¿Qué son las Passkeys? Una explicación sencilla para todos
Explícamelo como si fuera un profesional de TI: Tu dispositivo es tu credencial
Imagina que tu credencial de acceso no es una cadena de caracteres, sino una prueba criptográfica vinculada biométricamente a tu dispositivo. Para acceder a un sistema, simplemente te autenticas en tu dispositivo. No puedes perder esta prueba como una contraseña, y nadie puede robarla o copiarla por medios convencionales. Eso es una Passkey.
En lugar de una contraseña que debes recordar (un "secreto compartido" que puede ser olvidado o robado), una Passkey es una credencial digital única almacenada en un elemento de hardware seguro de tu dispositivo (teléfono, portátil, tableta). Para iniciar sesión en un sitio web o aplicación, desbloqueas tu dispositivo como lo harías normalmente: con tu rostro, huella digital o PIN. Tu dispositivo confirma tu identidad localmente, y se te concede el acceso. El secreto principal de la Passkey nunca abandona tu dispositivo y nunca se transmite al servidor.
Passkeys vs. Contraseñas: La diferencia fundamental
El cambio fundamental consiste en pasar de un modelo de "secreto compartido" (la contraseña, que conocen tanto tú como el servidor) a un modelo de "clave privada", donde el secreto nunca abandona tu posesión. Este cambio simple tiene implicaciones de seguridad enormes para cualquier organización.
|
Característica |
Contraseñas tradicionales |
Passkeys |
|
Modelo de seguridad |
Secreto compartido (Algo que sabes) |
Criptografía de clave pública (Algo que tienes + eres/sabes) |
|
Riesgo de phishing |
Extremadamente alto |
Inmune por diseño |
|
Impacto de una filtración de datos |
Catastrófico (Hashes de contraseñas robadas) |
Mínimo (Las claves públicas filtradas no sirven de nada) |
|
Fortaleza |
Depende del usuario (A menudo débiles, reutilizadas) |
Siempre criptográficamente fuertes y únicas por sitio |
|
Experiencia del usuario |
Escribir, recordar, gestionar, restablecer |
Desbloquear dispositivo con biometría/PIN |
|
Requisito de MFA |
Paso separado (Aplicación de autenticación, SMS) |
Integrado por defecto |
Cómo funciona todo gracias a la criptografía de clave pública
Cuando creas una Passkey para un servicio, tu dispositivo genera un par único de claves matemáticamente vinculadas:
Una clave privada: Esta es tu credencial secreta. Se almacena dentro del hardware seguro de tu dispositivo (como el Secure Enclave en un iPhone o un chip TPM en un PC). Nunca abandona tu dispositivo.
Una clave pública: Esta es la parte no secreta. Tu dispositivo la envía al servidor del servicio, que la almacena junto con tu nombre de usuario. Piensa en ella como un candado público que solo tu clave privada puede abrir.
Cuando quieres iniciar sesión, el servidor envía un desafío único y de un solo uso a tu dispositivo. Tu dispositivo utiliza su clave privada para "firmar" criptográficamente este desafío y envía la firma de vuelta. El servidor utiliza tu clave pública almacenada para verificar la firma. Si coincide, demuestra que posees el dispositivo con la clave privada correcta, y eres autenticado. Ninguna contraseña cruza nunca Internet.
Por qué las Passkeys son un cambio radical en seguridad
Prueba de phishing por diseño: Cómo detienen a los estafadores
Los ataques de phishing tienen éxito al engañar a los usuarios para que introduzcan sus contraseñas en un sitio web fraudulento. El sitio del estafador luce idéntico al de tu banco, pero la URL es diferente. Introduces tus credenciales, y quedan comprometidas.
Las Passkeys hacen que este vector de ataque quede obsoleto.
Una Passkey está vinculada criptográficamente al nombre de dominio real del sitio web (por ejemplo, `https://mybank.com`). Cuando intentas iniciar sesión, tu navegador y sistema operativo verifican este dominio. Si estás en un sitio falso como `https://mybank-secure-login.net`, la Passkey de `mybank.com` simplemente no funcionará. El navegador ni siquiera la ofrecerá como opción. No hay ningún secreto que puedas escribir, y por lo tanto, nada que un estafador pueda robar.
Eliminar el riesgo de las filtraciones de datos
Las filtraciones masivas de datos son una amenaza constante. Cuando se piratea la base de datos de una empresa, los atacantes roban millones de nombres de usuario y hashes de contraseñas. Luego utilizan potentes computadoras para descifrar estos hashes y revelar las contraseñas originales.
Con las Passkeys, incluso una violación del servidor no compromete las credenciales del usuario. El servidor solo almacena claves públicas. Si los hackers roban toda la base de datos de claves públicas, tendrán una colección inútil de candados digitales sin las llaves correspondientes. No pueden obtener las claves privadas a partir de las públicas, ni pueden usarlas para iniciar sesión.
El fin de las contraseñas débiles y reutilizadas
La mayor debilidad en la seguridad digital es el comportamiento humano. Los usuarios eligen contraseñas simples y fáciles de recordar como Password123! y las reutilizan en decenas de servicios. Una filtración en un sitio menor puede exponer la contraseña de cuentas corporativas críticas.
Las Passkeys resuelven este problema desde su origen. Como la Passkey es una cadena criptográfica larga y compleja generada por tu dispositivo, siempre es increíblemente segura. Y dado que se crea un nuevo par de claves único para cada servicio, la reutilización de contraseñas se elimina por completo. Obtienes la máxima seguridad para cada cuenta por defecto.
Más que una contraseña: Autenticación multifactor (MFA) integrada
La MFA añade capas de seguridad al requerir más que solo una contraseña. Se basa en verificar múltiples “factores” de identidad:
Algo que sabes: Una contraseña o PIN.
Algo que tienes: Tu teléfono o una llave de hardware.
Algo que eres: Una huella digital o escaneo facial.
Una contraseña es solo un factor ("saber"). Las Passkeys combinan al menos dos de forma inherente. Para usar una Passkey, necesitas el dispositivo en el que está almacenada (algo que tienes) y debes desbloquearlo con tu PIN (algo que sabes) o biometría (algo que eres). Esto convierte cada inicio de sesión con Passkey en un inicio de sesión multifactor sólido por defecto. Para las empresas, aquí es donde las plataformas integradas se vuelven esenciales.
Hideez, por ejemplo, combina el estándar FIDO2 con un servidor de gestión centralizada, lo que permite a los equipos de TI aplicar MFA integrada y sin contraseñas en toda la organización — desde estaciones de trabajo hasta aplicaciones en la nube — simplificando lo que antes era una implementación compleja.
Cómo crear y usar tu primera Passkey
Paso a paso: Crear una Passkey en un sitio compatible
Crear una Passkey suele ser más sencillo que crear una contraseña. Este es el flujo típico en sitios como Google, PayPal o eBay:
1. Ve a la configuración de seguridad de tu cuenta.
2. Encuentra la opción "Crear una Passkey" o "Agregar una Passkey".
3. El sitio web activará una solicitud desde tu sistema operativo (por ejemplo, Windows Hello, la solicitud de Face ID/Touch ID de Apple, o el bloqueo de pantalla en Android).
4. Autentícate usando tu rostro, huella digital o PIN del dispositivo, tal como lo harías para desbloquearlo.
5. El proceso ha finalizado. Tu dispositivo genera el par de claves, envía la clave pública al sitio y guarda la Passkey localmente.
Inicio de sesión sin fricción: Iniciar sesión en el mismo dispositivo
Aquí es donde la experiencia del usuario se transforma. La próxima vez que visites ese sitio en el mismo dispositivo:
Introduce tu nombre de usuario o correo electrónico.
El sitio reconocerá que tienes una Passkey y te pedirá automáticamente que la uses.
Autentícate con tu rostro, huella digital o PIN.
Inicias sesión al instante. Sin escribir, sin gestores de contraseñas.
Usar tu teléfono para iniciar sesión en una computadora (método de código QR)
¿Y si tu Passkey está en tu teléfono, pero necesitas iniciar sesión en un portátil? El estándar FIDO tiene una solución inteligente llamada autenticación entre dispositivos.
En la página de inicio de sesión de la computadora, elige la opción de iniciar sesión con una Passkey desde otro dispositivo.
Aparecerá un código QR en la pantalla de la computadora.
Escanea el código QR con la cámara de tu teléfono.
Tu teléfono te pedirá que apruebes el inicio de sesión usando biometría.
Una vez aprobado, tu teléfono utiliza Bluetooth para comunicarse de forma segura con la computadora y completar el inicio de sesión. Tu clave privada nunca abandona tu teléfono.
¿Dónde se almacenan las Passkeys? Gestionando tus llaves digitales
Gestores nativos de plataforma: iCloud Keychain, Google y Windows Hello
Las grandes empresas tecnológicas han integrado la gestión de Passkeys directamente en sus ecosistemas.
Llavero de iCloud de Apple: Las Passkeys creadas en un iPhone, iPad o Mac se sincronizan automáticamente a través de iCloud, lo que las hace accesibles en todos tus dispositivos Apple de confianza.
Administrador de contraseñas de Google: Las Passkeys creadas en Android o en Chrome se guardan en tu cuenta de Google y se sincronizan entre tus dispositivos Android y cualquier computadora donde hayas iniciado sesión en Chrome.
- Windows Hello: Windows 10 y 11 te permiten crear Passkeys vinculadas a tu dispositivo, protegidas por tu PIN o datos biométricos de Windows Hello.
Gestores de contraseñas de terceros para libertad multiplataforma
Para usuarios que trabajan fuera de un solo ecosistema (por ejemplo, usan un iPhone con una PC con Windows), los gestores de contraseñas de terceros están añadiendo rápidamente soporte para Passkeys. Estos servicios buscan ofrecer una forma coherente y neutral de almacenar y sincronizar tus Passkeys entre todos tus dispositivos.
Passkeys sincronizadas vs. vinculadas al dispositivo: Comodidad vs. máxima seguridad
Existen dos tipos principales de Passkeys:
Passkeys sincronizadas (multi-dispositivo): Son las más comunes para consumidores. Son almacenadas por Apple, Google o un gestor de contraseñas y se sincronizan entre tus dispositivos. Ofrecen gran comodidad y cuentan con copia de seguridad y recuperación integradas a través de tu cuenta.
Passkeys vinculadas al dispositivo (dispositivo único): Están atadas a un único hardware, como el chip TPM de una computadora o una llave de seguridad física. No pueden copiarse ni moverse, ofreciendo el nivel más alto de seguridad, ya que no pueden ser objeto de phishing ni accederse remotamente, incluso si se compromete toda tu cuenta en la nube. Este es el estándar para entornos empresariales de alta seguridad.
Compatibilidad de dispositivos y navegadores: Lo que necesitas para comenzar
Sistemas operativos compatibles
El soporte para Passkeys está integrado en todos los sistemas operativos modernos:
iOS 16 y posteriores
iPadOS 16 y posteriores
macOS Ventura y posteriores
Android 9 y posteriores
Windows 10 (1903) y posteriores
Navegadores web compatibles
Las últimas versiones de los navegadores principales soportan el estándar WebAuthn requerido para Passkeys:
Chrome
Safari
Edge
Firefox
El rol de las llaves de seguridad físicas
Para un nivel máximo de seguridad y portabilidad, las llaves de seguridad físicas (como aquellas compatibles con los estándares FIDO2) funcionan como Passkeys vinculadas al dispositivo. Son dispositivos físicos que almacenan tus claves privadas, ofreciendo MFA resistente al phishing y portátil entre computadoras compatibles.
¿Qué aplicaciones y sitios web admiten Passkeys?
Grandes plataformas tecnológicas lideran el camino
La adopción está creciendo día a día, y casi todas las grandes empresas tecnológicas ya admiten Passkeys en sus cuentas de usuario:
Google
Apple
Microsoft
PayPal y eBay
Amazon
TikTok
Y muchos más...
Cómo encontrar otros servicios compatibles con Passkeys
Seguir el ritmo de adopción puede ser complicado. Recursos como nuestra lista de servicios web compatibles mantienen una visión actualizada de los sitios web y apps que han implementado soporte para Passkeys, facilitando saber dónde puedes dejar atrás las contraseñas.
Respondiendo a dudas frecuentes sobre las Passkeys (FAQ)
¿Qué pasa si pierdo mi teléfono? Proceso de recuperación explicado
Este es un temor común, pero el proceso de recuperación es más robusto que con contraseñas. Como las Passkeys están sincronizadas, si pierdes tu teléfono, aún puedes acceder a tus cuentas desde tu tableta o portátil. Si pierdes todos tus dispositivos, puedes usar los métodos de recuperación de tu cuenta en la nube (Apple ID, cuenta de Google).
En entornos empresariales, este proceso está gestionado, no dejado al azar. Plataformas como Hideez ofrecen a los administradores una consola central para implementar flujos seguros de recuperación bajo políticas, lo que garantiza que un empleado que pierde un dispositivo pueda ser reconfigurado rápidamente sin comprometer la seguridad.
¿Puedo seguir usando mi antigua contraseña si quiero?
Sí. Durante el futuro previsible, casi todos los servicios que adopten Passkeys seguirán permitiendo el uso de contraseñas como método de inicio de sesión alternativo. Esto permite una transición gradual y asegura que los usuarios no queden excluidos si usan un dispositivo antiguo o no compatible.
¿Se envían mis datos biométricos (rostro/huella) al servidor?
Absolutamente no. Esta es una garantía crítica de privacidad y seguridad. Tus datos biométricos nunca abandonan tu dispositivo. Se procesan localmente por el hardware seguro de tu teléfono o computadora. Su única función es verificar que eres el usuario autorizado y "desbloquear" la clave privada para realizar la firma criptográfica. El servidor no sabe si usaste rostro, huella o PIN.
¿Puedo usar Passkeys en una computadora compartida o pública?
Sí, y es mucho más seguro que escribir una contraseña. Puedes usar el método del código QR mencionado anteriormente. Tu Passkey permanece en tu teléfono, y ninguna credencial o secreto se almacena en la máquina pública.
Los desafíos y limitaciones actuales del mundo sin contraseñas
Aunque la tecnología es revolucionaria, la transición no ocurrirá de la noche a la mañana.
La lenta adopción universal. El mayor obstáculo es el tiempo. Millones de sitios web y aplicaciones necesitan actualizar sus sistemas para admitir el estándar FIDO2. Aunque los grandes actores ya lo han hecho, pasarán años antes de que todos los servicios que usas estén listos.
El problema del "jardín cerrado": Apple vs. Google vs. Microsoft. Aunque la interoperabilidad ha mejorado mucho, todavía puede haber fricciones entre ecosistemas. Aquí es donde los proveedores de identidad de nivel empresarial aportan gran valor. Una plataforma unificada como Hideez está diseñada para abstraer esta complejidad. Al proporcionar una solución única, gestionable, con llaves físicas compatibles y un servidor central, las empresas pueden implementar Passkeys que funcionen sin problemas para todos sus usuarios, sin importar su dispositivo o sistema.
Educación del usuario y superar hábitos antiguos. Durante 30 años, nos han enseñado a crear, recordar y escribir contraseñas. Cambiar esa mentalidad hacia un nuevo paradigma donde no tienes que recordar ningún secreto representa un gran reto educativo. Los usuarios deben confiar en la tecnología y entender cómo gestionar sus nuevas llaves digitales.
Hideez ofrece una solución completa sin contraseñas, que combina llaves físicas FIDO2 con una plataforma de gestión centralizada para asegurar tus puntos de acceso y facilitar el cumplimiento.
¿Listo para eliminar tu mayor riesgo de seguridad? Agenda una demo con nuestros expertos y descubre cómo Hideez puede asegurar tu transición sin contraseñas.
