Sincronización de passkeys - Compartir credenciales entre dispositivos
Lectura de 2 min aprox.
La sincronización de claves de acceso es un mecanismo que distribuye la credencial (clave privada) de una clave de acceso a múltiples dispositivos a través de la nube. Con la autenticación FIDO2 tradicional, la clave privada estaba vinculada a un único dispositivo, por lo que el esfuerzo de volver a registrar las credenciales al perder o reemplazar un dispositivo era una gran barrera para su adopción. A partir del anuncio de Apple en 2022 sobre la sincronización de claves de acceso en el llavero de iCloud, Google y Microsoft siguieron su ejemplo, acelerando la difusión de la autenticación sin contraseña.
Por qué la sincronización se volvió necesaria
La autenticación FIDO2 vinculada a un dispositivo, como una llave de seguridad, es ideal en cuanto a seguridad, pero planteaba un obstáculo demasiado alto para los usuarios comunes. Si pierdes la llave, ya no puedes acceder a tu cuenta, y cada vez que compras un dispositivo nuevo tienes que volver a registrarte en todos los servicios. Esta «incomodidad» era el mayor factor que obstaculizaba la difusión de la autenticación sin contraseña, y la función de sincronización se diseñó como la solución.
Métodos de sincronización por plataforma
| Plataforma | Infraestructura de sincronización | Método de cifrado | Alcance de sincronización |
|---|---|---|---|
| Apple | Llavero de iCloud | E2EE (inaccesible incluso para Apple) | Todos los dispositivos con el mismo Apple ID |
| Administrador de contraseñas de Google | E2EE (implementado por fases desde 2024) | Android / Chrome con la misma cuenta de Google | |
| Microsoft | Windows Hello + cuenta de Microsoft | Integración con TPM + sincronización en la nube | Dispositivos Windows con la misma cuenta de Microsoft |
Todas las plataformas aplican cifrado de extremo a extremo durante la sincronización. En el caso de Apple, la clave de cifrado del llavero de iCloud se genera en el dispositivo, y en los servidores de Apple solo se almacenan datos cifrados. Es decir, el diseño garantiza que ni siquiera Apple pueda leer el contenido de la clave de acceso.
Cómo funciona la sincronización - cifrado de extremo a extremo
Aunque el servidor de un proveedor de la nube se vea comprometido, no se puede extraer la clave privada de los datos cifrados de la clave de acceso. Sin embargo, si la propia cuenta es secuestrada (por ejemplo, si se filtra la contraseña de la cuenta de iCloud y también se elude la autenticación de dos factores), existe el riesgo de que un atacante añada un nuevo dispositivo y sincronice las claves de acceso. La protección de la cuenta del almacenamiento en la nube es la base de la seguridad de la sincronización de claves de acceso.
Estado actual y desafíos de la sincronización multiplataforma
A fecha de 2025, el mayor desafío es que la sincronización entre plataformas no es posible. Una clave de acceso creada en un iPhone no se sincroniza con Android, y viceversa. La FIDO Alliance está promoviendo la interoperabilidad de las «credenciales multidispositivo», pero la realidad es que cada plataforma prioriza retener a los usuarios dentro de su propio ecosistema.
Como solución práctica a este problema, los administradores de contraseñas de terceros como 1Password y Dashlane han comenzado a admitir la sincronización de claves de acceso multiplataforma. Como estas herramientas funcionan de forma independiente de la infraestructura de claves de acceso del sistema operativo, pueden compartir claves de acceso incluso entre dispositivos Apple y dispositivos Android. El artículo sincronización de contraseñas en múltiples dispositivos explica los pasos concretos de configuración.
La compensación frente al tipo vinculado al dispositivo
Muy cómodas y recuperables desde la nube incluso cuando se pierde un dispositivo. Ideales para servicios orientados al consumidor. Sin embargo, dependen de la seguridad de la cuenta en la nube.
Como la clave privada nunca sale del dispositivo físico, no se ve afectada por las brechas en la nube. Adecuada para entornos empresariales de alta seguridad. La recuperación tras una pérdida es un desafío.
En las políticas de seguridad corporativas, aumentan las operaciones híbridas en las que se permiten claves de acceso sincronizadas para los empleados generales mientras que se exigen llaves de seguridad para las cuentas de administrador. El artículo desafíos de la migración a claves de acceso explica los detalles de este diseño operativo.
Errores frecuentes
A menudo escuchamos la preocupación: «Si las claves de acceso se sincronizan, ¿no conllevan el mismo riesgo de filtración que las contraseñas?». Sin embargo, la sincronización de claves de acceso y la de contraseñas son fundamentalmente diferentes. Una contraseña es un «secreto compartido» que se envía al servidor, pero la clave privada de una clave de acceso nunca se envía al servidor. La sincronización ocurre solo entre dispositivos, y en el momento de la autenticación solo se envía al servidor la firma del desafío. Aunque la ruta de sincronización se viera comprometida, no se puede extraer la clave privada de los datos cifrados con E2EE.libros sobre autenticación sin contraseña (Amazon) te permiten aprender más a fondo sobre este mecanismo.
Decisiones de adopción en la práctica
Al introducir la sincronización de claves de acceso, es importante investigar de antemano el entorno de uso de los usuarios destinatarios. Para una organización estandarizada en el ecosistema de Apple, el llavero de iCloud por sí solo es suficiente, pero en un entorno BYOD (traiga su propio dispositivo) el problema multiplataforma se hace evidente. Evalúe también los riesgos de la autenticación biométrica y considere si la autenticación biométrica es adecuada como método de verificación de identidad para las claves de acceso sincronizadas.
¿Te resultó útil este artículo?