¿Qué son las Passkeys? Cómo funciona la autenticación sin contraseña

最終更新: 2026-02-25

この記事は約 13 分で読めます

¿Qué son las passkeys?

Las passkeys son una tecnología de autenticación de próxima generación diseñada para reemplazar las contraseñas. Basadas en los estándares FIDO2/WebAuthn desarrollados por la FIDO Alliance y el W3C, las passkeys utilizan criptografía de clave pública para autenticar a los usuarios. En lugar de depender del "conocimiento" como una contraseña, las passkeys combinan una clave privada almacenada en tu dispositivo con autenticación biométrica (huella dactilar o reconocimiento facial) o un PIN del dispositivo para ofrecer un inicio de sesión seguro y conveniente.

Desde que Apple, Google y Microsoft anunciaron conjuntamente el soporte de passkeys en 2022, el número de servicios compatibles se ha expandido rápidamente. En 2025, la mayoría de los principales servicios web soportan el inicio de sesión con passkeys, inaugurando una era donde los usuarios pueden liberarse de la carga de la gestión de contraseñas.

Cómo funcionan las passkeys

Autenticación con criptografía de clave pública

En el núcleo de las passkeys está la criptografía de clave pública. Durante el registro de la cuenta, se genera un par de claves pública-privada en el dispositivo. La clave pública se envía y almacena en el servidor del servicio, mientras que la clave privada se mantiene en un área segura del dispositivo (TPM, Secure Enclave, etc.), protegida por el cifrado del dispositivo.

  1. El usuario solicita iniciar sesión, y el servidor envía un desafío aleatorio (solicitud de autenticación)
  2. El dispositivo verifica al usuario mediante autenticación biométrica o PIN
  3. Tras la verificación, la clave privada firma el desafío, y la firma se envía de vuelta al servidor
  4. El servidor verifica la firma usando la clave pública almacenada, completando la autenticación

WebAuthn y CTAP

Las passkeys se basan en dos especificaciones técnicas clave:

  • WebAuthn (Web Authentication API): El protocolo de autenticación entre navegadores y servicios web. A través de una API JavaScript, los sitios web pueden solicitar la creación y uso de passkeys
  • CTAP (Client to Authenticator Protocol): El protocolo de comunicación entre navegadores y dispositivos (autenticadores). Permite la interacción con autenticadores externos a través de USB, NFC y Bluetooth

La diferencia fundamental con las contraseñas

Las contraseñas dependen de un modelo de secreto compartido donde tanto el servidor como el usuario conocen el mismo secreto. Este modelo es vulnerable a las filtraciones de datos del servidor, los ataques de relleno de credenciales y el phishing. Con las passkeys, la clave privada nunca sale del dispositivo, haciendo estos ataques fundamentalmente imposibles.

Beneficios de seguridad de las passkeys

Resistencia al phishing

Las passkeys están vinculadas al dominio (origen) donde fueron registradas. La clave privada no se utilizará en el dominio de un sitio falso, proporcionando resistencia inherente a los ataques de phishing. Incluso si un usuario navega a un sitio de phishing, el proceso de autenticación con passkey falla automáticamente.

Resistencia a filtraciones del servidor

Solo la clave pública se almacena en el servidor. Incluso si el servidor es hackeado y las claves públicas se filtran, el inicio de sesión es imposible sin la clave privada. El riesgo de robo de identidad digital se reduce drásticamente.

Resistencia a ataques de repetición

Se genera un desafío único para cada intento de autenticación, haciendo imposibles los ataques de repetición, que reutilizan datos de autenticación anteriores. Para una exploración profunda de estos conceptos, considera leer una guía de seguridad de autenticación web.

Eliminación de amenazas relacionadas con contraseñas

  • Ataques de fuerza bruta: No hay contraseña que adivinar
  • Ataques de diccionario: El concepto de "contraseña débil" no existe
  • Relleno de credenciales: Reutilizar contraseñas filtradas es imposible
  • Keyloggers: No hay contraseña que teclear, haciendo inútil el registro de pulsaciones

Configuración de passkeys en las principales plataformas

Apple (iPhone / iPad / Mac)

Apple sincroniza las passkeys a través de iCloud Keychain. Disponible en iOS 16+, macOS Ventura+.

  1. Abre la página de configuración de la cuenta en un sitio compatible
  2. Selecciona "Añadir una passkey" o "Configurar clave de seguridad"
  3. Autentícate con Face ID o Touch ID
  4. La passkey se guarda en iCloud Keychain y queda disponible en todos los dispositivos con el mismo Apple ID

Google (Android / Chrome)

Google gestiona las passkeys a través de Google Password Manager. Compatible con Android 9+ y Chrome 118+.

  1. Inicia la configuración de passkey en un sitio compatible
  2. Autentícate con huella dactilar, reconocimiento facial o PIN de bloqueo de pantalla
  3. La passkey se sincroniza con tu cuenta de Google y queda disponible en dispositivos Android y Chrome con la misma cuenta

Microsoft (Windows)

Windows 11 soporta passkeys a través de Windows Hello. Una actualización de 2025 añadió la sincronización de passkeys con cuentas de Microsoft.

  1. Selecciona la creación de passkey en un sitio compatible
  2. Autentícate con Windows Hello (reconocimiento facial, huella dactilar o PIN)
  3. La passkey se almacena en Windows Credential Manager

Gestores de contraseñas de terceros

Los principales gestores de contraseñas, incluyendo 1Password, Bitwarden y Dashlane, soportan el almacenamiento y sincronización de passkeys. Estos productos de terceros son convenientes para usar passkeys en diferentes plataformas. Un libro sobre tecnología FIDO2 y passkeys puede proporcionar profundidad técnica adicional.

Servicios compatibles con passkeys (2025-2026)

El número de servicios que soportan passkeys está creciendo rápidamente. Estos son los principales servicios compatibles.

Grandes empresas tecnológicas

  • Google: Recomienda las passkeys como método de autenticación predeterminado en todas las cuentas de Google
  • Apple: Soporta passkeys para Apple ID, iCloud y App Store
  • Microsoft: Soporte de passkeys para cuentas de Microsoft y Microsoft 365
  • Amazon: Soporta passkeys para compras y la consola de AWS

Redes sociales y comunicación

  • GitHub, X (anteriormente Twitter), LinkedIn, WhatsApp, PayPal

Finanzas y pagos

  • PayPal, Stripe y bancos y corredurías seleccionados
  • En Japón, Yahoo! JAPAN fue un adoptante temprano, con más de 50 millones de cuentas usando passkeys en 2025

Comparación con la autenticación de dos factores tradicional

La autenticación de dos factores (2FA) mejora la seguridad al requerir un factor de autenticación adicional más allá de la contraseña. Sin embargo, la 2FA basada en SMS es vulnerable a ataques de intercambio de SIM, y los TOTP (contraseñas de un solo uso basadas en tiempo) aún pueden ingresarse en sitios de phishing. Las passkeys resuelven fundamentalmente estos problemas, proporcionando una seguridad igual o superior a la autenticación multifactor en una sola acción.

Desafíos y consideraciones

Recuperación por pérdida de dispositivo

Dado que las passkeys están vinculadas a los dispositivos, la recuperación de la cuenta cuando se pierden todos los dispositivos es un desafío. Si la sincronización en la nube (iCloud Keychain, Google Password Manager) está habilitada, la recuperación en un nuevo dispositivo es sencilla, aunque es importante comprender las implicaciones de seguridad del almacenamiento en la nube. Sin sincronización, necesitas asegurarte de que haya métodos de recuperación alternativos disponibles.

Desafíos multiplataforma

Compartir passkeys entre los ecosistemas de Apple, Google y Microsoft aún no es completamente fluido en 2025. Usar passkeys en diferentes plataformas requiere autenticación por proximidad basada en código QR o gestores de contraseñas de terceros.

Cobertura limitada de servicios

Aunque la adopción de passkeys está creciendo, no todos los servicios web las soportan todavía. Un período de transición usando passkeys junto con contraseñas tradicionales y 2FA continuará por el momento.

Manejo de cuentas compartidas

Usar passkeys con cuentas compartidas entre miembros de la familia o equipos puede ser complejo. Cada miembro necesita registrar passkeys individuales, o el equipo debe usar las funciones de compartir de un gestor de contraseñas.

Últimos avances en 2025-2026

Protocolo de sincronización de credenciales CXP/CXF

La FIDO Alliance publicó las especificaciones del Credential Exchange Protocol (CXP) y el Credential Exchange Format (CXF) a finales de 2025, permitiendo la transferencia segura de passkeys entre diferentes gestores de contraseñas y plataformas. Esto aborda una de las mayores barreras para la adopción de passkeys - la dependencia del proveedor - al permitir a los usuarios mover libremente sus credenciales entre 1Password, Bitwarden, Apple Keychain y Google Password Manager.

Estandarización de exportación/importación de passkeys

Basándose en CXP/CXF, los principales gestores de contraseñas implementaron la funcionalidad de exportación e importación de passkeys a principios de 2026. Los usuarios ahora pueden hacer copias de seguridad de sus passkeys de forma independiente y migrar entre ecosistemas sin volver a registrarse en cada servicio. Esta estandarización ha acelerado significativamente la adopción empresarial de passkeys, ya que las organizaciones ahora pueden gestionar la portabilidad de credenciales a escala.

Certificación FIDO2 Nivel 3

La FIDO Alliance introdujo los requisitos de certificación de Nivel 3 en 2025, añadiendo atestación respaldada por hardware y protecciones anti-phishing mejoradas. Los dispositivos que cumplen los requisitos de Nivel 3 proporcionan prueba criptográfica de la integridad del autenticador, haciendo las passkeys adecuadas para aplicaciones de alta seguridad, incluyendo servicios financieros y sistemas gubernamentales.

Aceleración de la adopción de passkeys

Según la FIDO Alliance, el número de sitios web que soportan passkeys superó los 2 millones a principios de 2026, con autenticaciones mensuales con passkeys superando los 15 mil millones. La adopción se ha acelerado particularmente en el comercio electrónico y los servicios financieros, con la autenticación sin contraseña convirtiéndose en el estándar para los nuevos registros de cuentas en las principales plataformas.

Estandarización de la API Credential Manager

El W3C ha estado avanzando en las extensiones de la API Credential Management, haciendo la creación y gestión de passkeys más intuitiva. En 2025-2026, la integración del autocompletado del navegador con passkeys ha mejorado aún más, permitiendo a los usuarios iniciar sesión simplemente seleccionando una passkey desde el campo de contraseña.

Avances en Japón

En Japón, la Agencia Digital está promoviendo la integración entre las tarjetas My Number y las passkeys. Los principales bancos y servicios en línea también están avanzando en el soporte de passkeys, y se predice que las passkeys se convertirán en el método de autenticación estándar para los servicios en línea japoneses para 2026. Yahoo! JAPAN ha superado los 60 millones de cuentas usando passkeys.

Lista de verificación para la migración a passkeys

Sigue estos pasos para hacer la transición gradual de contraseñas a passkeys:

  1. Identifica cuáles de tus cuentas actuales soportan passkeys (busca en passkeys.directory)
  2. Prioriza la configuración de passkeys para tus cuentas más importantes (correo electrónico, banca, redes sociales)
  3. Para los servicios que aún no soportan passkeys, configura contraseñas seguras y autenticación de dos factores
  4. Activa la sincronización en la nube para las passkeys y asegúrate de que los métodos de recuperación estén disponibles en caso de pérdida del dispositivo
  5. Adopta un gestor de contraseñas de terceros para habilitar el uso de passkeys multiplataforma
  6. Verifica regularmente el estado de tu protección de identidad digital y revisa el historial de inicio de sesión en busca de actividad sospechosa
  7. Recomienda la adopción de passkeys a familiares y colegas para mejorar la seguridad general

Resumen

Las passkeys son una tecnología de autenticación de próxima generación que elimina las vulnerabilidades fundamentales de las contraseñas. Superan significativamente a las contraseñas tradicionales más 2FA en tres áreas clave: resistencia al phishing, resistencia a filtraciones del servidor y usabilidad. Los servicios compatibles se están expandiendo rápidamente, haciendo de ahora el momento ideal para comenzar tu migración a passkeys. Empieza configurando passkeys para tus cuentas más importantes y construye gradualmente un entorno sin contraseñas. Junto con tu migración a passkeys, considera ejecutar una verificación de seguridad en nuestro sitio para revisar la postura de seguridad actual de tu navegador y red.

Para las definiciones de los términos técnicos utilizados en este artículo, visita nuestro glosario.

Compartir
B!

Artículos relacionados

Seguridad de contraseñas - Cómo crear contraseñas fuertes y gestionarlas

Aprende qué hace fuerte a una contraseña, cómo usar gestores de contraseñas, cómo verificar filtraciones y errores comunes que debes evitar.

Autenticación de dos factores (2FA) - La mejor defensa para tus cuentas

Comprende cómo funciona 2FA, los diferentes tipos (SMS, TOTP, FIDO2), cómo configurarla y por qué las contraseñas solas no son suficientes.

Ataques de credential stuffing - El peligro de reutilizar contraseñas

Aprende cómo los ataques de credential stuffing explotan credenciales filtradas y medidas prácticas para protegerte de esta amenaza creciente.