Este cambio se produce después de que el investigador de seguridad Tom Jøran Sønstebyseter Rønning revelara el 4 de mayo que todas las credenciales almacenadas en el gestor de contraseñas integrado de **Edge** se descifraban al iniciar y permanecían en memoria, incluso cuando no se usaban. Esto exponía un posible vector de ataque para actores maliciosos con privilegios suficientes. ## Prueba de Concepto y Respuesta Inicial Rønning también lanzó una herramienta de prueba de concepto (PoC), disponible en [GitHub](https://github.com/L1v1ng0ffTh3L4N/EdgeSavedPasswordsDumper), que demostraba cómo los atacantes con privilegios de Administrador podían volcar contraseñas de los procesos de **Edge** de otros usuarios. Sin privilegios de administrador, la PoC permitía acceder a los procesos de **Edge** iniciados por el mismo usuario. Informó del problema a **Microsoft**, solo para que le dijeran que el comportamiento era "por diseño". "**Edge** es el único navegador basado en Chromium que he probado que se comporta de esta manera. Por el contrario, Chrome utiliza un diseño que hace mucho más difícil para los atacantes extraer contraseñas guardadas simplemente leyendo la memoria del proceso", afirmó Rønning. ## El Cambio de Opinión A pesar de defender inicialmente la práctica, **Microsoft** ha anunciado ahora que las futuras versiones de **Edge** ya no cargarán las contraseñas guardadas en memoria al inicio. Esta decisión se toma a pesar de que el escenario reportado cae dentro del modelo de amenazas existente de **Microsoft**, que excluye ataques en los que un adversario ya tiene control administrativo de un dispositivo. "Este cambio de defensa en profundidad llegará a todas las versiones compatibles de **Edge** (Stable, Beta, Dev, Canary y el canal Extended Stable que utilizan nuestros clientes empresariales), y estamos priorizando su implementación", dijo Gareth Evans, líder de seguridad de **Microsoft Edge**, en una [publicación de blog](https://microsoftedge.github.io/edgevr/posts/Saved-passwords-in-Edge-memory-what-were-changing-and-why/). "Con nuestro compromiso con la Iniciativa de Futuro Seguro y los comentarios de los clientes, estamos adoptando una visión más amplia. Eso significa considerar no solo si algo cumple los requisitos para ser un problema de seguridad, sino también dónde podemos reducir la exposición a través de mejoras de defensa en profundidad. En este caso, reducir la exposición de las contraseñas en memoria es un paso práctico en esa dirección." ## Disponibilidad La corrección ya está activa en el canal **Edge** Canary y se incluirá en la próxima actualización para todas las versiones compatibles de **Edge** (versión 148 y posteriores). ## Otras Mejoras de Seguridad Recientes en Edge El año pasado, **Microsoft** también introdujo una nueva función de seguridad en **Edge** para proteger a los usuarios contra extensiones maliciosas cargadas lateralmente en el navegador web y restringió el acceso al modo Internet Explorer de **Edge** después de que los hackers comenzaran a aprovechar exploits de día cero en el motor JavaScript Chakra para acceder a los dispositivos objetivo. <a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a> ## The Validation Gap: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas de pruebas de penetración automatizadas ofrecen un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)