TempMail Ninja
//

Microsoft Entra ID elimina SMS y voz: Passkeys serán el estándar

4 min de lectura
TempMail Ninja
Microsoft Entra ID elimina SMS y voz: Passkeys serán el estándar

El 13 de julio de 2026 marcará un punto de inflexión definitivo en el ecosistema global de la ciberseguridad corporativa. A través de la notificación oficial de su Centro de Mensajes, bajo el registro MC1426371, Microsoft ha anunciado el inicio del fin para uno de los pilares más extendidos, pero a la vez más frágiles, de la seguridad empresarial: la autenticación multifactor (MFA) basada en redes de telefonía tradicional (SMS y voz). A partir de esta histórica directiva, Microsoft Entra ID pasará a establecer las passkeys (o claves de paso) como el protocolo de autenticación por defecto de manera obligatoria y progresiva, forzando a millones de organizaciones a adoptar un enfoque de autenticación verdaderamente resistente al phishing.

La sofisticación exponencial de las tácticas de ingeniería social, potenciadas hoy por la inteligencia artificial generativa, ha dejado obsoletos los mecanismos de verificación que alguna vez consideramos suficientes. La decisión de Microsoft de retirar el soporte nativo de telecomunicaciones para el envío de códigos OTP no es un simple ajuste de interfaz, sino una respuesta táctica directa para mitigar el secuestro de credenciales a gran escala. Las empresas tienen por delante un calendario ajustado que exige planificación técnica inmediata, auditoría de identidades y, sobre todo, una profunda labor de concientización frente a nuevos vectores de ataque que ya intentan explotar esta misma transición.

La obsolescencia del SMS y la voz frente al nuevo estándar en Microsoft Entra ID

Durante la última década, los mensajes de texto SMS y las llamadas de voz automatizadas sirvieron como el escalón de entrada al mundo de la autenticación multifactor. Aunque infinitamente superiores a las contraseñas estáticas por sí solas, estas metodologías sufren de debilidades estructurales insalvables debido a la propia naturaleza de las redes de telecomunicaciones públicas. La entrega de un código de un solo uso (OTP) a través de canales telefónicos se basa en secretos compartidos que viajan sin cifrar y que son susceptibles a la interceptación en tránsito, al secuestro de tarjetas SIM (SIM-swapping), a ataques de redireccionamiento de números y a esquemas coordinados de ingeniería social.

La arquitectura de Microsoft Entra ID evoluciona para erradicar este eslabón débil de la cadena de confianza. Microsoft ha dejado claro que los métodos de telefonía nativos ya no cumplen con los requisitos de seguridad exigidos por el panorama de amenazas actual. En contraste, las passkeys eliminan por completo el concepto de un secreto compartido vulnerable. Construidas sobre los estándares abiertos de la alianza FIDO2 y la API WebAuthn, las passkeys se basan en criptografía de clave pública asimétrica.

Cuando un usuario inicia sesión con una passkey en su dispositivo corporativo o personal, el proceso ocurre de la siguiente manera:

  • El dispositivo del usuario (que actúa como autenticador FIDO2) genera un par de claves criptográficas únicas para ese sitio web o servicio específico.
  • La clave pública se comparte con Microsoft Entra ID, mientras que la clave privada permanece almacenada de forma segura en el enclave seguro de hardware del dispositivo del usuario (como el chip TPM o la enclave segura de un dispositivo móvil).
  • Para firmar el desafío de inicio de sesión, el usuario solo necesita autenticarse localmente en su dispositivo mediante biometría (Face ID, Touch ID, huella dactilar) o un PIN seguro local. La clave privada nunca viaja por la red ni es revelada a los servidores de Microsoft.

Esta arquitectura garantiza que la autenticación sea intrínsecamente resistente al phishing (phishing-resistant). Un atacante que intente interceptar el tráfico de red, clonar un sitio de inicio de sesión o engañar al usuario para obtener un código de acceso no podrá replicar el desafío criptográfico, ya que carece del acceso físico al dispositivo que resguarda la clave privada vinculada.

Adicionalmente, esta transición se apoya en los recientes hitos de la plataforma. En junio de 2026, Microsoft habilitó la disponibilidad general (GA) de las synced passkeys (passkeys sincronizadas) en Microsoft Entra ID. Esto permite a los usuarios almacenar y sincronizar sus credenciales criptográficas a través de proveedores de passkeys de terceros o sistemas integrados (como iCloud Keychain o Google Password Manager), facilitando la movilidad entre múltiples dispositivos de trabajo sin sacrificar la seguridad perimetral.

El cronograma de la transición: Fechas críticas para administradores de Microsoft Entra ID

El plan de retiro estructurado por Microsoft no concede margen para la complacencia. El despliegue de las passkeys como mecanismo predeterminado y la consecuente desaparición de los servicios de telefonía nativos ocurrirá de acuerdo con el siguiente calendario de hitos críticos:

  • 1 de septiembre de 2026 – Habilitación automática y campaña de registro dirigida: A partir de esta fecha, los inquilinos (tenants) de Microsoft Entra ID que tengan usuarios activos utilizando SMS o voz experimentarán un cambio automático de directivas administradas por Microsoft. La campaña de registro de passkeys pasará al estado “Microsoft Managed” (Administrado por Microsoft). Durante el próximo inicio de sesión interactivo que requiera MFA, estos usuarios recibirán un aviso o incentivo
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.