Microsoft ha revelado una actualización crítica en su política de seguridad
que entrará en vigor en octubre de 2026.
La compañía bloqueará la ejecución de cualquier script no autorizado
durante los procesos de autenticación en Entra ID, como parte de su estrategia para erradicar vectores de ataque basados en
inyección de código.
Como parte de su
Iniciativa de Futuro Seguro (SFI), Microsoft ha confirmado que endurecerá su
Política de Seguridad de Contenido (CSP)
para las experiencias de inicio de sesión web. El objetivo principal es
proteger el dominio login.microsoftonline.com asegurando que únicamente
se ejecuten scripts provenientes de dominios de confianza de Microsoft
o fuentes en línea verificadas por la compañía.
Esta medida, que se desplegará globalmente a mediados o finales de octubre de
2026, busca cerrar la puerta a los ataques de Cross-Site Scripting (XSS).
Estos ataques aprovechan vulnerabilidades para inyectar código malicioso en
sitios legítimos, comprometiendo las credenciales del usuario o secuestrando
sesiones activas.
Es importante destacar que esta restricción se aplicará específicamente a los
inicios de sesión realizados a través de navegadores web en el dominio
principal de autenticación de Microsoft. Según la documentación técnica, los
servicios de Microsoft Entra External ID no se verán afectados por este cambio
en la política.
La actualización funcionará bajo un modelo de «lista blanca» estricta:
-
Solo se permitirán descargas de scripts desde redes de entrega de contenido
(CDN) oficiales de Microsoft. - La ejecución de scripts en línea (inline) requerirá validación de origen.
Este anuncio se enmarca en el tercer informe de progreso de la SFI, publicado
en noviembre de 2025. Tras un informe crítico de la Junta de Revisión de
Seguridad Cibernética (CSRB) de EE.UU. en 2024, Microsoft ha acelerado sus
esfuerzos para priorizar la seguridad en el diseño de sus productos.
Entre los logros recientes destacados por el gigante tecnológico se
encuentran:
-
La adopción del 99,6% de autenticación multifactor (MFA) resistente al
phishing en sus dispositivos y usuarios. -
La migración masiva de la infraestructura de firma de identidad a
computación confidencial en Azure. -
La eliminación de servicios obsoletos como Active Directory Federation
Services (ADFS) en sus entornos de productividad para reducir la superficie
de ataque. -
La desactivación de más de medio millón de inquilinos (tenants) y
aplicaciones antiguas sin uso.
Recomendaciones para organizaciones y usuarios.
Para evitar interrupciones cuando la política entre en vigor en 2026,
Microsoft aconseja tomar medidas proactivas desde ahora:
-
Auditoría de herramientas: Las organizaciones deben identificar y descartar
extensiones de navegador o herramientas de terceros que modifiquen o
inyecten código en la página de inicio de sesión de Entra ID. -
Pruebas de compatibilidad: Los desarrolladores y administradores pueden
verificar si sus flujos actuales violan la futura política utilizando la
consola del desarrollador del navegador. Si aparecen errores indicando que
«se negó la carga del script» debido a directivas script-src o
nonce, es señal de que la herramienta utilizada dejará de funcionar
tras la actualización. -
Adopción de alternativas: Se recomienda migrar a soluciones que respeten la
integridad del flujo de autenticación nativo de Microsoft.
Fuente:
Hispasec