Un investigador alerta de que Microsoft Edge almacena las contraseñas en texto plano en la memoria

Un investigador de ciberseguridad ha alertado de que Microsoft Edge almacena las contraseñas en la memoria en texto plano, lo que supone un riesgo especialmente en entornos compartidos.

Microsoft Edge mantiene las contraseñas sin encriptar en todo momento, algo que solo suele ocurrir cuando el usuario visita una web que requiere el inicio de sesión y utiliza el gestor de contraseñas del navegador, para autocompletar las credenciales.

Este comportamiento se desprende del análisis que ha realizado el investigador Tom Joran Sonstebyseter Ronning, que destaca que solo lo ha identificado Edge, y no en el resto de navegadores basados en Chromoium.

Como explica en una publicación compartida en X, Edge mantiene las contraseñas desencriptadas en la memoria del proceso del navegador, incluso si no se utilizan. Por el contrario, señala que Chrome desencripta las contraseñas solo en el momento en que se van a utilizar, ya sea el autocompletado o cuando el usuario accede al gestor para revisarlas.

Señala también que esta forma de operar supone un riesgo para la seguridad de los usuarios, ya que Edge hace que las contraseñas sean vulnerables a una lectura de memoria, que permitiría a un ciberatacante robarlas. Aunque para ello se requieren prvilegios de administrador.

Ronning ha apuntado el riesgo que esta práctica tiene especialmente en entornos compartidos. "Si un atacante obtiene acceso administrativo en un servidor de terminales, puede acceder a la memoria de todos los procesos de usuarios conectados", ha explicado.