La transición de Microsoft lejos de la autenticación y recuperación por SMS
Después de anunciar el cambio hacia el inicio de sesión sin contraseñas para nuevas cuentas en 2025, Microsoft ha revelado ahora planes para eliminar gradualmente la autenticación y recuperación basada en SMS para cuentas personales. Los titulares de cuentas personales deberán confiar en métodos alternativos tanto para iniciar sesión como para la recuperación de cuentas.
Cronograma incierto para la eliminación de SMS
Microsoft no ha proporcionado una fecha límite definitiva para eliminar la funcionalidad de SMS. Es posible que se requiera a los usuarios verificar un correo electrónico de respaldo antes de que el SMS se elimine completamente del proceso de recuperación. Sin una fecha límite publicada, el enfoque inmediato para los usuarios es asegurarse de que los métodos de reemplazo, como las claves de acceso o la recuperación mediante correo electrónico, sean funcionales antes de que se descontinúe el SMS.
Cambio de política impulsado por la seguridad
Microsoft enfatiza que esta transición es una mejora en la seguridad, afirmando que “la autenticación basada en SMS es ahora una de las principales fuentes de fraude.” Este cambio representa más que una actualización rutinaria de los procedimientos de inicio de sesión—significa un cambio de política más amplio destinado a reducir las vulnerabilidades asociadas con la autenticación basada en SMS.
Claves de acceso como el reemplazo principal
Bajo este nuevo enfoque, las claves de acceso se posicionan como la principal alternativa al SMS. Las claves de acceso aprovechan las biometrías o un PIN del dispositivo, eliminando la necesidad de códigos de seis dígitos enviados a través de redes móviles. Este método almacena una clave en el dispositivo del usuario y una clave coincidente con el servicio, haciéndolo significativamente más resistente a intentos de phishing en comparación con los códigos SMS.
Orientación para la transición sin contraseñas
La guía más amplia de Microsoft para el inicio de sesión sin contraseñas incluye métodos como Windows Hello, llaves de seguridad físicas y verificación por correo electrónico. Aunque el SMS está siendo eliminado, el correo electrónico verificado seguirá siendo un elemento esencial del proceso de recuperación de cuentas. Se espera que el acceso rutinario cambie hacia claves de acceso en dispositivos de confianza, pero escenarios como bloqueos de dispositivos, cambios de hardware o credenciales perdidas aún requerirán verificaciones de recuperación separadas. Este enfoque de doble capa lleva la transición más allá de una simple actualización de inicio de sesión, ya que altera fundamentalmente los mecanismos de respaldo en los que los usuarios confían.
Desafíos en la recuperación sin SMS
La eliminación del SMS como opción de recuperación puede hacer que la recuperación de cuentas sea más desafiante que las tareas diarias de inicio de sesión. Los usuarios que retrasen la adopción de claves de acceso o la actualización de su correo electrónico de recuperación pueden enfrentar verificaciones de propiedad más estrictas durante bloqueos. La falta de un cronograma fijo para la eliminación del SMS por parte de Microsoft brinda a los usuarios la oportunidad de prepararse añadiendo una clave de acceso, probando la recuperación por correo electrónico y asegurándose de que los dispositivos y software antiguos sean compatibles con los métodos de inicio de sesión actualizados.
Problemas de compatibilidad con sistemas antiguos
Microsoft reconoce que los sistemas y aplicaciones más antiguos pueden seguir requiriendo contraseñas tradicionales. Ejemplos incluyen Xbox 360, Office 2010 o anteriores, correo POP e IMAP, y ciertos escenarios de Escritorio Remoto o línea de comandos. La transición de las cuentas de consumidor lejos de la autenticación por SMS es más fácil en teoría que en la práctica, ya que los dispositivos y software antiguos crean desafíos de compatibilidad.
Estos sistemas heredados a menudo sirven como dependencias ocultas, y los problemas de recuperación solo pueden hacerse evidentes cuando los usuarios enfrentan fallos. Por ejemplo, las conexiones de correo POP e IMAP son notoriamente persistentes en configuraciones domésticas durante años. De manera similar, instalaciones antiguas de Office o consolas de videojuegos pueden seguir confiando en métodos de autenticación más antiguos.
Consideraciones especiales para usuarios avanzados
Algunos casos de uso avanzados, como inicios de sesión en máquinas virtuales, pueden seguir siendo inconvenientes bajo un marco basado únicamente en claves de acceso. Los usuarios avanzados deben abordar estos casos límite con precaución, aunque no son el enfoque principal del cambio de política de Microsoft.
De la promoción al mandato
Microsoft inicialmente alentó los inicios de sesión sin contraseñas como predeterminados para nuevas cuentas en 2025. Ahora, la compañía está avanzando hacia la aplicación de este enfoque eliminando por completo la autenticación por SMS. Esta transición subraya un cambio de promover opciones sin contraseñas a hacerlas obligatorias como parte de su estrategia de seguridad de cuentas.
Implicaciones futuras
Mientras que Microsoft introdujo inicios de sesión resistentes al phishing en Windows en marzo de 2026, estas mejoras no abordaron todos los casos límite relacionados con flujos de trabajo antiguos, configuraciones de dispositivos mixtos o software heredado que espera métodos de autenticación tradicionales. Para los usuarios que aún dependen de flujos de trabajo antiguos de cuentas de Microsoft, la fecha límite definitiva para la recuperación e inicio de sesión basados en SMS sigue siendo un hito crítico a monitorear.