Microsoft ha anunciado que, a partir de finales de abril y con disponibilidad general prevista para mediados de junio de 2026, desplegará soporte de passkeys para autenticación sin contraseñas y resistente al phishing en recursos protegidos por Microsoft Entra desde dispositivos Windows. Esta medida extiende la autenticación passwordless no solo a dispositivos administrados, sino también a dispositivos personales y compartidos no registrados o no unidos a Entra, lo que supone un cambio importante en la estrategia de acceso de la plataforma empresarial de Microsoft.
La implementación utiliza credenciales FIDO2 vinculadas al dispositivo y almacenadas en el contenedor seguro de Windows Hello; los usuarios autentican con métodos locales como reconocimiento facial, huella o PIN. Según Microsoft, estas credenciales nunca salen del dispositivo, por lo que no pueden ser interceptadas durante ataques de phishing o mediante técnicas tradicionales de robo de credenciales, lo que eleva la barrera frente a olas recientes de campañas que apuntaron a cuentas SSO de Entra con credenciales robadas.
Desde el punto de vista de administración y gobernanza, Entra permitirá controlar el despliegue mediante las políticas de Authentication Methods y Conditional Access; es decir, los administradores podrán decidir en qué escenarios y para qué grupos se habilita el uso de passkeys, y aplicar excepciones o restricciones según el estado del dispositivo y el riesgo del acceso. Esto facilita adoptar la tecnología de forma incremental y dirigida sin exponer indiscriminadamente todos los accesos.
La principal ganancia técnica es la reducción de la dependencia de contraseñas y MFA tradicionales que se basan en factores reusables o susceptibles a phishing. Sin embargo, implantar passkeys no elimina todos los riesgos: la seguridad ahora depende también de la integridad del dispositivo local, de las políticas de recuperación de cuentas y de cómo se gestionan los flujos de inscripción y restablecimiento. Las empresas deben evaluar los vectores complementarios de ataque, como el compromiso del dispositivo por malware o ingeniería social dirigida durante la inscripción de un passkey.
Recomiendo a los responsables de seguridad y TI que incluyan este cambio en su hoja de ruta de identidad: habilitar y probar Entra passkeys en un grupo piloto, actualizar o crear políticas de Conditional Access que contemplen dispositivos personales y compartidos, exigir inscripción de MFA cuando proceda, y documentar flujos de recuperación que no vuelvan a confiar exclusivamente en contraseñas. Es clave instrumentar monitorización de autenticaciones y alertas para detectar intentos anómalos durante y después del despliegue.
Igualmente importante es la formación a usuarios: explicar qué es un passkey, cómo se usa Windows Hello para autenticar y cuál es el procedimiento en caso de pérdida o robo del dispositivo. Desde la perspectiva de continuidad, conviene ofrecer alternativas autorizadas (por ejemplo, claves hardware administradas o Microsoft Authenticator) y pruebas de restauración para evitar bloqueos masivos.
La llegada de Entra passkeys en Windows es coherente con iniciativas más amplias del sector para abandonar las contraseñas: organismos y estándares como la FIDO Alliance promueven el uso de claves públicas y dispositivos seguros, y proveedores y guías técnicas explican los beneficios prácticos de los passkeys (por ejemplo, esta introducción técnica de Cloudflare: Passkeys — Cloudflare). Microsoft también ha enmarcado acciones similares dentro de su Secure Future Initiative, que busca impulsar medidas como MFA obligatoria en ciertos escenarios y la transición a cuentas sin contraseña.
En conclusión, la extensión de passkeys a dispositivos Windows no administrados cierra una brecha operativa importante y reduce la superficie de ataque ligada a contraseñas, pero no es una panacea. La adopción segura exige planificación, controles de acceso basados en riesgo, preparación de los procesos de recuperación y vigilancia continua. Las organizaciones que aborden estos puntos podrán mejorar significativamente su postura de identidad mientras migran de manera controlada hacia un modelo passwordless resistente al phishing.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...