El Día Mundial de la Clave de Acceso es una oportunidad para reflexionar sobre el progreso hacia un objetivo compartido: reducir nuestra dependencia de las contraseñas y otros métodos de autenticación phishing mediante la aceleración de la adopción de claves de acceso. A medida que los ciberataques se vuelven más automatizados y se basan en inteligencia artificial, cada cuenta es tan segura como su credencial más débil. El progreso real requiere más que agregar opciones de inicio de sesión más sólidas: requiere eliminar las credenciales susceptibles de phishing y fortalecer las rutas de ataque comunes, como los flujos de recuperación. En asociación con FIDO Alliance, Microsoft se compromete a promover la adopción de claves de acceso a través del trabajo de estándares continuo, la participación activa en grupos de trabajo y otras contribuciones para un futuro sin contraseñas.
Las contraseñas siguen siendo una fuente importante de riesgo; son difíciles de manejar y fáciles de robar. Además de las formas más débiles de autenticación multifactor, también son muy vulnerables al phishing: las campañas impulsadas por IA generan tasas de clics de hasta el 54%.1 En respuesta, Microsoft está ampliando la adopción de claves de acceso en todo nuestro ecosistema. Estamos reduciendo la dependencia de la autenticación heredada y fortaleciendo la recuperación de cuentas para que no se convierta en una puerta trasera para los ciberatacantes.
«En lugar de secretos vulnerables o información personal potencialmente identificable, una clave de acceso utiliza una clave privada almacenada de forma segura en el dispositivo del usuario. Solo funciona en el sitio web o la aplicación para la que el usuario la creó, y sólo si ese mismo usuario la desbloquea con sus datos biométricos o PIN. Esto significa que no se puede engañar a los usuarios de claves para que inicien sesión en un sitio web malicioso, y una clave de acceso no se puede utilizar a menos que el usuario esté presente y dé su consentimiento. Estas son algunas de las cualidades que hacen que las claves de acceso sean un forma de autenticación ‘resistente al phishing’”.
Del Informe de Defensa Digital de Microsoft.
La adopción de claves de acceso continúa creciendo en toda la industria
La adopción de claves de acceso se está acelerando: FIDO Alliance estima que ya hay 5 mil millones de claves en uso en todo el mundo.2 En todos los servicios al consumidor de Microsoft, incluidos OneDrive, Xbox y Copilot, cientos de millones de usuarios inician sesión con claves de acceso todos los días.
Hay muchas razones para elegir claves de acceso como método de autenticación estándar en lugar de contraseñas. Las tasas de éxito en el inicio de sesión son significativamente más altas que con las contraseñas, y la exposición a ataques basados en credenciales es significativamente menor.3 Tanto las organizaciones como los usuarios individuales prefieren la experiencia de inicio de sesión más sencilla y segura que ofrecen las claves de acceso.4
Dentro de Microsoft, eliminamos métodos de autenticación más débiles e implementamos una autenticación resistente al phishing, que cubre el 99,6 % de los usuarios y dispositivos de nuestro entorno.5 Ha simplificado mucho el inicio de sesión: no es necesario ingresar códigos, ni administrar mensajes adicionales, solo una experiencia sencilla para todos.
Actualizaciones de productos durante el inicio de sesión y la recuperación
En todo Microsoft, hemos estado desarrollando constantemente compatibilidad con claves de acceso en cada capa de la experiencia de identidad, desde cuentas de consumidores hasta acceso empresarial con Microsoft Entra, y desde autenticación basada en dispositivos como Windows Hello hasta el administrador de contraseñas de Microsoft. Este trabajo garantiza que las personas puedan crear y utilizar claves de acceso dondequiera que inicien sesión, con una experiencia consistente y resistente al phishing en todos los dispositivos, aplicaciones y entornos.
Para que las claves de acceso sean más accesibles, estamos ampliando dónde y cómo las personas pueden usarlas:
- Las claves de acceso sincronizadas y los perfiles de claves de acceso en Microsoft Entra ID facilitan la ampliación del inicio de sesión sin contraseña en diversos entornos. Estamos ampliando la flexibilidad en la gestión de claves de acceso en la nube, incluido el soporte para políticas más grandes y complejas, y la transición de los inquilinos a un modelo de perfil de clave de acceso unificado.
- Las claves de acceso de Entra en Windows simplifican a los usuarios la creación y el uso de claves de acceso vinculadas a dispositivos directamente en dispositivos Windows personales o no administrados mediante Windows Hello, y estarán disponibles de forma general a finales de mayo de 2026.
- Las claves de acceso para Microsoft Entra External ID estarán disponibles de forma general a finales de mayo de 2026, por lo que sus aplicaciones orientadas al cliente pueden ofrecer una experiencia de inicio de sesión más fluida y de nivel de consumidor.
- La autenticación preferida con clave de acceso en Microsoft Entra ID (versión preliminar) detecta los métodos registrados y solicita primero el más seguro. Si se registra una clave de acceso, eso es lo que el usuario ve inmediatamente.
- En el lado del consumidor, con Microsoft Password Manager, los usuarios ahora pueden guardar y sincronizar claves de acceso entre dispositivos en los que hayan iniciado sesión con su cuenta de Microsoft, y próximamente se implementará soporte para iOS y Android a través de Microsoft Edge.
La recuperación de cuentas también juega un papel fundamental en el mantenimiento de la integridad de los sistemas de identidad. Históricamente, ha sido vulnerable a los ciberatacantes que intentan secuestrar el proceso de recuperación, por ejemplo haciéndose pasar por usuarios legítimos y solicitando nuevas credenciales.
La recuperación de cuentas de Microsoft Entra ID, generalmente disponible hoy, fortalece la seguridad de los flujos de recuperación al permitir a los usuarios recuperar el acceso a sus cuentas a través de un sólido proceso de verificación de identidad. Los usuarios pueden recuperar el acceso después de perder todos los métodos de autenticación mediante el uso de una identificación emitida por el gobierno y controles faciales biométricos. En disponibilidad general, estamos ampliando nuestro ecosistema de verificación de identidad con dos nuevos socios, 1Kosmos y CLEAR1, que se unen a nuestros socios existentes Au10tix, IDEMIA y TrueCredential.
Eliminar credenciales susceptibles de phishing de cuentas de usuario
Fortalecer la autenticación es importante, pero reducir el riesgo significa eliminar por completo las credenciales susceptibles de phishing. Microsoft continúa eliminando los métodos heredados y haciendo que los usuarios adopten una autenticación resistente al phishing. A partir de enero de 2027, las preguntas de seguridad se eliminarán como opción para restablecer la contraseña en Microsoft Entra ID debido a su susceptibilidad a las adivinanzas y la ingeniería social.
El razonamiento es sencillo: mejorar los métodos fuertes y eliminar los débiles reduce la superficie de ataque. Esto es cada vez más urgente a medida que los agentes de IA actúan en nombre de los usuarios. Si una identidad se ve comprometida, los ciberatacantes pueden aprovechar esos agentes para acceder a los sistemas, ejecutar flujos de trabajo y operar dentro de los permisos existentes. Las organizaciones deben abordar este riesgo rápidamente.
Un futuro más seguro y utilizable
El año pasado, Microsoft se unió a docenas de organizaciones para asumir Passkey Pledge, un compromiso para acelerar la adopción de autenticación resistente al phishing y ir más allá de las contraseñas. Desde entonces, hemos visto un progreso significativo, desde cientos de millones de cuentas de consumidores mejor protegidas hasta implementaciones a gran escala en organizaciones como la nuestra.
Lo que alguna vez pareció un cambio a largo plazo finalmente está ganando impulso real: la autenticación se está volviendo más simple, más segura y sin contraseña.
Para obtener una perspectiva más profunda sobre cómo los ciberatacantes intentan eludir la autenticación mediante métodos alternativos y flujos de recuperación, y cómo abordar esas brechas, lea nuestra publicación complementaria.
Empezando
Las organizaciones que quieran fortalecer su postura de seguridad de identidad pueden habilitar claves de acceso para sus usuarios y ampliar las protecciones de políticas en escenarios de inicio de sesión y recuperación.
Comience con una implementación de autenticación sin contraseña resistente al phishing en Microsoft Entra ID.
Las personas pueden crear y utilizar claves de acceso para sus cuentas personales para mayor seguridad y comodidad.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de Seguridad como favorito para mantenerse al día con nuestra cobertura de expertos sobre cuestiones de seguridad. Además, síguenos en LinkedIn (Microsoft Security) y X (@MSFTSeguridad) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Informe de defensa digital de Microsoft 2025.
2FIDO Alliance informa sobre el uso generalizado a nivel mundial en el Día Mundial de la Clave de Acceso. Alianza FIDO, 2026.
3Claves de acceso sincronizadas y recuperación de cuentas de alta seguridad, blog de Microsoft Entra. 16 de diciembre de 2025.
4La Alianza FIDO defiende la adopción generalizada de claves de acceso y un futuro sin contraseñas en el Día Mundial de las claves de acceso 2025, Centro de noticias FIDO. 1 de mayo de 2025.
5Informe de progreso de la Iniciativa de Seguridad y Futuro (SFI) de Microsoft: noviembre de 2025.
