Microsoft elimina los códigos SMS como método de autenticación para cuentas personales por vulnerabilidades de seguridad

La medida afecta a las cuentas utilizadas para acceder a Xbox, Outlook, OneDrive, Skype, Microsoft 365 y Windows. Las cuentas empresariales y educativas no están incluidas en esta transición. El proceso comenzó de inmediato y se completará antes de diciembre de 2026.

La decisión responde a una evaluación interna de Microsoft que identifica a los SMS como un vector de ataque cada vez más explotado por los ciberdelincuentes. Los ataques de intercambio de SIM (SIM-swapping) permiten a un atacante convencer a la compañía de telefonía de que transfiera el número de teléfono a una tarjeta SIM bajo su control, con lo que recibe los códigos de verificación enviados por SMS.

Las redes de telefonía móvil también presentan vulnerabilidades en el protocolo SS7, que pueden ser explotadas para interceptar mensajes de texto. Además, las campañas de phishing evolucionaron al punto de poder capturar tanto la contraseña como el código SMS en tiempo real a través de páginas falsas. Microsoft sostiene que la tecnología SMS nunca fue diseñada para ser un canal seguro de autenticación y que su uso continuo representa un riesgo para los usuarios.

Como reemplazo, Microsoft impulsará tres métodos alternativos. Las claves de acceso (passkeys) son credenciales basadas en criptografía asimétrica que permanecen almacenadas en el dispositivo del usuario y nunca viajan por la red. Para iniciar sesión con una passkey, el usuario debe autenticarse mediante Windows Hello, reconocimiento facial, huella digital o un PIN del dispositivo.

Las passkeys son resistentes al phishing porque están vinculadas criptográficamente al dominio específico del sitio web que las generó. El segundo método alternativo es la aplicación Microsoft Authenticator, que genera códigos en el dispositivo y en las versiones más recientes incorpora coincidencia de números y notificaciones push que requieren interacción física.

El tercer recurso es una dirección de correo electrónico de respaldo verificada, que Microsoft promociona como una opción menos segura que las passkeys pero aún así superior a los SMS.

El anuncio generó reacciones encontradas entre los usuarios avanzados. Por un lado, especialistas en seguridad celebraron la medida como un paso necesario para eliminar una tecnología obsoleta.

Por otro lado, algunos usuarios señalaron que los SMS seguían siendo el método de respaldo más confiable en situaciones donde la aplicación autenticadora no está disponible, como en máquinas virtuales, entornos de prueba o dispositivos sin capacidades biométricas.

Microsoft reconoció esas limitaciones pero sostuvo que el balance general de seguridad justifica la transición. La compañía comenzará a mostrar notificaciones en los procesos de inicio de sesión para incentivar a los usuarios a configurar passkeys o la aplicación autenticadora antes de que los SMS queden completamente deshabilitados.

*Fuente: Windows Latest / Pirat_Nation, 19 de mayo de 2026*