Microsoft anunció un cambio significativo en su estrategia de protección para Entra ID, con el objetivo de bloquear ataques de inyección de scripts (script injection) que podrían comprometer credenciales y sesiones autenticadas. La actualización, prevista para implementarse entre mediados y finales de octubre de 2026, introduce una política de seguridad de contenido (CSP) más estricta para los procesos de inicio de sesión basados en navegador.
¿Qué cambiará con la nueva política?
La actualización refuerza la Content Security Policy (CSP) de Entra ID, permitiendo únicamente:
Descargar scripts desde dominios confiables de Microsoft, y
Ejecutar scripts inline solo si provienen de fuentes verificadas por Microsoft.
Con esta medida, la compañía busca bloquear cualquier intento de ejecutar código no autorizado durante la autenticación, mitigando así riesgos como:
Inyección de scripts maliciosos
Ataques de cross-site scripting (XSS)
Robo de credenciales y manipulación del flujo de autenticación
Este cambio solo aplicará a experiencias de inicio de sesión en URLs que comienzan con login.microsoftonline.com.
No afectará a Microsoft Entra External ID.
Impacto para las organizaciones
Microsoft recomienda a las organizaciones probar sus escenarios de inicio de sesión antes de octubre de 2026, especialmente si utilizan:
Extensiones del navegador
Herramientas de automatización
Scripts personalizados
Procedimientos que inyectan código en la página de autenticación
Después del cambio, estas soluciones dejarán de funcionar, ya que la nueva CSP bloqueará cualquier script que no provenga directamente de dominios confiables de Microsoft.
Los administradores podrán revisar posibles afectaciones desde la consola de desarrollador del navegador, donde las violaciones a la CSP aparecerán resaltadas en texto rojo, indicando qué scripts fueron bloqueados.
Recomendaciones para equipos de TI
Auditar cualquier herramienta o extensión que interactúe con las páginas de inicio de sesión.
Retirar soluciones que dependan de inyección de código.
Probar flujos de autenticación en entornos de prueba antes del despliegue oficial.
Preparar comunicación interna para usuarios y equipos que dependan de automatizaciones relacionadas al login.
Un paso más dentro de la iniciativa Secure Future Initiative (SFI)
Esta actualización forma parte del esfuerzo corporativo más amplio de Microsoft conocido como Secure Future Initiative (SFI), lanzado en 2023 tras un informe del Cyber Safety Review Board del Departamento de Seguridad Nacional de EE. UU., que recomendó una renovación profunda de la cultura de seguridad de la compañía.
Dentro de esta iniciativa, Microsoft también ha implementado otras medidas de seguridad significativas:
Bloqueo de accesos a SharePoint, OneDrive y Office mediante protocolos heredados.
Deshabilitación completa de controles ActiveX en Microsoft 365 y Office 2024.
Nuevas funciones de privacidad en Teams diseñadas para bloquear intentos de captura de pantalla durante reuniones.
Conclusión
El refuerzo de la CSP en Entra ID marca un avance importante en la protección contra ataques de inyección de scripts durante procesos de autenticación. Aunque el cambio podría impactar herramientas y extensiones utilizadas por algunas organizaciones, fortalecerá la seguridad de los flujos de inicio de sesión frente a amenazas cada vez más sofisticadas.
Microsoft insta a las empresas a revisar y adaptar sus entornos con anticipación para asegurar una transición fluida y sin interrupciones.
