🚫🔐 Microsoft endurece Entra ID: tu login dejará de aceptar scripts externos en 2026

🔒 ¿Qué cambia realmente?

Microsoft anunció que, entre mediados y finales de octubre de 2026, implementará una actualización estricta en su Content Security Policy (CSP) aplicada al proceso de sign-in de Entra ID.

En palabras simples:

Solo se podrán ejecutar scripts aprobados y verificados por Microsoft. Todo lo demás será bloqueado.

Esto incluye:

✔ Scripts descargados desde CDNs oficiales de Microsoft
✔ Scripts inline con nonce validado
✖ Scripts externos de terceros
✖ Inyecciones hechas por extensiones del navegador
✖ Herramientas internas que agregan JS en el login

Esta medida busca frenar ataques como XSS (Cross-Site Scripting) que pueden robar sesiones, cookies o manipular autenticaciones.

El cambio forma parte del Secure Future Initiative (SFI), el esfuerzo global de Microsoft para reforzar su seguridad tras el incremento de ataques avanzados.

🧪 ¿Dónde aplica la nueva CSP?

La actualización impactará específicamente:

✔ Páginas de inicio de sesión basadas en navegador de Entra ID
✖ No impacta flujos no web
✖ No afecta Microsoft Entra External ID

La política agregará headers CSP más estrictos que activarán errores como:

Refused to load the script because it violates the Content Security Policy.

Si ves esto en DevTools… algo de tu infraestructura no pasará el corte en 2026.

🏢 Impacto real para las organizaciones

Esto no es un cambio menor.
Las empresas que hacen lo siguiente necesitan poner atención:

• Personalizan la experiencia de sign-in

• Usan scripts locales o de terceros en el flujo de login

• Tienen extensiones instaladas en el navegador corporativo

• Usan herramientas que inyectan código en tiempo de ejecución

• Utilizan soluciones de automatización que interactúan con la página de login

¿Qué pasará si no te preparas?

🔸 Errores en consola
🔸 Flujos que dejarán de funcionar
🔸 Usuarios final frustrados
🔸 Incremento en tickets de soporte
🔸 Interrupciones en autenticaciones críticas

Este cambio se alinea con iniciativas del SFI como:

• MFA resistente a phishing con 99.6% de efectividad

• Migración acelerada a Azure Confidential Compute

• Enfoque Zero Trust reforzado

En otras palabras:

Microsoft está cerrando cada posible brecha en la fase más crítica: la autenticación.

🧩 Recomendaciones prácticas para tu día a día en TI

Aquí tienes lo que puedes empezar a hacer hoy:

1. Audita tus scripts y extensiones

• Deshabilita extensiones de navegador sospechosas.

• Identifica herramientas que inyectan JS en el login (muchas lo hacen sin avisar).

• Documenta cualquier modificación interna en el flujo de autenticación.

2. Simula inicios de sesión con DevTools abiertos

Observa la consola:
Si aparecen errores CSP hoy, estarán bloqueados mañana.

3. Prueba en varios navegadores y dispositivos

Chrome, Edge, Firefox, perfiles con extensiones y sin extensiones.

4. Actualiza tus integraciones

Consulta a tus proveedores:

• ¿Tu producto usa JS en login?

• ¿Es compatible con la nueva CSP?

• ¿Hay versión nueva?

5. Fortalece tus métodos de autenticación

Microsoft insiste en MFA resistente a phishing.
Si aún usas SMS o TOTP, es buen momento para avanzar.

6. Activa monitoreo continuo

• Logs de autenticación

• Anomalías de sign-in

• Bloqueos CSP repetidos

7. Documenta el plan de transición

Define qué vas a probar, cómo lo vas a probar y quién lo aprueba.