Los códigos SMS Microsoft dejan de ser una opción para iniciar sesión y recuperar cuentas personales. La empresa los retira argumentando que el envío de códigos por mensaje de texto se ha convertido en “una fuente principal de fraude”, y propone pasar a métodos sin contraseña como los passkeys y la verificación por correo.
La decisión afecta a los usuarios con cuentas personales de Microsoft; no se trata de una mejora estética, sino de un cambio en cómo se accede y recupera una cuenta cuando se olvida la contraseña. En la práctica, esto elimina el uso de SMS para dos procesos clave: la autenticación multifactor y la recuperación de cuenta.
Qué sustituye a los códigos SMS Microsoft
Microsoft impulsa principalmente los passkeys, una familia de mecanismos que incluye desde PINs locales hasta autenticación biométrica como huella o reconocimiento facial. La compañía destaca que estos métodos son más resistentes al phishing porque la verificación se realiza en el dispositivo, no en la red móvil.
Además de passkeys, Microsoft propone la verificación mediante correo electrónico y la transición hacia cuentas «sin contraseña». Para recuperar acceso ya no podrás depender del SMS; necesitarás tener una dirección verificada o un passkey configurado.
Riesgos, dudas y lo que Microsoft no aclara todavía
La ventaja técnica de los passkeys es clara: evitan la exposición de códigos en texto plano y redes móviles susceptibles de interceptación. Pero no es un detalle menor: esto cambia cómo se gestiona la privacidad y la seguridad a nivel de dispositivo.
Lo que Microsoft no aclara todavía es el calendario exacto para la retirada completa del SMS en todos los mercados ni cómo facilitarán la migración a usuarios con dispositivos antiguos o sin soporte biométrico. Tampoco hay detalles públicos sobre opciones para quienes rechazan almacenar datos biométricos en ecosistemas de grandes tecnológicas.
La medida también complica la vida a quienes confían en gestores de contraseñas: sin acceso al sistema operativo antes de iniciar sesión no siempre será posible rellenar credenciales desde un password manager. En consecuencia, la recuperación de una cuenta olvidada dependerá más de correos verificados y de medidas previas que de un SMS temporal.
Desde un punto de vista práctico, conviene comprobar ahora mismo la configuración de seguridad de tu cuenta: añade una dirección de correo verificada, activa Windows Hello o un passkey cuando sea posible, y asegúrate de que tu dispositivo tiene bloqueo seguro y copias de seguridad.
No es que los SMS sean la mayor amenaza imaginable, pero sí han demostrado ser un vector de fraude eficaz. Microsoft apuesta por reducir esa superficie de ataque, aunque la transición plantea preguntas legítimas sobre usabilidad, privacidad y compatibilidad que la compañía tendrá que responder con más detalle.
Si prefieres no usar biometría, la alternativa pasa por el uso de passkeys basados en PIN o mantener una dirección de correo verificada y otros factores de recuperación. Habrá que ver si estas opciones son suficientes para todos los perfiles de usuario.
