Microsoft ha ajustado el funcionamiento del modo de compatibilidad de Internet Explorer (IE Mode) en Edge después de detectar, en agosto de 2025, campañas que combinaban ingeniería social con zero‑days en el motor JavaScript Chakra. Según el equipo de Microsoft Browser Vulnerability Research, los atacantes buscaban forzar la carga de sitios en IE Mode para ejecutar exploits con remote code execution (RCE) y consolidar el compromiso mediante elevación de privilegios.
Cadena de ataque: de la ingeniería social al RCE y la elevación de privilegios
El vector inicial fue directo: las víctimas eran redirigidas a páginas aparentemente legítimas donde un aviso insistía en “recargar en IE Mode”. Al cambiar a este contexto de compatibilidad, los operadores desplegaban un exploit de Chakra que otorgaba RCE en el proceso del navegador. A continuación, un segundo exploit permitía salir del sandbox y escalar privilegios, facilitando la persistencia, el despliegue de malware, el movimiento lateral y la exfiltración de datos.
Por qué IE Mode incrementa la superficie de ataque
IE Mode existe para soportar aplicaciones heredadas y portales de intranet que dependen de Trident/Chakra. Sin embargo, esta retrocompatibilidad relaja mitigaciones modernas presentes en Chromium/Edge, exponiendo rutas de ataque que los adversarios explotaron. Este patrón está alineado con la evidencia del sector: el Verizon Data Breach Investigations Report 2024 atribuye al “factor humano” la mayoría de los incidentes, y la ingeniería social sigue siendo un catalizador clave para el éxito de las intrusiones, especialmente cuando se combina con fallos de día cero.
Qué ha cambiado en Edge: menos puntos de entrada a IE Mode
Para elevar el nivel de seguridad, Microsoft eliminó la botonera de acceso a IE Mode de la barra de herramientas, el menú contextual y el menú principal de Edge. IE Mode no desaparece, pero su activación ahora requiere pasos conscientes en la configuración y el uso de una lista de sitios permitidos (allowlist) que vincula la compatibilidad a dominios concretos.
Equilibrio entre seguridad y compatibilidad
Restringir los accesos directos dificulta que un clic impulsivo de usuario lo traslade a un contexto heredado más expuesto. La necesidad de configurar explícitamente los sitios eleva el umbral para el abuso, al tiempo que mantiene la continuidad operativa de sistemas legacy críticos para el negocio.
Impacto para TI: gobierno de IE Mode y endurecimiento del entorno
Las organizaciones que dependen de IE Mode deben revisar sus políticas. La gestión centralizada de la allowlist, el principio de mínimo privilegio y el control de canales de actualización de Edge y del sistema operativo son medidas esenciales. Microsoft no ha divulgado detalles técnicos de los exploits ni la atribución del actor, lo que refuerza la necesidad de higiene de seguridad universal y un modelo de confianza reforzado frente a contenido web.
Recomendaciones prácticas para reducir el riesgo
— Limitar IE Mode a recursos críticos incluidos en una lista de sitios permitidos gestionada centralmente, con revisiones periódicas de necesidad y caducidad.
— Activar políticas estrictas de Microsoft Defender SmartScreen y Network Protection, y bloquear patrones de social engineering (por ejemplo, avisos que pidan “abrir en IE Mode”).
— Mantener actualizaciones aceleradas de Edge y Windows, incluyendo componentes de compatibilidad; monitorizar avisos de Microsoft Browser VR.
— Aplicar aislamiento de procesos y control de ejecución (p.ej., EPM/Perfiles aislados), soluciones EDR con detección por comportamiento y restricciones de scripting en zonas de riesgo.
— Formar a usuarios para reconocer pop‑ups insistentes y validar cualquier instrucción de cambio a IE Mode con el soporte de TI antes de actuar.
La revisión de IE Mode es un paso pragmático que endurece la postura defensiva sin romper la compatibilidad crítica. No obstante, la resiliencia depende de una gobernanza firme: audite su dependencia de tecnologías heredadas, minimice su uso y trace un plan de retirada gradual de IE Mode. Reducirá superficie de ataque, simplificará el cumplimiento y acortará los tiempos de respuesta ante incidentes.
