Noticias, Privacy

Microsoft afirma que el comportamiento Edgecon respecto a las contraseñas en texto plano es «intencionado»

por Pieter Arntz | 8 de mayo de 2026
recordar contraseñas

Hace algún tiempo, hablamos sobre si conviene permitir que el navegador guarde las contraseñas.

En ese artículo mencionamos la importancia del cifrado.

«Conun gestor de contraseñas del navegador, cualquier persona que tenga acceso a tu navegador podría ver tus contraseñas en texto sin cifrar, aunque Windows configurar Windows para que soliciteautenticación(la misma que utilizas al iniciar el dispositivo)».

Lo habitual es que los gestores de contraseñas de los navegadores almacenen las contraseñas cifradas en el disco, vinculadas a tu cuenta de usuario y protegidas por el sistema operativo.

Sin embargo, recientemente, un investigador de seguridad ha analizado de forma sistemática todos los principales navegadores basados en Chromium para comprobar cómo gestionan las credenciales en la memoria. El investigador descubrió que Edge el único que cargaba todo el almacén de contraseñas en la memoria del proceso en texto sin cifrar al iniciarse, donde permanece durante toda la sesión.  

Se ha observado que Chrome otros navegadores basados en Chromium solo descifran una contraseña cuando es necesario (autocompletar o «mostrar contraseña»), y no todo el almacén, y que utilizan mecanismos como el cifrado vinculado a la aplicación para las claves. Edge esas medidas de protección en este contexto.

Por lo tanto, el investigador decidió escribir una prueba de concepto (PoC) para demostrar que el acceso a esa bóveda no depende de vulnerabilidades de día cero ni de técnicas de explotación complejas. Se basa en la capacidad, relativamente sencilla, de leer la memoria de un proceso, lo cual sí requiere privilegios elevados.

Sin embargo, cuando el investigador informó del problema a Microsoft, la respuesta fue decepcionante. La respuesta oficial de la empresa fue que ese comportamiento es «intencionado». Es muy probable que el razonamiento sea que este comportamiento agiliza el inicio de sesión y el autocompletado, y que los atacantes ya necesitarían un equipo comprometido o acceso con privilegios elevados para leer la memoria RAM, lo cual Microsoft considera fuera del alcance de esta decisión de diseño.

Lo cual es cierto, en esencia. Un atacante ya necesita un punto de acceso significativo: por ejemplo, la ejecución de código en el sistema y la capacidad de leer la memoria Edgeproceso Edge, lo que a menudo requiere privilegios elevados. No se trata de un fallo remoto y sin autenticación en el navegador, pero el diseño facilita la sustracción de credenciales una vez que se ha comprometido el sistema. Y es una capacidad de la que ya disponen muchos programas de robo de información.

Es solo otra de las cosas que un atacante puede hacer una vez que ha comprometido tu equipo. Si a esto le sumamos este estudio académico de 2024, que reveló que muchos gestores de contraseñas filtran contraseñas en texto plano a la memoria en determinadas condiciones, nos vemos obligados a reiterar nuestro consejo.

¿Deberías permitir que tu navegador recuerde tus contraseñas?

El gestor de contraseñas de tu navegador te ofrece comodidad, pero eso tiene un coste en términos de seguridad. Por supuesto, los gestores de contraseñas tampoco son infalibles, por lo que es importante que decidas por ti mismo dónde guardas tus contraseñas.

Si estás seguro de que el sitio web es seguro y de que nadie que acceda a él con tu cuenta descubrirá nada nuevo, no dudes en guardar la contraseña en tu navegador, pero desactiva el autocompletado para mantener el control.

Utilizala autenticación multifactorial (MFA) siempre que sea posible. Esto reduce enormemente el riesgo en caso de que alguien consiga tu contraseña. Además, evita utilizar el gestor de contraseñas del navegador para guardar los datos de tu tarjeta de crédito u otra información confidencial que permita identificarte personalmente, como datos médicos.

Pero añadiríamos que, de entre los principales navegadores, Edge ser la opción menos recomendable si decides seguir utilizando un gestor de contraseñas integrado.

Detén las amenazas antes de que puedan causar ningún daño.

Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Filtraciones de datos
Logotipo en lienzo

ShinyHunters intensifica los ataques contra Canvas con desfiguraciones de las páginas de inicio de sesión de los centros educativos

Mayo 8, 2026

Pocos días después del primer ataque, ShinyHunters está ejerciendo presión mediante mensajes de rescate en los portales de acceso de los centros educativos.

AI
Los sitios web de noticias falsas dan lugar a estafas de inversión

Una red de estafas a gran escala relacionadas con inversiones en IA abarca 15 500 dominios

Mayo 7, 2026

Los estafadores especializados en inversiones en IA se valieron de la plataforma de seguimiento publicitario Keitaro para ocultar su campaña, mostrándola únicamente a posibles víctimas.

Familia y crianza de los hijos
una chica con un bigote postizo

Si un bigote postizo puede burlar los controles de edad, ¿está funcionando la Ley de Seguridad en Internet?

Mayo 7, 2026

Un informe británico constata que se han logrado algunos avances desde la entrada en vigor de la ley, pero las prácticas de elusión generalizadas, los perjuicios que siguen produciéndose y las preocupaciones sin resolver en materia de privacidad indican que el impacto sigue siendo limitado.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas