Microsoft ha puesto fecha de caducidad al inicio de sesión con usuario + contraseña en texto claro para sus servicios de correo gratuitos. Si todavía usas la “contraseña de toda la vida”, es hora de pasar a la Autenticación Moderna (OAuth 2.0) antes de que las apps dejen de sincronizar el 16‑sep‑2024.
Fin de la autenticación básica en Outlook.com, Hotmail y Live.com
Resumen del cambio
Desde el 16 de septiembre de 2024 las cuentas personales de Microsoft —@outlook.com, @hotmail.com, @live.com y dominios heredados— ya no aceptan autenticación básica IMAP/SMTP/EAS. En adelante, todo cliente deberá solicitar permisos mediante OAuth 2.0 y la Biblioteca MSAL. La ventana de inicio de sesión se muestra directamente desde el dominio de Microsoft, lo que permite introducir factores adicionales (códigos de Authenticator, llaves FIDO2, biometría, etc.) sin exponer la contraseña a la aplicación.
¿Por qué cambia Microsoft?
- Seguridad: Las credenciales básicas son susceptibles de phishing y ataques de fuerza bruta.
- Compatibilidad con factores múltiples (MFA): OAuth 2.0 integra MFA sin complejidades para el desarrollador.
- Revocación selectiva: Si una app se ve comprometida se revoca el token sin tener que cambiar la contraseña global.
Impacto para los usuarios
La experiencia diaria seguirá siendo similar: el cliente de correo pedirá iniciar sesión una sola vez, mostrará la ventana oficial de Microsoft, validará tu segundo factor y almacenará un token renovable en segundo plano. Sin embargo, cualquier programa que no reconozca OAuth 2.0 dejará de conectar mostrando bucles de contraseña o errores “Access denied”.
Solución propuesta: migrar a clientes con OAuth 2.0 integrado
Aplicaciones de escritorio recomendadas
- Outlook para Windows/macOS (incluso la versión gratuita de la nueva app unificada).
- Mozilla Thunderbird 115 o superior (clave: activar OAuth2 en IMAP y SMTP).
- Apple Mail en macOS 10.15 Catalina o posterior.
Aplicaciones móviles recomendadas
- Outlook para Android e iOS.
- Apple Mail en iOS 15 o posterior (la cuenta se añade como “Outlook.com”).
- Gmail para Android, añadiendo la cuenta como “Exchange / Outlook”.
Acceso web
El webmail en Outlook.com continúa operativo sin cambios: ya usa OAuth 2.0 desde 2015.
Pasos para configurar el nuevo inicio de sesión
- Abrir la app actualizada y añadir la cuenta de Microsoft.
- Se abrirá automáticamente la ventana de inicio de sesión de Microsoft; escribe el correo y pulsa Siguiente.
- Completa tu segundo factor (código push de Authenticator, SMS, correo alternativo, llave de seguridad, etc.).
- Tras la validación, la app recibe un token de acceso y un token de actualización; en adelante ya no preguntará la contraseña.
Qué ocurre con los métodos actuales
- PIN de Windows Hello: solo desbloquea el equipo; no interviene en Outlook.com.
- Contraseña de cuenta Microsoft: puedes mantenerla, quitarla (modo sin contraseña) o coexistir con otros factores.
- Llaves FIDO2 (YubiKey, Feitian…): sustituyen completamente a la contraseña, pero es recomendable guardar al menos dos métodos de respaldo.
- Aplicaciones o scripts antiguos: software de logística, impresoras multifunción o PLCs que envían alertas por SMTP deberán actualizar firmware para soportar OAuth 2.0 o usar un servidor intermediario que aún permita contraseñas de aplicación.
Uso de aplicaciones de terceros tras la migración
A continuación se resume si es necesario intervenir en los clientes más populares:
| Escenario | ¿Hay que intervenir? | Detalles clave |
|---|---|---|
| Apple Mail / Calendario en macOS & iOS | Normalmente, no | El motor de Apple ya negocia OAuth 2.0; bastará aceptar la ventana de Microsoft la primera vez. |
| Thunderbird 115+ | Sí (una sola vez) | Ir a Ajustes → Servidor → Método de autenticación y elegir “OAuth2” en IMAP y SMTP, luego pulsar Re‑autenticar. |
| Gmail en Android con EAS | Configurar de nuevo | Google retiró EAS en 2019; añade la cuenta como “Outlook/Hotmail”: la app usará OAuth 2.0 y EAS‑over‑REST. |
| Aplicación Correo de Windows 10 | Depende de la build | Las versiones posteriores a 2024 ya migran; si no, elimina y vuelve a agregar la cuenta para disparar el flujo OAuth. |
| Software heredado (UPS, PLC, cámaras IP) | Actualizar o usar relé SMTP | Contacta al fabricante. Si no hay parche, configura un servidor local que traduzca a OAuth o envíe por otra cuenta. |
Iniciar sesión sin contraseña y factores adicionales
¿Puedo eliminar la contraseña?
Sí. Microsoft permite activar el modo “Cuenta sin contraseña”. El flujo recomendado es:
- Entra en account.microsoft.com → Seguridad → Opciones avanzadas → Cuenta sin contraseña.
- Registra al menos dos métodos de verificación distintos:
– Microsoft Authenticator (notificación push + códigos OTP).
– Llave de seguridad FIDO2 USB‑A/C, NFC o Bluetooth.
– Windows Hello (PIN, rostro, huella) —válido solo en ese dispositivo—. - Tras eliminar la contraseña:
– El PIN de Windows sigue funcionando localmente.
– Para Outlook.com, OneDrive y otros servicios web usarás Authenticator, FIDO2 o biometría FIDO nativa (por ejemplo, la huella de un portátil compatible).
Ventajas de ir “passwordless”
- La superficie de ataque se reduce: no hay contraseña que filtrar ni adivinar.
- Cada factor es criptográficamente único y se puede revocar individualmente.
- La experiencia de inicio es más rápida: confirmas una notificación o tocas la llave y listo.
Preguntas frecuentes
| Pregunta | Respuesta breve |
|---|---|
| “Access denied” o bucle de contraseña tras el 16‑sep‑2024 | La app sigue intentando Basic Auth. Actualízala o re‑configúrala con OAuth 2.0. |
| ¿Iniciar sesión en Windows me conecta automáticamente a Outlook.com? | No. Windows Hello desbloquea el dispositivo; el webmail necesita su propio token. |
| ¿Puedo seguir usando Exchange ActiveSync (EAS) en apps antiguas? | Solo si el proveedor actualiza EAS a OAuth 2.0. En caso contrario, añade la cuenta como “Outlook/Hotmail”. |
| ¿Eliminar la contraseña borra el PIN de Windows? | No; el PIN está ligado al hardware local. |
| ¿Cuántos métodos de acceso debo tener? | Al menos dos (p. ej. Authenticator + llave FIDO2) para evitar bloqueos. |
Recomendaciones prácticas antes del 16‑sep‑2024
- Actualiza o reinstala tu cliente de correo para forzar la detección de OAuth 2.0 (Thunderbird 115+, Outlook actualizado, etc.).
- Revisa la sección Seguridad de tu cuenta Microsoft y añade métodos de inicio sin contraseña.
- Mantén un correo o teléfono de recuperación al día; será tu red de seguridad si pierdes todos los factores.
- Audita scripts, MFP y dispositivos embebidos que envíen correos; instala firmware con OAuth 2.0 o enróllalos a través de un relé SMTP externo que permita contraseñas de aplicación.
- Comunica los cambios a usuarios poco técnicos (familiares, clientes) y acompáñalos en la primera reconexión para evitar sustos.
Preguntas de administradores y desarrolladores
¿Necesito registrar mi aplicación en Azure Portal?
Solo si distribuyes software propio o un dispositivo IoT que enviará correos desde cuentas de usuario. Registra una aplicación “Delegated permissions” con IMAP.AccessAsUser.All y SMTP.Send, implementa el flujo Device Code o Authorization Code Grant y almacena el refresh token de forma segura.
¿Funcionan las contraseñas de aplicación?
Microsoft reserva las “contraseñas de aplicación” (16 caracteres aleatorios) para escenarios muy puntuales y las está deprecando. En la práctica, su disponibilidad es limitada y no es solución a largo plazo. Lo recomendable es OAuth 2.0 o un SMTP relay corporativo bajo tu control.
Impacto en PowerShell y Graph API
Los módulos modernos de Exchange Online y Microsoft Graph ya exigen autenticación moderna. Si aún utilizas el MSOnline legacy module, migra al módulo AzureAD o, mejor, al cmdlet Connect‑MgGraph con scopes explícitos.
Errores habituales y cómo resolverlos
- invalidclient: La app está registrada como nativa pero envía cabecera
clientsecret. Elimina ese campo o registra tu aplicación como “public client”. - interaction_required: El usuario debe consentir permisos; fuerza un
prompt=consento pide que inicie sesión en web la primera vez. - token expired: El refresh token caduca si no se renueva durante 90 días o si el usuario cambia MFA; reinicia el flujo OAuth.
Conclusiones
El fin de la autenticación básica en Outlook.com marca un antes y un después en la seguridad del correo gratuito de Microsoft. Migrar a OAuth 2.0 no solo es un requisito técnico, sino una oportunidad para adoptar el inicio sin contraseña y fortalecer la cuenta con varios factores. Cuanto antes completes la transición, menos sorpresas tendrás en septiembre de 2024.