Microsoft da un ultimátum a los administradores: desactiven los scripts o perderán el acceso a la interfaz

Microsoft refuerza la protección del acceso a las cuentas de Microsoft Entra ID: la empresa planea bloquear por completo la ejecución de scripts de terceros en la página de autenticación, dejando acceso únicamente a sus propios dominios y a scripts inline de confianza. Este cambio formará parte de la iniciativa Secure Future Initiative y está destinado a cerrar a los atacantes uno de sus vectores de ataque preferidos: la inyección de código malicioso directamente en el proceso de acceso del usuario.

A partir de mediados o finales de octubre de 2026, Microsoft Entra ID comenzará a aplicar globalmente la cabecera Content Security Policy (CSP) actualizada para los escenarios de inicio de sesión en navegador en direcciones que comienzan con login.microsoftonline.com. La nueva política permitirá cargar JavaScript únicamente desde dominios CDN de confianza de Microsoft y ejecutar solo aquellos scripts inline que estén marcados con un nonce de un solo uso. Cualquier código externo o sin marcación será bloqueado a nivel del navegador.

En la práctica, Microsoft está construyendo una barrera de protección adicional contra ataques de tipo cross-site scripting (XSS), cuando los atacantes inyectan sus propios scripts en una página web para interceptar contraseñas, tokens o alterar el contenido de la interfaz. Cuanto más masivos se vuelven los servicios en la nube y las plataformas corporativas de autorización, más atractivos resultan para los atacantes, y más importante es para el proveedor controlar estrictamente qué código se ejecuta durante el inicio de sesión del usuario.

Sin embargo, bajo este cambio no solo quedarán afectados scripts manifiestamente maliciosos, sino también herramientas legítimas que se "intercalan" en el proceso de autenticación. Microsoft advierte de forma explícita: si utiliza extensiones de navegador, complementos, barras de depuración o complementos corporativos que inyectan JavaScript en la página de inicio de sesión de Entra ID, tras la activación de la nueva CSP dejarán de funcionar. Esto puede afectar, por ejemplo, soluciones internas de monitorización de la experiencia de usuario, analíticas adicionales, pruebas A/B o elementos visuales personalizados en la pantalla de inicio de sesión.

Al mismo tiempo, los usuarios seguirán pudiendo iniciar sesión: la CSP bloquea únicamente la ejecución de código de terceros, no el proceso de autenticación en sí. Los cambios afectan exclusivamente al inicio de sesión en navegador a través de login.microsoftonline.com y no afectan a Microsoft Entra External ID ni a escenarios de terceros que funcionen fuera de esa página. Para las empresas que no dependen de "complementos" basados en scripts sobre la página de inicio de sesión, el comportamiento del sistema permanecerá igual, aunque más protegido.

Microsoft recomienda a administradores e ingenieros de seguridad realizar con antelación una auditoría de sus esquemas de autenticación. Verificar si hay incumplimientos de la nueva política CSP en un tenant concreto se puede hacer directamente con las herramientas de desarrollo del navegador: basta con realizar el proceso de inicio de sesión con la consola abierta y comprobar si aparecen en ella mensajes de bloqueo de recursos marcados en rojo. Es importante probar diferentes escenarios de inicio de sesión y distintos tipos de usuarios: si el script problemático solo lo usa un equipo o un especialista concreto, las advertencias solo se verán en sus flujos.

Microsoft subraya que el objetivo de los cambios no es romper las herramientas habituales de los administradores, sino cerrar la ventana de oportunidad para ataques ocultos que los usuarios ni siquiera perciben. No obstante, la responsabilidad de prepararse para la transición recae en las propias organizaciones: las que no dejen a tiempo la inyección de código en la página de inicio de sesión de Entra ID o no encuentren una alternativa verán cómo, al activarse la CSP, parte de las integraciones y complementos simplemente dejan de funcionar. Cuanto antes comiencen las empresas las pruebas y la adaptación, más fluido será el paso al nuevo modelo de seguridad más estricto.