- Microsoft impulsa métodos de autenticación sin contraseña y resistentes al phishing para reducir el riesgo de robo de credenciales y mejorar la experiencia de inicio de sesión.
- La aplicación Microsoft Authenticator permite iniciar sesión en cuentas de Microsoft Entra y Microsoft 365 mediante inicio de sesión telefónico, usando notificaciones, número de verificación y biometría sin teclear contraseñas.
- Los administradores deben habilitar Authenticator y otros métodos sin contraseña desde las directivas de métodos de autenticación y acceso condicional en Microsoft Entra ID, coordinando equipos de seguridad, soporte y comunicaciones.
- El modelo sin contraseña presenta algunas limitaciones y problemas conocidos, pero bien planificado permite que la mayoría de usuarios deje de usar contraseñas en su día a día con mayor seguridad.
La autenticación sin contraseña en cuentas de Microsoft ya no es algo futurista ni exclusivo de entornos muy avanzados. Hoy cualquiera puede iniciar sesión en Microsoft 365, Entra ID (antes Azure AD) o en su cuenta personal de Microsoft usando el móvil, biometría o claves de seguridad, sin teclear ni una sola contraseña. Además de ser más cómodo, es una medida clave para reducir robos de credenciales y ataques de phishing.
En este artículo vamos a ver, con bastante detalle, cómo funciona el inicio de sesión sin contraseña con Microsoft Authenticator y passkeys, qué necesita tu organización para implantarlo, cómo habilitarlo como administrador en Microsoft Entra ID, qué pueden hacer los usuarios finales y qué limitaciones o problemas conocidos existen. También veremos por qué Microsoft insiste tanto en abandonar la contraseña tradicional y cómo encaja todo esto dentro de una estrategia de seguridad de Confianza Cero.
Por qué Microsoft quiere acabar con las contraseñas
Las contraseñas se han convertido en el principal vector de ataque en entornos corporativos y personales. Se reutilizan, se filtran en brechas de datos, se adivinan, se roban con phishing o malware y, a la mínima, un atacante consigue acceso completo a cuentas de correo, documentos y aplicaciones críticas.
Los modelos clásicos de seguridad basados en «usuario + contraseña» más un segundo factor básico (por ejemplo un SMS) son mejores que la contraseña sola, pero siguen teniendo bastantes puntos débiles: los mensajes de texto se pueden interceptar, los usuarios siguen cayendo en webs de phishing y continúan existiendo robos de credenciales a gran escala.
Para reducir todo este riesgo, Microsoft recomienda pasar a métodos de autenticación sin contraseña resistentes a la suplantación de identidad. Estos métodos se apoyan en credenciales ligadas a un dispositivo físico (móvil, portátil, llave, etc.) y exigen algo que tienes (el dispositivo) y algo que sabes o eres (PIN, huella, rostro), cumpliendo MFA de forma integrada, sin obligar al usuario a recordar nada.
Además, los inicios de sesión con passkeys o credenciales FIDO2 son mucho más ágiles. Según los datos internos de Microsoft, una autenticación con contraseña puede rondar los 24 segundos, mientras que una clave de acceso típica se valida en unos 8 segundos, e incluso menos (alrededor de 3 segundos) si es una passkey sincronizada en gestores como Google Password Manager o iCloud Keychain.
Esta combinación de más seguridad y menos fricción para el usuario final es la razón por la que Microsoft está empujando tan fuerte su plataforma sin contraseña en Microsoft Entra ID y en todo el ecosistema de Microsoft 365 y Windows.
Opciones de autenticación sin contraseña en Microsoft Entra ID
Microsoft Entra ID ofrece varias formas de iniciar sesión sin introducir contraseñas, pensadas tanto para dispositivos personales como corporativos y para distintos tipos de usuario y escenario. Las principales categorías que contempla actualmente son:
En primer lugar, están las claves de paso (FIDO2 / passkeys). Son credenciales basadas en estándares FIDO2 que se almacenan en un dispositivo (por ejemplo, una llave de seguridad o una passkey de plataforma). Pueden ser claves sincronizadas a través de gestores como Google Password Manager o iCloud, o bien claves basadas en hardware físico tipo YubiKey y similares.
En segundo lugar, Microsoft incluye Windows Hello para empresas. Esta tecnología crea una credencial ligada al equipo Windows, protegida por PIN o biometría (huella o reconocimiento facial). Es la base para inicios de sesión sin contraseña en el escritorio de Windows cuando el dispositivo está unido a Microsoft Entra ID o gestionado adecuadamente.
Otra opción son las claves de acceso de Microsoft Entra en Windows (en versión preliminar) y las credenciales de plataforma para macOS (también en vista previa). Ambas facilitan que el sistema operativo gestione credenciales sin contraseña directamente integradas con Entra ID, simplificando el inicio de sesión seguro en entornos modernos.
Dentro del mundo móvil, destacan las claves de acceso en la aplicación Microsoft Authenticator. Aquí es donde entra en juego el inicio de sesión telefónico sin contraseña: el usuario aprueba una notificación en la app, introduce el número que aparece en pantalla y confirma con PIN o biometría del dispositivo, sin escribir la contraseña de la cuenta.
Finalmente, Microsoft sigue dando soporte a tarjetas inteligentes y autenticación basada en certificados, que pueden considerarse credenciales sin contraseña en muchos entornos empresariales y que también resisten bien los intentos de phishing cuando se implantan correctamente.
Cómo funciona Microsoft Authenticator para iniciar sesión sin contraseña
La aplicación Microsoft Authenticator es una pieza clave de la estrategia sin contraseña de Microsoft. Está disponible para iOS y Android y permite tanto la autenticación multifactor clásica (MFA con notificaciones push o códigos) como el inicio de sesión telefónico sin contraseña.
Detrás de Authenticator hay una autenticación basada en claves. Básicamente, se genera una credencial asociada al usuario y vinculada a un dispositivo concreto. Para usar esa credencial, el dispositivo exige un factor local como un PIN, huella o reconocimiento facial. Windows Hello para empresas usa una tecnología muy similar, pero centrada en el propio equipo Windows.
El flujo de uso típico del inicio de sesión en el teléfono es muy sencillo. En la pantalla de inicio de sesión de Microsoft 365 o cualquier app integrada con Entra ID, el usuario escribe solo su nombre de usuario (correo corporativo o de estudio). Después, en lugar de teclear la contraseña, selecciona la opción de aprobar una solicitud en la app Authenticator.
En ese momento aparece un número en la pantalla de inicio de sesión. El móvil muestra una notificación de Authenticator pidiendo que se confirme el acceso. El usuario tiene que seleccionar la cuenta adecuada y escribir en la app el número que ve en la web. Esta verificación de número cruzado impide que alguien apruebe por error una notificación que no le corresponde.
Una vez introducido el número, el dispositivo pedirá PIN o biometría para validar que quien aprueba es realmente el propietario del móvil. Solo entonces se completa el inicio de sesión y se concede el acceso a la cuenta sin haber introducido la contraseña en ningún momento.
Un detalle importante es que se pueden configurar varias cuentas de Microsoft Entra ID en la misma aplicación Authenticator y habilitar el inicio de sesión telefónico sin contraseña en todas ellas, siempre que el dispositivo esté registrado en cada inquilino correspondiente. Sin embargo, las cuentas de invitado (guest) no están soportadas para el modelo de varias cuentas en un mismo dispositivo.
Requisitos previos para usar el inicio de sesión telefónico sin contraseña
Antes de lanzarse a activar el inicio de sesión sin contraseña para todo el mundo, hay que asegurarse de que se cumplen algunos requisitos mínimos a nivel técnico y organizativo. Microsoft recomienda revisar estos puntos para evitar problemas posteriores.
Por un lado, es muy aconsejable tener Microsoft Entra Multi-Factor Authentication (MFA) configurado en la organización, permitiendo el uso de notificaciones push como método de verificación. Las notificaciones ayudan a bloquear accesos no autorizados y transacciones fraudulentas, y además la app Authenticator genera códigos automáticamente para tener un método de respaldo si el dispositivo se queda sin conexión.
Además, es obligatorio que el dispositivo donde se va a usar Authenticator esté registrado en cada inquilino de Entra ID en el que se quiera habilitar el inicio de sesión telefónico. Por ejemplo, si una persona trabaja con cuentas como balas@contoso.com y balas@wingtiptoys.com, el móvil debe registrarse en ambos inquilinos (Contoso y Wingtip Toys) para permitir el uso sin contraseña con todas esas identidades.
Para la parte de administración, conviene activar primero la llamada experiencia de registro combinada en Microsoft Entra ID. Esta experiencia unifica el registro de métodos de seguridad (MFA, restablecimiento de contraseña, etc.) y simplifica la incorporación de Authenticator como método sin contraseña.
Desde el punto de vista de licenciamiento, el mero hecho de registrar e iniciar sesión con métodos sin contraseña no requiere una licencia específica. Aun así, Microsoft recomienda tener al menos una licencia P1 de Microsoft Entra ID para aprovechar todo el conjunto de funcionalidades: acceso condicional para forzar credenciales resistentes a phishing, informes de uso de métodos de autenticación, etc.
Por último, es crítico identificar a los equipos de trabajo que van a intervenir en el proyecto: administración de identidades y acceso, arquitectura de seguridad, operaciones de seguridad, equipo de auditoría, soporte técnico y el área de comunicaciones al usuario final. Si no se alinean estos grupos, la implantación puede quedarse a medias o generar demasiadas incidencias.
Cómo habilitar Microsoft Authenticator sin contraseña como administrador
Desde la consola de administración de Microsoft Entra ID, los administradores tienen la capacidad de definir qué métodos de autenticación están permitidos para la organización. Es aquí donde se habilita Microsoft Authenticator tanto para MFA tradicional como para el modo sin contraseña.
El punto de partida es acceder al Centro de administración de Microsoft Entra con una cuenta que tenga, como mínimo, el rol de administrador de directivas de autenticación. Una vez dentro, hay que ir a la sección Entra ID y desde ahí a Métodos de autenticación y Directivas, donde se gestionan las reglas de uso de cada método.
Dentro de la configuración de métodos, se puede activar Microsoft Authenticator y decidir si se permite la inserción MFA clásica (notificación push para confirmar con contraseña) y/o el inicio de sesión telefónico sin contraseña. Cada grupo de usuarios se puede configurar para que pueda utilizar cualquiera de los modos o limitarlo según las necesidades de seguridad.
De forma predeterminada, los grupos suelen estar configurados para usar «cualquier modo» con Authenticator, lo que significa que sus miembros pueden iniciar sesión bien aprobando una notificación push estándar o bien utilizando el inicio de sesión telefónico sin contraseña, si lo han registrado correctamente en su app.
Una duda muy habitual entre administradores es si se puede forzar de forma absoluta el uso sin contraseña, impidiendo que el usuario vuelva a autenticarse con su contraseña incluso después de configurarlo todo. La realidad es que, aunque puedes empujar muy fuerte hacia el modelo sin contraseña mediante políticas de acceso condicional y restricciones de métodos permitidos, Microsoft sigue manteniendo la posibilidad de usar la contraseña en escenarios puntuales, por ejemplo para recuperación o compatibilidad con ciertas aplicaciones heredadas.
Aun así, usando la combinación de directiva de métodos de autenticación y acceso condicional, se puede acercar bastante a un escenario donde los nuevos usuarios, tras registrar Authenticator y completar su primer inicio de sesión, prácticamente siempre utilicen el teléfono u otros métodos sin contraseña, reduciendo el uso de contraseña a circunstancias excepcionales.
Registro de los usuarios en la aplicación Authenticator
Una vez habilitado Microsoft Authenticator como método en la organización, toca abordar el registro de los usuarios finales, que puede hacerse de dos formas principales: mediante un registro guiado desde la página de Información de seguridad o usando un pase de acceso temporal proporcionado por el administrador.
En el registro guiado estándar, el usuario accede en un navegador a la página de Información de seguridad de su cuenta, inicia sesión con sus credenciales actuales y selecciona la opción de Agregar método. Desde ahí elige «aplicación Authenticator» y sigue las instrucciones para instalarla en su dispositivo y vincular la cuenta mediante código QR o procedimiento similar.
Cuando termina ese proceso, Authenticator queda registrado al menos como método de MFA. En la sección de Información de seguridad de la cuenta aparecerá un método de tipo Microsoft Authenticator, que puede ser «sin contraseña» o «inserción de MFA» según lo que esté permitido y se haya registrado.
Si la organización quiere que el usuario ni siquiera tenga que usar una contraseña al principio, puede optar por el registro directo con pase de acceso temporal. En ese caso, primero el administrador genera un temporary access pass (TAP) para el usuario, que actúa como credencial temporal segura para la primera configuración.
Con ese pase de acceso temporal, el usuario instala Microsoft Authenticator en su móvil, abre la app, selecciona Agregar cuenta, elige Cuenta profesional o educativa y se identifica usando el TAP en lugar de la contraseña. Después, completa los pasos que la aplicación va indicando para activar el inicio de sesión telefónico sin contraseña.
En entornos donde se habilita el autoservicio de restablecimiento de contraseña, el TAP puede utilizarse también para que el propio usuario registre Authenticator como método de inicio de sesión sin necesidad de que conozca o use una contraseña tradicional en ningún momento, reforzando el enfoque completamente passwordless desde el primer día.
Activar el inicio de sesión telefónico en la app Authenticator
Registrar la aplicación no es suficiente: el usuario debe habilitar explícitamente el inicio de sesión telefónico sin contraseña para cada cuenta que quiera usar de ese modo. Este paso suele pasar desapercibido, pero es imprescindible.
Para activarlo, el usuario abre la aplicación Microsoft Authenticator en su móvil y selecciona la cuenta profesional o educativa previamente registrada. Dentro de las opciones disponibles, verá algo similar a «Configurar solicitudes de inicio de sesión sin contraseña» o «Habilitar inicio de sesión telefónico».
Al pulsar esa opción, la aplicación inicia un breve flujo de configuración que puede requerir confirmar la identidad del usuario con un inicio de sesión en el navegador, aprobar una notificación o validar algún dato adicional. Tras completar estos pasos, la cuenta queda marcada como apta para inicios de sesión telefónicos sin contraseña.
A partir de ese momento, cuando el usuario intente iniciar sesión en Microsoft 365, Entra ID o cualquier aplicación integrada, al escribir su nombre de usuario podrá elegir la opción de «Aprobar una solicitud en mi aplicación Authenticator». La web mostrará un número, y la app pedirá al usuario que seleccione ese número y confirme con PIN o biometría.
Una vez que el usuario ha empezado a iniciar sesión de esta manera, el sistema suele mantener este método como preferente, mostrando siempre la opción de aprobar la solicitud en el teléfono, aunque siga existiendo la posibilidad de elegir otro método alternativo si es necesario.
Para organizaciones que quieren orientar de forma activa a sus usuarios, se puede proporcionar documentación interna indicando que, tras registrar Authenticator, accedan a la app y activen expresamente el inicio de sesión telefónico, de modo que quede claro qué deben hacer y se reduzca el número de incidencias en soporte.
Experiencia de inicio de sesión sin contraseña para el usuario
Cuando ya están configurados todos los elementos (inquilino habilitado, Authenticator registrado y el inicio de sesión telefónico activado), la experiencia de usuario cambia de forma notable. En lugar de depender de la contraseña, el usuario recurre casi siempre a su dispositivo móvil y a la biometría.
En el primer intento típico, la persona escribe su nombre de usuario en el panel de inicio de sesión de Microsoft 365 o de la app en cuestión y pulsa Siguiente. En caso de que no aparezca por defecto, puede hacer clic en Otras formas de iniciar sesión para seleccionar la opción de Aprobar una solicitud en mi aplicación Authenticator.
La pantalla mostrará un número aleatorio. Casi en paralelo, el móvil del usuario recibirá una notificación de Authenticator avisando de que se está intentando un inicio de sesión. Al abrirla, la app pedirá que el usuario elija el número correcto que está viendo en el PC o navegador, lo que ayuda a evitar aprobaciones ciegas o engañosas.
En el último paso, el sistema le pedirá al usuario que desbloquee el dispositivo con su PIN, huella o rostro. Esta combinación de algo que tiene (el móvil) y algo que es o sabe (PIN o biometría) hace que la autenticación cuente como MFA robusta, sin depender de códigos enviados por SMS o correos electrónicos, que son más vulnerables.
Tras varios inicios de sesión con este método, la mayoría de usuarios terminan por olvidarse de la contraseña en el día a día, ya que el flujo con Authenticator se vuelve su forma natural de entrar en Office, Teams, OneDrive o cualquier otra aplicación vinculada a la organización.
En caso de que por alguna razón se necesite otro método (por ejemplo, porque el móvil se ha perdido o está sin batería), siempre queda la opción de recurrir a otros factores de autenticación si el administrador los ha permitido: passkeys, claves de seguridad FIDO2, Windows Hello, tarjeta inteligente u otros mecanismos configurados.
Gestión, control y equipos implicados en el proyecto sin contraseña
La forma más recomendable de administrar Microsoft Authenticator y los distintos métodos de autenticación es usar la directiva de métodos de autenticación de Microsoft Entra. Desde ella, los administradores pueden habilitar o deshabilitar Authenticator, así como incluir o excluir usuarios y grupos específicos.
Dentro de esa directiva, se pueden definir parámetros para dar más contexto en las solicitudes de inicio de sesión. Por ejemplo, añadir la ubicación aproximada o el nombre de la aplicación que está pidiendo acceso, de manera que el usuario tenga más información antes de pulsar Aprobar o Rechazar en su móvil.
En el plano organizativo, es clave que el equipo de Administración de identidades y acceso (IAM) lleve el día a día de la configuración, mientras que el área de Arquitectura de seguridad diseña la estrategia sin contraseña dentro del marco de seguridad global. Operaciones de seguridad, por su parte, monitoriza los eventos de autenticación, investiga posibles amenazas y aplica medidas cuando se detectan anomalías.
El equipo de Seguridad y auditoría tiene la responsabilidad de verificar el cumplimiento de normativas internas y externas, revisando periódicamente los procesos de autenticación, evaluando riesgos y proponiendo mejoras. Todo ello se complementa con el trabajo del soporte técnico, que ayuda a los usuarios finales en sus primeros pasos con la autenticación sin contraseña y resuelve incidencias concretas.
Por último, el área de comunicaciones al usuario final juega un papel fundamental. Un cambio tan relevante como abandonar las contraseñas requiere mensajes claros: qué va a cambiar, qué debe hacer el usuario, por qué es más seguro y qué hacer si pierden el móvil o cambian de dispositivo.
En paralelo, la integración de aplicaciones con Microsoft Entra ID es otro frente imprescindible. Cuantas más aplicaciones (SaaS, LOB, on-premises publicadas, etc.) estén integradas con Entra ID, más se puede aprovechar la autenticación sin contraseña y aplicar acceso condicional para exigir métodos resistentes a phishing de forma homogénea.
Problemas conocidos y limitaciones de la autenticación sin contraseña
Aunque el modelo sin contraseña es muy robusto, Microsoft documenta varios problemas conocidos y restricciones que conviene tener presentes para evitar sorpresas durante la implantación o el soporte.
Uno de los casos más frecuentes es cuando un usuario no ve la opción de inicio de sesión telefónico sin contraseña en la pantalla de autenticación, pese a tener Authenticator configurado. A veces esto se debe a que hay una verificación pendiente en Authenticator; si el usuario intenta iniciar sesión de nuevo mientras esa solicitud sigue sin responder, el sistema puede mostrar solo la opción de introducir la contraseña.
La solución en ese escenario es sencilla: el usuario debe abrir la app Microsoft Authenticator en su móvil y responder (aprobar o rechazar) las notificaciones que tenga en cola. Una vez se liberen esas solicitudes, en los próximos intentos de inicio de sesión la opción de teléfono sin contraseña volverá a aparecer con normalidad.
Otra limitación importante es que la antigua directiva AuthenticatorAppSignInPolicy está obsoleta y ya no se admite para controlar Authenticator. Para permitir notificaciones push o inicio de sesión telefónico sin contraseña, siempre hay que usar la directiva de Métodos de autenticación, que es la que Microsoft mantiene y actualiza.
En entornos con cuentas federadas o híbridas (por ejemplo, con Servicios de federación de Active Directory, AD FS), cuando un usuario habilita cualquier credencial sin contraseña, el proceso de inicio de sesión de Microsoft Entra deja de usar el parámetro login_hint. Esto implica que el flujo ya no fuerza al usuario de manera automática hacia un punto de inicio de sesión federado como ocurría antes.
Normalmente, este comportamiento impide que un usuario de un inquilino híbrido sea redirigido a AD FS para validar sus credenciales, ya que se favorece la autenticación directa con métodos sin contraseña respaldados por Entra ID. Aun así, suele seguir existiendo la opción manual para seleccionar “Usar la contraseña en su lugar” si la configuración así lo permite.
En el caso de usuarios gestionados por un proveedor de identidades local pero habilitados para MFA, es posible que estos usuarios solo puedan crear y usar una única credencial de inicio de sesión telefónico sin contraseña. Si intentan actualizar demasiadas instalaciones de Authenticator (por ejemplo, más de cinco dispositivos diferentes) con la misma credencial sin contraseña, pueden aparecer errores al intentar registrar nuevas instancias.
Como en cualquier proyecto de seguridad, estas limitaciones no impiden adoptar el modelo sin contraseña, pero sí obligan a planificar bien la arquitectura de identidades, especialmente en organizaciones muy grandes, híbridas o con necesidades especiales de federación y autenticación local.
Al final, la autenticación sin contraseña en Microsoft Entra ID, especialmente con Microsoft Authenticator y passkeys, permite a las organizaciones reducir drásticamente el riesgo asociado a contraseñas débiles o robadas y, a la vez, hacer que el proceso de inicio de sesión sea más rápido y cómodo para los usuarios. Si se combinan bien las directivas de métodos de autenticación, el acceso condicional y una buena comunicación interna, la contraseña pasa a un segundo plano y el móvil, la biometría y las claves de seguridad se convierten en el eje de una identidad más segura y difícil de suplantar.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.