Microsoft elimina el soporte de contraseñas en Authenticator a partir de agosto de 2025

Introducción

Microsoft ha anunciado oficialmente que eliminará el soporte para la gestión de contraseñas en su aplicación Authenticator a partir del 1 de agosto de 2025. Esta decisión forma parte de una estrategia más amplia para simplificar la funcionalidad de autofill dentro de la aplicación y acelerar la transición hacia métodos de autenticación más robustos y sin contraseña. El anuncio impacta directamente a profesionales de la ciberseguridad, administradores de sistemas y usuarios avanzados que dependen de Authenticator para la gestión segura de credenciales y autenticación multifactor (2FA).

Contexto del Incidente o Vulnerabilidad

Microsoft Authenticator ha evolucionado, pasando de ser una simple aplicación de códigos TOTP a integrar capacidades de gestión de contraseñas y autofill para credenciales en aplicaciones y sitios web. Esta función, lanzada en 2021, permitía a los usuarios almacenar y rellenar automáticamente contraseñas, compitiendo con gestores como LastPass o Bitwarden. Sin embargo, Microsoft ha decidido replantear su estrategia, alineándose con la tendencia de eliminación de contraseñas (passwordless) y el avance de estándares como FIDO2 y passkeys.

La compañía comunicó que, a partir de julio de 2025, la función de autocompletado (autofill) dejará de estar disponible y, un mes después, las contraseñas almacenadas ya no serán accesibles desde Authenticator. Esta modificación busca centrar la aplicación en la autenticación multifactor y la generación de códigos OTP, eliminando funcionalidades solapadas con otros servicios de Microsoft, como el Administrador de Contraseñas de Edge y las soluciones de Azure Active Directory.

Detalles Técnicos

El cambio no responde a una vulnerabilidad específica ni a la publicación de un CVE, sino a una decisión estratégica de producto. No obstante, tiene implicaciones técnicas relevantes:

– Vectores de ataque mitigados: Al eliminar la gestión de contraseñas en Authenticator, se reduce la superficie de exposición ante ataques que buscan explotar sincronizaciones, exportaciones o robos de bases de datos de credenciales.
– TTP MITRE ATT&CK: Los atacantes que emplean técnicas como Credential Access (T1555) o Password Managers (T1555.005) verán reducido su margen de acción en el ecosistema de Authenticator.
– IoC y explotación: Hasta la fecha, no se han reportado indicadores de compromiso (IoC) asociados directamente a esta funcionalidad. Sin embargo, gestores de contraseñas han sido objetivo recurrente de campañas de malware y phishing, como las asociadas a infostealers (RedLine, Raccoon, etc.).
– Versiones afectadas: Todas las versiones de Authenticator para iOS y Android que soportan autofill y gestión de contraseñas resultarán afectadas. No se prevé la publicación de un exploit específico, pero sí la retirada del soporte y funcionalidad.

Impacto y Riesgos

El impacto para empresas y usuarios es significativo:

– Pérdida de acceso: Las contraseñas almacenadas en Authenticator serán inaccesibles tras agosto de 2025. Microsoft recomienda exportarlas y migrarlas a otros gestores antes de la fecha límite.
– Interrupción de flujos: Organizaciones que hayan integrado Authenticator en sus políticas de gestión de identidades y acceso (IAM) deberán revisar procesos y formaciones.
– Riesgo de shadow IT: Usuarios que busquen alternativas podrían recurrir a gestores no autorizados, aumentando el riesgo de exposición.
– Repercusión en cumplimiento: Sectores regulados bajo GDPR, NIS2 o la ISO/IEC 27001 deben asegurar la continuidad y protección de las credenciales gestionadas, adaptando sus controles a la nueva situación.

Medidas de Mitigación y Recomendaciones

– Exportación de credenciales: Antes de julio de 2025, se recomienda exportar todas las contraseñas almacenadas en Authenticator. Microsoft ofrece guías para su transferencia a otros gestores.
– Adopción de passkeys y autenticación passwordless: Aprovechar la transición para implementar soluciones basadas en FIDO2, Windows Hello y autenticación biométrica.
– Revisión de políticas de gestión de contraseñas: Evaluar alternativas como Azure Password Manager, Bitwarden o soluciones enterprise con integración SSO y MFA.
– Formación y concienciación: Actualizar campañas de concienciación sobre buenas prácticas de autenticación y riesgos de shadow IT.
– Integración con SIEM/SOC: Monitorizar cambios inusuales en los patrones de autenticación tras la transición y vigilar la aparición de gestores no autorizados.

Opinión de Expertos

Expertos del sector consideran que este movimiento es coherente con la tendencia passwordless y la reducción de la exposición de credenciales. Según Javier Martínez, CISO de una multinacional tecnológica, “la simplificación de Authenticator refuerza la seguridad del ecosistema Microsoft al centrarse en MFA robusto y delegar la gestión de contraseñas a plataformas especializadas.” Por su parte, Marta Jiménez, analista SOC, alerta de posibles riesgos de fuga de credenciales si los usuarios no migran correctamente sus datos antes de la retirada.

Implicaciones para Empresas y Usuarios

Las organizaciones deberán actualizar sus flujos de onboarding y gestión de identidades. Aquellas con empleados que usen Authenticator como gestor de contraseñas tendrán que planificar la migración y ofrecer alternativas corporativas. Además, la eliminación de esta función podría acelerar la adopción de passkeys y autenticación sin contraseña, alineándose con los requisitos de NIS2 para fortalecer la autenticación y el acceso a sistemas críticos y datos personales.

Conclusiones

La decisión de Microsoft de eliminar la gestión de contraseñas de Authenticator responde a la necesidad de reducir la superficie de ataque y avanzar hacia un futuro sin contraseñas, en línea con las mejores prácticas de ciberseguridad. Es crucial que tanto empresas como usuarios planifiquen la migración de credenciales y refuercen sus políticas de autenticación para evitar disrupciones y riesgos de seguridad, aprovechando la oportunidad para adoptar estándares passwordless y mejorar la postura de seguridad corporativa.

(Fuente: feeds.feedburner.com)