Guillem Alsina Gonzàlez
Microsoft ha anunciado, a través de su sitio web, que empieza a eliminar los SMS como mecanismo de autenticación y de recuperación en las cuentas personales de sus usuarios. Esta medida se enmarca en una hoja de ruta que la firma estadounidense viene trazando desde hace tiempo en torno a la idea de un futuro sin contraseñas (passwordless), en el que la verificación de la identidad descanse sobre tecnologías consideradas más resistentes a los ataques actuales.
El argumento principal que esgrime la multinacional para justificar la retirada de este método es que la autenticación basada en mensajes de texto se ha convertido en una de las vías más explotadas para el fraude en línea. Entre las amenazas que más preocupan figuran las campañas de phishing, es decir, la suplantación de identidad mediante engaños para que el usuario entregue sus credenciales, y los denominados ataques de SIM-swap, una técnica en la que un atacante consigue duplicar la tarjeta SIM de la víctima y, con ella, intercepta los códigos de verificación que llegan al número original. Ambos vectores han ganado peso en los últimos años y han debilitado la confianza en el SMS como segundo factor de seguridad.
La sustitución anunciada por Microsoft se articulará en torno a dos elementos: por un lado, las passkeys (claves de acceso), un sistema que permite iniciar sesión empleando los mecanismos de autenticación integrados en el propio dispositivo del usuario, como el reconocimiento facial, la huella dactilar o el PIN del equipo y, por el otro, el correo electrónico verificado, que actuará como vía complementaria para confirmar la identidad y recuperar el acceso a la cuenta cuando sea necesario.
Desde Microsoft sostienen que las passkeys son resistentes al phishing y permiten un inicio de sesión más rápido, al eliminar la espera asociada a la recepción del código por mensaje de texto. La firma añade que estas claves también admiten opciones de acceso con un solo clic mediante cuentas de Apple y Google.
En lo concerniente a la recuperación de la cuenta, la compañía apunta que la combinación de correo verificado y passkey ofrece una vía operativa incluso en escenarios habituales como el cambio de número de teléfono o la pérdida del dispositivo, situaciones en las que el SMS dejaba al usuario sin alternativa práctica.
En el plano operativo, el usuario que acceda a su cuenta personal Microsoft se encontrará con una opción para iniciar sesión de forma más rápida y proceder a la creación de una passkey. Según indican desde la compañía, este proceso está pensado como un flujo guiado en el que se añade un correo verificado y se configura la nueva clave de acceso, de manera que el titular de la cuenta disponga de un mecanismo de entrada y otro de recuperación sin depender del canal SMS.
La decisión de Microsoft se alinea con una tendencia más amplia de la industria, que apunta hacia modelos de autenticación sin contraseña y sin dependencia de la red móvil para el envío de códigos de un solo uso. Aunque la comunicación oficial se centra en las cuentas personales, la noticia también tiene implicaciones para las organizaciones, en tanto que muchos profesionales utilizan cuentas personales Microsoft para acceder a servicios vinculados a su actividad laboral, y la familiarización progresiva de los empleados con las passkeys puede facilitar su adopción en entornos corporativos.
