Microsoft implementará el soporte para passkeys para autenticación sin contraseña y resistente al phishing en recursos protegidos por **Microsoft Entra** desde dispositivos Windows a partir de finales de abril. Se espera que la función esté disponible de forma general a mediados de junio de 2026 y también extenderá el inicio de sesión sin contraseña a dispositivos Windows no administrados. Microsoft afirma que las passkeys de Entra en Windows admitirán dispositivos corporativos, personales y compartidos, con controles administrativos a través de las políticas de Acceso Condicional y Métodos de Autenticación. "Los usuarios pueden crear passkeys vinculadas al dispositivo almacenadas en el contenedor de **Windows Hello** y autenticarse utilizando métodos de Windows Hello (rostro, huella digital o PIN)", dijo Microsoft [en una actualización del centro de mensajes](https://admin.microsoft.com/#/MessageCenter/:/messages/MC1282568). "Esto amplía el soporte de autenticación sin contraseña a dispositivos Windows que no están unidos o registrados en Microsoft Entra, ayudando a las organizaciones a fortalecer la seguridad y reducir la dependencia de las contraseñas en escenarios de dispositivos corporativos, personales y compartidos." La nueva función de seguridad estará disponible en organizaciones que hayan habilitado 'Microsoft Entra ID con passkeys' en la 'Política de métodos de autenticación' para usuarios que inicien sesión en dispositivos Windows que no estén unidos o registrados en Microsoft Entra, siempre que las políticas de Acceso Condicional lo permitan (por ejemplo, desde dispositivos corporativos, personales o compartidos). También permite la creación de passkeys **FIDO2** almacenadas en un contenedor de credenciales local seguro que solo se puede utilizar para la autenticación en Microsoft Entra ID a través de Windows Hello utilizando reconocimiento facial, huella digital o PIN (a diferencia de Windows Hello for Business, que también permite el inicio de sesión en el dispositivo). | Característica | Passkey de Microsoft Entra en Windows | Windows Hello for Business | |---|---|---| | Base estándar | FIDO2 | FIDO2 para autenticación, protocolo propietario (1P) para inicio de sesión en el dispositivo | | Registro | Iniciado por el usuario, no requiere unión o registro del dispositivo | Se aprovisiona automáticamente en algunos dispositivos unidos o registrados en Microsoft Entra durante el registro del dispositivo | | Inicio de sesión en el dispositivo y inicio de sesión único (SSO) | N/A | Permite el inicio de sesión en el dispositivo y SSO a recursos integrados en Microsoft Entra después del inicio de sesión en el dispositivo | | Vinculación de credenciales | Vinculada al dispositivo y almacenada en el contenedor local de Windows Hello. Los usuarios pueden registrar múltiples passkeys para múltiples cuentas de trabajo o escuela en el mismo dispositivo. | Principalmente un método de inicio de sesión vinculado al dispositivo y a la confianza del dispositivo. La credencial está vinculada únicamente a la cuenta de trabajo o escuela utilizada para registrar el dispositivo. | | Gestión | Política de métodos de autenticación de Microsoft Entra ID | Microsoft Intune<br> Group Policy | Además, las passkeys están vinculadas criptográficamente a cada dispositivo y nunca se transmiten por la red, por lo que los atacantes no pueden robarlas durante ataques de phishing o malware para eludir la autenticación multifactor. Si bien Microsoft no compartió por qué se agregó esta función, las passkeys de Microsoft Entra en Windows cierran una brecha de seguridad que anteriormente dejaba a los dispositivos personales y compartidos dependientes de la autenticación de Microsoft Entra ID basada en contraseñas. En los últimos meses, los actores de amenazas [han atacado intensamente](https://www.bleepingcomputer.com/news/security/hackers-target-microsoft-entra-accounts-in-device-code-vishing-attacks/) las cuentas de inicio de sesión único (SSO) de Microsoft Entra [utilizando credenciales robadas](https://www.bleepingcomputer.com/news/security/shinyhunters-claim-to-be-behind-sso-account-data-theft-attacks/) en una ola de recientes ataques de robo de datos en SaaS [data-theft attacks](https://www.bleepingcomputer.com/news/security/mandiant-details-how-shinyhunters-abuse-sso-to-steal-cloud-data/). BleepingComputer se puso en contacto con Microsoft para obtener más detalles, pero no obtuvo una respuesta inmediata. En octubre de 2024, Microsoft anunció que también mejoraría la seguridad en los inquilinos de Entra al [hacer obligatoria la autenticación multifactor (MFA)](https://www.bleepingcomputer.com/news/microsoft/microsoft-entra-security-defaults-to-make-mfa-setup-mandatory/) cuando se habilitan los valores predeterminados de seguridad, como parte de la [Iniciativa Futuro Seguro](https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative) de la empresa, lanzada en noviembre de 2023, para aumentar la protección de ciberseguridad en sus productos. Además, Microsoft anunció en mayo de 2025 que todas las nuevas cuentas de Microsoft [serán "sin contraseña por defecto"](https://www.bleepingcomputer.com/news/microsoft/microsoft-makes-all-new-accounts-passwordless-by-default/) para protegerlas contra ataques de fuerza bruta, credential stuffing y phishing.