Un fallo de seguridad enMicrosoft Authenticatorpuede acabar filtrandocódigos de un solo usoyenlaces de inicio de sesióna una aplicación maliciosa que ya esté instalada en vuestro móvil. El problema afecta tanto aiOScomo aAndroidy está registrado comoCVE-2026-26123.
La parte tranquilizadora es que el parche ya está incluido en las versiones actuales de la aplicación. La parte incómoda: el ataque se apoya en un gesto muy habitual, abrir un enlace de acceso o escanear un QR y, en el último paso, elegir sin mirar la app equivocada para completar la acción.
Si ese “abrir con…” cae en manos de una app fraudulenta, el atacante puede hacerse con la información necesaria para intentar entrar en vuestra cuenta.
Qué es CVE-2026-26123 y por qué afecta a iOS y Android
El núcleo del fallo es una posiblefuga de datos de autenticacióndesde Microsoft Authenticator hacia otra aplicación instalada en el mismo dispositivo. La vulnerabilidad afecta a cómo se gestionancódigos temporalesyenlaces de inicio de sesiónque llevan directamente a un paso del proceso de acceso.
Sobre el papel, estas funciones están pensadas para ahorrar tiempo: tocáis un enlace, se abre la app correcta y validáis. En la práctica, se vuelven delicadas si una aplicación maliciosa lograinterceptar el flujoy recibir lo que no debería salir nunca de Authenticator.
El ataque no llega “de la nada”: necesita una app maliciosa ya instalada
Este punto es clave: no es un agujero que permita que cualquiera os “hackee” a distancia sin más. Para que el escenario se cumpla, primero tiene que haberuna aplicación maliciosaen el teléfono.
Después, hace falta que le deis la oportunidad de actuar: por ejemplo, al pulsar un enlace de acceso recibido por correo o al confirmar una apertura tras escanear un QR. En ese momento aparece el típico aviso del sistema para elegir con qué app abrir la acción, y ahí es donde un error rápido puede salir caro.
Si la app equivocada recibe el enlace o el código, puede capturar unOTP(código de un solo uso) o untoken temporaly usarlo para intentar saltarse la segunda capa de seguridad.
Deep links y QR: comodidad que abre un ángulo muerto
Losdeep linksson enlaces diseñados para abrir una app en un punto concreto, no en la pantalla de inicio. Se usan a diario en banca, mensajería o herramientas de trabajo, y también para acelerar procesos de autenticación.
El problema aparece cuando el sistema permite que otra app se “ofrezca” como gestora de ese tipo de enlace y el usuario la selecciona por error. En móviles, el “abrir con…” puede incluir varias opciones, y algunas apps maliciosas juegan a parecer legítimas con nombres e iconos confusos.
Con loscódigos QRocurre algo parecido: se han convertido en una vía rápida para vincular sesiones o validar accesos, pero el salto entre navegador y app vuelve a plantear la misma pregunta: ¿qué aplicación está procesando realmente la acción?
La solución inmediata: actualizar Microsoft Authenticator
La medida más eficaz es directa:actualizad Microsoft Authenticatora la última versión disponible en vuestra tienda de aplicaciones. Microsoft ya ha integrado el correctivo paraCVE-2026-26123en las versiones actuales, así que el objetivo es estar en un “build” corregido cuanto antes.
Conviene revisar también si tenéis activadas lasactualizaciones automáticas. En muchos móviles están deshabilitadas o se retrasan por ajustes de ahorro de datos, y eso deja ventanas de exposición innecesarias.
Si no podéis actualizar en el momento, la mitigación pasa por el sentido común: evitad instalar apps nuevas, y cuando abráis un enlace de acceso o escaneéis un QR, comprobad que la acción se abre conMicrosoft Authenticator(o con una app de confianza) y no con una aplicación desconocida.
En empresas, el BYOD multiplica el riesgo
En entornos profesionales, el riesgo crece con el uso de móviles personales para trabajar, el conocidoBYOD(“trae tu propio dispositivo”). Muchas compañías dependen de la autenticación multifactor en el teléfono porque es más robusta que una contraseña, pero ese mismo teléfono suele tener apps de todo tipo instaladas.
Para los equipos de IT y seguridad, el mensaje es claro: tocaverificar versiones, empujar actualizaciones en dispositivos gestionados y reforzar la comunicación en los no gestionados. Y, sobre todo, insistir en una regla sencilla: no deis permisos ni seleccionéis como gestora de enlaces de acceso a una app que no reconozcáis.
Este caso vuelve a poner el foco en una realidad incómoda: el MFA es una barrera potente, pero si el móvil está comprometido o el flujo entre apps es frágil, esa segunda capa puede quedar en entredicho. La diferencia la marca la rapidez al parchear… y la atención en ese “abrir con” que casi todos pulsamos en piloto automático.
Puntos clave
- La vulnerabilidad <strong>CVE-2026-26123</strong> puede exponer códigos y enlaces de inicio de sesión en iOS y Android
- La explotación requiere una <strong>aplicación maliciosa</strong> ya instalada y una selección incorrecta del gestor de enlaces
- La actualización de <strong>Microsoft Authenticator</strong> ya incluye el parche; es la prioridad
- Los flujos de <strong>deep links</strong> y <strong>códigos QR</strong> requieren mayor vigilancia al elegir la aplicación
- En la empresa, el <strong>BYOD</strong> exige un control y una comunicación reforzados
Preguntas frecuentes
¿Quién está afectado por la vulnerabilidad CVE-2026-26123?
Cualquier persona que use Microsoft Authenticator en iOS o Android puede verse afectada. El riesgo se vuelve real si ya hay una aplicación maliciosa instalada en el dispositivo y el usuario la selecciona por error para gestionar un enlace de inicio de sesión o un flujo de autenticación.
¿Es un ataque remoto sin interacción del usuario?
No. El escenario descrito requiere que haya una aplicación maliciosa en el teléfono y, después, que un enlace de inicio de sesión, un deep link o un flujo asociado a un código QR se abra con la aplicación equivocada. Sin este encadenamiento, la explotación no se describe como automática.
¿Qué hacer inmediatamente para protegerse?
Actualizar Microsoft Authenticator a la última versión disponible, ya que el parche está incluido en las versiones actuales. Luego, al iniciar sesión, verificar que la acción la gestione Microsoft Authenticator o una aplicación de confianza, y no una app desconocida o instalada recientemente.
¿Qué hacer si no puedo actualizar de inmediato?
Evitar instalar nuevas aplicaciones y extremar la atención al abrir enlaces de inicio de sesión o escanear códigos QR, verificando la aplicación seleccionada para procesar la acción. En caso de bloqueo de acceso, usar las opciones de inicio de sesión alternativas ofrecidas y, para una cuenta profesional, contactar con TI para una reinscripción de MFA si fuera necesario.
Fuentes
- Microsoft Authenticator could leak login codes—update your app now
- Microsoft Authenticator could leak login codes—update your app now
- Microsoft Authenticator could leak login codes—update your app now
- Microsoft Authenticator could leak login codes—update your app …
- How to fix authenticator app – Microsoft Q&A
En tant que jeune média indépendant, The Inquirer 🇫🇷 a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
