Passkeys: entender y adoptar la alternativa a la contraseña

Las passkeys reemplazan la contraseña por una clave criptográfica vinculada a tu dispositivo. Sin necesidad de recordar, escribir ni restablecer nada. Aquí explicamos cómo funcionan, qué cambian en la práctica y qué conviene saber antes de adoptarlas.

¿Qué es una passkey y cómo funciona?

Una passkey es un par de claves criptográficas: una privada, almacenada en tu dispositivo, y una pública, registrada por el servicio en línea. Para iniciar sesión, tu dispositivo demuestra que posee la clave privada sin transmitirla en ningún momento.

En la práctica, cada vez que te conectas el servidor envía un desafío único (un challenge aleatorio). Tu dispositivo lo firma con la clave privada y el servidor verifica la firma con la clave pública. Aunque alguien intercepte esa respuesta firmada, no puede hacer nada con ella: solo es válida para ese challenge concreto, que ya ha sido consumido. Esto es fundamentalmente distinto de una contraseña, que siempre es la misma y siempre puede reutilizarse.

La autenticación se activa con un gesto sencillo: Touch ID, Face ID, huella dactilar o el PIN del dispositivo.

¿Son las passkeys realmente más seguras que una contraseña?

Sí, y con diferencia. Las passkeys se basan en criptografía de curva elíptica (P-256 / ECDSA), lo que proporciona aproximadamente 128 bits de seguridad efectiva. Para alcanzar un nivel equivalente con una contraseña, harían falta unos 20 caracteres completamente aleatorios entre los 95 caracteres ASCII imprimibles, algo que ningún ser humano genera ni recuerda de forma espontánea.

Más allá de la robustez pura, las passkeys eliminan toda una categoría de riesgos:

  • Sin contraseñas débiles ni reutilizadas de un sitio a otro
  • Sin bases de datos de contraseñas que robar (el servidor solo almacena la clave pública, inútil sin la clave privada)
  • Sin credential stuffing (probar millones de combinaciones de usuario/contraseña obtenidas de filtraciones)
  • Sin políticas de renovación obligatoria cada 90 días
  • Sin formularios con reglas absurdas (mayúscula obligatoria, carácter especial, máximo 16 caracteres…)

¿Por qué las passkeys resisten el phishing?

Una passkey está vinculada criptográficamente al dominio exacto para el que fue creada. En un sitio falso, aunque sea visualmente idéntico al original, la passkey simplemente no se activa. No hay nada que interceptar ni nada que reutilizar.

Esta es una diferencia estructural con las contraseñas. Un sitio falso puede mostrar un formulario de inicio de sesión idéntico al real y capturar tus credenciales. Con una passkey, aunque el usuario no detecte el engaño, la autenticación falla silenciosamente a nivel técnico. No se transmite ninguna información aprovechable al sitio fraudulento.

Esta protección funciona incluso frente a los ataques AiTM (Adversary-in-the-Middle) en tiempo real, que ni siquiera el 2FA clásico es capaz de bloquear.

¿Puede robarse mi huella dactilar como si fuera una contraseña?

No. La huella dactilar (o Face ID) nunca abandona tu dispositivo. No transita por la red ni se almacena en el servidor del sitio. Su única función es desbloquear localmente la clave criptográfica que, esta sí, realiza la autenticación.

El sitio nunca ve tu huella, nunca la recibe y, por tanto, nunca puede serle robada. Esto es fundamentalmente distinto de una contraseña, que se envía al servidor en cada inicio de sesión y puede verse comprometida si la base de datos es hackeada.

Y si Touch ID o Face ID no está disponible (dedo lesionado, sensor defectuoso), el PIN del dispositivo toma el relevo. La biometría es una comodidad, no una dependencia.

¿Qué ocurre si pierdo mi teléfono o mi ordenador?

La respuesta depende de dónde estén almacenadas tus passkeys. Si están sincronizadas mediante iCloud Keychain (Apple) o Google Password Manager, estarán disponibles automáticamente en tus otros dispositivos del mismo ecosistema. Cambiar de iPhone o de PC con la misma cuenta de Google es un proceso transparente.

En cambio, si la passkey solo se creó de forma local, en un único dispositivo, perderlo significa perder el acceso. Por eso la mayoría de los servicios conservan la contraseña como método de inicio de sesión alternativo durante el período de transición. Un gestor de contraseñas que sincronice las passkeys entre dispositivos y navegadores reduce considerablemente este riesgo.

¿Dónde se almacenan mis passkeys y quién tiene acceso a ellas?

Las passkeys las almacena el proveedor que eliges (o que se impone) en el momento de la creación. Los principales son iCloud Keychain (Apple), Google Password Manager (Chrome) y los gestores de contraseñas de terceros.

Cada proveedor tiene su propio alcance de sincronización:

  • iCloud Keychain sincroniza entre todos los dispositivos Apple, pero no más allá
  • Google Password Manager sincroniza en todos los navegadores Chrome, independientemente del sistema operativo, pero no en Safari
  • Un gestor de contraseñas de terceros puede funcionar en todos los dispositivos y navegadores

El error habitual: en el momento de crear una passkey, varios proveedores pueden ofrecerse simultáneamente: la extensión del gestor de contraseñas, el navegador y el sistema operativo. Touch ID, por ejemplo, da la impresión de que "el Mac se encarga de esto", cuando en realidad detrás de ese gesto es Chrome o macOS quien almacena la passkey. Si no prestas atención a la elección inicial, es posible que no encuentres tu passkey en otro dispositivo.

¿Cómo gestionar las passkeys en el día a día?

El punto más delicado hoy en día es la gestión. No existe un único lugar donde ver todas tus passkeys. Están repartidas entre distintas interfaces según el proveedor elegido en el momento de la creación.

Para encontrar o eliminar una passkey según dónde esté almacenada:

  • En Chrome: acceder a los ajustes de contraseñas del navegador
  • En macOS: Configuración del Sistema, sección Contraseñas
  • En un gestor de terceros: en la bóveda, en la sección dedicada a las passkeys

Es posible crear sin darte cuenta varias passkeys para la misma cuenta en proveedores distintos. Para evitar confusiones, lo más sencillo es elegir un único proveedor y mantenerlo. Por parte del servicio, los sitios serios muestran la lista de passkeys registradas para tu cuenta con la opción de revocarlas.

¿Van a reemplazar las passkeys a las contraseñas?

No de forma inmediata, pero la tendencia es clara. No todos los sitios admiten todavía las passkeys, y los usuarios deben convivir con ambos sistemas durante la transición. La contraseña sigue siendo una red de seguridad necesaria para los servicios que aún no ofrecen passkeys, o como método de respaldo.

La adopción avanza rápidamente: los grandes actores (Google, Apple, Microsoft) integran las passkeys de forma nativa en sus sistemas. A largo plazo, la contraseña debería convertirse en la excepción más que en la norma. Mientras tanto, un gestor de contraseñas capaz de gestionar tanto contraseñas clásicas como passkeys ofrece la mejor experiencia durante la transición.

Lo que hay que recordar

  • Una passkey es una clave criptográfica vinculada a tu dispositivo, más robusta y más sencilla que una contraseña
  • Las passkeys son estructuralmente resistentes al phishing: solo funcionan en el dominio exacto para el que fueron creadas
  • Tu huella dactilar nunca abandona tu dispositivo y no puede ser robada a través de un sitio web
  • Elige un único proveedor para almacenar tus passkeys y evitar confusiones entre dispositivos
  • La contraseña sigue siendo necesaria en paralelo durante el período de transición
  • Un gestor de contraseñas que admita passkeys simplifica la gestión en múltiples dispositivos

Prueba las passkeys con Octopussian - inicio de sesión sin contraseña, seguridad máxima →

Registro gratuito

Sin tarjeta de crédito. Registro en 1 minuto

Mejore su eficiencia hoy mismo. Regístrese para probarlo gratis.

Utilizamos su correo electrónico y su nombre
para crear su espacio Octopussian.

o
@ Continuar con mi email

Respetamos su privacidad. Su información no será utilizada para ningún otro fin.
Al registrarse, acepta nuestros términos de uso y política de privacidad