Microsoft ha anunciado ajustes en la línea base de seguridad que entrarán en vigor en julio. A continuación se explica qué implican estos cambios, cómo afectan a la autenticación multifactor (MFA) y qué pasos concretos debe seguir tu organización para seguir protegida sin interrupciones de servicio.
¿Qué cambia realmente en julio?
Circularon rumores de que Microsoft obligaría a usar exclusivamente la aplicación Microsoft Authenticator y a contratar planes de pago. Sin embargo, la realidad es que la compañía endurecerá la exigencia de “algún” factor adicional —no necesariamente la app— para todos los inicios de sesión. La medida se alinea con los “Security Defaults”, ya presentes en la capa gratuita, y con las recomendaciones del NIST para reducir el secuestro de cuentas mediante contraseñas robadas o débiles.
Métodos de MFA disponibles en Entra ID
| Método | Descripción | Casos de uso recomendados | Ventajas | Limitaciones |
|---|---|---|---|---|
| Microsoft Authenticator | Notificación push con número de dos dígitos o código OATH. | Usuarios con dispositivos móviles iOS/Android. | La más resistente al phishing; permite inicio de sesión sin contraseña. | Requiere smartphone; algunas regiones con baja conectividad limitan la notificación. |
| SMS | Código de seis dígitos enviado por mensaje de texto. | Entornos donde no se permite instalar apps. | Fácil de adoptar; sin costes de hardware. | Vulnerable a SIM‑swap y ataques de interceptación SS7. |
| Llamada de voz | Mensaje automático que solicita pulsar una tecla. | Usuarios con teléfonos fijos o móviles sin datos. | No requiere internet; accesible a personas con dificultades visuales. | Pueden presentarse altas tarifas de telefonía internacional; menos resistente al phishing. |
| Token OATH (hardware) | Dispositivo físico similar a un llavero que genera códigos. | Entornos regulados (banca, salud) que prohíben smartphones. | No depende de red ni de batería de teléfono. | Coste por dispositivo; logística de entrega y reposición. |
| Códigos de respaldo | Conjunto de 10 códigos de un solo uso. | Viajes sin cobertura o usuarios que pierden su dispositivo. | Recuperación simple; sin hardware extra. | Si se almacenan mal, pueden ser comprometidos. |
Tabla resumen de los puntos clave
| Punto clave | Explicación |
|---|---|
| Métodos disponibles | Entra ID permite Authenticator, SMS, llamada de voz y tokens de hardware. No hay imposición única del Authenticator: los administradores deciden qué métodos habilitar. |
| Políticas de acceso | A través de Acceso Condicional se puede exigir MFA solo en determinados escenarios (ubicación, tipo de dispositivo, nivel de riesgo, rol del usuario, etc.). |
| Licenciamiento | Para crear o personalizar políticas de MFA se necesita Entra ID P1/P2. La capa gratuita ofrece MFA básico (“Security Defaults”) pero con controles limitados. |
| Acción recomendada | 1. Verificar licencias actuales. 2. Definir métodos de MFA permitidos y comunicarlos. 3. Probar y habilitar Acceso Condicional antes de julio para evitar interrupciones. |
Entendiendo las capas de licenciamiento
Capa gratuita (Entra ID Free)
- Incluye Security Defaults: MFA obligatorio cuando los usuarios inician sesión desde nuevas ubicaciones, dispositivos o aplicaciones.
- Permite Authenticator, SMS y llamadas de voz, pero no permite excluir usuarios ni crear reglas granulares.
- Ideal para pequeñas y medianas empresas que desean protección rápida sin configuración compleja.
Entra ID P1
- Agrega Acceso Condicional: combina señales (ubicación, riesgo de sesión, plataforma) para decidir cuándo solicitar MFA.
- Permite políticas por grupo, aplicación y rol, reduciendo la fricción del usuario.
- Licencia incluida en la mayoría de los planes de Microsoft 365 E3 y Business Premium.
Entra ID P2
- Incluye todo lo de P1 y añade Protección de Identidad basada en riesgo: bloqueo automático cuando se detectan credenciales filtradas o patrones de comportamiento anómalos.
- Satisface requisitos regulatorios avanzados (ISO 27001, SOX, FedRAMP High).
- Requiere licencia adicional o Microsoft 365 E5.
Cómo decidir qué plan necesitas
Para la mayoría de los escenarios de negocio, P1 ofrece el control suficiente a un coste razonable. La capa gratuita basta si aceptas las reglas predeterminadas y los posibles desafíos de SMS. P2 es recomendable cuando:
- Existe obligación legal de monitoreo continuo de riesgo.
- La organización sufre suplantaciones reiteradas, credential stuffing o ataques dirigidos.
- Se opera en distintas jurisdicciones con normativas de protección de datos estrictas.
Pasos prácticos para prepararse antes de julio
- Auditar licencias: Revisa en el Centro de administración de Microsoft 365 qué suscripciones tienes asignadas. Si tu tenant ya posee E3/E5, seguramente cuentas con P1 o P2.
- Definir métodos permitidos: Decide si se permitirán SMS y llamadas de voz o si migrarás gradualmente a Authenticator y tokens OATH.
- Comunicar y entrenar: Publica guías sencillas con capturas de pantalla que muestren cómo inscribir un método secundario y cómo generar códigos de respaldo.
- Pilotaje en un grupo controlado: Activa Acceso Condicional en un grupo de TI y dirección. Ajusta las reglas según la experiencia real.
- Monitorear registros: Usa el Sign‑in Logs para verificar qué métodos emplean los usuarios y detectar los que aún necesitan registrar MFA.
- Cortar métodos inseguros (opcional): Una vez completada la adopción de Authenticator o tokens, deshabilita SMS/llamadas para reducir superficie de ataque.
Escenarios de Acceso Condicional recomendados
| Escenario | Reglas sugeridas | Resultado |
|---|---|---|
| Inicio de sesión desde país no habitual | Ubicación ≠ País habitual → MFA obligatorio; bloquear si país en lista de alto riesgo. | Previene acceso desde IPs anómalas o VPN deshonestas. |
| Aplicaciones críticas (Exchange, SharePoint) | Aplicación en lista crítica → MFA siempre; exigir dispositivo registrado. | Mayor seguridad sin afectar apps menos sensibles. |
| Usuarios con rol administrativo | Rol = Global Admin → MFA siempre; expiración de sesión 4 h. | Protección reforzada de cuentas privilegiadas. |
| Riesgo detectado por Entra ID | Nivel de riesgo alto → Bloquear acceso. | Mitigación inmediata ante credenciales filtradas. |
Preguntas frecuentes
¿Puedo seguir usando solo SMS?
Sí, técnicamente es posible, pero Microsoft desaconseja depender exclusivamente de SMS debido a SIM‑swapping. Considera tokens OATH de bajo coste si tu fuerza laboral no puede usar smartphones.
¿Qué ocurre si algún usuario no inscribe un segundo factor antes de julio?
Security Defaults obligará a configurar MFA la próxima vez que inicie sesión. El proceso dura unos minutos, pero podría interrumpir el trabajo si ocurre en un momento crítico. Por ello, comunica y programa la inscripción con antelación.
¿Necesito un dispositivo físico de token?
Solo si tu organización opera en entornos air‑gapped o si la normativa impide dispositivos personales. Muchos tokens OATH cuestan menos de 20 USD y tienen una vida útil de varios años.
¿Qué sucede con los usuarios de quiosco o servicio (shared mailboxes)?
Las cuentas sin buzón de voz ni SMS pueden quedar bloqueadas. Usa Managed Identities o Service Principals con certificados en lugar de credenciales de usuario.
Errores comunes y cómo evitarlos
- Configurar Acceso Condicional sin exclusiones de emergencia: Mantén un grupo de “Break‑glass” con al menos dos cuentas protegidas por MFA y supervisadas.
- Habilitar MFA por mensaje de voz para todos: El coste telefónico puede dispararse. Analiza el registro de llamadas en Azure Communication Services.
- Olvidar el registro de dispositivos: Combina MFA con Intune para comprobar salud del sistema operativo y revocar accesos de hardware comprometido.
- No revocar métodos al cambiar de puesto: Automatiza con Microsoft Entra Lifecycle Workflows para retirar tokens o aplicaciones de ex‑empleados.
Checklist de migración express
- Confirma licencias Entra ID P1 o activa Security Defaults.
- Crea un grupo piloto y habilita MFA.
- Define métodos autorizados y orden de preferencia.
- Envía comunicaciones y sesiones de formación.
- Monitorea registros y ajusta Acceso Condicional.
- Amplía a toda la organización.
- Deshabilita métodos inseguros o redundantes.
Conclusión
La fecha de julio no implica una “obligación de Authenticator”, sino la continuidad de la estrategia de Microsoft para reforzar el inicio de sesión con al menos un segundo factor. Si tu empresa ya aplica MFA —aun vía SMS— no quedará bloqueada. No obstante, migrar a métodos más resistentes al phishing y adoptar Acceso Condicional te coloca en mejor posición para futuros requisitos de seguridad y auditoría.