Microsoft está acelerando la eliminación de los métodos de autenticación basados en códigos de verificación por SMS y está promoviendo vigorosamente el "inicio de sesión sin contraseña" en el ecosistema de Windows 11 para proteger la seguridad de las cuentas personales de Microsoft mediante claves de acceso, aplicaciones de autenticación y direcciones de correo electrónico de respaldo. Microsoft confirmó a los medios que la empresa ya no enviará códigos de verificación por SMS a cuentas personales. Este ajuste no sólo implica el proceso de verificación de dos factores, sino que también incluye el proceso de recuperación de cuenta. Un documento de soporte que se actualizó silenciosamente a principios de este año establece claramente que Microsoft está "eliminando gradualmente los SMS como método de autenticación y recuperación de cuentas personales de Microsoft".
Microsoft afirmó sin rodeos en su último aviso de seguridad que la autenticación basada en SMS "se ha convertido en una de las principales fuentes de fraude" y ya no es coherente con su estrategia a largo plazo para mejorar los estándares de seguridad. Los mensajes de texto SMS no se diseñaron originalmente para escenarios de seguridad de red modernos. Su contenido se transmite en texto claro a través de redes celulares y es fácilmente interceptado y escuchado. Además, el cada vez más común "ataque de intercambio de tarjeta SIM" también expone la debilidad estructural de los códigos de verificación por SMS: los atacantes sólo necesitan engañar a los operadores para que transfieran el número de la víctima a un dispositivo que controlan, y luego pueden recibir todos los códigos de verificación por SMS al instante y hacerse cargo fácilmente de la cuenta en línea de la víctima. Desde la perspectiva de Microsoft, para hacer frente a este tipo de amenazas, ya no es realista seguir parcheando el sistema de SMS, y un camino más factible es adoptar por completo una solución sin contraseña.
Según la nueva estrategia, Microsoft reemplazará los códigos de verificación por SMS con claves de acceso como núcleo. Este estándar se considera un método de inicio de sesión moderno resistente al phishing. A diferencia de las contraseñas tradicionales y los números de seis dígitos que pueden interceptarse o reutilizarse, las claves de acceso dependen de hardware biométrico y un PIN local integrado en el dispositivo para la autenticación. Cuando los usuarios inician sesión en una cuenta de Microsoft, pueden completar la verificación mediante el reconocimiento facial de Windows Hello, el reconocimiento de huellas dactilares o el PIN del dispositivo local. El sistema generará un par de claves públicas y privadas en segundo plano. La clave privada siempre se guarda en un hardware como el chip de seguridad del dispositivo local y no se transmitirá a través de la red, eliminando así casi la posibilidad de ataques remotos de phishing.
La implementación específica de la clave de acceso puede adoptar el modo de "vinculación de dispositivo" o utilizar servicios en la nube para sincronizar entre múltiples dispositivos. Lo primero significa que la clave privada nunca sale de una pieza específica de hardware, como el chip de seguridad TPM de una computadora portátil; este último se basa en servicios como Apple iCloud Keychain o Google Password Manager para sincronizar de forma segura la clave en múltiples terminales del usuario. Microsoft señaló que incluso si un usuario pierde su teléfono, siempre que se haya configurado previamente una dirección de correo electrónico de respaldo confiable y una clave de acceso sincronizada entre dispositivos, el acceso a la cuenta aún se puede restaurar de manera relativamente segura.
Desde una perspectiva de la teoría de la seguridad, la decisión de Microsoft de abandonar los frágiles códigos de verificación de SMS y recurrir a claves de acceso cifradas biométricas es una mejora en la dirección correcta y también se ajusta a la tendencia general de "descifrado" en toda la industria. En su anuncio, Microsoft destacó que la empresa está "comprometida a elevar los estándares de seguridad" y cree que el futuro de la autenticación debería ser "sin contraseña, seguro y fácil de usar". El autor del artículo también mencionó que en el uso diario, con las aplicaciones Microsoft Edge, Microsoft Password Manager y Microsoft Authenticator, junto con el reconocimiento facial Windows Hello equipado con una cámara infrarroja, la experiencia de iniciar sesión en cuentas personales sin contraseña es "realmente excelente" y el funcionamiento es más fluido.
Sin embargo, este futuro aparentemente ideal sin contraseñas puede no ser fácil para los usuarios habituales y ciertos escenarios técnicos. El autor toma como ejemplo su propio proceso de trabajo como Windows Insider y señala que a menudo necesita crear, configurar y administrar una gran cantidad de máquinas virtuales para probar diferentes versiones del sistema y entornos de software. En estos entornos de máquinas virtuales aisladas, el hardware biométrico físico a menudo no está disponible y las claves de seguridad no siempre son accesibles, lo que resulta en una experiencia de inicio de sesión con clave de acceso significativamente "eliminada". Al intentar iniciar sesión en una cuenta de Microsoft utilizando una clave de acceso mediante un PIN en una máquina virtual, encontró repetidamente mensajes de error y no pudo completar con éxito el proceso de inicio de sesión.
En este escenario extremo altamente técnico pero relativamente común, solicitar recibir un código de verificación por mensaje de texto alguna vez fue una "solución de último recurso" simple y confiable. La combinación de contraseña y código de verificación por SMS se ha arraigado profundamente en los corazones de la gente, y una cadena de seis dígitos casi se ha convertido en uno de los pasos de seguridad más naturales en las operaciones diarias de los usuarios de todo el mundo. El autor cree que para cambiar realmente este hábito formado desde hace muchos años, las nuevas tecnologías no sólo deben ser más seguras, sino que también deben poder funcionar "sin sentido" en casi todos los escenarios, de lo contrario fácilmente causarán problemas a los usuarios en momentos críticos.
Microsoft ha realizado recientemente otros ajustes en la experiencia de instalación y las políticas de la cuenta para coordinarse con este cambio en la dirección de seguridad. Por ejemplo, hay indicios de que Microsoft puede eliminar el requisito de iniciar sesión en una cuenta de Microsoft en futuros procesos de instalación de Windows 11, reduciendo así la necesidad de que los usuarios inicien sesión en línea durante ciertas etapas de configuración. Por otro lado, la empresa también solicitará de forma proactiva a todos los usuarios de cuentas personales a través de ventanas emergentes del sistema que los animen a configurar claves de acceso y verificar las direcciones de correo electrónico de respaldo lo antes posible. Las indicaciones comunes incluyen "iniciar sesión más rápido con rostro, huella digital o PIN".
Es previsible que la pérdida de la "conveniente pero frágil" herramienta del código de verificación por SMS provoque molestias y quejas a algunos usuarios a corto plazo. Sin embargo, en la declaración de Microsoft, esto se considera el precio que se debe pagar para hacer frente a las amenazas de seguridad modernas, y también es un paso clave para fortalecer la línea de defensa de seguridad general del ecosistema de Windows 11. Con la mayor popularización de las claves de acceso y las soluciones sin contraseña, la lógica subyacente de la seguridad de la cuenta está cambiando de "recordar una contraseña" a "demostrar que eres quien eres", y esta migración ya se ha lanzado por completo en el sistema de Microsoft.