Passkeys e inicio de sesión sin contraseña: lo que necesitas saber

Lectura de 11 min aprox.

Las "passkeys" están ganando adopción rápidamente como un nuevo método de autenticación para reemplazar las contraseñas. Las principales plataformas, incluyendo Google, Apple y Microsoft, han anunciado su soporte, haciendo que un futuro sin contraseñas sea cada vez más realista. Según el informe de 2024 de FIDO Alliance, el número de servicios compatibles con passkeys aumentó aproximadamente 2.5 veces interanualmente, y la conciencia del consumidor superó el 50%. Google anunció en octubre de 2024 que los inicios de sesión con passkey superaron a los inicios de sesión con contraseña. En 2025, servicios principales como Amazon, PayPal y GitHub han ampliado el soporte de passkeys, acelerando aún más la transición. Sin embargo, no todos los servicios migrarán a passkeys de la noche a la mañana. Este artículo explica de manera integral los mecanismos técnicos de las passkeys, su estado de adopción y cómo mantener la seguridad con Passtsuku.com durante el período de transición.

Cómo funcionan FIDO2 y WebAuthn

Las tecnologías fundamentales para las passkeys son FIDO2 (Fast IDentity Online 2) y WebAuthn (Web Authentication). FIDO2 es un estándar de autenticación desarrollado por FIDO Alliance, y WebAuthn es su especificación de API para navegadores web estandarizada por el W3C.

En la autenticación tradicional por contraseña, la cadena ingresada por el usuario se envía al servidor y se compara con el valor hash almacenado en el lado del servidor. Con este método, existe el riesgo de que la información de la contraseña se filtre si el servidor es comprometido.

Principios de autenticación por criptografía de clave pública

Lo que diferencia fundamentalmente a FIDO2/WebAuthn de la autenticación tradicional por contraseña es su adopción de criptografía de clave pública. La criptografía de clave pública utiliza un par de dos claves matemáticamente relacionadas (clave privada y clave pública). Los datos firmados con la clave privada solo pueden verificarse con la clave pública correspondiente, y es computacionalmente imposible derivar la clave privada de la clave pública. Esta propiedad se basa en la dificultad matemática de algoritmos como la criptografía de curva elíptica (ECDSA) y RSA.

El flujo de autenticación específico funciona de la siguiente manera. Durante el registro, se genera un par de clave privada y clave pública en el dispositivo del usuario, y solo la clave pública se envía al servidor. Durante el inicio de sesión, el servidor envía un desafío aleatorio (datos de verificación), y el dispositivo aplica una firma digital al desafío con la clave privada y lo devuelve. Dado que el servidor solo verifica la firma con la clave pública, la clave privada nunca viaja por la red. Solo la clave pública se almacena en el servidor, por lo que incluso si el servidor es comprometido, todo lo que el atacante obtiene es la clave pública y no puede romper la autenticación. Esto contrasta con el riesgo de recuperar la contraseña original mediante ataques fuera de línea cuando se filtran los valores hash de contraseñas.

Resistencia al phishing mediante verificación de origen

La razón por la que FIDO2/WebAuthn tiene una fuerte resistencia contra los ataques de phishing radica en su mecanismo de verificación de origen. Durante el registro de passkey, el navegador guarda el origen del sitio (protocolo + dominio + puerto) vinculado a la clave privada. Durante el inicio de sesión, el navegador compara automáticamente el origen del sitio actualmente accedido con el origen vinculado a la clave privada, y si no coinciden, el proceso de autenticación en sí no se ejecuta. Esta verificación se realiza internamente por el navegador, por lo que los usuarios no necesitan verificar visualmente las URL, y la ventaja decisiva es que no depende de errores de juicio humano. Incluso dominios falsos sofisticados como "examp1e.com" (reemplazando l con 1) son bloqueados de manera confiable a nivel del navegador. Para el panorama completo de las contramedidas contra el phishing, consulte también cómo identificar y prevenir estafas de phishing.

Qué son las passkeys

Las passkeys son un método de autenticación basado en la tecnología FIDO2/WebAuthn que mejora significativamente la experiencia del usuario. Mientras que las claves de seguridad FIDO2 tradicionales requerían tokens de hardware físicos, las passkeys pueden completar la autenticación usando autenticación biométrica (huella dactilar, reconocimiento facial) o bloqueo de pantalla (PIN) integrados en smartphones y PCs.

Passkeys sincronizadas y passkeys vinculadas al dispositivo

Hay dos tipos de passkeys. Las Passkeys Sincronizadas se sincronizan entre múltiples dispositivos a través del Llavero de iCloud de Apple o el Administrador de Contraseñas de Google. Dado que las passkeys creadas en un iPhone también se pueden usar en un Mac, la información de autenticación se puede transferir cuando los dispositivos se pierden o reemplazan.

Las Passkeys Vinculadas al Dispositivo están atadas a hardware específico y no pueden exportarse externamente. Las claves de seguridad como YubiKey entran en esta categoría. Si bien la seguridad es mayor que las passkeys sincronizadas, se necesitan medios de recuperación cuando se pierden los dispositivos.Si está considerando la introducción de passkeys vinculadas al dispositivo, claves de seguridad compatibles con FIDO2 (Amazon) también puede ser útil.

Un punto importante a tener en cuenta es que las passkeys sincronizadas sincronizan claves privadas a través de la nube, por lo que si la cuenta en la nube es comprometida, todas las passkeys están en riesgo de ser filtradas. Apple y Google mitigan este riesgo con cifrado de extremo a extremo, pero el prerrequisito de que la protección de la cuenta en la nube (contraseña segura + autenticación de dos factores) es necesaria a menudo se pasa por alto.

Passkeys vs Contraseña + 2FA vs Claves de seguridad

Para comprender correctamente las opciones de métodos de autenticación, comparamos los tres métodos principales. Es importante entender las características de cada uno y usarlos según la importancia del servicio.

• Passkeys (sincronizadas): Alta resistencia al phishing con inicio de sesión fácil mediante biometría. La sincronización en la nube facilita la migración entre dispositivos. Sin embargo, depende de la seguridad de la cuenta en la nube. Los servicios compatibles aún son limitados
• Contraseña + 2FA (TOTP): El método más ampliamente soportado. Se puede asegurar cierto nivel de seguridad con la combinación de fortaleza de contraseña y aplicación TOTP, pero existe el riesgo de ingresar tanto la contraseña como el código TOTP en sitios de phishing. Dentro del período de validez del código TOTP (generalmente 30 segundos), los ataques de retransmisión en tiempo real (phishing en tiempo real) por atacantes son posibles
• Claves de seguridad (passkeys vinculadas al dispositivo): Mayor resistencia al phishing con claves privadas que nunca salen del dispositivo. Ideal para cuentas privilegiadas empresariales y servicios financieros, pero requiere costos de compra de dispositivos físicos (aproximadamente $35-70 por clave) y asegurar medios de recuperación en caso de pérdida

Como recomendación práctica, la estrategia más equilibrada actualmente es una "operación híbrida" donde las passkeys se configuran como prioridad máxima para servicios compatibles, y se mantiene contraseña + 2FA para servicios incompatibles. Para servicios particularmente importantes como instituciones financieras y cuentas de administrador, considere agregar una clave de seguridad. Para detalles sobre la conveniencia y riesgos de la autenticación biométrica, consulte riesgos y uso seguro de la autenticación biométrica.

Servicios que admiten passkeys

Desde 2024, los servicios compatibles con passkeys se han expandido rápidamente. Según la investigación de FIDO Alliance, los sitios web y aplicaciones que admiten passkeys cubrían más de 15 mil millones de cuentas en todo el mundo a finales de 2024. El estado de soporte de los principales servicios es el siguiente.

• Google: Soporte de passkeys en todos los servicios incluyendo Gmail y Google Workspace
• Apple: Passkeys disponibles para el inicio de sesión de Apple ID
• Microsoft: Integración con cuentas de Microsoft y Windows Hello
• Yahoo! JAPAN: Adopción temprana de passkeys como servicio doméstico
• GitHub: Autenticación por passkey proporcionada para desarrolladores
• Amazon: Soporte de passkeys para cuentas de compras
• PayPal: Soporte de passkeys como servicio de pago

Sin embargo, los servicios compatibles son solo una pequeña fracción del total. Muchos servicios web, especialmente los servicios domésticos pequeños y medianos, todavía utilizan principalmente la autenticación por contraseña. Incluso los servicios que han anunciado soporte de passkeys pueden tener implementaciones incompletas. Por ejemplo, hay muchos servicios donde el inicio de sesión con passkey es posible pero el flujo de recuperación de cuenta depende de contraseñas, o que solo funcionan en navegadores específicos.

Error común: "Las passkeys hacen innecesarias las contraseñas"

El error más común sobre las passkeys es que "es seguro eliminar su contraseña una vez que configura una passkey." En realidad, la mayoría de los servicios retienen la autenticación de respaldo basada en contraseña incluso después de configurar passkeys. Esto significa que los atacantes pueden eludir las passkeys e intentar iniciar sesión con contraseñas. Configurar una passkey no es razón para reducir la fortaleza de la contraseña. Más bien, después de configurar passkeys, es importante actualizar las contraseñas de respaldo a cadenas aleatorias de 20 caracteres o más en Passtsuku.com para bloquear la ruta de intrusión de los atacantes a través de contraseñas.

Otro error es que "las passkeys envían información biométrica al servidor." En realidad, la autenticación biométrica se procesa localmente dentro del enclave seguro del dispositivo (Secure Enclave o TPM), y la información biométrica en sí nunca se transmite por la red. La autenticación biométrica es simplemente "autenticación local para permitir el acceso a la clave privada en el dispositivo," y la autenticación con el servidor se realiza mediante firmas digitales basadas en Infraestructura de Clave Pública (PKI).

El período de coexistencia con contraseñas

Se espera que pase un tiempo considerable antes de que las passkeys reemplacen completamente a las contraseñas. Hay varias razones para esto.

• Existen barreras técnicas y de costos para que todos los servicios admitan passkeys
• Los dispositivos y navegadores antiguos pueden no poder usar passkeys
• Incluso los servicios compatibles con passkeys a menudo retienen la autenticación por contraseña como respaldo
• La migración de sistemas internos corporativos y aplicaciones empresariales lleva tiempo

Durante este período de coexistencia, necesita priorizar la configuración de passkeys para servicios compatibles mientras continúa defendiéndose con contraseñas seguras para servicios incompatibles. Las medidas a medias son las más peligrosas. Incluso para servicios donde se configuran passkeys, si la autenticación de respaldo basada en contraseña está activa, se debe mantener la fortaleza de esa contraseña.Para comprender profundamente cómo funcionan las passkeys, libros de criptografía de clave pública y protocolos de autenticación (Amazon) también puede ser útil.

Lista de verificación de migración a passkeys

Esta es una lista de verificación práctica para avanzar gradualmente en su migración a passkeys. Recomendamos abordar los servicios en orden de prioridad.

• Configure passkeys para cuentas de correo electrónico (Google, Microsoft, Yahoo! JAPAN). Proteja el correo primero ya que es el punto de partida para restablecer contraseñas
• Configure passkeys o claves de seguridad para servicios financieros (banca, valores, pagos)
• Configure passkeys para cuentas de redes sociales (GitHub, X, Facebook)
• Actualice las contraseñas de respaldo de servicios con passkeys configuradas a 20 caracteres o más en Passtsuku.com
• Actualice las contraseñas de servicios incompatibles con passkeys a cadenas aleatorias de 16 caracteres o más en Passtsuku.com
• Use la autenticación de dos factores junto con todos los servicios
• Consolide toda la información de autenticación en un administrador de contraseñas y establezca la contraseña maestra al nivel más fuerte
• Verifique el estado de soporte de passkeys cada 3 meses y configure para servicios recientemente compatibles

Manteniendo contraseñas seguras con Passtsuku.com

Aunque un futuro sin contraseñas se acerca, las contraseñas siguen siendo el pilar principal de la autenticación en este momento. Se requiere suficiente fortaleza no solo para servicios incompatibles con passkeys sino también para contraseñas de respaldo de servicios compatibles con passkeys.

Al utilizar Passtsuku.com, puede optimizar la gestión de contraseñas durante el período de transición. Al generar por lotes diferentes contraseñas aleatorias para cada servicio y guardarlas en un administrador de contraseñas, puede garantizar la seguridad hasta que se complete la migración a passkeys.

La difusión de las passkeys es un avance bienvenido, pero el camino hacia la migración completa es largo, y las contraseñas seguras aún respaldan la seguridad mientras tanto. Protejamos robustamente todas las cuentas mientras confirmamos 80 bits o más de entropía en el medidor de fortaleza de Passtsuku.com.

Lo que puede hacer ahora mismo

1. Registre una passkey desde la configuración de "Seguridad" de su cuenta de Google (se completa con autenticación biométrica del smartphone)
2. Configure secuencialmente passkeys para los principales servicios compatibles como Apple ID y cuentas de Microsoft
3. Actualice las contraseñas de respaldo de servicios con passkeys configuradas a 20 caracteres o más en Passtsuku.com
4. Actualice las contraseñas de servicios incompatibles con passkeys a cadenas aleatorias de 16 caracteres o más en Passtsuku.com y use autenticación de dos factores junto con ellas
5. Vuelva a verificar el estado de soporte de passkeys en 3 meses y configure para cualquier servicio recientemente compatible

Preguntas frecuentes

¿Cuál es la diferencia entre passkeys y contraseñas?

Las contraseñas son cadenas que memorizas, mientras que los passkeys son credenciales basadas en criptografía de clave pública con la clave privada almacenada de forma segura en tu dispositivo. Eliminan el riesgo de phishing y filtración de credenciales.

¿Qué debo hacer con los servicios que no admiten passkeys?

Para servicios sin soporte de passkeys, usa una contraseña larga y aleatoria de un gestor de contraseñas combinada con autenticación de dos factores. Esta combinación es el enfoque más práctico durante el período de transición.

¿Qué pasa si pierdo el dispositivo con mi passkey?

Si usas la sincronización en la nube de Apple o Google, tus passkeys se restauran al iniciar sesión en un nuevo dispositivo. Como precaución, configura siempre opciones de recuperación de cuenta (códigos de recuperación o autenticación alternativa) en cada servicio.