Passkeys de Microsoft: El fin de las contraseñas tradicionales y el SMS 2FA

El fin de una era: Microsoft dicta la sentencia de muerte para las contraseñas y el SMS

En una actualización de seguridad sin precedentes publicada el 8 de mayo de 2026, Microsoft ha emitido una alerta crítica que marca el inicio del fin para la seguridad basada en credenciales tradicionales. La advertencia es contundente: el paradigma del usuario protegido por una combinación de “usuario y contraseña” sumado a un código SMS es ahora una reliquia del pasado, incapaz de resistir el embate de una ciberdelincuencia que ha industrializado el engaño mediante el uso masivo de Inteligencia Artificial Generativa. Para la compañía de Redmond, la transición a las Passkeys de Microsoft ya no es una opción recomendada, sino una urgencia vital para la supervivencia digital de individuos y organizaciones.

La ciberseguridad ha entrado en una fase de “guerra de agentes”. Mientras que en 2024 y 2025 hablábamos de ataques automatizados, en mayo de 2026 nos enfrentamos a infraestructuras de Phishing-as-a-Service (PhaaS) que operan con la precisión de una multinacional. Microsoft revela que las campañas de phishing potenciadas por IA han alcanzado tasas de clics de hasta el 54%, una cifra aterradora que demuestra que el ojo humano, por muy entrenado que esté, ha perdido la batalla contra los señuelos sintéticos hiper-personalizados.

La industrialización del engaño: El factor IA y el colapso del 2FA tradicional

El núcleo de la alerta de Microsoft reside en una realidad técnica incómoda: el segundo factor de autenticación (2FA) estándar, especialmente aquel que depende de códigos enviados por SMS o notificaciones push simples, ha sido neutralizado por los ataques de Adversary-in-the-Middle (AiTM). Durante el primer trimestre de 2026, Microsoft detectó aproximadamente 8.300 millones de amenazas de phishing basadas en correo electrónico. Lo alarmante no es solo el volumen, sino la efectividad de kits de ataque como Tycoon 2FA y EvilTokens.

Estos kits no se limitan a robar la contraseña. Actúan como un proxy en tiempo real entre el usuario y el servicio legítimo. Cuando un usuario introduce su código SMS en una página falsa que parece idéntica a la de Microsoft, el atacante intercepta no solo la credencial, sino el token de sesión. Con este token en su poder, el ciberdelincuente puede eludir por completo el proceso de autenticación y acceder a la cuenta sin necesidad de volver a interactuar con el sistema de seguridad. Según el Microsoft Digital Defense Report de 2026, el 80% de las brechas de elusión de MFA se deben ahora al robo de tokens mediante estos kits AiTM.

Por qué el SMS es ahora un “agujero” de seguridad

• Intercepción de red: Los protocolos de telefonía móvil siguen siendo vulnerables a ataques de intercambio de SIM (SIM swapping) y ataques de estaciones base falsas.
• Ingeniería social de nueva generación: La IA puede clonar la voz de un agente de soporte técnico en tiempo real, convenciendo al usuario de entregar el código que acaba de recibir por SMS.
• Falta de vinculación de origen: Un código SMS no sabe de qué sitio web proviene ni hacia dónde va. Solo es un número que el usuario puede escribir en cualquier lugar, incluso en un sitio de phishing.

Ante este escenario, la implementación de las Passkeys de Microsoft surge como la única defensa robusta. A diferencia de los códigos temporales, una passkey es intrínsecamente resistente al phishing porque está vinculada criptográficamente al dominio del sitio web legítimo.

Descifrando las Passkeys de Microsoft: ¿Cómo funcionan técnicamente?

Para entender por qué las Passkeys de Microsoft son la respuesta definitiva, debemos profundizar en el estándar FIDO2 (Fast Identity Online) y el protocolo WebAuthn. Una passkey no es una clave secreta que el usuario memoriza o escribe; es un par de llaves criptográficas asimétricas.

1. La Llave Pública: Se almacena en los servidores de Microsoft (en servicios como OneDrive, Xbox o Copilot). Es inútil para un atacante, ya que solo sirve para verificar una firma, no para suplantar la identidad.
2. La Llave Privada: Reside exclusivamente en el dispositivo físico del usuario (su smartphone, computadora con Windows Hello o una llave de seguridad de hardware como YubiKey). Esta llave nunca sale del dispositivo y no se comparte con Microsoft.

Cuando un usuario intenta iniciar sesión, el servicio envía un “desafío” al dispositivo. El dispositivo firma ese desafío utilizando la llave privada, pero solo después de que el usuario haya verificado su presencia mediante biometría (huella dactilar o reconocimiento facial) o un PIN local. Debido a que el navegador y el sistema operativo verifican que el sitio web sea realmente “microsoft.com” antes de permitir el uso de la llave privada, es técnicamente imposible que un usuario sea engañado para entregar su passkey a un sitio falso. El ataque AiTM simplemente se detiene en seco porque no hay un “secreto” que interceptar y retransmitir.

Microsoft ha habilitado esta tecnología para el 99% de su base de usuarios de consumo. Actualmente, cientos de millones de personas ya utilizan este método para acceder a servicios críticos, logrando una tasa de éxito de inicio de sesión significativamente superior a la de las contraseñas tradicionales, con una fracción del riesgo.

La “Eliminación de Residuos”: Por qué debes borrar tu contraseña hoy mismo

Uno de los puntos más críticos de la alerta de mayo de 2026 es el concepto de “reducir la superficie de ataque”. Microsoft advierte que tener habilitadas las Passkeys de Microsoft no es suficiente si el usuario mantiene su antigua contraseña y métodos de recuperación débiles como “respaldos”. Un atacante sofisticado siempre buscará el camino de menor resistencia, y si una cuenta permite el “downgrade” (degradación) hacia un inicio de sesión por contraseña o preguntas de seguridad, la passkey es solo una fachada.

La recomendación oficial es clara: elimine su contraseña. Microsoft ha facilitado este proceso permitiendo que las cuentas de Microsoft sean “passwordless” (sin contraseña) por defecto. Al eliminar la contraseña, se elimina la posibilidad de que esta sea filtrada en una brecha de datos de terceros o adivinada mediante ataques de fuerza bruta potenciados por IA.

El fin de las preguntas de seguridad

Como parte de esta limpieza estratégica, Microsoft anunció que, a partir de marzo de 2027, las preguntas de seguridad (como “¿Cuál es el nombre de su primera mascota?”) dejarán de ser una opción para restablecer contraseñas en Microsoft Entra ID. En la era de la IA, obtener estas respuestas es trivial mediante el raspado de redes sociales o ingeniería social automatizada. La identidad debe ser verificada mediante canales de alta confianza, no mediante datos estáticos que pueden ser consultados en bases de datos de filtraciones.

El riesgo amplificado: Agentes de IA y el nuevo perímetro de identidad

¿Por qué Microsoft está presionando con tanta urgencia en 2026? La respuesta está en la evolución de los flujos de trabajo corporativos. Con la integración profunda de Copilot y agentes de IA autónomos, una identidad comprometida es mucho más peligrosa que en años anteriores.

Hoy en día, los agentes de IA actúan en nombre de los usuarios: ejecutan flujos de trabajo, acceden a bases de datos confidenciales en SharePoint y pueden realizar transacciones financieras o enviar comunicaciones oficiales. Si un atacante logra comprometer una identidad mediante un ataque de phishing tradicional, no solo obtiene acceso a un buzón de correo; hereda los permisos de ejecución de todos los agentes de IA vinculados a esa cuenta. Microsoft subraya que la identidad es ahora el “perímetro de seguridad primario”. En un mundo donde el trabajo es remoto y los datos residen en la nube, el firewall tradicional es irrelevante; lo único que separa al atacante de los activos de la empresa es la solidez del método de autenticación.

Guía de acción para la implementación de un ecosistema resistente al phishing

Para aquellos que buscan alinearse con las directrices de Microsoft, la transición debe ser metódica y abarcar tanto a nivel personal como organizacional. Aquí detallamos los pasos esenciales para adoptar las Passkeys de Microsoft y fortificar el entorno digital:

• Auditoría de métodos de recuperación: Revise los correos electrónicos y números de teléfono vinculados a la recuperación de su cuenta. Elimine aquellos que ya no utilice y asegúrese de que el método principal sea una aplicación de autenticación robusta o otra passkey.
• Activación de Windows Hello: Asegúrese de que sus dispositivos Windows 11 utilicen Windows Hello con chip TPM 2.0. Esto convierte su computadora en un autenticador físico de alta seguridad.
• Eliminación de la contraseña: Desde el panel de seguridad de su cuenta Microsoft, seleccione la opción de “Cuenta sin contraseña”. Esto forzará al sistema a solicitar siempre una passkey o una aprobación mediante la aplicación Microsoft Authenticator.
• Adopción de llaves de hardware en entornos corporativos: Para administradores de TI y usuarios con acceso a datos críticos, el uso de llaves FIDO2 físicas (como YubiKey o Google Titan) proporciona el nivel más alto de resistencia contra ataques de proximidad y remotos.
• Sincronización de Passkeys: Aproveche el soporte de sincronización que Microsoft ha integrado en su gestor de contraseñas. Esto permite que una passkey creada en un iPhone pueda usarse para iniciar sesión en una PC con Windows, manteniendo la comodidad sin sacrificar la seguridad.

Conclusión: Un futuro sin fricciones y sin miedos

La advertencia de Microsoft no debe interpretarse como una señal de alarma pesimista, sino como un llamado a la modernización necesaria. La tecnología de las Passkeys de Microsoft ofrece una de las raras situaciones en ciberseguridad donde la opción más segura es también la más cómoda. Al eliminar la necesidad de recordar contraseñas complejas y esperar códigos SMS que a menudo se retrasan, los usuarios ganan tiempo y tranquilidad.

El 2026 será recordado como el año en que la industria tecnológica finalmente aceptó que el factor humano es el eslabón más débil frente a una IA hostil, y que la única solución es retirar al humano de la ecuación de la transmisión de secretos. Adoptar las passkeys es, en última instancia, un acto de responsabilidad digital para proteger no solo nuestras fotos y correos, sino la integridad de un ecosistema laboral cada vez más dependiente de la autonomía de la Inteligencia Artificial.