Microsoft Edge mantiene contraseñas descifradas en memoria, según investigador

El 6 de mayo de 2026 el investigador Tom Jøran Sønstebyseter Rønning publicó un video y subió a GitHub una herramienta llamada EdgeSavedPasswordsDumper para demostrar que Microsoft Edge descifra y mantiene en memoria RAM las contraseñas guardadas por su gestor interno. El autor acompañó la demostración con código y una explicación pública del flujo de trabajo; esto importa porque, según el experimento, las credenciales aparecen en texto plano dentro del proceso del navegador, lo que facilita su extracción si un atacante tiene acceso al sistema.

Según la descripción del investigador y los artefactos publicados, cuando se guardan credenciales en el gestor de contraseñas de Edge el navegador las descifra en el arranque y las deja residentes en la memoria del proceso aunque el usuario no visite los sitios asociados. Pese a esa presencia en texto plano, Edge sigue requiriendo reautenticación antes de mostrar contraseñas en la interfaz, una diferencia entre la protección visual y el estado real de los datos en memoria.

Microsoft respondió calificando ese comportamiento como una característica esperada y sostuvo que el acceso descrito en el escenario informado exigiría que el dispositivo ya estuviera comprometido. En su declaración, citada en el informe del 6 de mayo de 2026, la compañía explicó que las decisiones de diseño buscan equilibrar rendimiento, usabilidad y seguridad, y recomendó mantener el sistema actualizado y usar soluciones antivirus como medidas preventivas.

El autor del experimento indica además que, entre los navegadores basados en Chromium que probó, Edge-con Microsoft Password Manager — es el único que actúa de esta forma. Por contraste, Google Chrome descifra credenciales únicamente cuando son necesarias para la autofill o la visualización, lo que complica la extracción mediante una simple lectura de la memoria del proceso y reduce la ventana de exposición de las claves en texto plano.

La prueba demostrada tiene limitaciones prácticas: depende de un atacante que ya haya obtenido privilegios administrativos o haya comprometido la cuenta de usuario en el dispositivo. Con esas credenciales de control es posible leer la memoria de procesos con sesión iniciada y extraer las contraseñas en texto plano, y el video de la demostración junto al repositorio documentan ese requisito operativo.

El hallazgo afecta especialmente a usuarios cuyos dispositivos puedan ser comprometidos o que concedan derechos administrativos a software malicioso; para desarrolladores y responsables de producto la publicación abre un debate técnico sobre alternativas de diseño. El investigador propone mantener los datos cifrados en memoria, descifrarlos solo en el momento de uso y borrarlos inmediatamente después. Microsoft señaló que revisará el diseño frente a amenazas en evolución, sin anunciar cambios concretos por ahora.