MENU
  1. Inicio
  2. Microsoft 365
  3. Cómo desvincular Microsoft Authenticator si pierdes o cambias de teléfono — guía paso a paso

Cómo desvincular Microsoft Authenticator si pierdes o cambias de teléfono — guía paso a paso

Microsoft 365

Perder tu móvil no debería impedirte entrar a tu correo o aplicaciones corporativas. Aprende paso a paso cómo recuperar el acceso a Microsoft 365 y desvincular Microsoft Authenticator de un dispositivo que ya no tienes.

Índice

Resumen del problema

Microsoft Authenticator se ha convertido en el segundo factor de autenticación (MFA) más usado en entornos Microsoft 365 y Entra ID (antes Azure AD). Sin embargo, cuando un usuario pierde el teléfono o compra uno nuevo sin realizar antes la migración de los tokens, el inicio de sesión exige un código de la aplicación que ya no está disponible. Como consecuencia:

  • No se puede completar el desafío MFA y el acceso queda bloqueado.
  • Tampoco es posible entrar al apartado Información de seguridad / Security info para eliminar el método antiguo o agregar uno nuevo.
  • Si la organización usa Políticas de Acceso Condicional con Security Defaults, el bloqueo se vuelve total y afecta al correo, OneDrive, Teams, Power BI, etc.

Lo anterior genera incidencias críticas que interrumpen el trabajo diario y saturan al equipo de soporte.

Soluciones y pasos recomendados

Comprobar si existe una copia de seguridad de Authenticator

Antes de escalar el problema, confirma si el usuario realizó copia de seguridad:

  • iOS: Authenticator permite respaldar en iCloud. Si esta opción estaba activada, basta con instalar la app en el nuevo iPhone, iniciar sesión con la misma cuenta de Apple y tocar en “Restaurar desde copia de seguridad”. Los tokens reaparecerán en minutos.
  • Android: el respaldo se asocia a la cuenta de Microsoft configurada en el dispositivo. Tras instalar la aplicación, inicia sesión con esa cuenta y elige la función de restauración.

Una restauración exitosa:

  • Recupera los códigos sin necesidad de contactar al administrador.
  • Preserva los inicios de sesión push y elimina el bloqueo en segundos.

Cuando no hay copia de seguridad disponible

Si la restauración no es posible, existen dos caminos seguros que evitan el abuso y protegen la identidad:

Ruta administrada por Microsoft (Data Protection Team)

  1. Pide al usuario afectado —o a un administrador— que consulte la guía “Global admin account locked / Unable to access Entra ID Portal” publicada por Microsoft. Allí se explica cómo abrir un ticket directo con el Data Protection Team.
  2. El proceso solicita comprobantes de identidad (factura corporativa de Microsoft 365, correo alterno del dominio, etc.). Una vez verificada la titularidad, el equipo de Microsoft puede:
    • Eliminar temporalmente la exigencia de Authenticator.
    • Restablecer toda la Información de seguridad para que el usuario configure un nuevo método.
  3. La resolución suele tardar de 24 a 72 h, dependiendo de la verificación.

Ruta interna, si existe otro Administrador global

  1. El administrador con acceso entra a Entra ID > Users > Multi‑Factor Authentication.
  2. Localiza la cuenta bloqueada y elige Disable para deshabilitar MFA de forma temporal o añade un método alternativo:
    • SMS a un número fiable.
    • Llamada telefónica.
    • Llave de seguridad FIDO2.
  3. Guarda los cambios y notifica al usuario que deberá registrar el nuevo método en su siguiente inicio de sesión.

Ventajas de esta vía interna:

  • No depende del tiempo de respuesta de Microsoft.
  • Permite mantener auditoría de quién deshabilitó y re‑habilitó MFA.

Pedir ayuda al Soporte de Microsoft para cuentas personales

En cuentas Microsoft 365 Family u Outlook.com, el usuario no cuenta con un administrador global. El procedimiento es diferente:

  • Completa el formulario de recuperación de cuenta indicando que se perdió el factor Authenticator.
  • Aporta correos alternativos, datos de facturación, nombres de carpetas recientes, o cualquier detalle solicitado.
  • El equipo de soporte revisa la información y, si valida la identidad, elimina la exigencia de Authenticator para que la persona pueda entrar y reconfigurarlo.

Información complementaria y buenas prácticas

No basta con solucionar la incidencia. Para evitar que se repita, aplica estas recomendaciones transversales:

  • Configura al menos dos métodos de MFA: combina Authenticator con SMS, correo alternativo o llave física. Así, la pérdida de un dispositivo no te inmoviliza.
  • Habilita la copia de seguridad de Authenticator en todos los teléfonos y realiza una prueba de restauración. Verás si realmente se guardaron los tokens.
  • Depura dispositivos antiguos: después de recuperar el acceso, elimina el teléfono previo en Información de seguridad. Mantener registros obsoletos es una puerta al error.
  • Revisa las políticas de acceso condicional: si usas Security Defaults, considera permitir métodos de recuperación como SMS para casos de emergencia.

Tabla rápida de acciones según escenario

EscenarioAcción inmediataTiempo estimadoResponsable
Backup disponibleRestaurar tokens en el nuevo teléfono5‑10 minUsuario final
Sin backup, existe otro adminDeshabilitar MFA o agregar método alternativo10‑15 minAdministrador global
Sin backup, sin otro adminAbrir ticket con Data Protection Team24‑72 hUsuario o único admin
Cuenta personalFormulario de recuperación12‑48 hSoporte de Microsoft

Errores comunes al intentar recuperar el acceso

  • Confiar solo en SMS: si la SIM también se pierde, el problema se multiplica. Usa siempre dos métodos distintos.
  • No actualizar el número de teléfono: los códigos se envían a un número desactivado y el usuario queda en un bucle.
  • Eliminar el método Authenticator antes de agregar uno nuevo: esto provoca un bloqueo instantáneo.

Preguntas frecuentes

¿Puedo trasladar tokens de Google Authenticator a Microsoft Authenticator?
No. Cada app genera sus propios secretos y no son intercambiables. Debes volver a registrar el factor en cada servicio.

¿La copia de seguridad guarda contraseñas?
No. Solo respalda los identificadores necesarios para regenerar los códigos de un solo uso. Las contraseñas siguen almacenándose en el servicio de destino.

¿Puedo usar Authenticator sin conexión?
Sí. El código de seis dígitos funciona sin datos móviles. Los desafíos push, sin embargo, necesitan internet.

¿Las llaves FIDO2 sustituyen por completo a Authenticator?
Pueden hacerlo si la organización las habilita como único factor fuerte. Aun así, mantener Authenticator como respaldo es lo más seguro.

Cómo evitar futuros bloqueos

Después de restaurar el acceso dedica unos minutos a reforzar tu postura de seguridad:

  1. Registra un nuevo método MFA (por ejemplo, una llave FIDO2) antes de eliminar cualquiera existente.
  2. Actualiza tu contacto de recuperación (correo y teléfono secundario) para que los formularios automáticos puedan verificar tu identidad sin intervención humana.
  3. Activa la copia de seguridad de Authenticator y configura cifrado con contraseña o Face ID para proteger el archivo en la nube.
  4. Documenta el proceso en tu intranet o wiki corporativa. Cuanto más claro sea, menos tickets abrirán los usuarios.

Conclusión

Perder el móvil ya no tiene por qué convertirse en un drama operacional. Con una estrategia de respaldo, múltiples métodos de autenticación y claros procesos de escalado —internos o con Microsoft—, recuperar el acceso a Microsoft 365 y desvincular un Authenticator extraviado es un trámite seguro y controlado. Pon en práctica las recomendaciones descritas y tu organización reducirá los incidentes de bloqueo a casi cero mientras mantiene altos niveles de seguridad.

Microsoft 365
seguridad Microsoft 365 recuperación MFA Microsoft Authenticator Entra ID Azure AD
Índice