CVE‑2026‑26123 de Microsoft Authenticator filtra más de lo que debería y así te afecta

Durante años, Microsoft Authenticator ha sido ese escudo extra que recomendábamos a todo el mundo: “activa la verificación en dos pasos y duerme tranquilo”. Por eso el nombre de la nueva vulnerabilidad CVE‑2026‑26123 ha resonado tanto en foros de seguridad y equipos de IT. No estamos ante un simple bug de interfaz, sino ante un fallo que afecta a la integridad del proceso de aprobación de inicios de sesión. Bajo ciertas condiciones, un atacante con acceso previo al dispositivo puede aprovechar datos residuales y notificaciones de approval para empujar accesos no autorizados sin que el usuario sea plenamente consciente.

El caso es especialmente delicado por el tipo de servicio del que hablamos: Authenticator no guarda fotos de tus vacaciones, sino tokens y claves que abren la puerta a correo corporativo, Azure, Microsoft 365, GitHub o incluso bancos y servicios de terceros. De repente, el eslogan de “la 2FA te protege de todo” se matiza: si la aplicación que hace de guardián tiene un fallo, el castillo entero se tambalea. Microsoft ha reconocido el problema, lo ha catalogado con un CVE y ha lanzado parches, pero la discusión de fondo sigue ahí: hasta qué punto dependemos de un solo eslabón para asegurar toda nuestra identidad digital.

Qué está pasando en concreto con Authenticator

Sin entrar en jerga innecesaria, CVE‑2026‑26123 describe una vulnerabilidad en Microsoft Authenticator que combina dos ingredientes peligrosos: Manejo deficiente de datos sensibles (tokens, información de sesión, metadatos) en memoria o almacenamiento local. Flujo de aprobación de accesos que confía excesivamente en el dispositivo, asumiendo que el usuario que aprueba es legítimo y el entorno seguro.

En escenarios concretos, esto abre la puerta a que un atacante que ya ha comprometido el teléfono (por malware, ingeniería social o acceso físico) pueda leer o reutilizar información asociada a peticiones de login y, en algunos casos, automatizar respuestas de aprobación. El matiz es importante: no es un fallo que permita robar tus cuentas de la nada, sino un amplificador para alguien que ya se ha colado en el dispositivo.

Dicho de otra forma: antes se necesitaba compromiso del móvil y convencerte para que aceptaras un aviso; ahora, con CVE‑2026‑26123 explotado, parte de esa segunda barrera puede debilitarse si el atacante logra manipular la app o su entorno.

Qué riesgo real tiene para usuarios y empresas: Para el usuario medio, el riesgo no es apocalíptico, pero sí lo bastante serio como para tomárselo en serio. Los escenarios que más preocupan a los equipos de seguridad son, sobre todo, tres:

1. Ataques “MFA fatigue” más efectivos
   Los ya conocidos ataques de fatiga MFA, bombardear al usuario con peticiones hasta que acepta una por cansancio, se vuelven más peligrosos si el atacante puede leer el contexto de esas solicitudes o automatizar respuestas desde el propio dispositivo comprometido.
2. Dispositivos compartidos o poco gestionados
   En entornos donde un mismo móvil pasa por varias manos (familia, pequeños negocios, kioscos de trabajo), la frontera entre “usuario legítimo” y “usuario de paso” se difumina. Si Authenticator no protege bien su información interna, ese modelo se resiente.
3. Acceso persistente a cuentas críticas
   Una vez que alguien consigue una sesión aprobada a través de Authenticator, puede generar tokens de larga duración en servicios como Microsoft 365 o Azure. CVE‑2026‑26123 facilita que esa primera puerta se abra sin demasiadas sospechas.

En empresas, esto se traduce en algo muy concreto: la 2FA basada únicamente en “approve/deny” dentro de Authenticator deja de ser suficiente. Ya se ven recomendaciones de pasar a modelos más fuertes, como FIDO2, llaves de seguridad físicas o prompts con número aleatorio que el usuario deba introducir manualmente.

Microsoft desactiva “Pausar actualizaciones” en Windows 10: qué está pasando y cómo te afecta

Si usas Windows 10 y siempre has confiado en la opción de “Pausar actualizaciones durante 7 días” para evitar reinicios sorpresa o parches problemáticos, es posible que estos días te hayas llevado una desagradable sorpresa: el botón aparece en gris, deshabilitado y sin explicación clara. Se puede apreciar que tras instalar las últimas actualizaciones en una instalación limpia de Windows 10 no inscrita en el programa Extended Security Updates (ESU), esa función desaparece de facto para el usuario: ya no se puede pausar nada.​​ Lo más inquietante es que…

Cómo ha respondido Microsoft

La reacción de Microsoft ha seguido el manual:

• Publicación del CVE y puntuación de severidad, dejando claro que se trata de un fallo importante pero no catastrófico por sí mismo.
• Lanzamiento de una actualización de Authenticator que corrige la gestión de datos sensibles, refuerza cifrado local y ajusta algunos flujos internos de aprobación.
• Recomendaciones específicas para administradores de Azure AD / Entra ID, invitándoles a:
  • forzar la actualización de la app,
  • revisar políticas de acceso condicional,
  • y promover métodos de MFA más robustos, especialmente para cuentas privilegiadas.

La lectura entre líneas es clara: seguir usando Authenticator tiene sentido, pero no como única línea de defensa en cuentas críticas. Igual que pasó con otros incidentes de MFA, la respuesta a largo plazo pasa por diversificar factores (algo que tienes, algo que sabes, algo que eres) y no confiar todo a una sola app del móvil.

Cómo protegerte: pasos concretos si usas Microsoft Authenticator

Si utilizas Microsoft Authenticator en tu día a día (y es bastante probable), hay varias medidas prácticas que puedes aplicar ya mismo:

1. Actualizar la app a la última versión
   Es el paso más obvio y el más olvidado. La mitigación de CVE‑2026‑26123 llega vía actualización, así que revisa en la tienda (Android o iOS) que no tengas ninguna pendiente.
2. Proteger de verdad el teléfono
   De poco sirve parchear Authenticator si tu móvil sigue indefenso. Activa PIN o biometría, cifra el dispositivo y desconfía de apps dudosas, sobre todo las que piden accesibilidad o acceso completo a notificaciones. Son las puertas de entrada favoritas del malware que luego intenta abusar de la MFA.
3. Endurecer el tipo de MFA
   Si administras entornos de trabajo, plantéate:
   • usar prompts con número aleatorio en vez de simples “Aceptar / Rechazar”;
   • migrar poco a poco a llaves de seguridad físicas (FIDO2) para administradores y cuentas VIP;
   • activar alertas de login inusuales para que cada aprobación sospechosa genere una revisión.
4. Revisar sesiones y dispositivos confiables
   No está de más entrar en tu cuenta Microsoft / Microsoft 365 y revisar sesiones activas, dispositivos reconocidos y aplicaciones con acceso delegado. Cerrar sesiones antiguas reduce la superficie de ataque incluso si alguien consiguiera abusar de Authenticator.

Una reflexión incómoda… depender de un solo “guardian” también es un riesgo

CVE‑2026‑26123 no convierte a Microsoft Authenticator en una mala herramienta, de hecho, sigue siendo mejor que no tener 2FA, pero sí nos deja una reflexión incómoda: hemos convertido a estas apps en guardianes únicos de nuestra identidad digital. Cuando funcionan, todo va como la seda; cuando fallan, el impacto se multiplica porque lo controlan casi todo: acceso al correo, al banco, a la nube, a los sistemas de la empresa.

Quizá la lección más importante no sea solo “actualiza la app”, sino no poner todos los huevos en la misma cesta. Combinando Authenticator con llaves físicas, políticas de acceso condicional más estrictas y una mínima cultura de sospecha sana (“¿por qué me llega este aviso de login si no estoy entrando en ningún sitio?”), volvemos a inclinar la balanza a nuestro favor. Porque si algo demuestra este CVE es que la seguridad no es un producto que instalas una vez, sino un proceso constante de revisar, ajustar y no dar nada por hecho, ni siquiera cuando viene firmado por Microsoft.