Edge, el navegador de Microsoft, tiene un problema importante que afecta a la manera en la que guarda las contraseñas en la memoria. Concretamente, carga todas las claves sin cifrar en el momento en el que se inicia el navegador. Esto es algo que puede comprometer seriamente las cuentas de los usuarios, por lo que debería tener una respuesta adecuada por parte de Microsoft.
Esto contrasta con Google Chrome, ya que el navegador de Google utiliza lo que se denomina como descifrado bajo demanda. Es decir, las credenciales solo se descifran si se necesitan durante el autocompletado o si el usuario acceder a las contraseñas guardadas y necesita visualizarlas. Algo sorprendente es que la documentación pública de Microsoft, reconoce esta circunstancia y que podrían acceder a las contraseñas a través de un ataque local. Por ahora, más allá de esa documentación, Microsoft no ha emitido un comunicado oficial ni se ha asignado un identificador CVE específico para este comportamiento.
Contraseñas en texto plano en Edge
Este problema ha sido analizado por el investigador de seguridad noruego de Palo Alto Tom Jøran Sønstebyseter Rønning (@L1v1ng0ffTh3L4N, en la red social X). Publicó recientemente una prueba de concepto, la cual puedes encontrar disponible en GitHub, con un vídeo donde muestra este problema que afecte a Edge.
Microsoft Edge loads all your saved passwords into memory in cleartext — even when you’re not using them. https://t.co/ci0ZLEYFLB
04 de mayo, 2026 • 16:29
En sus pruebas, este investigador noruego comprobó el comportamiento de la memoria de credenciales en los principales navegadores basados en Chromium, como son Edge o Chrome. Encontró diferencias importantes, como hemos explicado, en la manera en la que estos dos navegadores descifran las contraseñas almacenadas.
Hay que mencionar que el navegador solicita a los usuarios que se vuelvan a autenticar antes de mostrar las contraseñas en la interfaz del Administrador de contraseñas, pero el proceso del navegador ya almacena todas esas credenciales en texto plano. Esto hace que puedan ser accesibles para cualquiera que pueda consultar la memoria del proceso.
Podemos decir que, aunque sí existe esa solicitud de volver a autenticarse, lo cierto es que no ofrece una protección real para evitar la filtración de contraseñas basada en la memoria. Cuando el navegador está abierto, esas claves pueden estar accesibles en memoria.
Usar el navegador como gestor de claves, no es buena idea
El riesgo real es bajo. No se trata de una vulnerabilidad grave que permita a un atacante externo acceder a las contraseñas. No obstante, sí que podrían robarlas si, previamente, han logrado acceder al equipo a través de un malware. Por tanto, es fundamental no cometer errores y mantener siempre tu sistema limpio, protegido y no dar facilidades a los atacantes.
No obstante, nuestra recomendación es que utilices gestores de contraseñas dedicados. Hay muchas opciones, como LastPass, Dashlane, NordPass o 1Password. Es una opción más adecuada que confiar en los navegadores, independientemente de si usas Edge o no, para almacenar tus claves. Te dejamos una comparativa entre gestores de contraseña dedicados y los de navegador:
Comparativas de gestores de contraseñas dedicados y navegador
| Navegador / Gestor | Método de Carga en Memoria | Riesgo de Exposición |
|---|---|---|
| Microsoft Edge | Carga todas las contraseñas en texto plano al inicio. | Alto (si hay malware local activo). |
| Google Chrome | Descifrado bajo demanda (solo al usarse). | Medio (ventana de exposición reducida). |
| Gestores Externos (1Password, etc.) | Cifrado robusto y vault bloqueada. | Bajo (requiere autorización maestra). |
En cualquier caso, siempre es importante que tengas medidas de seguridad adicionales. Por ejemplo, deberías habilitar la autenticación en dos pasos en tus cuentas. Esto crea una barrera de seguridad adicional y evitarás intrusos. También deberías comprobar que tienes todo actualizado y utilizas un buen antivirus.
En definitiva, el navegador Microsoft Edge mantiene las contraseñas en texto plano en el momento en el que se inicia. Esto puede hacer que estén disponibles ante un ataque interno, en la memoria del equipo.
Preguntas frecuentes
¿Podrían robar las contraseñas a través de Internet?
No, este problema de Microsoft Edge no permite que un atacante remoto, a través de Internet, robe tus contraseñas. Necesitaría estar ya dentro de tu equipo.
¿Qué necesita un atacante para leer la memoria?
El atacante necesitaría, previamente, que el equipo esté infectado. Es necesario que haya algún tipo de malware que permita leer la memoria del navegador.
¿Qué navegadores usan descifrado bajo demanda como Chrome?
Google Chrome implementa descifrado bajo demanda, lo que significa que las credenciales solo se descifran cuando se necesitan para autocompletar o cuando el usuario las visualiza. Firefox también implementa protecciones similares. Edge, sin embargo, descifra todo al inicio.
