Tras la última actualización de Microsoft Edge 121.0.2277.83, miles de administradores han descubierto que los enlaces file:// dejan de abrir el Explorador de Windows y muestran about:blank#blocked. A continuación encontrarás el diagnóstico completo, las soluciones verificadas y una guía paso a paso para restaurar la funcionalidad sin comprometer la seguridad corporativa.
Contexto y síntoma
En entornos corporativos es habitual exponer rutas de red internas (por ejemplo, file://servidor/recursos/) en portales de SharePoint, intranets basadas en IIS o aplicaciones heredadas que esperan que el navegador delegue la apertura al Explorador de Windows. Desde la versión 121.0.2277.83 la pestaña se reemplaza por about:blank#blocked; al mismo tiempo el registro de eventos de Edge muestra advertencias del tipo “Navigation to file URLs has been blocked for security reasons.”.
Causa raíz
Microsoft reforzó en la rama 121 la lógica que decide cuándo una página puede lanzar enlaces de protocolo de archivo. El cambio ignora la directiva IntranetFileLinksEnabled cuando detecta posibles riesgos relacionados con el salto de contexto de zona de seguridad (de Internet/Intranet a sistema de archivos local). En otras palabras, aunque la política siga en Enabled, un submódulo recién introducido en Edge 121 previene la llamada si no se cumplen ciertos encabezados de origen.
- Motivación de Microsoft: aumentar la protección frente a ataques de local file exfiltration o NTLM relay.
- Efecto colateral: organizaciones que dependen de accesos rápidos a carpetas de proyecto se quedan sin funcionalidad.
Soluciones confirmadas
| Opción | Descripción | Cuándo aplicarla |
|---|---|---|
| Instalar la versión 121.0.2277.106 (o posterior) | Microsoft liberó un parche correctivo dentro del propio canal 121 que restaura la lógica original de IntranetFileLinksEnabled. | Recomendado cuando se puede permanecer en la rama 121 sin restricciones de despliegue. |
| Revertir temporalmente a la versión 120.0.2210.144 | Descargar el instalador empresarial correspondiente y ejecutar:msiexec /i FileName.msi /qn ALLOWDOWNGRADE=1 | Útil cuando el parche 121 aún no ha superado las pruebas internas. |
| Bloquear la actualización mediante GPO o políticas | Configurar “TargetVersionOverride” y pausar actualizaciones para evitar que los equipos reinstalen la compilación defectuosa. | Complementario a la reversión o cuando se necesitan más días de validación. |
| Eliminar políticas HSTS para “localhost” | En edge://net-internals/#hsts → “Delete Domain Security Policies”, introducir localhost, pulsar Delete y reiniciar Edge. Administradores han observado que en ciertos escenarios este paso re-habilita los enlaces locales sin downgrade ni parche. | Sólo si las alternativas anteriores no son viables; el resultado varía entre máquinas y no aborda la causa raíz. |
Paso a paso para cada alternativa
Instalar 121.0.2277.106 (o posterior)
- Descarga el MSI offline o deja que Edge Update autodistribuya la revisión. Verifica la firma SHA‑256 en entornos con allowlist de binarios.
- Comprueba tras la instalación que
edge://versionmuestra la compilación 121.0.2277.106 o superior. - En un sitio de prueba con un vínculo
file://, asegúrate de que el Explorador se abra sin mostrarabout:blank#blocked. - Si tu organización emplea ConfigMgr, Intune o scripts de inicio de sesión, actualiza la colección o paquete para que apunte al nuevo binario.
Revertir a 120.0.2210.144
- Descarga el instalador empresarial del canal estable 120 (32 o 64 bits según tu parque).
- Distribuye mediante tu herramienta habitual (SCCM, Intune, PDQ, etc.) ejecutando:
msiexec /i MicrosoftEdgeEnterpriseX64.msi /qn ALLOWDOWNGRADE=1 - Crea una tarea programada que fuerce cierre de Edge antes de la instalación para evitar archivos bloqueados.
- Valida de nuevo los enlaces
file://; la apertura debe funcionar de inmediato.
Bloquear la reinstalación de 121
En la política de grupo Microsoft Edge Update > Applications > Microsoft Edge define:
- “TargetVersionOverride” =
120.0.2210.144 - “Updates Paused” = Enabled
Alternativamente, en Intune configura la clave OmaUri com.microsoft.edge.update/TargetVersionOverride.
Eliminar HSTS de “localhost”
- Navega a
edge://net-internals/#hsts. - En “Delete Domain Security Policies” introduce localhost y haz clic en Delete.
- Cierra todas las ventanas de Edge y vuelve a abrirlas.
- Prueba los enlaces de nuevo. Si el síntoma persiste, adopta una de las soluciones permanentes anteriores.
Buenas prácticas de despliegue
- Validar la política: tras cualquier downgrade o upgrade verifica en
edge://policyqueIntranetFileLinksEnabledfigure como Enabled. - Pilotos controlados: usa colecciones de “anillos” (10 %, 25 %, 50 %, 100 %) para limitar el impacto si surge un nuevo comportamiento.
- Auditoría continua: incorpora la lectura semanal de release notes de Edge en tu ciclo de parches para detectar cambios de seguridad similares.
- Comunicación a usuarios finales: si realizas un downgrade, avisa de que Edge mostrará un banner indicando que la versión es anterior al canal estable; esto es normal.
- Registro y métricas: habilita
Microsoft-Edge-Platform/LoadFromFileen el Visor de Eventos para monitorizar incidentes futuros.
Preguntas frecuentes
¿Por qué la directiva IntranetFileLinksEnabled deja de funcionar aunque aparezca como “Enabled”?
Porque a partir de Edge 121 se introduce una comprobación adicional de origen y headers. La compilación 121.0.2277.83 contiene un bug que ignora la directiva si la página no especifica explícitamente zona de intranet, bloqueando el salto al Explorador.
¿Es seguro mantener la versión 120 indefinidamente?
No. La rama 120 dejará de recibir parches de seguridad en breve, por lo que debe considerarse únicamente una solución temporal hasta completar la validación de 121.0.2277.106 o posterior.
¿Puedo forzar de otro modo la apertura de file://?
Existen extensiones y protocol handlers de terceros, pero no se recomienda emplearlos por el riesgo de que se conviertan en vectores de phishing que extraigan archivos de la intranet del usuario.
¿Qué sucede en otros sistemas operativos?
En macOS y Linux la limitación persiste, pero el impacto es menor porque las rutas Windows SMB suelen usarse casi exclusivamente en entornos Windows. Aun así, la compilación 121.0.2277.106 también corrige el bloqueo en dichos sistemas.
¿Afecta a Chrome o a la rama Edge Beta 122?
Google Chrome no introdujo la regresión, y Edge Beta 122 incluye ya el fix. Aun así, Microsoft recomienda aplicar la estable 121.0.2277.106 para quienes no puedan adelantar a 122.
Conclusión
El cambio de seguridad introducido en Edge 121.0.2277.83 tiene impacto directo en la productividad si tu organización depende de vínculos de intranet al sistema de archivos. Instalar la revisión 121.0.2277.106 es la forma más limpia y compatible de recuperar la funcionalidad. Donde no sea posible, el downgrade a 120 y la pausa de actualizaciones ofrecen una vía de contención hasta validar la corrección oficial. Aplica las buenas prácticas descritas para minimizar interrupciones presentes y futuras.