Ciberseguridad

Block device code sign-in flow

Tiempo de lectura: 5 minutos

Descubre qué es y cómo configurar la política de acceso condicional Block device code sign-in flow en Microsoft Entra ID

Introducción

La seguridad de contraseñas ya no puede abordarse únicamente desde la complejidad o la autenticación multifactor (MFA). Los atacantes han evolucionado sus técnicas y explotan flujos de autenticación alternativos que, aunque legítimos, pueden convertirse en vectores de acceso no autorizado si no se controlan adecuadamente.

Uno de estos mecanismos es el device code sign-in flow, utilizado habitualmente por dispositivos con capacidades de entrada limitadas como televisores, dispositivos IoT o herramientas de línea de comandos (CLI). En ausencia de controles adecuados, este flujo puede ser explotado mediante campañas de phishing avanzado o ataques de token replay.

En este contexto, la configuración de una política de acceso condicional Block device code sign-in flow en Microsoft Entra ID se convierte en una medida importante para la protección de la identidad, la seguridad de contraseñas y el control de los accesos en Microsoft 365.

¿Qué es Block device code sign-in flow y para qué sirve?

El device code flow es un flujo de autenticación definido en OAuth 2.0 diseñado para dispositivos que no disponen de navegador o que tienen capacidades de entrada limitadas. Este mecanismo permite completar el proceso de autenticación desde un dispositivo secundario con navegador.

Para ello, utiliza el siguiente proceso:

  • El dispositivo solicita un código.
  • El usuario introduce ese código en otro dispositivo con navegador.
  • Tras autenticarse, el dispositivo original recibe el token de acceso.

Aunque es un mecanismo legítimo dentro de Microsoft Entra ID, puede ser utilizado por atacantes para:

  • Engañar al usuario y hacerle introducir un código generado por el atacante.
  • Obtener tokens válidos sin necesidad de conocer directamente la contraseña.
  • Evadir ciertos controles tradicionales de seguridad de contraseñas y autenticación.

La política Block device code sign-in flow permite bloquear este tipo de autenticación mediante Acceso Condicional en Microsoft Entra ID, reduciendo la superficie de ataque asociada a flujos heredados y reforzando la protección de identidad en entornos corporativos.

Pantalla de inicio de sesión del Device Code Authentication Flow de Microsoft

Requisitos para su configuración de Block device code sign-in flow

Antes de implementar una política de Block device code sign-in flow, es necesario cumplir ciertos requisitos técnicos y organizativos:

Licenciamiento adecuado

  • Microsoft Entra ID P1 o P2.
  • Acceso a funcionalidades de Acceso Condicional.

Rol y permisos

  • Global Administrator
  • Security Administrator
  • Conditional Access Administrator

Análisis previo de impacto

  • Identificar aplicaciones o dispositivos que dependan del device code flow.
  • Revisar los registros de inicio de sesión (Sign-in logs) para detectar su uso.
  • Validar que el bloqueo no afectará a procesos críticos del negocio.

En entornos maduros, este análisis forma parte de una auditoría de seguridad M365 y de un proceso de hardening de Microsoft Entra ID orientado a minimizar riesgos asociados a flujos de autenticación alternativos.

Cómo configurar la política de acceso condicional Block device code sign-in flow

Para implementar correctamente Block device code sign-in flow en Microsoft Entra ID, se deben realizar los siguientes pasos:

  • Clic en Nueva directiva.
  • Asignar un nombre descriptivo, por ejemplo: CA - Block device code sign-in flow.
  • En Assignments, seleccionar All Users.
  • En Target resources, seleccionar All cloud apps.
  • En Conditions → Authentication flows, seleccionar Configurar en Yes y marcar la opción Device code flow.
  • En Access controls → Grant, seleccionar Block access.
Configuración de la política Block device code sign-in flow en Microsoft Entra

Con esta configuración, una vez aplicada la política de Block device code sign-in flow, se impedirá el uso de este método de autenticación en la organización, reforzando el control de accesos y la seguridad de identidad.

Recomendaciones adicionales de seguridad

  • Validar la política en modo Solo informe antes de aplicarla en producción.
  • Revisar los inicios de sesión de la organización para verificar si existen autenticaciones mediante device code flow y determinar si es necesario su uso.
  • Excluir cuentas de emergencia (Break Glass Accounts) y aplicaciones o usuarios que requieran explícitamente este método de autenticación.

🛡️ ¿Podemos ayudarte?

En Allbit Solutions, ayudamos a las organizaciones a tomar el control de su entorno de Microsoft 365 mediante configuraciones seguras, gobernadas y alineadas a las buenas prácticas de Microsoft y el CCN-CERT. ¿Quieres asegurar tu tenant y dispositivos?

📩 Escríbenos aquí

Sobre el autor:
Kevin Maldonado,

Técnico de Ciberseguridad en Allbit Solutions, especializado en la protección de entornos Microsoft 365 y endpoints. Cuenta con certificaciones de Microsoft en administración de identidades y seguridad (Identity and Access Administrator Associate, 2025; Azure Security Engineer Associate, 2024), entre otras acreditaciones.

Ver todas