Microsoft cambiará en septiembre la forma de iniciar sesión en millones de cuentas: las contraseñas ya no serán lo más importante

Cambios en Microsoft Entra ID
Cambios en Microsoft Entra IDGenerado con IA

Microsoft confirma que dejará a un lado las contraseñas para darle paso a la nueva era de las claves de acceso (passkeys) como método de autenticación predeterminado.

El reciente incidente de malware en GitHub no es el único que está afectando gravemente a los ordenadores. El phishing en Gmail y redes sociales es cada vez más peligroso, siendo la razón por la que Microsoft esté tomando medidas estrictas.

Desde hace un tiempo, las claves de acceso (passkeys) se han estado implementando en Windows 11 como uno de los métodos de autenticación alternativos e incluso los expertos recomiendan más el uso de este método que el convencional de contraseñas. 

En vez de ser una elección, el gigante de Redmond da un paso a la nueva era de seguridad digital al confirmar que Microsoft Entra ID va a tener las passkeys como predeterminado en menos de un año. 

La compañía ha confirmado un cambio que afectará a millones de usuarios y el objetivo principal sería reducir los ataques de phishing y la recopilación de datos de terceros. ¿Sabes cómo funciona o de qué manera te afecta? A continuación tienes toda la información relacionada.

Microsoft apuesta por las passkeys como método predeterminado de acceso

Anuncio de Microsoft Entra ID
Anuncio de Microsoft Entra IDMicrosoft

Es oficial, las contraseñas quedan prácticamente "obsoletas", al menos en el servicio de gestión de identidades Microsoft Entra ID, lo cual afecta directamente a las cuentas empresariales, corporativas y educativas.

Microsoft ha confirmado que las claves de acceso se convertirán en el método de autenticación predeterminado en esta plataforma. A partir del 1 de septiembre de 2026, las contraseñas dejarán de ser las protagonistas en el sistema porque la compañía quiere reforzar la seguridad frente a ataques de phishing, robo de credenciales y otras amenazas cada vez más sofisticadas.

Esto quiere decir que la autenticación por SMS o llamada de voz va a quedar en el olvido debido a que ya la característica va a permanecer activa desde el primer momento. De hecho, con la actualización, la próxima vez que los usuarios accedan, van a requerir de la solicitud de una passkey.

"A medida que el lanzamiento llegue a cada organización, los usuarios habilitados para la autenticación por SMS o voz se habilitarán automáticamente para las claves de acceso, y la próxima vez que realicen la autenticación multifactor, se les solicitará que registren una clave de acceso".

No todos los usuarios tendrán que cambiar sus hábitos. Aquellos que ya utilizan métodos considerados resistentes al phishing, entre ellos Windows Hello for Business, claves de seguridad FIDO2, tarjetas inteligentes o las propias passkeys, podrán seguir accediendo con esos sistemas sin ningún cambio.

Debido a que los métodos tradicionales son cada vez más vulnerables con el crecimiento de la inteligencia artificial y otras tácticas que están empleando los hackers, estas decisiones serían la clave para disminuir el impacto, ya que ofrecen una mayor protección frente a intentos de suplantación de identidad.

Adiós al SMS y a las llamadas: el calendario que deben seguir las empresas

Microsoft también confirmó que el 1 de febrero de 2027 retirará el servicio de entrega de autenticación por SMS y voz proporcionado directamente por la empresa.

La recomendación es que la transición debe hacerse rápidamente para obtener una mayor resistencia al phishing. Los equipos con Microsoft Entra ID tienen esa fecha límite para evitar interrupciones en los procesos de acceso.

En el caso de que se llegue a necesitar todavía la autenticación de telefonía, se deberá contratar Microsoft Security Store como única opción.

El gigante de Redmond ha destacado que se han detectado campañas de phishing potenciadas por IA con tasas de clics de hasta el 54 %, frente a aproximadamente un 12 % en campañas tradicionales.

Hacer esto es crucial para la ciberseguridad de las infraestructuras. En cuanto a los usuarios con cuentas personales, no hay ningún cambio por el momento. Se mantiene todo igual, pero eso no quiere decir que en el futuro no se tome una decisión similar.