Las fechas que Microsoft ya ha fijado

Microsoft publicó el cambio el 13 de julio en una entrada de su blog de seguridad que se lee como una mejora rutinaria de identidad y que contiene cuatro fechas. Desde el 1 de septiembre de 2026, cada usuario de Entra ID habilitado hoy para SMS o voz queda activado automáticamente para passkeys y recibe la petición de registrar una en su siguiente verificación en dos pasos. El 18 de septiembre, Microsoft dice que nombrará a los operadores de telecomunicaciones admitidos, sus precios y sus condiciones comerciales en el Microsoft Security Store. Desde el 30 de octubre, los administradores podrán elegir y configurar uno de ellos.

La fecha que zanja la discusión es el 1 de febrero de 2027. Ese día Microsoft deja de entregar SMS y llamadas de voz como capacidad nativa de Entra ID. Los inquilinos que no hayan contratado un operador propio para entonces no podrán usar un código enviado por mensaje o por llamada como segundo factor, y quien dependiera de él tendrá que registrar una passkey antes de poder entrar. Microsoft lo dice sin rodeos: después de esa fecha no hay exclusión posible.

El plazo llega antes que el precio

Lea las fechas en orden y el orden es la noticia. La retirada está fijada para el 1 de febrero de 2027. El precio del único camino admitido para conservar SMS y voz no se publica hasta el 18 de septiembre de 2026 y no puede configurarse hasta el 30 de octubre. Una organización tiene que decidir cómo mueve decenas de miles de autenticaciones antes de poder poner una cifra a la alternativa de moverlas.

No es una decisión de seguridad disfrazada de factura. Es las dos cosas a la vez. Una función que venía dentro de la licencia de Entra pasa a ser, para quien siga necesitándola, una compra contratada a un operador ajeno a través del mercado de Microsoft. Desaparece el método vulnerable al phishing, lo cual es defendible, y la vía admitida para conservarlo se convierte en un ejercicio de compras con proveedor, contrato y un precio que fuera de Microsoft nadie puede citar todavía.

Las cuentas que se rompen no tienen teléfono

Una passkey da por hecho que la persona tiene un dispositivo propio en el que puede identificarse con biometría o con un PIN. La mayoría del personal de oficina lo tiene. Las cuentas que dependían del código por SMS suelen ser justo las otras: almacén y planta en terminales compartidos, turnos sin móvil corporativo, temporeros y contratas, técnicos de campo cuyo teléfono personal nunca estuvo dado de alta en nada. El SMS era el mínimo común denominador precisamente porque no exigía alta previa ni dispositivo gestionado.

Sustituirlo para esa gente significa entregar algo, un móvil gestionado o una llave FIDO2 por cabeza, y eso es una partida de inversión y un trabajo logístico, no un cambio de ajuste. En España, el INCIBE lleva tiempo recomendando métodos resistentes al phishing, así que la dirección no sorprende a nadie. La factura de la última milla, sí. Y no es una decisión que un administrador de identidad pueda tomar solo en la última semana de enero de 2027.

Qué hay que resolver antes del 1 de agosto

El plazo útil no es febrero. La propia documentación de Microsoft sitúa la exclusión temporal para la ventana de septiembre a febrero, y la interfaz necesaria para aplicarla, el 1 de agosto de 2026. Faltan unas dos semanas, y es el momento en que una organización necesita una respuesta a una sola pregunta: ¿dejamos que el despliegue de passkeys arranque el 1 de septiembre, o lo frenamos mientras averiguamos a quién no vamos a poder registrar?

Responder a eso exige un recuento, no una opinión. Saque la lista de cuentas cuyo único método registrado es SMS o voz, sepárela entre quienes tienen un dispositivo registrable y quienes no, y ponga precio al segundo grupo. Si la cifra es pequeña, acepte el despliegue y termine pronto. Si no lo es, use la exclusión en agosto, dedique el otoño a comprar llaves o teléfonos y tome el 18 de septiembre como el día en que descubrirá cuánto habría costado el plan B.