Guardar contraseñas en el navegador se ha convertido en una práctica completamente habitual. Millones de usuarios lo hacen cada día confiando en que esa información permanece protegida frente a cualquier amenaza externa. Sin embargo, una reciente investigación sobre Microsoft Edge ha puesto el foco en un comportamiento inesperado que no ha tardado en generar polémica. Lo más llamativo no es únicamente el posible riesgo descubierto, sino también la reacción de Microsoft cuando se le preguntó por el problema.
Un investigador encontró algo extraño en Edge y decidió demostrarlo públicamente
Todo comenzó con el trabajo del investigador de seguridad noruego Tom Jøran Sønstebyseter Rønning, especialista en pruebas de penetración ofensiva en la empresa Statnett SF. Durante una conferencia celebrada a finales de abril, el experto presentó un hallazgo relacionado con la forma en la que Microsoft Edge maneja las contraseñas guardadas por los usuarios.
Pocos días después, el investigador publicó una demostración técnica acompañada de una herramienta específica capaz de evidenciar el comportamiento del navegador. El proyecto, compartido a través de GitHub bajo el nombre EdgeSavedPasswordsDumper, llamó rápidamente la atención de la comunidad de ciberseguridad.
Según explicó Rønning, el problema aparece cuando Edge inicia su proceso. En ese momento, el navegador descifra las credenciales almacenadas y las mantiene cargadas directamente en la memoria RAM del sistema. Y aquí aparece la parte más delicada: dichas contraseñas quedarían accesibles en texto claro dentro de la memoria del proceso.
Lo más sorprendente es que esto ocurriría incluso aunque el usuario no haya visitado ninguna página que requiera autenticación durante esa sesión.
En otras palabras, las credenciales permanecerían disponibles simplemente por abrir el navegador.
El riesgo no es sencillo de explotar, pero tampoco es una amenaza imaginaria
Conviene aclarar algo importante: no se trata de una vulnerabilidad capaz de comprometer equipos a distancia de forma automática. Para acceder a esa información almacenada en memoria, un atacante necesitaría previamente tener acceso al dispositivo o haber comprometido el sistema mediante malware u otra vía similar.
Sin embargo, eso no significa que el riesgo sea irrelevante.
El investigador asegura que cualquier persona con acceso suficiente al sistema podría leer usuarios y contraseñas directamente desde la memoria del navegador utilizando herramientas relativamente simples. Y aunque la demostración técnica requiere ciertos conocimientos, el propio experto señala que el comportamiento resulta visible incluso para usuarios con experiencia moderada en análisis de procesos.
El debate se ha intensificado todavía más por un detalle especialmente incómodo para Microsoft: otros navegadores basados en Chromium aparentemente no presentan el mismo comportamiento.
Rønning repitió las pruebas con alternativas como Google Chrome, Opera, Vivaldi y Brave. Según sus experimentos, ninguno mantenía las credenciales descifradas en memoria de la misma manera que Edge.
Eso ha provocado que muchos usuarios comiencen a preguntarse si el navegador de Microsoft está aplicando un enfoque diferente en la gestión interna de contraseñas o si existe algún componente específico que explique esta diferencia frente a otros navegadores construidos sobre la misma base tecnológica.
La respuesta de Microsoft no ha calmado precisamente la polémica
Tras presentar sus hallazgos, el investigador contactó con el Microsoft Security Response Center (MSRC), el departamento encargado de analizar vulnerabilidades y problemas de seguridad relacionados con productos de la compañía.
La respuesta no tardó en llegar, pero probablemente no fue la que muchos esperaban.
Microsoft clasificó el comportamiento como una “característica esperada de la aplicación”. Según la compañía, para acceder a la memoria del navegador sería necesario que el dispositivo ya estuviera comprometido previamente, algo que técnicamente consideran fuera de los límites normales de seguridad del producto.
Además, Microsoft confirmó que ya había recibido una notificación similar sobre este mismo comportamiento meses atrás y que decidió no tratarlo como una vulnerabilidad crítica.
La recomendación posterior también ha generado bastante debate dentro de la comunidad tecnológica. Como medida de protección, Microsoft sugirió simplemente utilizar un antivirus para reducir el riesgo de que software malicioso acceda a la memoria del sistema.
Aunque el planteamiento tiene cierta lógica desde el punto de vista técnico, muchos especialistas consideran que la respuesta resulta insuficiente teniendo en cuenta la sensibilidad de la información afectada.
La situación vuelve a poner sobre la mesa una discusión que lleva años persiguiendo a la industria tecnológica: hasta qué punto los gestores de contraseñas integrados en navegadores ofrecen realmente el mismo nivel de seguridad que soluciones especializadas diseñadas exclusivamente para proteger credenciales.
Y después de esta polémica, es probable que muchos usuarios empiecen a replantearse dónde guardan sus contraseñas más importantes.
