Microsoft Edge almacenaría las contraseñas en texto claro en la memoria
Microsoft Edge almacenaría todos los nombres de usuario y contraseñas guardados en texto claro en la memoria RAM desde que se abre el navegador. Este comportamiento, reportado por el investigador Tom Jøran Sønstebyseter Rønning, ha sido confirmado por Microsoft como una decisión de diseño.
Un riesgo especialmente crítico en entornos empresariales
Según Rønning, Edge descifra todas las credenciales guardadas al iniciar, incluso si el usuario nunca visita los sitios relacionados. En contraste, Chrome suele descifrar una contraseña solo en el momento de completar automáticamente el formulario, además de utilizar la Aplicación-Cifrada Enlazada para dificultar la extracción de claves.
Microsoft sostiene que para explotar esta vulnerabilidad ya se necesita acceso administrativo a la máquina, lo cual indica una compromisión avanzada.
No obstante, en entornos compartidos —VDI, Citrix, servidores terminal— esta elección puede ampliar el perímetro de ataque al exponer las credenciales de otras sesiones abiertas.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. pic.twitter.com/ci0ZLEYFLB
— Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N) May 4, 2026
El problema: la confianza implícita
Desde un punto de vista técnico, Microsoft defiende un equilibrio entre rapidez, comodidad y seguridad. Pero, el mensaje enviado es delicado: Edge requiere una nueva autenticación para mostrar las contraseñas en su interfaz, mientras que estos mismos secretos pueden ya estar en texto claro en la memoria.
Esta discrepancia crea una falsa sensación de protección. Para el usuario promedio, el riesgo está mayormente ligado a un malware altamente intrusivo. En el caso de empresas, se vuelve más serio, ya que los infostealers modernos apuntan precisamente a estas ventanas de exposición.
¿Qué hacer en Edge?
El consejo más prudente es no almacenar las contraseñas críticas en el navegador. Un gestor de contraseñas dedicado, protegido por una contraseña maestra robusta y autenticación multifactor, generalmente ofrece una mejor separación de riesgos.
Edge no se vuelve de repente inutilizable. Sin embargo, este asunto recuerda una verdad incómoda: la comodidad de los navegadores tiene un precio, y ese precio a veces se paga en superficie de ataque.
