Microsoft ha revelado una actualización crítica en su política de seguridad que entrará en vigor en octubre de 2026. La compañía bloqueará la ejecución de cualquier script no autorizado durante los procesos de autenticación en Entra ID, como parte de su estrategia para erradicar vectores de ataque basados en inyección de código.
Como parte de su Iniciativa de Futuro Seguro (SFI), Microsoft ha confirmado que endurecerá su Política de Seguridad de Contenido (CSP) para las experiencias de inicio de sesión web. El objetivo principal es proteger el dominio login.microsoftonline.com asegurando que únicamente se ejecuten scripts provenientes de dominios de confianza de Microsoft o fuentes en línea verificadas por la compañía.
Esta medida, que se desplegará globalmente a mediados o finales de octubre de 2026, busca cerrar la puerta a los ataques de Cross-Site Scripting (XSS). Estos ataques aprovechan vulnerabilidades para inyectar código malicioso en sitios legítimos, comprometiendo las credenciales del usuario o secuestrando sesiones activas.
Es importante destacar que esta restricción se aplicará específicamente a los inicios de sesión realizados a través de navegadores web en el dominio principal de autenticación de Microsoft. Según la documentación técnica, los servicios de Microsoft Entra External ID no se verán afectados por este cambio en la política.
La actualización funcionará bajo un modelo de «lista blanca» estricta:
- Solo se permitirán descargas de scripts desde redes de entrega de contenido (CDN) oficiales de Microsoft.
- La ejecución de scripts en línea (inline) requerirá validación de origen.
Este anuncio se enmarca en el tercer informe de progreso de la SFI, publicado en noviembre de 2025. Tras un informe crítico de la Junta de Revisión de Seguridad Cibernética (CSRB) de EE. UU. en 2024, Microsoft ha acelerado sus esfuerzos para priorizar la seguridad en el diseño de sus productos.
Entre los logros recientes destacados por el gigante tecnológico se encuentran:
- La adopción del 99,6% de autenticación multifactor (MFA) resistente al phishing en sus dispositivos y usuarios.
- La migración masiva de la infraestructura de firma de identidad a computación confidencial en Azure.
- La eliminación de servicios obsoletos como Active Directory Federation Services (ADFS) en sus entornos de productividad para reducir la superficie de ataque.
- La desactivación de más de medio millón de inquilinos (tenants) y aplicaciones antiguas sin uso.
Recomendaciones para organizaciones y usuarios
Para evitar interrupciones cuando la política entre en vigor en 2026, Microsoft aconseja tomar medidas proactivas desde ahora:
- Auditoría de herramientas: Las organizaciones deben identificar y descartar extensiones de navegador o herramientas de terceros que modifiquen o inyecten código en la página de inicio de sesión de Entra ID.
- Pruebas de compatibilidad: Los desarrolladores y administradores pueden verificar si sus flujos actuales violan la futura política utilizando la consola del desarrollador del navegador. Si aparecen errores indicando que «se negó la carga del script» debido a directivas script-src o nonce, es señal de que la herramienta utilizada dejará de funcionar tras la actualización.
- Adopción de alternativas: Se recomienda migrar a soluciones que respeten la integridad del flujo de autenticación nativo de Microsoft.
Más información
- Documentación Oficial de Microsoft Entra
https://learn.microsoft.com/en-us/entra/identity-platform/content-security-policy - Informe de Progreso SFI (Noviembre 2025)
https://www.microsoft.com/en-us/trust-center/security/secure-future-initiative - Cobertura sobre el bloqueo de scripts y prevención de XSS https://thehackernews.com/2025/11/microsoft-to-block-unauthorized-scripts.html
