Entra ID

Microsoft Entra ID endurece CSP en inicio de sesión

3 min de lectura

Resumen

Microsoft endurecerá la Content Security Policy (CSP) en las páginas de inicio de sesión de Microsoft Entra ID en login.microsoftonline.com entre mediados y finales de octubre de 2026, limitando la carga de scripts a CDN de Microsoft de confianza y controlando los scripts inline mediante nonce. Esto importa porque refuerza una superficie crítica de autenticación frente a ataques de inyección de scripts, aunque las organizaciones que hayan personalizado o integrado contenido en esas páginas deberán revisar su compatibilidad antes de la aplicación global.

¿Necesita ayuda con Entra ID?Hablar con un experto

Introducción

Microsoft está reforzando la experiencia de inicio de sesión de Microsoft Entra ID como parte de la Secure Future Initiative (SFI). La próxima aplicación de Content Security Policy (CSP) está diseñada para evitar la inyección de scripts externos durante la autenticación—un área a la que los atacantes apuntan con frecuencia—limitando qué scripts pueden cargarse y ejecutarse en la página de inicio de sesión.

Qué hay de nuevo

Microsoft agregará y aplicará un encabezado CSP más estricto para la experiencia de inicio de sesión de Entra ID en login.microsoftonline.com. Los cambios clave incluyen:

  • Descargas de scripts restringidas a dominios CDN de Microsoft de confianza Solo se permitirá cargar scripts obtenidos de redes de entrega de contenido aprobadas por Microsoft.

  • Ejecución de scripts inline restringida a orígenes de Microsoft de confianza (basado en nonce) Los scripts inline se controlarán mediante patrones de nonce de CSP, evitando que se ejecute código inline arbitrario.

  • Alcance limitado a inicios de sesión en el navegador en login.microsoftonline.com Esto es específico de las páginas de inicio de sesión interactivas en un navegador.

  • Sin impacto en Microsoft Entra External ID Microsoft indica que las experiencias de Entra External ID no se ven afectadas por esta actualización.

Cronograma

  • Aplicación global: Microsoft Entra ID aplicará la CSP actualizada de mediados a finales de octubre de 2026.
  • Comunicaciones: Microsoft enviará actualizaciones periódicas antes del despliegue.

Impacto en administradores de TI y usuarios finales

Para la mayoría de las organizaciones, esto será una mejora de seguridad “silenciosa”. Sin embargo, los entornos que usen extensiones del navegador, scripts o herramientas de terceros que inyecten código en la página de inicio de sesión deberían esperar fallos en esa funcionalidad inyectada.

Matiz importante: Microsoft indica que, incluso si las herramientas inyectadas dejan de funcionar, los usuarios aún pueden iniciar sesión—pero cualquier superposición, instrumentación, personalización o lógica de ayuda que dependa de la inyección puede fallar.

Elementos típicos a revisar incluyen:

  • Gestores de contraseñas o extensiones de “seguridad” que modifican páginas de inicio de sesión
  • Superposiciones de mesa de ayuda o de solución de problemas de SSO
  • Branding personalizado o modificaciones de UX implementadas mediante inyección
  • Herramientas de monitoreo o analítica que se enganchan a la UI de inicio de sesión mediante scripting del navegador

Acciones recomendadas / próximos pasos

  1. Inventariar y reducir dependencias de inyección en la página de inicio de sesión Microsoft recomienda explícitamente evitar extensiones o herramientas que inyecten código en la experiencia de inicio de sesión de Entra.

  2. Probar los flujos de inicio de sesión con Developer Tools abiertas Recorre tus escenarios habituales de inicio de sesión (dispositivos administrados, dispositivos no administrados, distintos navegadores, variaciones de conditional access) con la consola de desarrollador del navegador abierta y busca violaciones de CSP (normalmente se muestran en rojo).

  3. Evaluar diferentes perfiles de usuario y flujos Como las violaciones pueden aparecer solo para equipos o configuraciones específicas (debido a extensiones o herramientas locales), prueba con múltiples grupos de usuarios y configuraciones de dispositivo.

  4. Sustituir las herramientas afectadas por alternativas sin inyección Si encuentras herramientas críticas para el negocio que dependan de la inyección de scripts, empieza a evaluar alternativas ahora—la inyección de scripts en la página de inicio de sesión dejará de estar soportada una vez que comience la aplicación.

Por qué esto importa

Las páginas de autenticación son objetivos de alto valor. Aplicar CSP en el límite del inicio de sesión es un paso significativo para reducir la superficie de ataque frente a scripts inyectados o maliciosos, mejorando la resiliencia contra ataques modernos de identidad basados en web, mientras se mantiene intacta la experiencia de inicio de sesión para configuraciones compatibles.

¿Necesita ayuda con Entra ID?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de AnkurPatel
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

Artículos relacionados

Entra ID

Microsoft Entra Backup y Recovery en vista previa

Microsoft ha lanzado Microsoft Entra Backup and Recovery en vista previa pública, ofreciendo a las organizaciones una forma administrada por Microsoft de restaurar objetos y configuraciones críticas de identidad a un estado correcto conocido. El servicio ayuda a los equipos de TI a recuperarse más rápido de cambios administrativos accidentales, errores de aprovisionamiento y modificaciones maliciosas que, de otro modo, podrían afectar el acceso y la seguridad.

Entra ID

Microsoft Entra MFA externa ya está disponible GA

Microsoft ha anunciado la disponibilidad general de MFA externa en Microsoft Entra ID, lo que permite a las organizaciones integrar proveedores de MFA de terceros de confianza mediante OpenID Connect. La función permite a los equipos de TI mantener Microsoft Entra ID como plano de control central de identidad, mientras conservan Conditional Access, la evaluación de riesgos y la gestión unificada de métodos de autenticación.

Entra ID

Microsoft Entra en RSAC 2026: seguridad para IA

Microsoft presentó en RSAC 2026 nuevas capacidades de Entra para proteger identidades de agentes de IA, workloads y entornos multi-tenant con un enfoque Zero Trust y evaluación continua del riesgo. Las novedades incluyen controles de gobernanza y acceso condicional para AI agents, además de funciones en Entra Internet Access como detección de shadow AI y protección contra prompt injection, lo que ayuda a las organizaciones a reducir riesgos en el uso empresarial de la IA.

Entra ID

Microsoft Entra y la IA replantean el acceso empresarial

Un informe de Microsoft Entra revela que la expansión de la IA generativa y de los agentes autónomos está poniendo bajo presión los modelos tradicionales de identidad y acceso: el 97% de las organizaciones sufrió incidentes de identidad o red en el último año y el 70% los vinculó con actividad relacionada con IA. Esto importa porque la proliferación de identidades de máquina y la fragmentación de herramientas están llevando a las empresas a consolidar soluciones y a priorizar plataformas integradas para reforzar la seguridad y el control de accesos.

Entra ID

Microsoft Entra Conditional Access: cambios en All resources

Microsoft cambiará el comportamiento de Entra Conditional Access para que las directivas dirigidas a "All resources" se apliquen de forma consistente incluso si tienen exclusiones de recursos, cerrando una brecha que podía permitir inicios de sesión sin evaluar CA cuando la aplicación cliente solicitaba solo scopes OIDC o un conjunto limitado de scopes de directorio. Esto importa porque, a partir del 27 de marzo de 2026, algunos usuarios podrían empezar a recibir desafíos como MFA o cumplimiento del dispositivo en flujos que antes no los activaban, por lo que las organizaciones deben revisar sus políticas y preparar el impacto operativo.

Entra ID

Microsoft Entra Access Fabric: seguridad AI e identidades

Microsoft ha presentado la serie Microsoft Entra Access Priorities, un programa de cuatro webinars que ayudará a los equipos de IT a implementar una estrategia de Access Fabric, unificando identidad, acceso y controles de seguridad para empleados, aplicaciones, dispositivos y agentes de IA. Esto importa porque refuerza un enfoque Zero Trust con autenticación resistente al phishing, acceso adaptativo y privilegio mínimo, ofreciendo guías prácticas para mejorar la gobernanza y proteger entornos cada vez más impulsados por IA.