Por: Vasu Jakkal y Nadim Abdo.
El Día Mundial de la Clave de Acceso (World Passkey Day) es una oportunidad para reflexionar sobre los avances hacia un objetivo común: reducir nuestra dependencia de las contraseñas y otros métodos de autenticación de phishing a través de acelerar la adopción de las claves de acceso. A medida que los ciberataques se vuelven más automatizados e impulsados por IA, cada cuenta solo es tan segura como su credencial más débil. El progreso real requiere más que añadir opciones de inicio de sesión más sólidas: requiere eliminar credenciales que puedan ser objetivo de phishing y fortalecer rutas de ataque comunes como los flujos de recuperación. En colaboración con la FIDO Alliance, Microsoft está comprometida a promover la adopción de claves de acceso mediante un trabajo continuo de estándares, una participación activa en grupos de trabajo y otras contribuciones a un futuro sin contraseña.
Exploren las soluciones de identidad y acceso de Microsoft Entra
Las contraseñas siguen como una fuente importante de riesgo; son difíciles de gestionar y fáciles de robar. Junto con formas más débiles de autenticación multifactor, también son muy vulnerables al phishing: las campañas impulsadas por IA pueden aumentar la tasa de clics de hasta el 54%.1 En respuesta, Microsoft amplía la adopción de claves de acceso en todo nuestro ecosistema. Reducimos la dependencia de la autenticación heredada y reforzamos la recuperación de cuentas para que no se convierta en una puerta trasera para los ciberatacantes.
«En lugar de secretos vulnerables o información personal que, en potencia, puede ser identificable, una clave de acceso utiliza una clave privada almacenada de manera segura en el dispositivo del usuario. Solo funciona en la web o aplicación para la que el usuario lo creó, y solo si ese mismo usuario lo desbloquea con sus biométricos o PIN. Esto significa que los usuarios con clave de acceso no pueden ser engañados para iniciar sesión en un sitio web malicioso que se asemeje al original, y una clave de acceso es inutilizable a menos que el usuario esté presente y consiente. Estas son algunas de las cualidades que hacen que las claves de acceso sean una forma de autenticación ‘resistente al phishing’.»
Del informe de defensa digital de Microsoft.
La adopción de claves de acceso continúa su crecimiento en toda la industria
La adopción de claves de acceso se acelera: la Alianza FIDO estima que ya hay 5.000 millones de claves de acceso en uso en todo el mundo.2 En los servicios de consumo de Microsoft, incluidos OneDrive, Xbox y Copilot, cientos de millones de usuarios inician sesión con llaves de acceso cada día.
Hay muchas razones para elegir las claves de acceso como método estándar de autenticación en lugar de las contraseñas. Las tasas de éxito en iniciar sesión son mayores que con contraseñas, y la exposición a ataques basados en credenciales es menor.3 Tanto las organizaciones como los usuarios particulares prefieren la experiencia de inicio de sesión más sencilla y segura que ofrecen las claves de acceso.4
Dentro de Microsoft, hemos eliminado métodos de autenticación más débiles y hemos implementado la autenticación resistente al phishing, para cubrir al 99,6% de los usuarios y dispositivos de nuestro entorno.5 Ha hecho que iniciar sesión sea mucho más sencillo: sin códigos para introducir, sin indicaciones extra que gestionar, solo una experiencia sencilla para todos.
Actualizaciones del producto durante el inicio de sesión y la recuperación
En Microsoft, hemos integrado poco a poco y de manera constante, el soporte de claves de acceso en cada capa de la experiencia de identidad, desde cuentas de consumo hasta acceso empresarial con Microsoft Entra, y desde la autenticación basada en dispositivos como Windows Hello hasta el gestor de contraseñas de Microsoft. Este trabajo garantiza que las personas puedan crear y usar claves de acceso donde inicien sesión, con una experiencia coherente y resistente al phishing en dispositivos, aplicaciones y entornos.
Para hacer que las claves de acceso sean más accesibles, ampliamos dónde y cómo pueden usarlas las personas:
- Las claves de acceso sincronizadas y los perfiles de clave de acceso en Microsoft Entra ID facilitan escalar el inicio de sesión sin contraseña en entornos diversos. Ampliamos la flexibilidad en la gestión de claves de acceso en la nube, incluido el soporte para políticas más grandes y complejas, y la transición de los inquilinos a un modelo unificado de perfil de claves de acceso.
- Las claves de acceso Entra en Windows facilitan que los usuarios creen y utilicen claves vinculadas a dispositivos directo en dispositivos Windows personales o no gestionados por medio de Windows Hello, y estarán disponibles en general a finales de mayo de 2026.
- Las claves de acceso para Microsoft Entra External ID estarán disponibles a nivel general a finales de mayo de 2026, para que sus aplicaciones orientadas al cliente puedan ofrecer una experiencia de inicio de sesión más fluida y de nivel consumidor.
- La autenticación por clave de acceso preferida en Microsoft Entra ID (vista previa) detecta los métodos registrados y solicita primero el más fuerte. Si se registra una clave, eso es lo que el usuario ve—de inmediato.
- En el lado del consumidor, con Microsoft Password Manager, los usuarios pueden ahora guardar y sincronizar las claves de acceso entre dispositivos conectados con su cuenta de Microsoft, y pronto se desplegará soporte para iOS y Android a través de Microsoft Edge.
La recuperación de cuentas también desempeña un papel fundamental en el mantenimiento de la integridad de los sistemas de identidad. A nivel histórico, han sido vulnerables a ciberatacantes que intentan secuestrar el proceso de recuperación, por ejemplo, haciéndose pasar por usuarios legítimos y solicitar nuevas credenciales.
La recuperación de cuentas Microsoft Entra ID, disponible a nivel general hoy en día, refuerza la seguridad de los flujos de recuperación al permitir a los usuarios recuperar el acceso a sus cuentas mediante un proceso robusto de verificación de identidad. Los usuarios pueden recuperar el acceso tras perder todos los métodos de autenticación por medio de comprobaciones de identificación y biometrías emitidas por el gobierno. En disponibilidad general, ampliamos nuestro ecosistema de verificación de identidad con dos nuevos socios—1Kosmos y CLEAR1—uniéndose a nuestros socios actuales Au10tix, IDEMIA y TrueCredential.
Eliminación de credenciales phishing de las cuentas de usuario
Fortalecer la autenticación es importante, pero reducir el riesgo significa eliminar por completo las credenciales de phishing. Microsoft sigue con la eliminación de los métodos heredados y orienta a los usuarios hacia una autenticación resistente al phishing. A partir de enero de 2027, las preguntas de seguridad se eliminarán como opción de restablecimiento de contraseña en el ID de Microsoft Entra debido a su susceptibilidad a la conjetura y la ingeniería social.
La lógica es sencilla: mejorar los métodos fuertes mientras elimina los débiles reduce la superficie de ataque. Esto es cada vez más urgente a medida que los agentes de IA actúan en nombre de los usuarios. Si una identidad se ve comprometida, los ciberatacantes pueden aprovechar esos agentes para acceder a sistemas, ejecutar flujos de trabajo y operar dentro de los permisos existentes. Las organizaciones deben abordar este riesgo con rapidez.
Un futuro más seguro y utilizable
El año pasado, Microsoft se unió a decenas de organizaciones en la toma del Compromiso Passkey (Passkey Pledge), un compromiso para acelerar la adopción de la autenticación resistente al phishing y para ir más allá de las contraseñas. Desde entonces, hemos visto avances significativos, desde cientos de millones de cuentas de consumo mejor protegidas hasta despliegues a gran escala en organizaciones como la nuestra.
Lo que antes parecía un cambio a largo plazo por fin ha comenzado a ganar impulso real: la autenticación se vuelve más sencilla, segura y sin contraseña.
Para una perspectiva más profunda sobre cómo los ciberatacantes intentan eludir la autenticación mediante métodos de respaldo y procesos de recuperación—y cómo abordar esas lagunas—lean nuestra publicación complementaria.
Primeros pasos
Las organizaciones que deseen fortalecer su postura de seguridad de identidad pueden habilitar claves de acceso para sus usuarios y ampliar las protecciones de políticas tanto en escenarios de inicio de sesión como de recuperación.
Comiencen con un despliegue de autenticación sin contraseña resistente al phishing en Microsoft Entra ID.
Las personas pueden crear y usar llaves de acceso para sus cuentas personales para mayor seguridad y comodidad.
Descubran más sobre Microsoft Entra
Para saber más sobre las soluciones de seguridad de Microsoft, visiten nuestra página web. Guarden el blog de Security en sus Favoritos para estar al día con nuestra cobertura experta sobre temas de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.
1Informe de Defensa Digital de Microsoft 2025.
2FIDO Alliance informa sobre el uso global generalizado en el Día Mundial de la Clave de Acceso. FIDO Alliance, 2026.
3Claves de acceso sincronizadas y recuperación de cuentas de alta garantía, blog de Microsoft Entra. 16 de diciembre de 2025.
4Defensores de la Alianza FIDO en la adopción generalizada de claves de acceso y un futuro sin contraseña en el Día Mundial de las Claves Electrónicas 2025, FIDO News Center. 1 de mayo de 2025.
5Informe de progreso de la Iniciativa de Seguridad y Futuro de Microsoft (SFI)—noviembre de 2025.
The post Día Mundial de la Clave de Acceso: Avanzar la autenticación sin contraseña appeared first on Source LATAM.
The post Día Mundial de la Clave de Acceso: Avanzar la autenticación sin contraseña appeared first on Source LATAM.