- Las passkeys sustituyen el secreto compartido por criptografía asimétrica, eliminando la vulnerabilidad de las bases de datos vulneradas.
- Soportan estándares FIDO2 y WebAuthn, lo que las hace intrínsecamente resistentes a ataques de phishing y credential stuffing.
- La integración de biometría y sincronización en la nube optimiza la experiencia de usuario reduciendo drásticamente los errores de acceso.
Seguro que te ha pasado: intentas entrar en una cuenta y te dice que la contraseña es incorrecta, aunque jurarías que es la misma de siempre. Durante años hemos vivido encadenados a cadenas de caracteres que debemos recordar, rotar y proteger, pero la realidad es que las claves tradicionales ya no dan la talla frente a las amenazas actuales. Con miles de millones de credenciales flotando en la Dark Web, seguir confiando en un simple texto es, básicamente, dejar la puerta abierta a los ciberdelincuentes.
Aquí es donde entran en juego las passkeys, una propuesta que promete mandarlas al desguace. No se trata de una simple mejora, sino de un cambio total de paradigma en la ciberseguridad. En lugar de que tú y el servidor compartáis un secreto que puede ser robado, se utiliza una tecnología mucho más sofisticada que hace que el proceso de entrar en tus cuentas sea tan natural como desbloquear el móvil, pero infinitamente más seguro.
¿Qué son exactamente las passkeys y cómo funcionan?
Si lo queremos explicar de forma sencilla, una passkey es una llave criptográfica diseñada para jubilar a las contraseñas. Mientras que las antiguas claves eran fáciles de adivinar o interceptar, estas operan mediante un sistema de pares de claves: una pública y otra privada. Es como si el servidor tuviera la cerradura y tú fueras el único dueño de la llave física, la cual nunca sale de tu dispositivo.
Técnicamente, todo se basa en la criptografía asimétrica. Al crear una cuenta, se generan dos elementos: la clave pública, que se queda en el servidor del servicio y no sirve para nada por sí sola, y la clave privada, que se almacce na en el hardware de tu dispositivo. Esta última se guarda en zonas ultra seguras, como el Secure Enclave de Apple, el TPM de Windows y Android o Samsung Knox, que actúan como cajas fuertes aisladas del procesador principal para evitar que el malware las robe.
El proceso de inicio de sesión es pan comido. El servicio envía un reto criptográfico y tu dispositivo lo firma con la clave privada. Como el servidor tiene la clave pública, puede verificar que la firma es auténtica sin que la clave privada haya tenido que viajar por internet. Además, cada intento tiene una firma basada en el tiempo que caduca rápido, evitando que alguien intercepte la señal y la reutilice más tarde.
La evolución: del dedo en la arcilla al estándar FIDO2
Aunque nos parezca algo futurista, la biometría es antiquísima; ya en Babilonia se usaban huellas en arcilla. Sin embargo, el salto moderno empezó en serio en 2012 con la creación de la Alianza FIDO, cuyo objetivo era borrar las contraseñas del mapa. Más tarde, la llegada de Touch ID en el iPhone 5S normalizó el uso de la huella digital, preparando el terreno para lo que hoy conocemos.
El verdadero boom llegó en 2021, cuando los gigantes tecnológicos adoptaron los estándares FIDO2 y WebAuthn. Un punto clave fue el respaldo del NIST, que validó que las passkeys sincronizadas son una solución viable y resistente al phishing, permitiendo que sectores muy estrictos, como la banca o la sanidad, empiecen a confiar en ellas para la gestión de la identidad digital.
El duelo: Passkeys frente a contraseñas tradicionales
Para entender por qué las passkeys ganan la partida, hay que analizar los puntos débiles de las contraseñas. Estas últimas dependen de un secreto compartido; si un hacker entra en la base de datos del servidor y roba los hashes, puede lanzar ataques de fuerza bruta offline. En cambio, las passkeys no se almacenan en los servidores, por lo que no hay nada sensible que robar en una brecha de datos masiva.
- Inmunidad al phishing: Gracias a WebAuthn, la llave solo funciona en el dominio registrado. Si caes en una web falsa, la passkey simplemente no se activará.
- Adiós a la fatiga mental: Ya no tienes que pensar en mayúsculas, números o símbolos raros. El acceso es instantáneo mediante reconocimiento facial o huella dactilar.
- Seguridad intrínseca: No importa si el usuario es descuidado; cada passkey es robusta por definición y no puede ser adivinada mediante ingeniería social.
Desde la perspectiva del negocio, el cambio es brutal. Las empresas han notado que el abandono de usuarios durante el login disminuye y que las llamadas al soporte técnico por «olvidé mi contraseña» se desploman hasta en un 81%, lo que supone un ahorro operativo enorme.
Tipos de passkeys y compatibilidad actual
No todas las llaves son iguales. Existen las passkeys multidispositivo, que son las más cómodas para el usuario común ya que se sincronizan vía iCloud, Google Password Manager o Microsoft, permitiéndote saltar de la tablet al móvil sin problemas. Por otro lado, están las vinculadas al dispositivo, que son la joya de la corona para las empresas con políticas de seguridad extremas, ya que la llave no puede copiarse ni moverse de un hardware específico.
En cuanto a quiénes se han sumado ya, la lista es larga. En el terreno de los sistemas operativos, Apple (iOS 16+), Android (9+) y Windows (10 y 11) llevan la voz cantante. Navegadores como Chrome, Edge y Safari ya las soportan plenamente, mientras que Firefox lo hace de forma más limitada.
Si miramos las aplicaciones, gigantes como Amazon, PayPal, GitHub, TikTok y Coinbase ya permiten dejar atrás la contraseña. Incluso gestores de terceros como 1Password o Bitwarden se han adaptado para almacenar estas llaves, evitando que estemos totalmente atados a un solo ecosistema.
Desafíos, limitaciones y la hoja de ruta empresarial
Claro que no todo es color de rosa y todavía hay algunas piedras en el camino. La dependencia del ecosistema sigue siendo un tema; si usas iCloud y te pasas a Android, mover tus llaves no es tan sencillo todavía, aunque el Credential Exchange Protocol de FIDO busca solucionar esto. Además, las cuentas compartidas entre varios empleados son un dolor de cabeza, ya que las passkeys son personales por naturaleza.
Para las empresas que quieran dar el salto, lo ideal es no hacer un cambio brusco. Se recomienda empezar con una habilitación híbrida, donde la passkey sea la opción preferida pero la contraseña quede como respaldo. Después, se puede eliminar la molesta obligación de cambiar la clave cada 90 días y, finalmente, aspirar a un entorno completamente passwordless donde solo se usen llaves físicas FIDO2 o biometría.
En términos de cumplimiento, las passkeys son el camino más corto hacia los estándares NIST AAL2 y AAL3 y la arquitectura Zero Trust. Al basarse en la premisa de «nunca confiar, siempre verificar», aseguran que cada sesión sea una prueba criptográfica real de posesión del dispositivo, cumpliendo además con normativas como el GDPR al reducir la cantidad de datos personales expuestos.
El camino hacia la eliminación total de las contraseñas parece inevitable. Aunque todavía convivamos con administradores de claves y métodos tradicionales, la combinación de biometría y criptografía asimétrica ha creado un escudo casi impenetrable. Al final, el objetivo es que la seguridad deje de ser una carga para el usuario y se convierta en un proceso invisible que proteja nuestra identidad digital sin que tengamos que recordar ni un solo carácter.
