Ya hemos visto cómo Microsoft Edge lleva semanas en el ojo del huracán por la forma en que gestiona las contraseñas guardadas. La semana pasada un investigador de seguridad destapó que el navegador cargaba todas las credenciales en memoria como cleartext nada más arrancar, y la primera respuesta de Microsoft fue defender el diseño. Ahora la compañía ha cambiado de postura.
En una entrada publicada en el blog del equipo de Microsoft Browser Vulnerability Research, Gareth Evans ha confirmado que Edge dejará de cargar las contraseñas guardadas en memoria al inicio. El cambio ya está activo en Edge Canary y llegará al resto de canales con la build 148 y posteriores, así que afecta a cualquiera que use el gestor de contraseñas del navegador.
El fallo que Microsoft inicialmente no quiso reconocer como tal
El asunto saltó cuando un investigador demostró que Edge volcaba las contraseñas almacenadas a la memoria del proceso en texto plano nada más abrir el navegador. Eso significa que cualquier herramienta capaz de leer ese espacio de memoria, una vez dentro del equipo, podía sacar las credenciales sin esfuerzo.
La respuesta inicial de Microsoft fue que aquello no era un fallo, sino una decisión de diseño consciente. Su argumento: si alguien ya tiene acceso administrativo a tu máquina, da igual cómo guarde el navegador las contraseñas, porque el atacante ya ha ganado la partida. El modelo de amenazas de Edge, como el de Chrome y el de cualquier navegador moderno, deja fuera explícitamente los ataques locales con malware corriendo como administrador.
Técnicamente tienen razón. Pero la comunidad de seguridad respondió que ese argumento, llevado al extremo, justifica no añadir ninguna capa de protección extra. Y ahí Microsoft ha tenido que matizar.
Qué cambia exactamente con la nueva build
Ya no cargaremos las contraseñas en la memoria al iniciar el navegador. Este cambio de seguridad se implementará en todas las versiones compatibles de Edge. — Gareth Evans, Investigación de Vulnerabilidades de Navegadores de Microsoft
El cambio se aplica a los cinco canales del navegador: Stable, Beta, Dev, Canary y Extended Stable, este último el que usan los clientes empresariales. Llega como parte del paquete de la build 148, que Microsoft está distribuyendo con prioridad.
Si usas el gestor de contraseñas de Edge, no tienes que hacer nada. La actualización viaja por el canal normal y el navegador deja de cargar las credenciales en memoria al arrancar sin que el usuario toque ningún ajuste. No hay nuevo riesgo para quienes ya tenían sus contraseñas guardadas, porque el escenario original del informe requería que el atacante hubiera comprometido antes el dispositivo.
Por qué este giro importa más de lo que parece
Lo interesante aquí no es tanto el parche, que era el desenlace lógico, sino la rectificación pública. Microsoft podía haberse quedado en el «esto está dentro del modelo de amenazas previsto» y técnicamente habría estado cubierta. Pero ha optado por subir el listón de su propio criterio, alinear el cambio con la Secure Future Initiative y reconocer que la respuesta inicial al investigador fue demasiado fría.
Para quien guarda contraseñas en cualquier navegador, la lección práctica es la de siempre. El gestor del navegador es cómodo, pero un gestor dedicado con cifrado de extremo a extremo y autenticación independiente sigue siendo una capa mejor. Y si te toca elegir entre el de Edge, el de Chrome o el de Firefox, ahora mismo los tres están más o menos al mismo nivel, con la diferencia de que Microsoft acaba de demostrar que está dispuesta a reaccionar cuando la comunidad aprieta.
Queda por ver si Google y Mozilla siguen el mismo camino con sus propios gestores. El precedente, al menos, ya está sobre la mesa.