Autenticación en Dos Pasos de Microsoft 2026: MSA vs Entra ID y Jerarquía de Factores
¿Necesitas códigos de verificación rápidos? Comienza tu viaje de verificación ahora
La verificación en dos pasos de Microsoft en 2026 ya no es «actívala y estarás protegido»: es una jerarquía de factores con garantías de seguridad muy distintas, y el tipo de cuenta (MSA personal vs Entra ID de trabajo o escuela) determina qué factores están disponibles, quién los controla y si los números virtuales de SMS-Act encajan. Esta guía desglosa esas capas y explica qué se recomienda en 2026, qué está siendo eliminado y dónde sigue teniendo lugar la verificación SMS.
El gran cambio de 2026: Microsoft está retirando el SMS en cuentas personales
Microsoft ha comenzado a eliminar el SMS como método de seguridad/2FA en las cuentas personales de Microsoft, afirmando sin rodeos que «la autenticación por SMS es hoy una de las principales fuentes de fraude.» Según los plazos ampliamente reportados, las cuentas personales nuevas dejaron de poder añadir el SMS como método de seguridad alrededor de mayo de 2025, y los factores SMS existentes se eliminarán después de mayo de 2026 — reemplazados por passkeys y la aplicación Authenticator. El SMS sigue apareciendo en la creación de cuenta y en los puntos de comprobación activados por riesgo (donde funciona un número de operadora real de SMS-Act), pero ya no es un factor que conservar a largo plazo. Configura Authenticator o una passkey justo después del registro. (fuente)
Los dos tipos de cuenta — y por qué importan
Microsoft mantiene dos sistemas de identidad paralelos:
| Dimensión | Cuenta personal de Microsoft (MSA) | Trabajo o escuela (Entra ID) |
|---|---|---|
| Ejemplo de dominio | nombre@outlook.com, nombre@hotmail.com | nombre@tuempresa.com |
| Usada para | Outlook.com, Xbox, OneDrive Personal, Skype, instalación de Windows ligada a MSA | Microsoft 365 Business/E3/E5, Azure, Intune, Teams |
| Registro de autoservicio | Sí (cualquier persona con correo + teléfono) | No — aprovisionada por el admin del tenant |
| Control de 2FA | El usuario elige en account.microsoft.com → Seguridad | El admin aplica mediante Acceso condicional |
| ¿Compatible SMS-Act para registro? | Sí — el número virtual recibe el OTP de MSA | No — el campo de teléfono lo aprovisiona el admin |
| Flujo de recuperación | Gestionado por el usuario: correo + teléfono alternativo + código de recuperación | Gestionado por el tenant: restablecimiento por el servicio de ayuda o política SSPR |
| 2FA predeterminado en 2026 | Opcional (fuertemente recomendado) | Obligatorio (Valores predeterminados de seguridad activados en todo el tenant) |
Esta es la fuente de confusión más habitual. Las búsquedas de «verificación SMS 2FA de Microsoft» mezclan flujos de MSA (donde SMS-Act funciona) con flujos de Entra ID (donde no funciona). Comprueba siempre el tipo de cuenta antes de solucionar cualquier problema.
La jerarquía de factores 2FA de Microsoft en 2026
Microsoft clasifica ahora los factores por nivel de seguridad. La pila de 2026, de mayor a menor seguridad:
| Nivel | Factor | Resistencia al phishing | Notas |
|---|---|---|---|
| 1 | Passkeys (WebAuthn, ligadas al dispositivo) | Alta | Predeterminado en Windows Hello, iOS 17+, Android 14+; sin contraseña |
| 2 | Claves de seguridad FIDO2 (YubiKey 5C, Feitian) | Alta | USB-A / USB-C / NFC; admite verificación del usuario |
| 3 | Microsoft Authenticator (push + coincidencia de número) | Alta | Predeterminado para Entra ID desde mayo de 2023 |
| 4 | Windows Hello for Business (PIN + TPM) | Media-Alta | Ligado al dispositivo; solo funciona en Windows administrado |
| 5 | Token de hardware OATH (Token2, Feitian) | Media | Códigos basados en tiempo; funciona sin conexión |
| 6 | TOTP (Google Authenticator, Authy, 1Password) | Media | El mismo protocolo que OATH pero en software |
| 7 | OTP por correo electrónico | Baja-Media | Vulnerable si el correo está comprometido |
| 8 | OTP por SMS | Baja | Aceptable para flujos heredados; expuesto a SIM swapping |
| 9 | OTP por llamada de voz | Baja | La misma superficie de amenaza que el SMS; solo como alternativa |
Microsoft ha ido eliminando los niveles 7-9 en Entra ID. El anuncio de mayo de 2023 eliminó el push simple de aprobación con un toque, imponiendo la coincidencia de número. El anuncio de septiembre de 2024 permitió a los admins deshabilitar SMS/voz como factores principales por completo. En 2026, la mayoría de los tenants empresariales han configurado el SMS como «solo alternativa» con Authenticator + Passkey como pila principal.
Para las cuentas personales MSA el usuario sigue teniendo plena libertad de elección, pero la pantalla de creación de cuenta ahora sugiere Authenticator antes que el SMS.
Por qué Microsoft impulsa Authenticator frente al SMS
La Inteligencia de Amenazas de Microsoft publicó estas tasas de bloqueo (datos de 2024, vigentes en 2026):
| Método | % de ataques automatizados bloqueados |
|---|---|
| Solo contraseña | 0% |
| SMS como 2FA | 99,2% |
| Push de Authenticator (con coincidencia de número) | 99,99% |
| FIDO2 / Passkey | 99,99%+ (resistente al phishing) |
La brecha del SMS existe porque:
- Ataques de SIM swapping — el FBI registró más de 260 millones de dólares en pérdidas en EE. UU. en 2024; un atacante convence a la operadora de portar tu número.
- Vulnerabilidades del protocolo SS7 — interceptación del SMS en tránsito, especialmente en rutas internacionales.
- Kits de phishing — los marcos modernos AitM (Adversary-in-the-Middle) como Evilginx2 capturan los códigos SMS en tiempo real.
- Fallos de entrega de la operadora — en algunos países las tasas de entrega de SMS A2P son inferiores al 90%, provocando bloqueos de usuarios que llevan a debilitar la política de 2FA.
Authenticator evita los cuatro: el secreto nunca sale del enclave seguro del dispositivo, la aprobación push está ligada al hardware del dispositivo, la coincidencia de número rompe la aprobación por inercia y funciona sin conexión.
Por qué los números VoIP no pueden ni siquiera inscribirse
Incluso donde el SMS sigue aceptándose (creación de cuenta, desafíos de riesgo), Microsoft solo acepta números de operadoras móviles reales. Su documentación de soporte indica directamente: «VOIP numbers cannot be added as a way to sign in or get verification codes. Please add a mobile phone number.» La puntuación antifraude de telefonía de Entra ID marca los servicios VoIP (Google Voice, Twilio), los sitios gratuitos de SMS en línea y los números enrutados por centros de datos, y bloquea el código silenciosamente. Los números de SMS-Act provienen de operadoras reales y superan las comprobaciones HLR / autenticidad del número, que es la razón por la que reciben el código en el paso de registro donde un número VoIP falla. Usa ese código para crear la cuenta, y luego pasa inmediatamente a Authenticator/passkey. (fuente)
MSA personal: configuración de la verificación en dos pasos paso a paso
Este es el flujo gestionado por el usuario. Los números virtuales de SMS-Act pueden completar el paso de verificación inicial por teléfono.
Paso 1 — Crear o acceder a tu MSA
- Abre
account.microsoft.come inicia sesión (o crea una cuenta nueva con correo + teléfono — los números de SMS-Act funcionan aquí). - Haz clic en Seguridad → Opciones de seguridad avanzadas.
- Consulta la sección «Formas de probar quién eres».
Paso 2 — Añadir Microsoft Authenticator (principal recomendado)
- En el teléfono, instala Microsoft Authenticator desde la App Store o Play Store.
- En la página de seguridad de
account.microsoft.com, haz clic en Agregar una nueva forma de iniciar sesión o verificar → Usar una aplicación. - Haz clic en Configurar una aplicación autenticadora diferente si no quieres usar Microsoft Authenticator, o sigue el flujo del código QR.
- Escanea el código QR con Authenticator e introduce el código de 6 dígitos que muestra la aplicación.
- Guarda el código de recuperación que aparece al final — solo se muestra una vez.
Nota (cambio de 2025): Microsoft Authenticator dejó de actuar como gestor de contraseñas en 2025 — el autocompletado se retiró aproximadamente en julio-agosto de 2025 y las contraseñas guardadas se migraron a Microsoft Edge. Esto no afecta al 2FA: Authenticator sigue generando códigos TOTP, gestionando aprobaciones push y almacenando passkeys. Aquí lo usas exclusivamente como autenticador, que no ha cambiado.
Paso 3 — Activar la verificación en dos pasos
- En la página de seguridad, baja hasta Verificación en dos pasos y haz clic en Activar.
- Confirma con el código de Authenticator.
- A partir de ahora Microsoft pedirá un segundo factor en cada inicio de sesión desde un dispositivo no de confianza.
Paso 4 — Añadir un factor de respaldo
| Opción de respaldo | ¿Recomendada? | Por qué |
|---|---|---|
| Clave de seguridad FIDO2 | Sí | El respaldo más sólido; funciona sin conexión |
| OTP por correo a una bandeja de entrada alternativa | Sí | Económico, sencillo, funciona en cualquier dispositivo |
| OTP por SMS a tu móvil personal real | Sí (pero no un número virtual) | Alternativa de último recurso |
| OTP por SMS a un número virtual | No | El alquiler caduca; no podrás recuperar la cuenta |
| Aplicación TOTP (Google Authenticator) | Sí | Independiente de Microsoft Authenticator |
Paso 5 — Vincular una passkey (mejor práctica 2026)
- Haz clic en Agregar una nueva forma de iniciar sesión o verificar → Usar una clave de acceso.
- Sigue las indicaciones del sistema operativo: Windows Hello en Windows 11, Face ID en iPhone, huella dactilar en Android o clave de hardware.
- La passkey reemplaza completamente la contraseña en ese dispositivo — el inicio de sesión se convierte en un único factor (el dispositivo en sí = «lo que tienes» + la biometría/PIN = «lo que eres/sabes», combinados en una única credencial resistente al phishing).
Trabajo o escuela (Entra ID): la perspectiva del administrador
En Entra ID el usuario no elige los factores — lo hace el administrador. Como administrador de TI en 2026 normalmente configuras:
Política de métodos de autenticación
En el Centro de administración de Entra → Métodos de autenticación → Directivas, activas:
- Microsoft Authenticator (con coincidencia de número + ubicación GPS + nombre de aplicación mostrado)
- Claves de seguridad FIDO2
- Passkeys
- Opcional: Windows Hello, tokens de hardware OATH
- Deshabilitar o configurar como «Solo secundario»: SMS, voz, correo electrónico
Políticas de acceso condicional
Políticas de referencia habituales en 2026:
- Requerir MFA para todos los usuarios — cada inicio de sesión necesita un segundo factor.
- Bloquear la autenticación heredada — elimina el bypass de autenticación básica por IMAP/POP3.
- Requerir dispositivo conforme — aplica la conformidad de dispositivo Intune antes del inicio de sesión.
- MFA basado en riesgo de inicio de sesión — Identity Protection marca viajes imposibles e inicios de sesión desconocidos, escalando a MFA de nivel superior.
- Requerir MFA resistente al phishing para administradores — solo passkey o FIDO2 para el rol de Administrador global.
Restablecimiento de contraseña de autoservicio (SSPR)
El administrador establece qué factores pueden usar los usuarios para restablecer su propia contraseña. Normalmente:
- Authenticator + correo electrónico + preguntas de seguridad (heredado)
- O Authenticator + correo electrónico + teléfono (donde el teléfono es el móvil real del usuario, aprovisionado por el admin o registrado por el usuario durante la incorporación)
Los números virtuales de SMS-Act no pueden registrarse como teléfono SSPR de una cuenta de Entra ID — aunque el campo de teléfono acepte el formato, el alquiler caduca y el flujo SSPR fallará cuando el usuario necesite recuperar la cuenta más adelante.
Problemas comunes y soluciones
| Síntoma | Causa | Solución |
|---|---|---|
| Código de Authenticator «Incorrecto» aunque lo tecleaste bien | Deriva de hora del dispositivo | Teléfono → Ajustes → Fecha y hora → establecer automáticamente |
| Las notificaciones push han dejado de llegar | La aplicación tiene los datos en segundo plano desactivados | Permite la actividad en segundo plano de Authenticator + excepción de batería |
| Bucle de «No podemos verificar tu cuenta» en MSA | Dispositivo nuevo sin recuperación de confianza | Usa el código de recuperación impreso o inicia el formulario de recuperación de cuenta de 30 días |
| El código SMS nunca llega a un número de EE. UU. real | Filtro de operadora en el código corto de Microsoft | Cambia a Authenticator; si no es posible, solicita OTP por voz en su lugar |
| Perdiste Authenticator + el teléfono | Vuelve a registrar desde un dispositivo de confianza | Usa la clave FIDO2 o el código de recuperación; si no, formulario de recuperación de cuenta (3-30 días) |
| Cuenta de Entra ID bloqueada tras 5 códigos incorrectos | Bloqueo inteligente (10 min de espera predeterminada) | Espera 10 min o contacta con el administrador del tenant |
Dónde encaja SMS-Act en la pila 2FA de Microsoft
Encaja exactamente en un lugar: la verificación inicial por teléfono al crear la MSA.
| Escenario | ¿SMS-Act aplicable? |
|---|---|
| Crear una nueva MSA de Outlook.com / Xbox desde cero | Sí |
| Verificar la barrera de edad de una cuenta Xbox infantil | No — la verificación de edad requiere un instrumento de pago |
| Añadir SMS como factor 2FA a una MSA existente | No — el número caduca tras el alquiler de 15 minutos |
| Añadir SMS como 2FA principal para Entra ID | No — solo lo aprovisiona el admin |
| Teléfono para el restablecimiento de contraseña de autoservicio (SSPR) | No — necesita un número persistente |
| Factor de recuperación para una cuenta de alto riesgo | No — usa Authenticator + FIDO2 + código de recuperación en su lugar |
El patrón: número virtual = ayudante de registro de un único uso, no un factor 2FA de larga duración. Tras crear la MSA, configura inmediatamente Authenticator y una passkey; el SMS pasa a ser una alternativa en la que no puedes confiar.
Pila 2FA recomendada para 2026 en cuentas de Microsoft
| Perfil | Principal recomendado | Secundario recomendado | Recuperación |
|---|---|---|---|
| MSA personal, usuario ocasional | Authenticator | OTP por correo | Código de recuperación impreso y guardado |
| MSA personal, usuario avanzado | Passkey (Hello / Face ID) | Authenticator | Clave FIDO2 + código de recuperación |
| MSA personal, periodista o con modelo de amenaza elevado | Passkey | YubiKey | Segunda YubiKey en lugar seguro |
| Trabajo/Escuela, usuario estándar | Authenticator (coincidencia de número) | Token OATH | SSPR mediante Authenticator + correo secundario |
| Trabajo/Escuela, Administrador global | FIDO2 / Passkey | Segundo FIDO2 | Cuenta de administrador de emergencia en tenant separado |
Qué no puede hacer SMS-Act
- Añadir un teléfono a tu MSA como factor 2FA — usa tu móvil personal real, no un alquiler de 15 minutos.
- Aprovisionamiento de teléfono en Entra ID — los admins controlan esto.
- Recuperar una cuenta bloqueada — el formulario de recuperación de Microsoft de 30 días requiere información de identidad, no SMS.
- Eludir el Acceso condicional — las políticas aplicadas por el tenant no pueden sortearse.
- Aprobación parental / barrera de edad en Xbox — requiere un instrumento de pago del adulto.
Lecturas relacionadas
- Verificación SMS de Microsoft
- Planes de Microsoft 365
- Guía del servicio de recepción de códigos
- Guía de plataformas para recibir códigos de verificación
Aviso de uso
Este servicio está diseñado para apoyar pruebas de desarrollo, verificación de negocio y escenarios internacionales, ayudando a los usuarios a completar procesos de forma razonable y conforme a las normas.
Los usuarios deben asegurarse de cumplir con la legislación aplicable y las políticas de plataformas de terceros. El servicio no participa ni controla la forma en que los usuarios lo utilizan.
En caso de detectar un uso anómalo o inapropiado, las cuentas podrán ser restringidas conforme a las políticas establecidas.
Los usuarios deben ser mayores de 18 años y asumir plena responsabilidad por el uso del servicio y sus consecuencias. Si no está de acuerdo con estos términos, debe dejar de utilizar el servicio.
Obtén un número de verificación para el registro en Microsoft con SMS-Act →