Microsoft ha empezado a activar en Windows la compatibilidad con passkeys para Microsoft Entra, un movimiento que acerca aún más el mundo corporativo a la autenticación sin contraseñas y resistente al phishing. A grandes rasgos, la novedad permite a los usuarios crear credenciales ligadas al dispositivo dentro del contenedor de Windows Hello y usar los mecanismos biométricos o el PIN de Windows Hello para iniciar sesión en recursos protegidos por Entra.
Se trata de una característica optativa que Microsoft pondrá en vista previa pública entre mediados de marzo y finales de abril de 2026 para inquilinos de todo el mundo, con las nubes gubernamentales (GCC, GCC High y DoD) recibiendo la misma capacidad en una ventana ligeramente posterior, de mediados de abril a mediados de mayo. La compañía detalla el anuncio en el centro de mensajes de Microsoft 365, donde explica cómo funcionará el despliegue y qué pasos deben seguir los administradores para activarla: mensaje en Microsoft 365.
Lo que convierte a esta implementación en algo relevante para muchas organizaciones es la extensión de la autenticación sin contraseña a dispositivos Windows que no están unidos ni registrados en Entra. Hasta ahora, los escenarios con equipos personales o compartidos solían volver a depender de contraseñas; con las passkeys en Windows, esos dispositivos podrán autenticarse sin transmitir una contraseña, usando en su lugar una clave criptográfica generada localmente por Windows Hello.
Desde el punto de vista técnico, la clave privada nunca abandona el dispositivo. El proceso sigue los principios del estándar FIDO2: durante el registro se genera un par de claves, la pública queda registrada en el servicio y la privada se almacena de forma segura en el contenedor de Windows Hello. Para autenticar, el servicio desafía al dispositivo y la respuesta firmada prueba la posesión de la clave privada, sin que ésta sea transmitida por la red. Esa arquitectura dificulta ataques de phishing y robo de credenciales porque no hay una contraseña tradicional que copiar o interceptar. Para quien quiera profundizar en estos principios, el consorcio FIDO explica bien la base técnica: FIDO Alliance.
Microsoft también hace énfasis en cómo se gestionará el modelo multi‑cuenta y multi‑dispositivo. Cada cuenta de Entra debe registrar su propia passkey en cada equipo: varias cuentas pueden coexistir en la misma máquina, pero las passkeys no son sincronizables entre dispositivos, por lo que si un usuario quiere entrar sin contraseña desde otro PC tendrá que registrar la passkey en ese equipo también. Esa limitación tiene ventajas y desventajas: por un lado mejora el aislamiento y reduce el impacto de una brecha en otro dispositivo; por otro, implica más pasos de inscripción si una persona utiliza muchos equipos.
Para que una organización participe en la vista previa pública, los administradores deben habilitar el método de autenticación Passkeys (FIDO2) en las políticas de Métodos de autenticación de Entra, crear un perfil de passkeys que incluya los AAGUIDs (identificadores que permiten a Entra reconocer implementaciones concretas de Windows Hello) y asignar ese perfil a los grupos de usuarios relevantes. En la documentación oficial de Microsoft para desarrolladores y administradores hay guías para configurar passkeys en Azure/Entra que ayudan a entender los requisitos y las mejores prácticas: Documentación de passkeys en Microsoft Entra. Si lo que interesa es cómo Windows gestiona las credenciales y Windows Hello, Microsoft mantiene material de referencia sobre esa pila en su documentación de Windows Hello y Hello for Business: Windows Hello (Microsoft).
Este anuncio encaja en una tendencia más amplia: Microsoft lleva tiempo impulsando movimientos hacia un ecosistema sin contraseñas. En el último par de años introdujo soporte para passkeys en cuentas personales y añadió un gestor de passkeys integrado en Windows Hello con actualizaciones de Windows 11. Además, la compañía ha confirmado su intención de hacer que las cuentas nuevas de Microsoft sean “sin contraseña por defecto”, una estrategia pensada para reducir la exposición a ataques por phishing, fuerza bruta o credential stuffing.
Para las empresas, la llegada de passkeys a Entra en Windows abre oportunidades para reforzar la seguridad con una experiencia de usuario más fluida, pero también plantea decisiones de gestión. Habilitar la vista previa exige coordinación entre equipos de identidad, soporte y seguridad para definir qué usuarios y grupos probarán la función, cómo monitorizar la adopción y cómo abordar los escenarios de recuperación o pérdida de acceso cuando la credencial está atada a un dispositivo. También conviene valorar la interoperabilidad con otros proveedores de identidad y dispositivos no-Windows si la plantilla es heterogénea.
En términos de usabilidad, usar la cara, la huella o el PIN para reemplazar una contraseña puede reducir fricción y, al mismo tiempo, elevar la seguridad, porque la verificación local se apoya en hardware seguro y en elementos biométricos o secretos que no se transmiten. Pero no es una bala de plata: las organizaciones deberían complementar el despliegue de passkeys con políticas claras sobre administración de dispositivos, protección frente a malware y procesos de recuperación de cuentas para usuarios que cambien de equipo o pierdan acceso a su dispositivo habitual.
La llegada de las passkeys a Microsoft Entra en Windows representa un paso importante hacia entornos corporativos menos dependientes de las contraseñas y más resistentes al phishing. Para equipos de TI es una invitación a diseñar pruebas piloto durante la vista previa y a preparar la gobernanza necesaria; para usuarios finales puede suponer una experiencia de inicio de sesión más rápida y, en muchos casos, más segura. Quienes quieran investigar más sobre los fundamentos técnicos y los estándares detrás de esta apuesta pueden consultar los recursos de Microsoft y del ecosistema FIDO mencionados anteriormente.
Si quieres que te guíe con un plan de pruebas para implementar la vista previa en tu organización (qué grupos empezar, indicadores a medir y cómo documentar problemas de soporte), dímelo y preparo un esquema práctico y adaptado a tu entorno.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...