Microsoft dice que las contraseñas de Edge en la RAM son un comportamiento esperado

Un hallazgo de seguridad con concesiones familiares

Microsoft está defendiendo un comportamiento del navegador que ha vuelto a recibir escrutinio: las contraseñas guardadas y gestionadas en Edge pueden residir en texto claro en la RAM. Según el texto fuente proporcionado, el investigador de seguridad Tom Jøran Sønstebyseter Rønning demostró que, cuando los usuarios confían en Microsoft Password Manager en Edge, el navegador descifra las credenciales al iniciarse y las mantiene en la memoria del proceso, incluso si el usuario nunca visita durante esa sesión los sitios vinculados a esas credenciales.

La respuesta de Microsoft, también incluida en el material de origen, es que esto es un comportamiento esperado y no un fallo de software. La empresa dijo a ZDNET que el acceso del navegador a los datos de contraseñas en memoria forma parte de cómo las aplicaciones ayudan a los usuarios a iniciar sesión de forma rápida y segura. Añadió que aprovechar esa condición requeriría que el dispositivo ya hubiera sido comprometido.

Esa combinación de posturas es lo que hace relevante la historia. El problema no se presenta como una falla oculta a la espera de un parche. En cambio, entra en la incómoda categoría de concesiones de diseño aceptadas, donde el rendimiento y la comodidad se miden frente a las consecuencias de un compromiso exitoso.

Lo que mostró el investigador

Rønning publicó en GitHub un código llamado EdgeSavedPasswordsDumper para demostrar el comportamiento. El texto fuente indica que la herramienta muestra que las credenciales almacenadas por los usuarios de Microsoft Password Manager en Edge pueden encontrarse en texto claro en la memoria del proceso del navegador. Eso importa porque acota el debate. El hallazgo no trata de si las contraseñas están cifradas en reposo dentro de los mecanismos de almacenamiento del producto. Trata de lo que ocurre después de que el navegador ya las ha descifrado para su uso activo.

El investigador también señaló una aparente contradicción en la experiencia de usuario. Edge puede exigir una nueva autenticación antes de mostrar las contraseñas en la interfaz de Password Manager, pero el proceso del navegador ya puede tener esas mismas contraseñas presentes en texto claro en memoria. Esa diferencia entre las protecciones de la interfaz y la exposición en tiempo de ejecución es la parte que probablemente incomode a los usuarios con conocimientos técnicos.

Aun así, el texto fuente también respalda el punto básico de Microsoft de que no se trata de un ataque remoto de bajo esfuerzo. El escenario descrito depende de que un atacante ya haya comprometido una cuenta de usuario con privilegios administrativos. Eso no hace irrelevante el problema, pero sí lo sitúa más adelante en la cadena de ataque y no en el punto inicial de entrada.

News

Un breve informe en el texto fuente proporcionado dice que iOS 27 permitirá a los usuarios elegir entre Gemini, Claude y otros modelos para funciones de IA, lo que sugiere un enfoque más abierto para las experiencias de IA en el dispositivo y en la nube.

DT Editorial AI·May 6, 2026·via 9to5mac.com

News

Apple ha destacado tres mejoras que llegarán al iPhone con iOS 26.5, una señal de que el calendario de las funciones de software sigue bajo escrutinio mientras la implementación más amplia de Siri de la compañía sigue atrayendo atención.

DT Editorial AI·May 6, 2026·via 9to5mac.com

Por qué importa la distinción

Las preguntas de seguridad suelen depender de dónde se supone que actúe un control. Si un sistema está diseñado para defenderse del abuso remoto, las protecciones en reposo y las comprobaciones de la interfaz pueden ser suficientes para muchos modelos de amenaza comunes. Si la preocupación es la resiliencia tras un compromiso, los estándares cambian. Una vez que un atacante obtiene acceso local, todo lo que se mantiene en memoria se vuelve más valioso y más vulnerable.

Por eso el enfoque de Microsoft de “función, no error” puede ser técnicamente coherente y aun así dejar inquietos a los usuarios. Desde la perspectiva del producto, precargar credenciales puede mejorar la capacidad de respuesta y reducir fricciones. Desde la perspectiva de seguridad, aumenta la cantidad de material sensible disponible para un atacante que ya ha cruzado otra barrera.

Ninguno de los dos lados de ese argumento es trivial. El software moderno depende con frecuencia de secretos residentes en memoria para funcionar con fluidez. Al mismo tiempo, el compromiso de un endpoint no es una categoría hipotética de riesgo. Si un navegador centraliza credenciales para muchas cuentas, entonces cualquier decisión de diseño que amplíe la exposición en memoria merece escrutinio.

Puntos clave establecidos en el texto fuente

Edge almacena contraseñas guardadas en texto claro en la RAM cuando se usa como gestor de contraseñas.
Microsoft dice que este es un comportamiento esperado y que solo importaría si el dispositivo ya estuviera comprometido.
La demostración del investigador se centra en el acceso posterior al compromiso a la memoria del navegador.

Una conversación más amplia sobre la seguridad del navegador

La historia también refleja un cambio más amplio en cómo se juzgan los navegadores. Ya no son solo herramientas para renderizar páginas. Son centros de identidad, asistentes de pago, clientes de sincronización y gestores de contraseñas. Eso significa que su comportamiento en memoria, no solo sus ajustes visibles para el usuario, importa cada vez más para los usuarios preocupados por la seguridad y para los defensores empresariales.

Para algunas personas, la explicación de Microsoft bastará. Si el dispositivo ya está comprometido, podrían argumentar, muchas otras protecciones ya habrán fallado. Para otras, esa es precisamente la razón por la que el problema importa: el software encargado de credenciales sensibles debería minimizar los datos útiles que quedan expuestos durante ese estado comprometido.

El texto fuente no establece que Microsoft planee ningún cambio, ni muestra evidencia de que el comportamiento se esté explotando activamente a gran escala. Pero sí pone de relieve una tensión real de diseño que es poco probable que desaparezca. Los gestores de contraseñas dentro de navegadores convencionales prometen comodidad al reducir el número de pasos entre el usuario y el inicio de sesión. El costo de esa comodidad suele pagarse en una complejidad que solo se vuelve visible cuando un investigador mira por debajo de la interfaz.

Para Developments Today, la importancia está menos en el titular sensacionalista de “contraseñas en texto claro” que en la arquitectura del producto. Se le está pidiendo a Edge que defienda una elección que puede ser normal en algunos contextos técnicos, pero difícil de justificar para usuarios que esperan una compartimentación más fuerte en torno a las credenciales guardadas. El debate, en última instancia, gira en torno a cuánta exposición es aceptable después de un compromiso, y esa es una pregunta a la que la industria del navegador seguirá enfrentándose.

Este artículo se basa en un reportaje de ZDNET. Leer el artículo original.

Microsoft defiende las contraseñas de Edge en la RAM, pero el diseño abre nuevas preguntas

Un hallazgo de seguridad con concesiones familiares

Lo que mostró el investigador

Related Articles

Keep Reading

Apple gana parte de la disputa marcaria de la UE por un logo de temática cítrica

Por qué importa la distinción

Puntos clave establecidos en el texto fuente

Una conversación más amplia sobre la seguridad del navegador

El impulso de Disney+ hacia una superaplicación señala la próxima batalla por la plataforma del streaming

Comments (0)

Un informe dice que iOS 27 podría permitir a los usuarios elegir modelos de IA externos para las funciones de Apple

Apple destaca tres mejoras para iPhone en iOS 26.5 mientras continúan las dudas sobre Siri