Ver un evento marcado como “Session activity – additional verification requested” en el historial de tu cuenta Microsoft puede alarmar, pero ‑en la mayoría de los casos‑ se debe a la forma en que la plataforma aplica la autenticación en dos pasos y registra los intentos de inicio de sesión. A continuación encontrarás una explicación exhaustiva y actualizada, paso a paso, para interpretar ese mensaje y reforzar la seguridad de tu cuenta.
Qué indica exactamente el mensaje “Session activity – additional verification requested”
Cuando Microsoft escribe esta anotación significa que alguien introdujo la contraseña correcta, pero no consiguió superar el segundo factor. En la práctica:
- El acceso se registra inicialmente como Successful sign‑in porque la primera barrera (la contraseña) fue correcta.
- Al no completarse la segunda barrera (2FA), la sesión queda bloqueada y el registro se adorna con la leyenda de “verificación adicional”.
- No hay evidencia de que la cuenta quedara comprometida; lo que ves es un intento fallido de completar la autenticación.
Por eso el panel de actividad reciente lo etiqueta como “exitoso”, aun cuando la segunda verificación lo abortó. Microsoft registra primero la validez de la contraseña y, solamente después, el resultado de la verificación adicional.
Por qué no recibes códigos 2FA, correos ni SMS de alerta
Es natural suponer que cada intento disparará un mensaje de texto o correo, pero el sistema solo envía el código cuando el atacante acierta el dato previo que Microsoft oculta parcialmente (por ejemplo, la dirección de correo secundaria completa o los cuatro últimos dígitos del teléfono). Mientras ese dato no coincida:
- El intento se cancela en el servidor y no se genera ningún mensaje; de lo contrario, podrías recibir miles de notificaciones por bots automáticos.
- La ausencia de SMS o email no indica que tu 2FA esté roto, sino que la verificación se detuvo antes de llegar a la fase de notificación.
- La misma lógica aplica a las notificaciones push de Microsoft Authenticator: sin coincidencia en el dato previo, no hay aviso.
Cómo interpretar discrepancias de ubicación e IP
Los centros de datos de Microsoft funcionan como una malla global: una sola petición puede cruzar varias pasarelas antes de validarse. Por ello:
- IP de borde vs. IP real. El registro muestra la IP del servidor de borde (front‑end) que recibió la solicitud, no la IP del dispositivo final.
- Ubicación estimada. La base de geolocalización asocia esa IP a la sede del centro de datos o al operador que la anunció en BGP. Si te conectas desde un estado y ves otro, suele ser un efecto de la red de distribución.
- Mismo par IP/ubicación en varios intentos. Lejos de ser sospechoso, denota consistencia: la app Outlook de tu PC almacena un token y siempre negocia contra el mismo front‑end mientras dure la sesión.
En lugar de centrarte en la ciudad o el país, vigila patrones de IP cambiantes o ubicaciones radicalmente distintas que alternen en minutos. Eso sí podría delatar el uso de proxys o redes bot.
Por qué no ves el evento a diario en el historial
Tras superar el 2FA por primera vez en un equipo de confianza, el navegador o la aplicación guarda un refresh token que puede vivir hasta 90 días:
- Mientras el token sea válido, no se registra un nuevo inicio de sesión; Microsoft renueva silenciosamente la sesión en segundo plano.
- Solo se anotará una nueva entrada si borras cookies, si el token expira, si cambias la contraseña o si el sistema detecta un riesgo y revoca la confianza.
- Por eso el panel muestra picos aislados de actividad en lugar de un registro diario continuo.
Por qué el dispositivo aparece como “Unknown”
Que el campo “Device” diga “Unknown” no implica un malware desconocido. Existen varias razones legítimas:
- Aplicaciones nativas (Outlook, OneDrive) usan bibliotecas que no siempre envían la cadena de agente de usuario completa.
- Conexiones a través de VPN corporativa o proxies ofuscan la huella del navegador.
- Antivirus o cortafuegos que filtran encabezados para proteger la privacidad.
Si el sistema identifica el mismo nombre de dispositivo en la página de Dispositivos, es casi seguro que ese “Unknown” es tu propio equipo.
Buenas prácticas esenciales para blindar tu cuenta Microsoft
Cambia la contraseña y evita su reutilización
Si sospechas de filtración, actualiza la contraseña inmediatamente. Una contraseña única por servicio reduce el impacto de brechas externas.
Olvídate del SMS y adopta Microsoft Authenticator o llaves FIDO2
Los SMS pueden interceptarse o suplantarse. Authenticator te ofrece:
- Notificaciones push con datos del intento (ubicación, app, hora).
- Códigos de un solo uso incluso sin conexión.
- Compatibilidad con passwordless (aprobación con huella o PIN).
Una llave FIDO2 (YubiKey, Feitian, etc.) lleva la seguridad un nivel más arriba: criptografía asimétrica en hardware, sin depender de la red móvil ni del correo.
Revisa periódicamente dispositivos y sesiones confiables
Entra en account.microsoft.com > Seguridad > Inicios de sesión recientes y purga aquellos que no reconozcas. Remove tokens antiguos evita que una sesión olvidada en un PC prestado siga funcionando.
Activa las alertas de seguridad y los reportes por actividad inusual
El panel de seguridad permite habilitar correos de advertencia cada vez que se detecta un acceso “anómalo” (localización extraña, navegador desconocido, indicios de fuerza bruta). Complementa tu vigilancia manual.
Mantén el sistema y las apps al día
Actualizaciones de Windows, Microsoft 365 y tus navegadores cierran vulnerabilidades que podrían aprovechar los atacantes para robar cookies o inyectar proxies invisibles.
Considera el impacto de tu VPN
Una VPN corporativa suele salir a Internet por un puñado de IP estáticas lejanas a tu ubicación física. Eso altera el mapa de Microsoft y puede generar alertas o falsos positivos. La clave es reconocer los patrones consistentes de tu propia VPN.
| Acción recomendada | Impacto en la seguridad | Dificultad | Periodicidad |
|---|---|---|---|
| Actualizar contraseña y habilitar autenticación sin contraseña | Muy alto | Media | Inmediata / único |
| Instalar Microsoft Authenticator o llave FIDO2 | Extremo | Baja | Único |
| Revisar actividad reciente y dispositivos | Alto | Baja | Mensual |
| Borrar tokens de confianza tras cambio de equipo | Medio | Baja | Cuando corresponda |
| Aplicar parches de sistema y navegador | Alto | Baja | Mensual |
| Auditar apps de terceros con acceso a la cuenta | Alto | Media | Trimestral |
Preguntas frecuentes sobre el evento “additional verification requested”
¿Debo borrar el dispositivo afectado de inmediato?
No necesariamente. Primero confirma si corresponde a tu PC o móvil. Si la huella coincide, basta con asegurarte de que la máquina esté limpia y actualizada.
¿Un atacante podría saltarse la verificación adicional?
Con 2FA correctamente configurado es extremadamente improbable. La única vía sería comprometer la contraseña y el segundo factor (por ejemplo, clonar tu SIM o robar tu llave FIDO2).
¿Por qué veo varios intentos idénticos con la misma hora?
Algunos clientes de correo reintentan varias veces en milisegundos cuando la sesión expira. El panel agrupa esos intentos bajo la misma marca temporal; por eso parecen clones.
¿Puedo eliminar del registro los eventos antiguos?
El historial es inmutable para preservar la trazabilidad. Solo desaparecerán automáticamente tras el período de retención que marca Microsoft (normalmente 30 días para cuentas personales, 90 días en entornos empresariales con Azure AD). La mejor práctica es monitorizar, no borrar.
Conclusión: cuándo preocuparse y cuándo no
En la inmensa mayoría de los casos, los accesos etiquetados como “Session activity – additional verification requested” son la combinación de un inicio legítimo tuyo y la forma en que Microsoft enruta y registra el tráfico. Sin embargo, la clave está en:
- Buscar patrones anómalos de IP cambiantes o ubicaciones imposibles.
- Verificar que ningún dispositivo desconocido permanezca en la lista de confianza.
- Adoptar autenticación moderna (Authenticator, llaves FIDO2) y contraseñas únicas.
Si mantienes estas medidas y revisas la actividad con regularidad, podrás estar razonablemente seguro de que esos eventos no son el preludio de una intrusión, sino un registro benigno del sólido cortafuegos que proporciona tu 2FA.