Microsoft ha anunciado una actualización de seguridad importante para la función de restablecimiento de contraseñas autoservicio (SSPR) de Entra ID. El objetivo es reducir los ataques basados en la identidad mediante la implementación de requisitos de autenticación más estrictos, obligando al uso de métodos de autenticación explícitamente registrados y eliminando la dependencia de la información de contacto almacenada en el directorio que no haya sido verificada formalmente.

Microsoft ha anunciado una actualización de seguridad significativa para su función de Restablecimiento de Contraseña de Autoservicio (SSPR) de Entra ID, introduciendo requisitos de autenticación más estrictos diseñados para reducir los ataques basados en la identidad.

La actualización obliga al uso de métodos de autenticación explícitamente registrados, eliminando la dependencia de la información de contacto almacenada en el directorio que no haya sido verificada formalmente.

Este cambio es parte de la iniciativa más amplia de Microsoft, Secure Future Initiative, que tiene como objetivo fortalecer la verificación de identidad en todas sus plataformas.

Está previsto que la aplicación comience el 7 de septiembre de 2026, tras una campaña de registro que se iniciará el 6 de julio de 2026, instando a los usuarios a configurar los métodos de autenticación adecuados con antelación.

Actualmente, Microsoft Entra ID permite a los usuarios verificar su identidad durante el restablecimiento de la contraseña utilizando detalles de contacto almacenados en atributos del directorio, como números de teléfono móvil, números de teléfono comercial o direcciones de correo electrónico alternativas.

Microsoft Refuerza los Restablecimientos de Contraseña de Entra ID

Estos valores pueden existir en el directorio sin haber sido registrados explícitamente o validados como métodos de autenticación, lo que introduce riesgos de seguridad potenciales.

Bajo la nueva política, solo se aceptarán para la verificación de SSPR los métodos de autenticación explícitamente registrados por los usuarios.

Los atributos del directorio que incluyen mobilePhone, businessPhone y otherMails ya no se considerarán válidos a menos que estén formalmente registrados dentro del marco de métodos de autenticación.

Como resultado, los usuarios que no hayan completado este proceso de registro no podrán restablecer sus contraseñas una vez que comience la aplicación de la medida.

Microsoft señala que aproximadamente el 86 por ciento de las verificaciones actuales de restablecimiento de contraseña ya dependen de métodos registrados, lo que indica que la mayoría de las organizaciones podrían experimentar una interrupción mínima.

Sin embargo, los usuarios restantes que dependen de información de directorio no registrada podrían enfrentar problemas de acceso si las organizaciones no toman medidas proactivas.

La actualización se aplica ampliamente en todos los entornos donde se despliega Entra ID, incluyendo la nube pública y los entornos de la nube del gobierno de EE. UU. como GCC, GCC High y DoD.

Este amplio alcance significa que tanto las organizaciones empresariales como las gubernamentales deben prepararse en consecuencia.

Desde un punto de vista operativo, el cambio afectará a todos los usuarios en los inquilinos con SSPR habilitado, incluidos los administradores.

Debes asegurarte de que los usuarios tengan al menos un método de autenticación compatible registrado antes de la fecha límite de aplicación.

Microsoft recomienda que los administradores revisen la cobertura del registro a través del centro de administración de Entra, habiliten la próxima campaña de registro para impulsar el cumplimiento de los usuarios y comuniquen los cambios claramente a los equipos de TI, al personal de soporte técnico y a los usuarios finales.

Además, se aconseja a las organizaciones establecer procesos de respaldo para los usuarios que no puedan registrarse por sí mismos.

Esto incluye implementar flujos de trabajo de registro asistidos por el soporte técnico y procedimientos de incorporación alternativos para usuarios restringidos o remotos.

Sin estas medidas implementadas, el volumen de solicitudes al soporte técnico podría aumentar significativamente después de la aplicación, ya que los usuarios no registrados tendrán bloqueada la posibilidad de completar los restablecimientos de contraseña.

Según el ID de mensaje MC1325414 publicado el 28 de mayo de 2026, la actualización mejora los controles de cumplimiento al restringir los flujos de restablecimiento de contraseña únicamente a métodos de autenticación verificados.

También mejora la visibilidad administrativa al proporcionar informes optimizados sobre el registro de métodos de autenticación dentro del centro de administración de Entra.

En general, esta actualización refleja una tendencia más amplia de la industria hacia una garantía de identidad más fuerte y una menor dependencia de datos no verificados, ayudando a las organizaciones a mitigar los riesgos de robo de cuentas y acceso no autorizado.