¿Qué es una passkey?
Una passkey es una credencial de autenticación sin contraseña basada en el estándar FIDO2/WebAuthn. En lugar de teclear una contraseña, verificas tu identidad con el sensor biométrico de tu dispositivo (huella dactilar o reconocimiento facial) o con un PIN del dispositivo. Entre bastidores, las passkeys usan criptografía de clave pública: una clave privada permanece bloqueada dentro del hardware seguro de tu dispositivo, mientras que una clave pública se registra en el servicio. Como la clave privada nunca abandona tu dispositivo y ningún secreto compartido viaja por la red, las passkeys son fundamentalmente resistentes al phishing, al relleno de credenciales y a los ataques de fuerza bruta.
Apple, Google y Microsoft se han comprometido conjuntamente a admitir passkeys en sus plataformas, y la lista de servicios que las aceptan, incluidos GitHub, Amazon, PayPal y muchos otros, crece con rapidez. Las passkeys representan el cambio más significativo en la autenticación de consumo en décadas.
Explicación detallada
Cómo funcionan las passkeys por dentro
Cuando registras una passkey en un servicio, tu dispositivo genera un par de claves criptográficas. La clave privada se almacena en una zona resistente a la manipulación, como el Secure Enclave de Apple o el chip Titan M2 de Google, donde no se puede extraer. La clave pública se envía al servidor del servicio. Cuando inicias sesión, el servidor envía un reto aleatorio; tu dispositivo lo firma con la clave privada, y el servidor verifica la firma con la clave pública. En ningún momento una contraseña o un token secreto cruza la red, razón por la que las passkeys eliminan categorías enteras de ataques.
En qué se diferencian las passkeys de las contraseñas
Las contraseñas son «secretos compartidos» almacenados tanto en el lado del usuario como en el del servidor. Si el servidor sufre una brecha, todas las contraseñas de su base de datos quedan en riesgo. Las passkeys son asimétricas: el servidor solo guarda la clave pública, que es inútil para un atacante. Esto significa que la reutilización de contraseñas, el phishing y las filtraciones de bases de datos dejan de ser un problema. Un gestor de contraseñas facilita la vida con las contraseñas, pero una passkey elimina por completo el concepto de contraseña.
Sincronización y uso compartido de passkeys
El iCloud Keychain de Apple, el Gestor de Contraseñas de Google y las cuentas de Microsoft proporcionan, cada uno, la sincronización de passkeys entre dispositivos dentro de su ecosistema. Si usas un iPhone y un Mac con el mismo ID de Apple, tus passkeys te siguen automáticamente. Para el uso multiplataforma, gestores de contraseñas de terceros como 1Password y Bitwarden pueden almacenar y sincronizar passkeys en Windows, macOS, Android e iOS. También puedes almacenar passkeys en una llave de seguridad por hardware, que funciona con independencia de cualquier dispositivo o ecosistema concreto.
Las passkeys y la seguridad empresarial
Las passkeys no son solo una comodidad para el consumidor; las empresas las adoptan cada vez más para proteger las cuentas de sus empleados. Las organizaciones afrontan enormes costes derivados de las llamadas al servicio de asistencia para restablecer contraseñas y de las brechas relacionadas con credenciales. La adopción de passkeys elimina ambos problemas. Los administradores de TI pueden exigir la autenticación únicamente por passkey para los sistemas internos sensibles, eliminando el riesgo de que los empleados caigan en correos de phishing. Muchos proveedores de identidad y plataformas de inicio de sesión único ya admiten passkeys de forma nativa, lo que hace sencillo su despliegue en toda la empresa.
Limitaciones y retos actuales
A pesar de sus ventajas, las passkeys afrontan algunos dolores de crecimiento. No todos los sitios web y aplicaciones admiten passkeys todavía, así que las contraseñas siguen siendo necesarias como alternativa en muchos lugares. La portabilidad de passkeys entre plataformas está mejorando, pero aún es imperfecta; mover passkeys de un ecosistema a otro (por ejemplo, de Apple a Android) requiere un gestor de contraseñas compatible o un nuevo registro manual. Los usuarios que no conocen el concepto pueden encontrar confuso el proceso de configuración al principio. A medida que la adopción se acelere y las interfaces mejoren, se espera que estos puntos de fricción disminuyan en los próximos años.
Cómo elegir
1. Empieza con los servicios que ya usas
Google, Apple, Microsoft, GitHub, Amazon y PayPal admiten hoy passkeys. Empieza por activar las passkeys en tus cuentas más importantes. Puedes mantener el inicio de sesión con contraseña como alternativa durante la transición, así que no hay riesgo de quedarte bloqueado.
2. Entiende el ecosistema de sincronización
Las passkeys de iCloud Keychain se sincronizan solo entre dispositivos Apple. El Gestor de Contraseñas de Google cubre Android y Chrome. Si trabajas en varias plataformas, un gestor de contraseñas multiplataforma que admita passkeys, como 1Password o Bitwarden, ofrece la experiencia más fluida.
3. Prepara opciones de recuperación
Si pierdes todos los dispositivos que guardan tus passkeys, quedarás bloqueado. Mitiga este riesgo registrando passkeys en varios dispositivos y guardando una llave de seguridad por hardware de respaldo en un lugar seguro. Algunos servicios también ofrecen códigos de recuperación de un solo uso que conviene imprimir y guardar de forma segura.
Las passkeys y la accesibilidad
Las passkeys mejoran la accesibilidad para los usuarios que tienen dificultades con la gestión de contraseñas debido a problemas de memoria, deficiencias motoras que complican teclear contraseñas o deficiencias visuales que dificultan leer los CAPTCHA. Como la autenticación por passkey se basa en datos biométricos (un toque o un vistazo) o en un simple PIN del dispositivo, reduce la barrera de una autenticación segura para un abanico más amplio de usuarios. A medida que la tecnología madure, tiene el potencial de hacer que la seguridad robusta sea genuinamente inclusiva.
Cómo conviven las passkeys con la seguridad existente
Las passkeys no exigen que abandones tu configuración de seguridad actual de la noche a la mañana. La mayoría de los servicios permiten que las passkeys y las contraseñas coexistan, así que puedes activar una passkey manteniendo activos tu contraseña y la autenticación de dos factores como alternativa. Con el tiempo, a medida que ganes confianza en el flujo de trabajo de las passkeys y más servicios adopten el estándar, podrás ir eliminando las contraseñas por completo. Este enfoque de transición reduce el riesgo de bloqueos y te permite adoptar la tecnología a tu propio ritmo.
Conclusión
Las passkeys son el sustituto de las contraseñas más prometedor que la industria ha producido jamás. Combinan una fuerte resistencia al phishing con una experiencia de uso que en realidad es más fácil que teclear una contraseña, ya que basta con un escaneo de huella o un desbloqueo facial. A medida que la compatibilidad se extiende por las principales plataformas y servicios, ahora es el momento de empezar a activar passkeys donde puedas. Configura la sincronización entre tus dispositivos, ten lista una opción de recuperación de respaldo y estarás bien encaminado hacia un futuro sin contraseñas.