Edge, el navegador de Microsoft, tiene un problema importante que afecta a la
manera en la que guarda las contraseñas en la memoria: carga todas las claves sin cifrar
en el momento en el que se inicia el navegador. Esto es algo que puede comprometer seriamente las cuentas de los usuarios,
por lo que debería tener una respuesta adecuada por parte de Microsoft.
Esto contrasta con Google Chrome, ya que el navegador de Google utiliza lo que
se denomina como descifrado bajo demanda. Es decir, las credenciales solo se
descifran si se necesitan durante el autocompletado o si el usuario acceder a
las contraseñas guardadas y necesita visualizarlas. Algo sorprendente es que
la
documentación pública de Microsoft, reconoce esta circunstancia y que podrían acceder a las contraseñas a
través de un ataque local. Por ahora, más allá de esa documentación, Microsoft
no ha emitido un comunicado oficial ni se ha asignado un identificador CVE
específico para este comportamiento.
Este problema ha sido analizado por el investigador de seguridad noruego de
Palo Alto Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N, en la red social X). Publicó recientemente una prueba de concepto, la cual
puedes encontrar
disponible en GitHub, con un
vídeo
donde muestra este problema que afecte a Edge.
En sus pruebas, este investigador noruego comprobó el comportamiento de la
memoria de credenciales en los principales navegadores basados en Chromium,
como son Edge o Chrome. Encontró diferencias importantes, como hemos
explicado, en la manera en la que estos dos navegadores descifran las
contraseñas almacenadas.
Hay que mencionar que el navegador solicita a los usuarios que se vuelvan a
autenticar antes de mostrar las contraseñas en la interfaz del Administrador
de contraseñas, pero el proceso del navegador ya almacena todas esas
credenciales en texto plano. Esto hace que puedan ser accesibles para
cualquiera que pueda consultar la memoria del proceso.
Podemos decir que, aunque sí existe esa solicitud de volver a autenticarse, lo
cierto es que no ofrece una protección real para evitar la filtración de
contraseñas basada en la memoria. Cuando el navegador está abierto, esas
claves pueden estar accesibles en memoria.
Usar el navegador como gestor de claves, no es buena idea!
El riesgo real es bajo. No se trata de una vulnerabilidad grave que
permita a un atacante externo acceder a las contraseñas. No obstante, sí que
podrían robarlas si, previamente, han logrado acceder al equipo a través de un
malware. Por tanto, es fundamental no cometer errores y mantener siempre tu
sistema limpio, protegido y no dar facilidades a los atacantes.
No obstante,
la recomendación es utilizar gestores de contraseñas dedicados. Hay
muchas opciones, como LastPass, Dashlane, NordPass o 1Password. Es una opción
más adecuada que confiar en los navegadores, independientemente de si usas
Edge o no, para almacenar tus claves. Te dejamos una comparativa entre
gestores de contraseña dedicados y los de navegador:
Fuente:
L1v1ng0ffTh3L4N