Errores, Noticias

Microsoft Authenticator podría filtrar códigos de inicio de sesión: actualice su aplicación ahora mismo.

por Pieter Arntz | 12 de marzo de 2026
Logotipo de Microsoft Authenticator

Una vulnerabilidad en Microsoft Authenticator tanto para iOS para Android CVE-2026-26123) podría filtrar sus códigos de inicio de sesión de un solo uso o enlaces profundos de autenticación a una aplicación maliciosa en el mismo dispositivo. 

Los enlaces profundos son URI (identificadores uniformes de recursos) predefinidos que permiten acceder directamente a una actividad en una aplicación web o móvil al hacer clic en ellos. En términos sencillos, son enlaces construidos específicamente para abrir una aplicación y completar acciones como iniciar sesión.

Microsoft Authenticator es una aplicación móvil que genera códigos únicos basados en el tiempo y gestiona enlaces de inicio de sesión e inicios de sesión basados en códigos QR para cuentas de Microsoft y otras cuentas. Se utiliza ampliamente para la autenticación multifactor (MFA) en teléfonos personales, incluidos los dispositivos BYOD (Bring Your Own Device, traiga su propio dispositivo), que protegen el acceso a los servicios corporativos y de producción.

Esta vulnerabilidad afecta a los usuarios que tienen Microsoft Authenticator instalado en un Android iOS Android . Para que la vulnerabilidad pueda ser explotada, el usuario primero tendría que instalar una aplicación maliciosa en su dispositivo y luego seleccionar accidentalmente esa aplicación para gestionar un enlace profundo de inicio de sesión.

Si eso ocurre, la aplicación maliciosa recibe el código de un solo uso o la información de inicio de sesión y puede utilizarla para autenticarse como la víctima.

Si tiene éxito, un atacante podría:

  • Completa los flujos de inicio de sesión en los servicios que confían en tus códigos de Microsoft Authenticator.
  • Acceda a la información y los servicios disponibles en la cuenta comprometida (correo electrónico, archivos, aplicaciones en la nube o sistemas de producción en un contexto BYOD).
  • Posiblemente pasar a cuentas adicionales si estas también están protegidas por códigos proporcionados a través del Authenticator en el mismo dispositivo.

Cómo mantenerse seguro

La corrección para CVE-2026-26123 ya está incluida en las versiones actuales, por lo que instalar las actualizaciones es la medida de mitigación más eficaz.

  • En iOS: Abre la App Store. Pulsa el botón Mi cuenta o tu foto en la parte superior de la pantalla. Desplázate hacia abajo para ver las actualizaciones pendientes y las notas de la versión. Pulsa Actualizar junto a una aplicación para actualizar solo esa aplicación, o pulsa Actualizar todo.
  • En Android: Abre la aplicación Google Play Store. En la parte superior derecha, toca el icono de perfil. TocaAdministrar aplicaciones y dispositivo. En «Actualizaciones disponibles», tocaVer detalles. Junto a la aplicación que deseas actualizar, tocaActualizar. Para actualizar todas tus aplicaciones al mismo tiempo, tocaActualizar todo.

Nota: Si el fabricante de tu dispositivo ha implementado un método diferente para aplicar las actualizaciones de aplicaciones, los pasos pueden variar ligeramente.

Si no puede actualizar la aplicación temporalmente, evite instalar nuevas aplicaciones que soliciten gestionar enlaces de autenticación, inicios de sesión basados en códigos QR o flujos de inicio de sesión de web a aplicación.

Al escanear códigos QR o pulsar enlaces de inicio de sesión, comprueba que el gestor sea Microsoft Authenticator u otra aplicación de confianza, y no una aplicación desconocida, instalada recientemente o que resulte sospechosa.

Siempre que sea posible, utilice opciones alternativas de autenticación multifactorial en las que ya confíe (como la autenticación integrada en su gestor de contraseñas o soluciones específicas de la plataforma, como las funciones de contraseña de Apple) hasta que pueda aplicar la actualización.

Utilice protección antimalware para sus dispositivos móviles que le ayude a detectar aplicaciones maliciosas.

No nos limitamos a informar sobre la seguridad de los teléfonos: la proporcionamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos móviles descargando Malwarebytes para iOS y Malwarebytes para Android hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Logotipo de Meta en un edificio de oficinas

Meta lanza herramientas contra el fraude en WhatsApp, Facebook y Messenger.

Marzo 12, 2026

Las nuevas protecciones basadas en inteligencia artificial tienen como objetivo detectar intentos de suplantación de identidad, solicitudes de amistad sospechosas y mensajes fraudulentos.

Noticias
Un joven se sentó con la cabeza en una mano y sosteniendo un teléfono en la otra.

Los correos electrónicos de sextorsión «Te he grabado» reutilizan contraseñas encontradas en bandejas de entrada desechables.

Marzo 11, 2026

«¡Pervertido, te he grabado!». Los correos electrónicos de sextorsión incluyen contraseñas reales recopiladas de bandejas de entrada temporales públicas.

Estafas
Llamadas automáticas durante la temporada de impuestos

Tenga cuidado con las llamadas automáticas durante la temporada de impuestos que promocionan «programas de ayuda» falsos.

Marzo 11, 2026

Los estafadores están atacando a los estadounidenses con llamadas automáticas durante la temporada de impuestos. A continuación, le indicamos cómo detectar la estafa.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas