Microsoft Authenticator ha sido objeto de críticas debido a un problema significativo que afecta a los usuarios: la sobrescritura de cuentas con el mismo nombre de usuario. Este problema surge debido a que la aplicación utiliza únicamente el nombre de usuario, comúnmente una dirección de correo electrónico, para identificar cuentas, lo que puede provocar que una cuenta existente sea reemplazada al agregar una nueva con el mismo nombre de usuario.
A diferencia de otras aplicaciones de autenticación como Google Authenticator, que incluyen tanto el nombre del emisor como el nombre de usuario para evitar conflictos, Microsoft se limita al nombre de usuario, lo que genera estos problemas.
El impacto de este error es considerable. Cuando se produce una sobrescritura, puede resultar difícil identificar qué cuenta ha sido afectada, lo que puede derivar en problemas de autenticación tanto en la nueva cuenta como en la antigua. Además, los usuarios podrían no darse cuenta de que una cuenta ha sido eliminada hasta que intenten acceder a ella tiempo después.
Aunque existen soluciones alternativas para evitar este problema, como utilizar otras aplicaciones de autenticación o ingresar los códigos manualmente en lugar de escanear el código QR, estas opciones no siempre son viables, especialmente en entornos empresariales donde la facilidad de uso es crucial.
Este problema ha sido reportado desde hace años, con quejas que datan de 2020, y parece haber estado presente desde el lanzamiento de Microsoft Authenticator en 2016. Sin embargo, la situación ganó atención recientemente cuando Brett Randall, un consultor de TI australiano, compartió su experiencia en LinkedIn, describiendo cómo un grupo de personas en una sesión de entrenamiento perdió el acceso a otros sistemas después de que Microsoft Authenticator sobrescribiera sus claves TOTP al escanear un código QR.
El problema radica en que, al escanear un código QR para la autenticación multifactor, Microsoft Authenticator genera una clave basada únicamente en el nombre de usuario, ignorando el estándar utilizado por otras aplicaciones que combina el nombre del emisor y el usuario. Esto provoca que, si ya existe una cuenta con el mismo nombre de usuario, se sobrescriba, lo que puede tener consecuencias graves para el acceso a otros sistemas.
Diversos especialistas en seguridad y TI han recreado este problema, confirmando su existencia y su impacto negativo. Según ellos, el problema es un defecto de diseño que podría evitarse fácilmente si Microsoft adoptara el enfoque estándar utilizado por otras aplicaciones de autenticación. Sin embargo, Microsoft ha respondido que su aplicación funciona según lo previsto y que el problema se debe a la falta de información proporcionada por algunos sitios web o proveedores.
A pesar de las quejas y la atención recibida, Microsoft ha mostrado poca intención de solucionar este problema, señalando que están «trabajando en mejorar sus productos» y que tomarán en consideración este problema para futuras actualizaciones. Sin embargo, especialistas como Randall argumentan que la solución real sería que Microsoft corregiera este comportamiento, en lugar de depender de que los proveedores cambien su configuración.
