es.wedoany.com Noticia: Microsoft confirmó oficialmente el 19 de mayo, a través de un documento de soporte técnico, que comenzará a eliminar gradualmente el uso de códigos de verificación por SMS como método de autenticación de dos factores y recuperación de cuentas para las cuentas personales de Microsoft, adoptando plenamente un sistema de inicio de sesión sin contraseña centrado en las claves de acceso. Este anuncio oficial se integró como documento en la página de administración de cuentas de Microsoft y no se publicó a través de los canales tradicionales de notas de prensa, pero el contenido del documento confirma el abandono estratégico de la autenticación por SMS: "La autenticación basada en SMS se ha convertido ahora en una de las principales fuentes de actividad fraudulenta".

En el documento oficial, Microsoft expuso sistemáticamente los defectos de seguridad de los códigos de verificación por SMS. Los SMS no se diseñaron originalmente considerando el entorno de ciberseguridad moderno; su contenido se transmite en texto plano a través de las redes celulares, lo que los hace extremadamente susceptibles a la interceptación y escuchas. Una amenaza aún más grave proviene de los ataques de intercambio de SIM, donde los atacantes engañan a los operadores móviles para transferir el número de teléfono del usuario a un dispositivo bajo su control, pudiendo así recibir directamente todos los códigos de verificación por SMS enviados a ese número y secuestrar la cuenta del usuario. Jonathan Edwards, director sénior de proyectos de la comunidad técnica de Microsoft, señaló que los códigos de un solo uso enviados por SMS son vulnerables a la interceptación, el intercambio de SIM y los defectos de enrutamiento, vías de ataque que siguen teniendo éxito con frecuencia en escenarios reales. Un informe de la organización antifraude británica Cifas muestra que solo en el último año, los ataques de intercambio de SIM aumentaron un 38%, y la principal causa de estos ataques es precisamente la dependencia generalizada de los usuarios comunes de la verificación por SMS.

La alternativa designada por Microsoft para las cuentas personales consta de tres componentes: las claves de acceso se posicionan como el método de inicio de sesión preferido, la aplicación Microsoft Authenticator sirve como complemento de verificación móvil y una dirección de correo electrónico alternativa verificada asume la función de recuperación de cuenta. Las claves de acceso se basan en el estándar FIDO2 y utilizan criptografía de clave pública. Al iniciar sesión, el sistema genera un par de claves criptográficas: la clave pública se envía al servidor, mientras que la clave privada se almacena en hardware físico como el chip de seguridad del Módulo de Plataforma Confiable (TPM) del dispositivo del usuario, sin salir nunca del dispositivo ni transmitirse por la red. Una vez que el usuario completa la verificación de identidad mediante reconocimiento facial de Windows Hello, huella dactilar o el PIN local del dispositivo, el dispositivo puede completar la operación de firma. Dado que la clave privada nunca se expone en la red, incluso si un atacante configura una página de inicio de sesión falsa, no puede eludir el mecanismo de verificación criptográfica de las claves de acceso vinculado a un dominio específico.

Las claves de acceso ofrecen dos modos de implementación. En el modo vinculado al dispositivo, la clave privada queda bloqueada permanentemente en un hardware específico, como el chip de seguridad TPM de un portátil, y no puede ser copiada ni migrada. En el modo de sincronización en la nube, la clave privada puede sincronizarse de forma cifrada entre múltiples dispositivos autorizados del usuario a través de servicios como el llavero de iCloud de Apple o el gestor de contraseñas de Google, equilibrando seguridad y comodidad. Microsoft también admite la sincronización entre dispositivos a través del navegador Microsoft Edge y el gestor de contraseñas de Microsoft, y gestores de contraseñas de terceros como Bitwarden y 1Password ya se han integrado con la API del proveedor de claves de acceso de Windows 11. Si un usuario pierde su teléfono, aún puede recuperar el acceso a su cuenta mediante el correo electrónico alternativo verificado y las claves de acceso sincronizadas.

La migración complementaria en el ámbito empresarial ya tiene un calendario definido. El soporte para claves de acceso en Microsoft Entra ID ha entrado en fase de prueba pública, y las claves de acceso vinculadas al dispositivo ya permiten a los usuarios almacenar claves en Windows Hello, pudiendo utilizarse tanto para dispositivos gestionados como personales. Según el plan de migración de Microsoft Entra ID, las organizaciones inquilinas que aún utilicen métodos de autenticación heredados deben migrar la configuración de gestión de usuarios a las nuevas políticas de autenticación antes del 30 de septiembre de 2026. A partir del 1 de octubre de 2026, los flujos que aún dependan de códigos de verificación por SMS o voz heredados dejarán de funcionar, lo que podría impedir a los usuarios completar el inicio de sesión. Además, a partir de enero de 2027, Microsoft Entra ID dejará de admitir el restablecimiento de contraseña mediante preguntas de seguridad, previniendo de raíz que los atacantes obtengan información de recuperación de cuentas mediante phishing.

En escenarios técnicos especiales, los códigos de verificación por SMS se mantendrán como último recurso de respaldo. Para las necesidades de inicio de sesión de los miembros del programa Windows Insider en entornos aislados y anidados, como la creación y gestión de máquinas virtuales —donde la máquina virtual no puede leer el hardware biométrico del host ni acceder a las claves de seguridad, y el inicio de sesión con claves de acceso o PIN muestra frecuentemente mensajes de error—, los códigos de verificación por SMS seguirán utilizándose como medida de último recurso, pero esta excepción solo se aplica a escenarios técnicos muy limitados.

Los datos de validación de ingeniería de Microsoft para avanzar hacia la eliminación de contraseñas se han hecho públicos. En el Día Mundial de las Claves de Acceso de mayo de 2026, Microsoft reveló que, tras establecer las claves de acceso como opción predeterminada para las nuevas cuentas, la tasa de éxito de la autenticación sin contraseña dentro de Microsoft alcanzó el 95%, y la velocidad de inicio de sesión fue 14 veces superior en comparación con los métodos tradicionales. En el entorno interno de Microsoft, el 99,6% de los usuarios y dispositivos ya han cambiado a métodos de autenticación resistentes al phishing, y los antiguos métodos de verificación por SMS y voz han sido prácticamente eliminados de los flujos principales. Las nuevas cuentas ya se registran por defecto con claves de acceso en lugar de contraseñas. La FIDO Alliance estima que, en el mismo período, ya hay 5 mil millones de claves de acceso en uso a nivel mundial, y gigantes tecnológicos como Google, Apple y Meta ya han incorporado las claves de acceso en sus respectivos sistemas de autenticación de consumidores, acelerando la migración de toda la industria de la era de las contraseñas a la era sin contraseñas.

Microsoft pronto enviará una interfaz de aviso a todos los titulares de cuentas personales, solicitándoles que configuren una clave de acceso y confirmen la validez de su dirección de correo electrónico alternativa.

Este artículo es compilado por Wedoany, las citas de la IA deben indicar la fuente «Wedoany»; si hay alguna infracción u otro problema, por favor notifícanos a tiempo, este sitio lo modificará o eliminará. Correo electrónico: news@wedoany.com