- Microsoft Authenticator permite iniciar sesión sin contraseña usando el móvil como credencial segura vinculada al dispositivo.
- El método sin contraseña mejora la seguridad frente al phishing y simplifica la experiencia al eliminar la gestión de claves.
- Las organizaciones controlan su uso mediante directivas de métodos de autenticación en Microsoft Entra ID.
- Existen requisitos, limitaciones y buenas prácticas que deben conocerse para aplicar este sistema de forma segura.
La tendencia de abandonar las contraseñas tradicionales ya es una realidad en el ecosistema de Microsoft, y Microsoft Authenticator se ha convertido en la pieza clave para lograrlo de forma sencilla y segura. Si estás cansado de recordar claves, cambiar contraseñas cada cierto tiempo o preocuparte por filtraciones, este sistema sin contraseña es probablemente lo que estabas buscando.
Con Microsoft Authenticator puedes iniciar sesión en tus cuentas personales, profesionales y educativas usando solo tu móvil y un gesto rápido: un PIN, la huella dactilar o el reconocimiento facial. Detrás de algo que parece tan simple hay un sistema de autenticación avanzada basado en claves y credenciales vinculadas al dispositivo, diseñado para reducir el riesgo de robo de credenciales y ataques de phishing.
Qué es Microsoft Authenticator y cómo funciona el inicio de sesión sin contraseña
Microsoft Authenticator es una aplicación móvil gratuita disponible para iOS y Android que centraliza el acceso seguro a tus cuentas de Microsoft y a muchas otras cuentas compatibles. No se limita a mostrar códigos, sino que permite usar el móvil como “llave” para entrar en tus servicios sin escribir una contraseña.
El funcionamiento del modo sin contraseña se basa en autenticación con claves públicas (consulta cómo activar y usar passkeys): se genera una credencial asociada a tu cuenta y ligada criptográficamente al dispositivo donde tienes instalada la app. Esa credencial solo se desbloquea con un gesto local (PIN, huella, rostro) gracias a los mecanismos de seguridad del propio sistema operativo.
Este enfoque es muy parecido al que emplea Windows Hello con claves FIDO2 para empresas, donde el equipo actúa como dispositivo de confianza y el usuario se valida con biometría o PIN. La gran diferencia es que Authenticator se puede usar prácticamente en cualquier sitio y no solo en tu PC, ya que está pensado para móviles iOS y Android.
Cuando utilizas el inicio de sesión sin contraseña con Microsoft Authenticator, el flujo típico es que el servicio te muestra un número en pantalla y, en tu teléfono, la app te pide que pulses ese mismo número para confirmar que eres tú quien está iniciando sesión. No te pide ni usuario ni contraseña en el móvil, solo ese código y, después, tu método local de desbloqueo.
Formas de uso de Microsoft Authenticator
Microsoft Authenticator puede desempeñar tres funciones diferentes según cómo lo tengas configurado y lo que necesites en cada servicio, por lo que no estás limitado a un único modo.
En primer lugar, puedes usar la app como respaldo cuando olvidas la contraseña. En este caso sirve para aprobar una notificación o introducir un código temporal que te permite recuperar el acceso a tu cuenta si no recuerdas tu clave o necesitas demostrar que eres el propietario legítimo.
La segunda forma de uso es como método de verificación en dos pasos o MFA (autenticación multifactor (MFA)). Aquí sigues escribiendo la contraseña, pero añades una segunda capa de seguridad con un código único o una notificación push que debes aprobar en el móvil, lo que complica muchísimo que un atacante pueda entrar solo con tu contraseña.
El tercer escenario, y el que nos interesa en este artículo, es emplear Authenticator como único método de inicio de sesión. En este modo prescindes completamente de la contraseña y todo el proceso se basa en la notificación que recibes en el móvil y en la verificación local mediante PIN o biometría.
Ventajas de dejar de usar contraseñas
La eliminación de contraseñas aporta beneficios claros tanto a usuarios como a organizaciones. Más allá de la comodidad, el objetivo es reducir los vectores de ataque asociados al uso de claves estáticas.
Por un lado, dejar de escribir contraseñas implica que ya no estás expuesto a robos por phishing, keyloggers o reutilización de contraseñas filtradas en otros servicios. Si no existe una contraseña que puedas introducir, no hay nada que robar en un formulario de inicio de sesión falso.
Desde el punto de vista de la experiencia de usuario, el acceso resulta mucho más rápido y natural: desbloqueas el móvil con tu método habitual, confirmas una notificación y listo. No tienes que inventar claves complicadas ni recordar variaciones absurdas solo para cumplir los requisitos de longitud y complejidad.
Las empresas también salen ganando, porque disminuye el número de incidencias al servicio de soporte relacionadas con restablecimiento de contraseñas, bloqueos de cuenta y problemas de autenticación. La seguridad mejora sin que los usuarios sientan que el sistema les pone trabas constantes.
Además, Microsoft Authenticator y métodos como Windows Hello, claves de seguridad físicas o códigos SMS aportan mecanismos alternativos para los distintos escenarios de uso. Aunque Microsoft y muchas organizaciones recomiendan apostar por passkeys y autenticación sin contraseña, siguen existiendo opciones complementarias cuando no es posible usar el móvil, y también se detalla cómo usar el móvil como autenticador FIDO2.
Compatibilidad, cuentas admitidas y uso en varias cuentas
Microsoft Authenticator funciona en dispositivos iOS y Android de forma nativa, con versiones actualizadas de los sistemas operativos para aprovechar las últimas mejoras de seguridad. Es importante mantener tanto el móvil como la app siempre al día con las últimas actualizaciones.
En cuanto a las cuentas que admite, puedes usar Authenticator con tu cuenta personal de Microsoft, cuentas profesionales o educativas de Microsoft Entra ID (antes Azure AD) y otras cuentas que soporten los mismos estándares. Esto abarca desde el típico correo de Outlook hasta organizaciones que emplean Microsoft 365.
Una de las grandes ventajas es que puedes configurar varias cuentas en el mismo dispositivo y, si lo deseas, incluso convertir tu Android en llave de seguridad para mejorar la experiencia de autenticación en Windows.
En cuanto a las cuentas que admite, puedes usar Authenticator con tu cuenta personal de Microsoft, cuentas profesionales o educativas de Microsoft Entra ID (antes Azure AD) y otras cuentas que soporten los mismos estándares. Esto abarca desde el típico correo de Outlook hasta organizaciones que emplean Microsoft 365.
Para los usuarios de Microsoft Entra ID, como consultores o estudiantes que trabajan con varias organizaciones, es posible añadir a Authenticator múltiples cuentas del mismo inquilino o de inquilinos distintos y habilitar el modo sin contraseña para todas ellas. Eso sí, las cuentas de invitado no se admiten para el inicio de sesión telefónico sin contraseña desde un mismo dispositivo.
Conviene recordar que cada dispositivo que quieras usar para el inicio de sesión sin contraseña debe estar registrado en cada inquilino correspondiente. Por ejemplo, si trabajas con contoso.com y wingtiptoys.com, el mismo móvil tendrá que registrarse en ambos entornos para poder autenticar las cuentas asociadas.
Requisitos previos para usar Microsoft Authenticator sin contraseña
Antes de ponerse manos a la obra con el modo sin contraseña, hay una serie de condiciones que deben cumplirse, tanto por parte del usuario como de los administradores de la organización.
En entornos corporativos, se recomienda disponer de Microsoft Entra multifactor (MFA) con notificaciones push habilitadas como uno de los métodos de verificación. Estas notificaciones ayudan a frenar accesos no autorizados y a detener posibles transacciones fraudulentas, ya que el usuario debe aprobar cada intento de inicio de sesión (verificación en dos pasos).
La app Authenticator, además de gestionar las notificaciones, puede generar códigos temporales de seguridad incluso sin conexión a Internet. De esta forma, aunque el móvil no tenga datos o Wi‑Fi, el usuario sigue disponiendo de un método de inicio de sesión de respaldo cuando se le solicite un código.
Para usar la autenticación sin contraseña en Microsoft Entra ID, el administrador tiene que habilitar la experiencia de registro combinada (donde el usuario configura métodos de seguridad) y, posteriormente, activar de forma explícita el método sin contraseña para los grupos o usuarios deseados.
En el caso de las cuentas personales de Microsoft, el requisito básico es haber instalado Microsoft Authenticator (o, en algunos escenarios, Outlook para Android) en un dispositivo compatible y seguir el proceso guiado de activación del inicio de sesión sin contraseña desde la configuración de la cuenta.
Configurar Microsoft Authenticator como método de inicio de sesión sin contraseña
En organizaciones que usan Microsoft Entra ID, los administradores cuentan con una directiva de métodos de autenticación donde se define qué métodos pueden utilizar los usuarios para iniciar sesión: contraseñas, Authenticator, claves FIDO2, SMS, etc. Para planes de despliegue y gestión, consulta cómo integrar Windows Hello con claves FIDO2.
Dentro de esa directiva se puede habilitar Microsoft Authenticator tanto para el uso tradicional de notificaciones MFA como para el inicio de sesión telefónico sin contraseña. Una vez habilitado, el usuario verá Microsoft Authenticator como método disponible en la sección de Información de seguridad de su cuenta.
Según lo que el administrador haya permitido, en la interfaz de configuración aparecerá algo como Microsoft Authenticator – sin contraseña o Microsoft Authenticator – inserción de MFA. El usuario puede registrar la aplicación y elegir el modo que mejor encaje con las políticas de su organización.
Para activar el método de inicio de sesión telefónico sin contraseña desde el punto de vista del administrador, hay que iniciar sesión en el Centro de administración de Microsoft Entra con un rol adecuado (por ejemplo, administrador de directivas de autenticación) y navegar a la sección de Entra ID > Métodos de autenticación > Directivas.
Por defecto, cada grupo aparece habilitado para usar cualquier modo del método seleccionado. En el caso de Authenticator, la opción “cualquiera” permite tanto el uso de notificaciones push como el inicio de sesión teléfono sin contraseña, y el administrador puede ajustar qué grupos o usuarios se incluyen o excluyen.
Registro de usuarios en la aplicación Authenticator
Una vez que el método está activado en la organización, llega el momento de que los usuarios registren la aplicación en su cuenta. Quienes ya usan Authenticator para MFA suelen tenerlo más fácil, porque únicamente deben añadir el modo sin contraseña.
Los usuarios que todavía no han configurado Authenticator pueden optar por un registro directo de inicio de sesión telefónico, sin necesidad de emplear la contraseña en ningún momento, siempre que dispongan de un pase de acceso temporal facilitado por el administrador o la organización.
En este flujo directo, el usuario obtiene el pase de acceso temporal, instala la app en su móvil, selecciona “Agregar cuenta” dentro de Microsoft Authenticator y elige “Cuenta profesional o educativa”. Luego pulsa en “Iniciar sesión” y introduce el pase temporal cuando la aplicación se lo pida, siguiendo las indicaciones hasta completar la configuración.
Otra posibilidad es usar un proceso guiado desde la página de Información de seguridad (a veces llamada Mi Sign‑Ins). El usuario accede a esa página desde un navegador, inicia sesión con su método actual y elige “Agregar método” > “Aplicación Authenticator” > “Agregar”.
El asistente mostrará los pasos para instalar y enlazar la app con la cuenta: escanear un código QR, aprobar una notificación y terminar la configuración. Una vez hecho esto, el usuario marca “Listo” y la cuenta queda registrada en el móvil.
Activar el inicio de sesión telefónico sin contraseña
Después de registrar la cuenta en Microsoft Authenticator, aún queda un paso: habilitar el modo sin contraseña para esa cuenta concreta dentro de la propia aplicación del móvil.
Para ello, el usuario abre Microsoft Authenticator, selecciona la cuenta en cuestión y pulsa en la opción “Configurar solicitudes de inicio de sesión sin contraseña” o similar. Desde ahí sigue las instrucciones en pantalla, que suelen incluir la aprobación de una solicitud de prueba y la verificación mediante PIN o biometría.
Una vez completado este proceso, esa cuenta queda lista para recibir solicitudes de inicio de sesión sin contraseña y el usuario podrá elegir ese método en la pantalla de login de Microsoft cuando lo necesite.
Cómo iniciar sesión sin contraseña con Microsoft Authenticator
Cuando todo está configurado, el inicio de sesión cambia ligeramente respecto al flujo clásico con contraseña, pero sigue siendo un proceso muy intuitivo y rápido. El usuario escribe su dirección de correo o nombre de cuenta en el panel de inicio de sesión como siempre.
Después de pulsar en “Siguiente”, puede que el sistema muestre directamente la opción de usar la app o que haya que seleccionar “Otras formas de iniciar sesión” para ver todas las alternativas disponibles, en función de la configuración y del último método usado.
Entre dichas opciones aparecerá “Aprobar una solicitud en mi aplicación Authenticator”. Al elegirla, la pantalla mostrará un número aleatorio y, en cuestión de segundos, el móvil recibirá una notificación de Microsoft Authenticator con ese mismo número para que el usuario lo confirme.
En lugar de escribir una contraseña, lo que hace el usuario es pulsar el número correcto en la app y, a continuación, validar con el método local de desbloqueo (PIN, huella, reconocimiento facial, según tenga configurado el dispositivo). Si todo es correcto, se completa el inicio de sesión.
Una vez que el usuario se ha autenticado de esta forma, la próxima vez la plataforma tenderá a priorizar el método sin contraseña, aunque siempre suele estar disponible la opción de elegir otro método, por ejemplo, “Usar la contraseña en su lugar” si por alguna razón el usuario lo prefiere.
Uso de pases de acceso temporales para el primer inicio
En algunas organizaciones, el administrador habilita los pases de acceso temporales para que los usuarios configuren Authenticator y el modo sin contraseña sin tener que recordar una contraseña inicial o durante procesos de alta masiva.
En estos casos, el usuario abre un navegador (en el móvil o en el ordenador) y accede a la página de Información de seguridad, donde registra la app Authenticator como método de inicio de sesión usando el pase temporal. Esta acción vincula de forma segura la cuenta con la aplicación.
Después de haber emparejado la app, el usuario vuelve a su móvil, abre Authenticator y activa el inicio de sesión sin contraseña para esa cuenta. A partir de ese momento, podrá iniciar sesión con el teléfono y prescindir de la contraseña convencional.
Seguridad, riesgos y buenas prácticas al usar Authenticator
La autenticación sin contraseña con Authenticator es, por diseño, más segura que depender de una clave que se puede robar, filtrar o adivinar. Sin embargo, como todo sistema, también tiene su propio modelo de amenazas y conviene entenderlo bien.
Uno de los puntos que más dudas genera es que la app en iOS y Android se apoya en el mismo PIN o método de desbloqueo del dispositivo. No existe, a día de hoy, un PIN independiente solo para la aplicación. Esto significa que si alguien observa tu PIN y te roba el móvil, podría abrir la app.
Ante este escenario, hay varias medidas recomendadas: usar un PIN complejo o biometría difícil de replicar, activar opciones de borrado del dispositivo tras varios intentos fallidos y, sobre todo, actuar con rapidez para revocar la app si pierdes el móvil o sufres un robo, accediendo al panel de tu cuenta desde otro dispositivo.
Otra preocupación lógica es que, con acceso a la app, un atacante pueda aprobar notificaciones de inicio de sesión sin que te des cuenta. Por eso es fundamental vigilar los avisos que recibes, comprobar desde qué lugar y qué aplicación se está intentando usar y no aceptar solicitudes que no reconoces.
Si pierdes el teléfono o lo sustituyes por otro, es buena práctica entrar en el panel de tu cuenta de Microsoft, ir a las opciones de seguridad avanzadas y eliminar cualquier método de autenticación asociado al dispositivo anterior, ya sea “Enviar notificación de inicio de sesión” o “Aplicación: Microsoft Outlook” o Microsoft Authenticator, para evitar que siga siendo válido.
Gestión y administración de Authenticator en organizaciones
En entornos corporativos, la forma más recomendable de gestionar el uso de Microsoft Authenticator es a través de la directiva de métodos de autenticación en Microsoft Entra ID. Esta directiva centralizada permite a los administradores controlar qué métodos están permitidos, para qué grupos y con qué condiciones.
Los administradores pueden habilitar o deshabilitar Authenticator por completo, incluir o excluir usuarios y grupos concretos y, además, ajustar parámetros que añaden contexto a las solicitudes de inicio de sesión para que el usuario no apruebe nada “a ciegas”.
Por ejemplo, la organización puede configurar para que en cada notificación aparezca la ubicación aproximada del intento de inicio de sesión o el nombre de la aplicación que está pidiendo acceso. De este modo, el usuario se percata enseguida si aparece un país o una app que no reconoce.
Conviene tener en cuenta que la antigua directiva heredada AuthenticatorAppSignInPolicy ya no es compatible con las configuraciones modernas de Authenticator para notificaciones y modo sin contraseña. En su lugar, la gestión debe hacerse exclusivamente mediante la directiva de Métodos de autenticación.
En escenarios con usuarios híbridos o federados (por ejemplo, cuando se usa Active Directory Federation Services), en el momento en que un usuario habilita cualquier credencial sin contraseña, el proceso de inicio de sesión deja de apoyarse en login_hint para enviarlo directamente al proveedor de identidad federado, lo que cambia ligeramente la experiencia de login.
Problemas frecuentes y limitaciones conocidas
Como cualquier tecnología desplegada a gran escala, el sistema de inicio de sesión sin contraseña con Authenticator tiene algunos problemas conocidos y casos que conviene conocer de antemano para no llevarse sorpresas.
Uno de los escenarios más habituales es que el usuario no vea la opción de inicio de sesión telefónico sin contraseña en la pantalla de login, a pesar de haber completado el registro. A veces esto ocurre porque hay una verificación pendiente en curso que no se ha terminado de aprobar.
Para resolverlo, suele bastar con abrir la aplicación Authenticator en el móvil y responder a cualquier notificación pendiente. Una vez hecho, en los siguientes intentos de acceso debería volver a aparecer la opción de usar el teléfono sin contraseña.
En organizaciones donde el administrador ha configurado directivas de acceso condicional, es posible que veas mensajes del tipo “Es posible que esté iniciando sesión desde una ubicación restringida por su administrador” o que la app te indique que debes ir a aka.ms/mfasetup para completar la configuración. Esto indica que la política corporativa está bloqueando el registro o uso de Authenticator.
En estos casos, no hay mucho que puedas hacer por tu cuenta: tendrás que contactar con el administrador para que habilite el método de inicio de sesión en teléfono sin contraseña para tu cuenta profesional o educativa, o te indique el procedimiento correcto para el alta.
También existe una limitación relacionada con los usuarios locales o con muchos dispositivos. Un usuario puede crear y usar una credencial de inicio de sesión telefónico sin contraseña, pero si intenta actualizar demasiadas instalaciones (por ejemplo, más de cinco móviles diferentes) con esa misma credencial, la operación puede fallar y será necesario limpiar registros antiguos.
Para quienes se preocupan por el riesgo de robo del móvil, conviene recordar que, aun con ese riesgo, los métodos sin contraseña basados en biometría, claves de seguridad o aplicaciones como Authenticator son, en general, más robustos que las contraseñas clásicas, que pueden filtrarse en masa o ser adivinadas mediante ataques automatizados.
Gracias a la combinación de credenciales ligadas al dispositivo, factores locales (PIN, huella, rostro) y control administrativo mediante políticas de Microsoft Entra, el ecosistema de Microsoft Authenticator ofrece un equilibrio bastante sólido entre comodidad y seguridad, siempre que se apliquen las buenas prácticas y se reaccione con rapidez ante pérdidas o robos de dispositivos.
Adoptar el inicio de sesión sin contraseña con Microsoft Authenticator supone un cambio de chip importante, pero una vez configurado y entendido su funcionamiento, se convierte en una forma muy cómoda y segura de acceder a tus cuentas, evitando la carga de recordar contraseñas y reduciendo a la vez la superficie de ataque frente a suplantaciones y accesos no autorizados.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.