Un investigador de seguridad reveló el 29 de abril de 2026 que Microsoft Edge descifra cada contraseña almacenada en la memoria de proceso al iniciarse y las mantiene en texto sin cifrar durante toda la sesión, independientemente de la actividad del usuario. Este hallazgo, presentado en BigBiteOfTech, plantea importantes preocupaciones sobre el manejo de credenciales en entornos compartidos de Windows. El investigador, conocido como @L1v1ng0ffTh3L4N, realizó un análisis sistemático de los principales navegadores basados en Chromium, revelando que Edge era el único navegador que mantenía toda la bóveda de contraseñas en la memoria de texto sin formato al inicio, según Cyber Security News.
La divulgación incluyó una herramienta de verificación pública que permite a los usuarios verificar si su navegador Edge tiene credenciales de texto sin cifrar. El 4 de mayo, el investigador Tom Joran Sonstebyseter Ronning publicó un vídeo de demostración de los hallazgos, que generó 5.900 respuestas poco después. Microsoft respondió a la divulgación afirmando que este comportamiento es “por diseño”.
El manejo de contraseñas de Edge difiere marcadamente de las prácticas de Google Chrome. Cyber Security News destacó que Chrome emplea descifrado bajo demanda, desbloquea credenciales solo cuando es necesario y utiliza App-Bound Encryption, que vincula las claves de descifrado a un proceso autenticado. Por el contrario, Edge carga todas las credenciales guardadas en texto sin formato desde el momento en que se inicia, exponiéndolas a posibles ataques de extracción basados en memoria.
A pesar de solicitar a los usuarios que se vuelvan a autenticar antes de revelar las contraseñas, se puede acceder a las mismas credenciales en la memoria, lo que hace que dichas solicitudes sean ineficaces contra ataques basados en la memoria. Angus Holliday, especialista senior en operaciones de seguridad, aclaró que el cifrado vinculado a aplicaciones de Microsoft protege los datos en reposo pero no salvaguarda la memoria. La documentación de políticas de Microsoft, actualizada el 27 de enero de 2026, establece que deshabilitar el cifrado vinculado a aplicaciones podría permitir que aplicaciones no autorizadas accedan a las claves de cifrado.
Esta vulnerabilidad es pronunciada en entornos compartidos o multiusuario. Un atacante con privilegios administrativos puede leer la memoria de todos los procesos de usuario que hayan iniciado sesión, lo que podría exponer las credenciales de varios usuarios. Un vídeo público de prueba de concepto demostró que una cuenta de administrador extraía con éxito las credenciales almacenadas de otros usuarios accediendo a la memoria del proceso Edge.
Microsoft reconoce que su documentación pública sobre el administrador de contraseñas de Edge reconoce la vulnerabilidad de las credenciales en memoria, pero clasifica dichos ataques como fuera del modelo de amenaza del navegador. La documentación advierte que los ataques locales o el malware pueden acceder al almacenamiento descifrado del navegador, lo que genera preocupaciones sobre los riesgos inherentes al diseño de Edge, particularmente para las organizaciones que estandarizan su uso.
Mike Pedrick, director de seguridad de la información, señaló que algunas organizaciones exigen que Edge sea el único navegador permitido, priorizando la estandarización sobre la seguridad. Cyber Security News recomendó que los equipos de seguridad que operan entornos Windows con Edge deberían considerar migrar a navegadores con mejores prácticas de seguridad hasta que Microsoft modifique este problema de diseño.
En el mercado global de navegadores, Edge tenía una participación del 7,018% en el primer trimestre de 2025, ocupando el tercer lugar detrás de Chrome y Safari. Sin embargo, su participación de mercado es significativamente mayor en entornos empresariales, donde Edge suele ser el navegador predeterminado en dispositivos Windows administrados, lo que genera preocupaciones sobre el manejo de datos, particularmente en los sectores de marketing y publicidad.
