Fallo en Microsoft Edge expone contraseñas en texto plano al iniciar
Publicado el
Vulnerabilidad en Microsoft Edge
Recientemente, se ha identificado un fallo crítico en Microsoft Edge que afecta la forma en que el navegador gestiona las contraseñas almacenadas. Al iniciar Edge, el navegador carga todas las credenciales en texto plano, lo que incrementa el riesgo de exposición de las cuentas de los usuarios. Este comportamiento contrasta con el de Google Chrome, que utiliza un método de descifrado bajo demanda, donde las contraseñas solo se descifran cuando son necesarias, como durante el autocompletado o al ser visualizadas por el usuario.
Análisis del fallo
El investigador de seguridad Tom Jøran Sønstebyseter Rønning, de Palo Alto, ha investigado este problema y ha publicado una prueba de concepto en GitHub, mostrando cómo Edge expone las contraseñas en la memoria. La documentación de Microsoft reconoce que las contraseñas pueden ser accedidas en caso de un ataque local, aunque hasta ahora no se ha emitido un comunicado oficial ni se ha asignado un identificador CVE para este comportamiento.
Proceso de autenticación
Aunque Edge solicita a los usuarios que se autentiquen antes de mostrar las contraseñas en su Administrador de contraseñas, esta medida no impide que las credenciales se almacenen en texto plano en la memoria. Esto significa que, una vez que el navegador está abierto, las contraseñas pueden ser accesibles para cualquier persona que tenga acceso al equipo y pueda consultar la memoria del proceso.
Riesgo de seguridad
Aunque el riesgo de que un atacante externo robe las contraseñas es bajo, la situación cambia si el equipo ya está comprometido por malware. En este caso, las contraseñas podrían ser robadas fácilmente. Por ello, resulta fundamental mantener el sistema limpio y protegido, así como no facilitar el trabajo a los atacantes.
Recomendaciones
Es recomendable utilizar gestores de contraseñas dedicados, como LastPass, Dashlane, NordPass o 1Password. Estos ofrecen un nivel de seguridad superior en comparación con los navegadores, al proporcionar cifrado robusto y requerir autorización maestra para acceder a las contraseñas. La siguiente tabla resume las diferencias entre Edge, Chrome y los gestores de contraseñas dedicados:
| Navegador / Gestor | Método de Carga en Memoria | Riesgo de Exposición | |---------------------|-----------------------------------------------|----------------------------------------| | Microsoft Edge | Carga todas las contraseñas en texto plano | Alto (si hay malware local activo) | | Google Chrome | Descifrado bajo demanda (solo al usarse) | Medio (ventana de exposición reducida) | | Gestores Externos | Cifrado robusto y vault bloqueada | Bajo (requiere autorización maestra) |
Siempre es importante implementar medidas de seguridad adicionales, como habilitar la autenticación en dos pasos y mantener actualizado el software y antivirus. En conclusión, el fallo en Microsoft Edge que permite que las contraseñas se mantengan en texto plano al iniciarse puede ser un vector de ataque en caso de que el sistema sea comprometido.
Preguntas frecuentes
¿Podrían robar las contraseñas a través de Internet? No, este problema no permite que un atacante remoto obtenga las contraseñas; necesitaría acceso físico al equipo.
¿Qué necesita un atacante para leer la memoria? Un atacante debe haber infectado previamente el equipo con algún tipo de malware que le permita acceder a la memoria del navegador.
¿Qué navegadores usan descifrado bajo demanda como Chrome? Además de Chrome, Firefox implementa protecciones similares. Edge, en cambio, descifra todas las credenciales al inicio.