✨︎ Resumen (TL;DR):
- Microsoft anunció nuevas funciones corporativas para forzar la autenticación basada exclusivamente en passkeys.
- El 99.6% de los usuarios y dispositivos internos de la empresa ya operan con credenciales que resisten el phishing.
- Las preguntas de seguridad desaparecerán de Entra ID en enero de 2027 debido a los ataques automatizados con IA.
Aprovechando el Día Mundial de la Passkey el 7 de mayo, Microsoft anunció una estrategia para eliminar por completo las contraseñas tradicionales. La compañía dejó de tratar estas claves como una opción complementaria y ahora las aborda como una superficie de ataque que debe erradicarse.
En su blog de seguridad, la empresa tecnológica usó su propia infraestructura corporativa como caso de éxito. Microsoft logró migrar al 99.6% de sus usuarios y dispositivos internos hacia credenciales blindadas contra los ataques de phishing.
“Sin códigos que ingresar, sin indicaciones adicionales que administrar, solo una experiencia sencilla para todos”, detalló la compañía sobre su ecosistema interno.
El fin de las preguntas de seguridad
La decisión está respaldada por datos globales publicados por la FIDO Alliance. La organización reportó que actualmente existen unos 5 mil millones de passkeys activas a nivel mundial.
El documento State of Passkeys 2026 encuestó a 11,000 consumidores y 1,400 directivos. Los resultados indicaron que el 75% de las personas activó una passkey en al menos una cuenta, mientras que el 68% de las organizaciones las implementan activamente para sus empleados.
Para forzar la transición, a finales de mayo de 2026 las passkeys de Microsoft Entra llegarán de forma general a Windows. Esto permitirá a los usuarios crear claves ancladas a su hardware mediante Windows Hello y Entra External ID.
El plan también incluye estas actualizaciones directas:
- Sincronización de passkeys para usuarios empresariales dentro de Microsoft Edge.
- Integración total del Microsoft Password Manager para guardar claves cruzadas, con despliegue inminente en iOS y Android.
- Un protocolo de recuperación en Entra ID que obliga al usuario a presentar una identificación oficial y pasar una revisión biométrica facial.
La última fase de este apagón de claves antiguas será en enero de 2027, cuando Microsoft elimine definitivamente las preguntas de seguridad del sistema de restablecimiento en Entra ID. La corporación detectó que los agentes de inteligencia artificial utilizan ingeniería social para romper este método vulnerable y vulnerar los sistemas corporativos.
Fuentes: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43
