¿Es Microsoft Entra Password Protection “suficientemente buena”?
Microsoft Entra (Azure AD) Password Protection viene incluida en los planes P1/P2 de Entra ID (Azure AD). El nombre sugiere que protege a los usuarios frente a contraseñas débiles, pero no es así. Si tu organización se toma en serio la seguridad de su entorno de Active Directory, ya sea local o en la nube, las protecciones integradas de Entra ID no bastan por sí solas.
Puede que pienses que Entra es “suficiente” y que no necesita refuerzo frente a contraseñas comprometidas. La realidad es distinta. Vamos a ver un ejemplo real de cómo Microsoft Entra Password Protection deja pasar contraseñas comprometidas. Después, analizaremos por qué las dos listas que usa para comprobar las contraseñas de tus usuarios se quedan cortas por motivos diferentes.
[Nueva investigación] ¿Qué eficacia tiene Microsoft Entra detectando contraseñas comprometidas?
Hemos realizado una investigación para comparar la capacidad de bloqueo de contraseñas de Entra ID y Specops Breached Password Protection. También hemos incluido Have I Been Pwned como punto de comparación adicional.
Metodología
- Se tomó una muestra aleatoria de 5.000 contraseñas de los registros del infostealer Alien_Txtbase publicados en mayo de 2025, elegidos para dar tiempo a que otros corpus de brechas procesaran esas filtraciones.
- Se desarrollaron scripts para comprobar la muestra contra la API de HIBP y para intentar cambios de contraseña en un controlador de dominio de prueba.
- Se implementó un entorno de Entra ID con Entra ID Proxy y Microsoft Entra Password Protection Agent. El controlador de dominio tenía una única GPO que aplicaba el filtro en modo bloqueo, sin otras políticas ni diccionarios personalizados habilitados. Así, cualquier cambio bloqueado sería atribuible al filtro de contraseñas.
- No fue necesario realizar comprobaciones explícitas contra Breached Password Protection (BPP), porque el conjunto de datos ya existe en BPP y todos los registros quedarían bloqueados. Ten en cuenta que junio/julio no son las entradas de infostealer más recientes en BPP; usamos datos antiguos de forma intencionada para estas muestras. Para evaluar las tendencias de cobertura, también tomamos la misma muestra aleatoria de 5.000 registros de un volcado reciente de infostealer obtenido en un foro de la dark web.
Resultados de nuestro análisis
Los resultados encajan con lo esperado: el conjunto de datos más antiguo muestra mejor cobertura con HIBP, ya que ha pasado tiempo suficiente para que esas credenciales se incorporen mediante brechas añadidas o fuentes policiales. Entra ID, sin embargo, rinde bastante peor, como demuestra el número de cambios de contraseña que su filtro no bloquea. La mayoría de las contraseñas de mayo siguen sin ser bloqueadas por Entra ID.
Entra ID
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 4,650 | 4,644 | 4,653 | 4,534 |
| Blocked | 348 | 354 | 347 | 466 |
| Blocked % | 6.96% | 7.08% | 6.96% | 9.32% |
HIBP
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 338 | 334 | 710 | 2,441 |
| Blocked | 4,662 | 4,666 | 4,290 | 2,559 |
| Blocked % | 93.24% | 93.32% | 85.8% | 51.18% |
Specops
| Month | May | Jun | Jul | Oct |
|---|---|---|---|---|
| Missed | 0 | 0 | 0 | 0 |
| Blocked | 5,000 | 5,000 | 5,000 | 5,000 |
| Blocked % | 100% | 100% | 100% | 100% |
¿Qué significa esto?
Las conclusiones son distintas para HIBP y Entra ID por sus enfoques de diseño. HIBP no se limita a su API pública; su conjunto de datos también lo usan varios competidores como única fuente de corpus de contraseñas filtradas, por ejemplo ManageEngine ADSelfService Plus u Open Password Filter.
Entra ID
- Entra ID parte de una base de palabras eliminadas, las mapea contra una lista de términos prohibidos y aplica un cálculo por puntos. Esto genera un comportamiento similar en todos los conjuntos de datos: en la práctica, no bloquea contraseñas comprometidas. Se parece más a una política de contraseñas robusta con una lista de palabras prohibidas que a un corpus de credenciales filtradas bien implementado y mantenido.
- Esto se debe al sistema de puntuación ponderada de Microsoft, que también determina cómo se aplica la “lista de contraseñas filtradas”. Microsoft mantiene su propia lista de contraseñas comprometidas, normaliza las contraseñas (por ejemplo, P@ssw0rd → password), y solo las bloquea si no alcanzan suficientes puntos de fortaleza (entropía). Lo explicamos con más detalle en la siguiente sección.
- Las organizaciones sujetas a estándares como NIST 800-63B o CJIS deberían tener en cuenta que Entra ID ofrece un rendimiento limitado a la hora de impedir el uso de contraseñas filtradas. Esta brecha se debe al diseño, no al retraso entre una filtración y su cobertura. No bloquea de forma fiable contraseñas comprometidas, y las contraseñas simples filtradas pueden seguir superando los filtros. No debe considerarse equivalente a BPP para cumplir estándares como NIST 800-63B o CJIS.
- Entra ID no ofrece protección en tiempo real: las contraseñas solo se evalúan durante un restablecimiento o cambio
HIBP
- HIBP muestra más variación entre conjuntos de datos. A medida que pasa el tiempo y las filtraciones se difunden más, es más probable que aparezcan en sus datasets. Las filtraciones antiguas tienen tasas de omisión más bajas, especialmente frente a Entra ID, mientras que las filtraciones recientes muestran más lagunas.
- HIBP presenta menos omisiones porque se aplica como un corpus real de contraseñas filtradas, de forma similar a Specops Breached Password Protection. Sin embargo, como HIBP depende principalmente de envíos de usuarios y de fuerzas de seguridad, puede haber retrasos u omisiones.
- Por eso, los proveedores que dependen de HIBP van por detrás de un corpus de credenciales filtradas mantenido de forma activa, aunque la diferencia es mucho menos grave que con Entra ID, porque al menos se bloquean credenciales filtradas.
Specops
- Breached Password Protection de Specops presenta tiempos de incorporación cortos gracias a la combinación de operaciones de inteligencia de amenazas, honeypots de Specops y monitorización humana de actividad relacionada con filtraciones.
- Specops Password Policy con Breached Password Protection ofrece una cobertura de credenciales comprometidas significativamente superior a las implementaciones basadas en HIBP o Entra ID.
- Specops Password Policy con Breached Password Protection bloquea las contraseñas inmediatamente después de que se añadan al corpus de contraseñas comprometidas.
Por qué la “lista global de contraseñas prohibidas” no basta
La “lista global de contraseñas prohibidas” no es una lista de contraseñas filtradas y no cumple las recomendaciones de cumplimiento para una lista de denegación de contraseñas.
A diferencia de Specops Breached Password Protection, la lista global de contraseñas prohibidas no incluye datos de terceros como Have I Been Pwned u otras listas conocidas de contraseñas comprometidas. Microsoft se basa únicamente en su propio análisis de las contraseñas usadas en distintos entornos de Entra ID. Además, Microsoft no publica el contenido de su lista.
Las recomendaciones normativas, como las de NIST o NCSC, incluyen el uso de una lista de contraseñas comprometidas conocidas. Specops Breached Password Protection cumple esta recomendación.
Microsoft no indica cuántas contraseñas contiene la lista. Sí afirma que es pequeña en comparación con otras listas de terceros, pero que, gracias a la coincidencia aproximada, puede bloquear millones de variaciones a partir de una lista más reducida.
Specops Breached Password Protection Complete es una lista de contraseñas prohibidas más amplia, con más de 5.000 millones de contraseñas comprometidas únicas.
Método de puntuación de Microsoft: “cinco errores hacen un acierto”
Paso 1: Normalización
Primero, la contraseña introducida se convierte a minúsculas. Microsoft indica que también revierte sustituciones habituales de caracteres tipo leetspeak. Sin embargo, ignora algunas sustituciones comunes, como €→e y 8→b. Con la sustitución de caracteres habilitada, Specops Password Policy bloquea caracteres habituales de leetspeak, incluidos algunos que Microsoft ignora:
4 = a; € = e; 6 = g; 7 = t; 8 = b; 9 = g; § = s
Paso 2: Comprobación por coincidencia aproximada
La entrada normalizada se compara con las listas de contraseñas prohibidas para detectar coincidencias exactas, con una diferencia de +/- 1 carácter.
Paso 3: Comprobación por subcadena
La entrada normalizada también se compara con el nombre, los apellidos y el nombre del tenant del usuario. Sin embargo, se ignoran coincidencias parciales, como Jeff para Jeffrey.
Specops Password Policy puede bloquear el uso completo o parcial del nombre o los apellidos de un usuario.
Paso 4: Puntuación final
Si la entrada normalizada supera las comprobaciones anteriores, Microsoft le asigna una puntuación. Se otorga un punto por: cada coincidencia exacta con una palabra de la lista global de contraseñas prohibidas; cada coincidencia exacta con una palabra de la lista personalizada de contraseñas prohibidas; cada carácter único restante.
Las entradas deben superar todas las comprobaciones anteriores y alcanzar una puntuación de 5 para ser aceptadas.
Ejemplo de puntuación:
Micr0soft1! [microsoft] + [1] + [!] = 3 → Rechazada
Micr0soft124! [microsoft] + [1] + [2] + [4] + [!] = 5 → Aceptado
Es decir, Microsoft puede aceptar contraseñas que contienen palabras de diccionario y contraseñas comprometidas conocidas.
“Incluso si la contraseña de un usuario contiene una contraseña prohibida, puede seguir siendo aceptada si la contraseña en conjunto es lo bastante segura.”
Microsoft no bloquea automáticamente el uso de contraseñas incluidas en su lista global de contraseñas prohibidas ni en una lista personalizada configurada. En su lugar, la presencia de una palabra prohibida es solo una parte de su fórmula de aceptación.
Para superar el filtro de contraseñas, una entrada debe obtener 5 puntos. Usar una palabra prohibida suma un punto, pero eso por sí solo no invalida la contraseña.
Limitaciones de la lista personalizada de contraseñas prohibidas de Microsoft
Esta es la alternativa de Microsoft frente a las listas de diccionario personalizadas de Specops Password Policy.
La lista personalizada de contraseñas prohibidas tiene un límite de 1.000 palabras, y cada entrada debe tener al menos 4 caracteres.
Las combinaciones de tres letras son habituales en muchas organizaciones. Esta limitación de 4 caracteres implica que no puedes bloquear:
- Nombres de empresas cortos o acrónimos (como IBM, DSW, CBS, FOX, CNN, UPS, CVS, ATT, 3M)
- Símbolos bursátiles cortos (como GE, BBD, GM, BMY)
- Códigos de aeropuertos (como JFK, LHR, LAX, CDG, DXB, ARN, YYZ, FRA)
- Abreviaturas internas (como nombres cortos de productos: SPP, BPP, SSD)
Las listas de diccionario de Specops Password Policy no tienen límite y permiten entradas de cualquier longitud.
Microsoft tampoco bloquea siempre el uso de palabras incluidas en la lista personalizada. Su enfoque de “cinco errores hacen un acierto” implica que una palabra prohibida puede permitirse dentro de una contraseña más larga.
Contraseñas débiles aceptadas por Azure AD
Specops124!
[specops] + [1] + [2] + [4] + [!] = 5 → Aceptada
Password998!
[password] + [9] + [9] + [8] + [!] = 5 → Aceptada
PasswordPasswordPasswordPassword9
[password] + [password] + [password] + [password] + [9] = 5 → Aceptada
Specops Password Policy puede bloquear el uso de cualquier palabra de las listas de diccionario, incluso dentro de contraseñas más largas.
Contraseñas comprometidas
Las filtraciones conocidas como Collections #1–5 contienen más de mil millones de contraseñas comprometidas. Microsoft las ignora, junto con otros datos de terceros y credenciales procedentes de ataques reales, en su lista global de contraseñas prohibidas, lo que deja a los usuarios expuestos.
A continuación, algunos ejemplos de contraseñas complejas comunes encontradas en Collection #2 que pasan el filtro de Microsoft:
Contraseñas filtradas aceptadas por Azure AD
FQRG7CS493
Sojdlg123aljg
D1lakiss
Indya123
La lista de contraseñas denegadas de Specops Password Policy incluye estas contraseñas comprometidas conocidas y más de 5.000 millones adicionales.
¿Cuándo comprueba Entra si una contraseña está comprometida?
Aunque recomienda eliminar la caducidad de contraseñas, Microsoft Entra (Azure AD) Password Protection solo comprueba si una contraseña está comprometida durante el cambio o el restablecimiento.
“Cuando los usuarios cambian o restablecen sus contraseñas, se comprueban estas listas de contraseñas prohibidas para garantizar el uso de contraseñas seguras.”
Microsoft suele recomendar eliminar la expiración, pero la mayoría de las organizaciones no están preparadas para ello. Además, Microsoft Entra (Azure AD) Password Protection no ofrece ningún mecanismo para comprobar contraseñas comprometidas fuera de estos eventos. Menos cambios de contraseña implica que las comprobaciones de compromiso se realizan con muy poca frecuencia.
Specops Password Policy ofrece protección continua frente a contraseñas comprometidas mediante escaneos diarios contra una lista que se actualiza cada día, además de durante el cambio de contraseña.
La experiencia de usuario también se queda corta
Microsoft Entra Password Protection probablemente aumente las llamadas al service desk.
“Microsoft Entra (Azure AD) Password Protection no controla el mensaje de error específico que muestra el cliente cuando se rechaza una contraseña débil.”
Esto suele generar más incidencias por dos motivos principales.
Este tipo de mensaje tan ambiguo no deja claro al usuario qué debe cambiar en su contraseña para que sea aceptada.
Con Specops Password Policy, los usuarios reciben feedback dinámico mientras escriben la contraseña. Además, puedes personalizar los mensajes y mostrar incluso la palabra de diccionario detectada.
2 – La complejidad inherente al sistema de puntuación de Microsoft Entra (Azure AD) Password Protection
El sistema de puntuación de contraseñas que utiliza Microsoft Entra Password Protection es complejo, y los logs de administración indicarán que una contraseña ha sido rechazada por aparecer en la lista global o en la lista personalizada de contraseñas prohibidas, pero no especifican en cuál de ellas.
Esta falta de transparencia en los requisitos dificulta que el equipo de soporte identifique con precisión los problemas que tienen los usuarios al intentar establecer su contraseña.
Con Specops Password Policy, los logs de administración indican claramente en qué lista de contraseñas se ha encontrado la contraseña rechazada.
¿Qué recomendamos?
No necesitas abandonar Entra ID para aplicar políticas de contraseñas más robustas o bloquear el uso de credenciales comprometidas.
Puedes implementar Specops Password Policy y Breached Password Protection (BPP) en tu entorno on-premise y utilizar una solución de federación o el password write-back de Microsoft Entra (Azure AD) para aplicar estas políticas de forma consistente a tus usuarios en todos los entornos.
Descubre cuántas contraseñas de tus usuarios de Entra ID (Azure AD) siguen comprometidas
Specops Password Auditor es una herramienta gratuita y de solo lectura que analiza las contraseñas de las cuentas de usuario de Active Directory y las compara con nuestra base de datos de contraseñas comprometidas.
Muchos de nuestros clientes que dependían únicamente de Microsoft Entra (Azure AD) Password Protection nos han comentado que se sorprendieron al descubrir cuántas contraseñas comprometidas seguían en uso tras ejecutar un análisis con Password Auditor.
Basta una sola contraseña comprometida para generar riesgo y una posible brecha. Descarga tu copia gratuita de Specops Password Auditor aquí.
Solicita una demo de Specops Password Policy
Specops Password Policy te ayuda a reforzar la seguridad de contraseñas en tu entorno Microsoft Active Directory on-premise o híbrido con Entra ID (Azure AD). La solución permite aplicar políticas a nivel de GPO, grupo, usuario o equipo, incluyendo requisitos de complejidad, diccionarios y passphrases. Con Specops Breached Password Protection (BPP), los equipos de TI pueden bloquear más de 4.500 millones de contraseñas comprometidas únicas. Estas incluyen credenciales utilizadas en ataques reales o presentes en listas conocidas de brechas, lo que facilita el cumplimiento de normativas como NIST o NCSC.
¿Quieres ver cómo Specops Password Policy y Breached Password Protection podrían funcionar en tu entorno? Haz clic aquí para solicitar una demo o prueba gratuita de nuestra solución de protección de políticas de contraseñas para Active Directory.
