«Escondemos las llaves bajo el felpudo»: Microsoft facilitó voluntariamente a los virus las contraseñas de sus usuarios
Cómo una empresa llevaba años ayudando a estafadores a vaciar cuentas ajenas (y por qué le convenía)
Microsoft Edge mantiene las contraseñas en la memoria en texto sin cifrar hasta que se cierra el navegador. El investigador de seguridad Tom Yoran Syonstebiseter Ryonning señaló una característica que distingue a Edge de otros navegadores Chromium verificados: al iniciarse, la aplicación descifra inmediatamente todas las credenciales, incluso si la persona no visita los sitios donde se usan esos inicios de sesión.
Ryonning afirma que las entradas descifradas permanecen en el proceso de Edge hasta el final de la sesión. Para un usuario normal esto no significa que cualquier sitio o aplicación aleatoria vaya a ver de inmediato los inicios de sesión. Pero si un atacante ya sabe leer la memoria de procesos, el robo se simplifica: no necesita esperar al autocompletado del formulario o a que se abra la página necesaria; basta con extraer los datos del Edge en ejecución.
A modo de comparación, el investigador citó Chrome. El navegador de Google revela la contraseña solo en el momento de uso: con el autocompletado del formulario o cuando el propietario del perfil la visualiza manualmente. Además Chrome aplica Application-Bound Encryption —un mecanismo que vincula las claves a un proceso Chrome verificado con privilegios del sistema—. Por eso el secreto aparece en texto claro por poco tiempo y no permanece en la memoria durante toda la sesión.
El riesgo principal está relacionado con servidores terminales y entornos de trabajo compartidos. Con privilegios administrativos, un atacante puede leer la memoria de los procesos de todos los usuarios conectados. En una demostración Ryonning mostró que con tal acceso se pueden obtener contraseñas ajenas mientras Edge esté abierto en las sesiones de los usuarios.
Ryonning informó del hallazgo a Microsoft, pero la compañía respondió que Edge funciona según el diseño de sus desarrolladores. Antes de publicar, el investigador avisó a Microsoft para que usuarios y organizaciones pudieran tener en cuenta el riesgo en las políticas de almacenamiento de contraseñas y en la configuración del navegador.
Microsoft no considera la situación descrita como una vulnerabilidad independiente. La compañía explicó: el acceso a los datos del navegador requiere un dispositivo ya comprometido. Según Microsoft, los desarrolladores optan por un compromiso entre velocidad de acceso, comodidad y protección, y trabajar con datos en memoria ayuda a autorizarse más rápido en los sitios. A los usuarios se les recomienda instalar actualizaciones de seguridad y usar antivirus.
Parte de los especialistas tampoco está de acuerdo con una valoración tan tajante. Señalan que si un atacante ya obtuvo privilegios de administrador y puede leer la memoria de procesos arbitrarios, el sistema puede darse por comprometido. Con ese nivel de acceso el atacante puede extraer secretos de distintos navegadores, ejecutar programas en nombre del usuario y acceder a datos por otras vías.
El distinto comportamiento de los navegadores también importa para la protección corporativa. Cuanto más tiempo permanezca el secreto en memoria sin cifrar, mayor es la ventana para los programas de robo de información, las herramientas de postexplotación y los infractores internos con privilegios elevados. Para empresas con servidores terminales, VDI y estaciones de trabajo compartidas, el hallazgo es un motivo adicional para prohibir el almacenamiento de contraseñas en el navegador.
Los especialistas en seguridad llevan tiempo recomendando no usar el gestor integrado del navegador como la única protección de las cuentas. El malware de robo de información va tras los inicios de sesión, los archivos de sesión, los tokens y las cookies, y tras una infección extrae los datos en segundos. Un enfoque más seguro incluye un gestor de contraseñas independiente, la autenticación multifactor y pasar a passkeys donde el servicio ya admite el acceso sin la contraseña habitual.
La conclusión es simple: usar Edge está bien, pero tras el compromiso del dispositivo su margen de seguridad es menor. Si las contraseñas de trabajo se guardan en Edge, conviene revisar las políticas del navegador, prohibir el guardado de credenciales, activar la protección multifactor y comprobar los servicios en los que la contraseña puede sustituirse por passkeys.