Un investigador de ciberseguridad ha destacado una importante vulnerabilidad de seguridad en Microsoft Edge, revelando que el navegador carga todas las contraseñas guardadas en la memoria en texto sin formato al iniciarse. Este comportamiento ocurre independientemente de si el usuario tiene la intención de utilizar el administrador de contraseñas durante esa sesión, lo que potencialmente expone las credenciales a atacantes que obtuvieron acceso administrativo al dispositivo.
La vulnerabilidad: texto sin formato en la memoria
Tom Jøran Sønstebyseter Rønning, investigador de ciberseguridad, detalló el problema en X (anteriormente Twitter). Descubrió que Microsoft Edge descifra cada contraseña almacenada y la guarda en la memoria de la computadora tan pronto como se inicia el navegador.
Esto contrasta marcadamente con otros navegadores basados en Chromium, como Google Chrome. Rønning señaló que Chrome utiliza un diseño arquitectónico diferente que hace que sea mucho más difícil para los atacantes extraer contraseñas guardadas simplemente leyendo la memoria del proceso.
“Edge es el único navegador basado en Chromium que he probado que se comporta de esta manera”, afirmó Rønning.
El riesgo es particularmente grave en entornos compartidos o gestionados. Como explicó Rønning, si un atacante obtiene acceso administrativo en un servidor terminal, puede acceder a la memoria de todos los procesos de usuario que han iniciado sesión, recopilando contraseñas de manera efectiva sin necesidad de eludir las claves de cifrado almacenadas en el disco.
La respuesta de Microsoft: es “por diseño”
Cuando se le contactó sobre estos hallazgos, Microsoft defendió la arquitectura del navegador. Un portavoz le dijo a Mashable que el comportamiento es una característica esperada destinada a equilibrar el rendimiento, la usabilidad y la seguridad.
“La seguridad y la protección son fundamentales para Microsoft Edge”, dijo el portavoz. “El acceso a los datos del navegador como se describe en el escenario reportado requeriría que el dispositivo ya estuviera comprometido… Los navegadores acceden a los datos de contraseña en la memoria para ayudar a los usuarios a iniciar sesión de forma rápida y segura”.
Microsoft enfatizó que esta elección de diseño facilita inicios de sesión rápidos y seguros para los usuarios. Sin embargo, reconocieron que esta conveniencia conlleva compensaciones y recomendaron que los usuarios mantengan actualizadas sus actualizaciones de seguridad y su software antivirus para mitigar los riesgos.
Estándares de la industria versus implementación
La revelación ha provocado un debate sobre las mejores prácticas de ciberseguridad. La publicación tecnológica alemana Heise Online replicó con éxito el problema y señaló que los protocolos de seguridad establecidos generalmente dictan que las contraseñas sólo deben descifrarse en el momento de su uso y eliminarse de la memoria inmediatamente después.
Al mantener todas las contraseñas descifradas en la memoria durante toda la sesión, Edge se desvía de este principio. Si bien Microsoft sostiene que esto mejora la experiencia del usuario al garantizar que las contraseñas estén listas para su uso inmediato, los expertos en seguridad argumentan que aumenta innecesariamente la superficie de ataque si el dispositivo se ve comprometido.
Qué significa esto para los usuarios
Este incidente plantea preguntas importantes sobre cómo los gigantes tecnológicos equilibran la comodidad con la seguridad. Si bien es conveniente tener contraseñas disponibles, almacenarlas en texto plano en la memoria crea un único punto de falla si se viola el sistema operativo o el navegador.
Para los usuarios preocupados por esta vulnerabilidad específica, los expertos sugieren dos líneas de acción principales:
– Utilice un administrador de contraseñas dedicado: Los administradores de contraseñas de terceros a menudo ofrecen un control más granular sobre cómo y cuándo se descifran y almacenan las credenciales en la memoria.
– Garantizar una seguridad sólida del dispositivo: Dado que la vulnerabilidad requiere acceso administrativo para explotarla, mantener actualizado el sistema operativo y el software antivirus es fundamental para evitar el compromiso inicial.
En resumen, si bien Microsoft sostiene que el manejo de contraseñas de Edge es una elección de diseño deliberada para el rendimiento, la práctica de almacenar todas las contraseñas en texto plano en la memoria sigue siendo una desviación notable de los estándares de seguridad más estrictos, lo que insta a los usuarios a permanecer atentos a la integridad del dispositivo.
