Microsoft se está alejando oficialmente de la autenticación basada en SMS para cuentas personales, ya que la compañía impulsa a los usuarios hacia claves de acceso, aplicaciones de autenticación y métodos de inicio de sesión sin contraseña.
En un aviso de soporte actualizado, Microsoft confirmó que dejará de usar códigos SMS gradualmente para la autenticación y recuperación de cuentas personales de Microsoft. La empresa afirmó que “la autenticación basada en SMS es ahora una fuente líder de fraude”, citando riesgos crecientes relacionados con ataques de phishing, intercambio de SIM y apropiaciones de cuentas desde móviles.
El cambio afecta a las cuentas de consumo de Microsoft utilizadas en servicios como Outlook, OneDrive, Xbox y Windows. Los usuarios que actualmente dependen de códigos de verificación por mensajes de texto para la autenticación en dos pasos serán cada vez más animados a cambiar a claves de acceso, métodos de recuperación de correo verificados o la aplicación Microsoft Authenticator.
Microsoft aún no ha anunciado una fecha límite final para eliminar completamente el soporte de verificación por SMS. Sin embargo, los informes indican que la compañía ya ha comenzado a limitar las opciones de inicio de sesión por SMS para cuentas personales recién creadas, mientras promueve activamente alternativas sin contraseña a través de Windows 11 y los prompts de inicio de sesión de cuentas de Microsoft.
La empresa describió las claves de acceso como un método de autenticación más seguro porque dependen de credenciales criptográficas almacenadas directamente en los dispositivos del usuario en lugar de códigos de un solo uso transmitidos a través de redes móviles. Las claves de acceso suelen utilizar sistemas de autenticación basados en dispositivos como huellas dactilares, reconocimiento facial o verificación de PIN.
Los investigadores de seguridad llevan tiempo advirtiendo que la autenticación por SMS presenta riesgos significativos. Los ataques de intercambio de SIM permiten a los delincuentes secuestrar números de teléfono engañando a los operadores móviles para que transfieran el número de la víctima a dispositivos controlados por el atacante. Una vez exitoso, los atacantes pueden interceptar códigos de autenticación y eludir las protecciones de la cuenta.
La decisión de Microsoft refleja un cambio más amplio en la industria alejándose de la autenticación de dos factores basada en SMS. Empresas como Google, Apple y varias grandes instituciones financieras han adoptado cada vez más claves de acceso y sistemas de autenticación basados en hardware como parte de iniciativas más amplias de seguridad sin contraseña.
A pesar de las ventajas de seguridad, algunos usuarios han expresado preocupaciones sobre depender completamente de las claves de acceso y de los sistemas de autenticación basados en dispositivos. Los críticos argumentan que los usuarios que pierden el acceso a dispositivos de confianza pueden enfrentarse a dificultades para recuperar la cuenta si los métodos de respaldo no están correctamente configurados.
Microsoft dijo que los usuarios deberían añadir múltiples métodos de recuperación a sus cuentas antes de que la verificación por SMS se elimine por completo. La empresa recomienda habilitar aplicaciones de autenticación, direcciones de correo electrónico de respaldo y claves de acceso para reducir el riesgo de bloqueos y mejorar la seguridad de la cuenta.