AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Consejos

**Edge estrena función de compartición segura de contraseñas para entornos empresariales**

admin

### Introducción

Microsoft ha anunciado la disponibilidad general de una nueva funcionalidad en su navegador Edge destinada a mejorar la seguridad en la compartición de contraseñas dentro de entornos empresariales. Esta actualización, orientada a organizaciones que utilizan Edge en el contexto de Microsoft Entra ID (anteriormente Azure Active Directory), responde a una necesidad creciente de equilibrar la colaboración entre empleados y los estrictos requisitos de protección de credenciales frente a amenazas internas y externas.

### Contexto del Incidente o Vulnerabilidad

La gestión de contraseñas en equipos y departamentos sigue siendo un reto para muchas empresas, especialmente ante la proliferación de servicios digitales y cuentas compartidas. Hasta ahora, las soluciones tradicionales han implicado el uso de gestores de contraseñas de terceros, hojas de cálculo cifradas o incluso métodos inseguros como el correo electrónico. Este panorama expone a las organizaciones a riesgos de filtración, suplantación de identidad y ataques de fuerza bruta.

Con el aumento de incidentes relacionados con el mal uso de credenciales (según Verizon DBIR 2023, el 49% de las brechas implican el uso indebido de credenciales), Microsoft ha decidido reforzar la seguridad desde el navegador, que es el punto de entrada principal para la mayoría de los accesos corporativos.

### Detalles Técnicos

La nueva función, denominada “Password Sharing”, está disponible desde la versión 126 de Microsoft Edge para usuarios autenticados con cuentas corporativas de Entra ID. Permite compartir credenciales almacenadas en el gestor de contraseñas integrado de Edge directamente con otros empleados del mismo dominio, manteniendo un cifrado de extremo a extremo en el proceso.

**Vectores de ataque mitigados:**
– **Intercepción de credenciales:** Al evitar el envío de contraseñas por canales no cifrados o no controlados, se reduce el riesgo de ataques Man-in-the-Middle (MitM) y phishing interno.
– **Acceso no autorizado:** Solo usuarios verificados dentro del mismo entorno Entra ID pueden recibir y utilizar las contraseñas compartidas. Además, las contraseñas no se pueden mostrar en texto plano, solo autocompletar en los sitios correspondientes.

**TTPs y MITRE ATT&CK:**
– **T1078 (Valid Accounts):** Limita el uso indebido de cuentas válidas al restringir la visibilidad y el uso de las credenciales.
– **T1552 (Unsecured Credentials):** Reduce la exposición por almacenamiento y transmisión insegura.

**Indicadores de compromiso (IoC):**
– No se han detectado IoC explotables en esta funcionalidad hasta la fecha, dado que la compartición se realiza bajo el contexto de la cuenta corporativa y requiere autenticación multifactor (MFA) si está habilitada.

**Compatibilidad y frameworks:**
– Disponible en Edge 126+ sobre Windows, macOS y próximamente en Linux.
– Integración directa con Entra ID y cumplimiento de políticas de Intune y Defender for Endpoint.

### Impacto y Riesgos

La introducción de esta característica tiene un impacto significativo en la postura de seguridad de las empresas:

– **Reducción de la superficie de ataque:** Al centralizar la gestión y compartición de contraseñas dentro de Edge, se eliminan vectores asociados a plataformas externas y herramientas no corporativas.
– **Prevención de fugas accidentales:** El cifrado de extremo a extremo y la imposibilidad de visualizar la contraseña compartida minimizan el riesgo de exposición accidental.
– **Dependencia tecnológica:** Las organizaciones quedan más atadas al ecosistema Microsoft, lo que puede suponer riesgos de concentración.

Según estimaciones internas de Microsoft, el 30% de los incidentes de fuga de credenciales en empresas medianas podrían haberse evitado con sistemas de compartición segura como el que ahora ofrece Edge.

### Medidas de Mitigación y Recomendaciones

Para maximizar la eficacia de esta nueva funcionalidad, los responsables de seguridad deben:

– **Actualizar Edge a la versión 126 o superior** y asegurarse de que los dispositivos están gestionados por Entra ID.
– **Revisar y aplicar políticas de gestión de contraseñas** en Intune, limitando la capacidad de compartir a roles específicos según el principio de mínimo privilegio.
– **Habilitar MFA** en todas las cuentas corporativas para reforzar la autenticación.
– **Monitorizar logs de actividad** en el portal de Entra ID para identificar comparticiones anómalas o no autorizadas.
– **Formar a los empleados** sobre el uso correcto de la funcionalidad y los riesgos de compartir credenciales fuera del canal oficial.

### Opinión de Expertos

Especialistas en ciberseguridad, como Javier Candau (CCN-CERT), valoran positivamente la iniciativa: “La compartición segura de credenciales es una demanda histórica y, si se implementa correctamente, puede suponer un avance significativo en la prevención de brechas internas”.

Sin embargo, advierten que “ninguna medida técnica sustituye a una política robusta de control de accesos y concienciación del usuario. El abuso de privilegios y la ingeniería social seguirán siendo amenazas latentes”.

### Implicaciones para Empresas y Usuarios

A nivel organizativo, esta función permite a los CISOs y responsables de seguridad:

– Simplificar auditorías de cumplimiento normativo (GDPR, NIS2), ya que la trazabilidad y control de accesos se gestionan desde un único punto.
– Reducir la dependencia de soluciones de terceros, lo que puede impactar en costes operativos y superficie de exposición.
– Mejorar la colaboración interna con menores riesgos para la integridad de los sistemas.

Para los usuarios, la experiencia se mantiene sencilla: no necesitan aprender nuevos procedimientos ni utilizar aplicaciones adicionales, lo que también reduce el riesgo de shadow IT.

### Conclusiones

La funcionalidad de compartición segura de contraseñas en Microsoft Edge representa un paso adelante en la protección de credenciales en entornos empresariales. Aprovechando la integración con Entra ID y las políticas de seguridad de Microsoft, las empresas disponen ahora de una alternativa robusta y nativa para gestionar el acceso compartido a recursos críticos, alineándose con los requisitos de las normativas actuales y las mejores prácticas de Zero Trust.

No obstante, la efectividad de esta solución dependerá de una correcta configuración, formación continua y la supervisión activa de los equipos de seguridad. La gestión de identidades y accesos sigue siendo un pilar fundamental en la defensa de las organizaciones frente a las amenazas modernas.

(Fuente: www.bleepingcomputer.com)