicial, Microsoft finalmente anunció que modificará el comportamiento del navegador para reducir la exposición de credenciales en memoria.
La compañía confirmó que las futuras versiones de Edge ya no cargarán automáticamente todas las contraseñas almacenadas durante el arranque del navegador.
El cambio será desplegado en:
- Edge Stable
- Edge Beta
- Edge Dev
- Edge Canary
- Edge Extended Stable
incluyendo también los entornos empresariales administrados.
La corrección ya está disponible en Edge Canary
Microsoft indicó que la mejora de seguridad ya fue integrada en el canal Microsoft Edge Canary y formará parte de la build 148 y posteriores.
Según Gareth Evans, responsable de seguridad de Edge, la empresa está priorizando el despliegue del cambio como parte de sus iniciativas de defensa en profundidad.
El ejecutivo explicó que la decisión forma parte de la estrategia conocida como:
- Secure Future Initiative
- Defense in Depth
- Reducción de exposición de credenciales
Microsoft señaló además que el objetivo no es únicamente cumplir modelos de amenaza mínimos, sino reducir superficies de exposición incluso en escenarios avanzados.
Qué riesgos implicaba mantener contraseñas en memoria
El almacenamiento de secretos sensibles en memoria RAM siempre representa un riesgo potencial en ciberseguridad.
Aunque muchos ataques requieren acceso previo al sistema, mantener credenciales descifradas innecesariamente puede facilitar:
- Robo de contraseñas
- Movimiento lateral
- Escalada de privilegios
- Secuestro de sesiones
- Persistencia post-explotación
- Ataques malware avanzados
En entornos comprometidos, herramientas de memory dumping pueden utilizarse para extraer información sensible desde procesos activos.
Por ello, reducir el tiempo de permanencia de credenciales en memoria se considera una práctica importante de hardening.
El debate sobre los modelos de amenaza
El caso también reabre un debate frecuente dentro de la industria de ciberseguridad: hasta qué punto los fabricantes deben proteger incluso frente a escenarios donde el atacante ya posee acceso privilegiado.
Históricamente, muchos proveedores consideran que:
- Si el atacante ya tiene privilegios administrativos, el sistema está comprometido.
- Algunas protecciones dejan de ser efectivas en ese escenario.
Sin embargo, la tendencia moderna apunta hacia modelos de defensa más agresivos donde incluso ataques post-compromiso deben dificultarse al máximo.
Este enfoque incluye:
- Minimizar exposición de secretos
- Aislamiento de memoria
- Protección contra dumping
- Sandboxing reforzado
- Zero Trust interno
La corrección implementada por Microsoft parece alinearse precisamente con esa evolución del paradigma de seguridad.
Microsoft continúa endureciendo Edge
La actualización se suma a otras mejoras recientes implementadas en Microsoft Edge para fortalecer la seguridad del navegador.
Entre las medidas introducidas durante el último año destacan:
- Protección contra extensiones maliciosas
- Restricciones al modo Internet Explorer
- Endurecimiento frente a exploits Chakra
- Controles avanzados de aislamiento
- Mitigaciones adicionales para entornos empresariales
Microsoft también endureció recientemente el acceso al modo IE heredado después de que actores maliciosos comenzaran a explotar vulnerabilidades zero-day en el motor JavaScript Chakra.
La seguridad de los navegadores sigue siendo crítica
Los navegadores web se han convertido en uno de los principales objetivos para actores maliciosos debido a la enorme cantidad de información sensible que gestionan diariamente.
Actualmente almacenan:
- Contraseñas
- Cookies
- Tokens de sesión
- Historial
- Datos financieros
- Credenciales corporativas
Por ello, cualquier debilidad relacionada con memoria, autenticación o gestión de secretos puede convertirse rápidamente en una superficie de ataque importante.
El caso de Edge demuestra cómo incluso comportamientos considerados inicialmente “esperados” pueden terminar siendo revisados ante el aumento de amenazas modernas y la presión de la comunidad de seguridad.
Microsoft apuesta por una estrategia de defensa más profunda
Con esta nueva corrección, Microsoft parece reforzar una estrategia centrada en minimizar exposición incluso en escenarios complejos donde el atacante ya posee cierto nivel de acceso al sistema.
Reducir la permanencia de contraseñas en memoria representa un cambio importante para endurecer la seguridad del navegador y disminuir riesgos asociados a ataques post-explotación.
Aunque el problema requería privilegios relativamente elevados para ser explotado de forma masiva, la decisión de Microsoft refleja cómo la industria continúa avanzando hacia modelos de protección más estrictos y defensas multicapa frente a amenazas modernas.
Fuente: Bleeping Computer
