Autenticación y contraseñas

Passkey

Lectura de aproximadamente 4 minutos

Última actualización: 2026-03-28

Qué son las passkeys

Las passkeys son un nuevo método de autenticación que reemplaza a las contraseñas, basado en el estándar FIDO2/WebAuthn. Permiten iniciar sesión en sitios web y aplicaciones utilizando la autenticación biométrica del smartphone, como huella dactilar o reconocimiento facial, o Windows Hello en PC.

El núcleo de las passkeys es la criptografía de clave pública. Al registrarse en un servicio, se almacena una clave privada en el dispositivo y una clave pública en el servidor. Al iniciar sesión, el dispositivo genera una firma con la clave privada y el servidor la verifica con la clave pública. Como no fluye ningún "secreto compartido" como una contraseña a través de la red, es un diseño fundamentalmente resistente al phishing y las filtraciones de información.

Por qué las passkeys son más seguras que las contraseñas

  • Resistencia al phishing: Las passkeys verifican el dominio durante la autenticación. Una passkey creada en el sitio legítimo no funciona en un sitio de phishing, por lo que es imposible que ocurra el accidente de introducir credenciales en un sitio falso.
  • Eliminación del riesgo de filtración: Solo se almacena la clave pública en el servidor. Incluso si el servidor es comprometido, es criptográficamente imposible reconstruir la passkey a partir de la clave pública. Los ataques de credential stuffing tampoco funcionan.
  • Imposible de adivinar: Las passkeys son pares de claves generados criptográficamente, y es prácticamente imposible adivinarlas mediante ataques de fuerza bruta.
  • Sin problema de reutilización: Las passkeys generan un par de claves único para cada servicio, por lo que si un servicio es comprometido, los demás no se ven afectados.

Sincronización y gestión de passkeys

Existen dos tipos de passkeys: "vinculadas al dispositivo" y "sincronizadas".

Las vinculadas al dispositivo están asociadas a un hardware específico, como una llave de seguridad (YubiKey, etc.), y no pueden copiarse externamente. Son las más seguras, pero si se pierde el dispositivo, se pierde el acceso.

Las passkeys sincronizadas se sincronizan entre múltiples dispositivos a través del llavero de iCloud de Apple, el Gestor de contraseñas de Google o gestores de contraseñas (1Password, Bitwarden, etc.). Ofrecen gran comodidad y permiten acceder desde otro dispositivo en caso de pérdida del terminal.

La seguridad de las passkeys sincronizadas depende de la seguridad de la cuenta de sincronización (Apple ID, cuenta de Google, etc.). Asegúrese de configurar una autenticación de dos factores robusta en la cuenta de sincronización.

Estado de compatibilidad y puntos clave para la migración

En 2026, las passkeys se están extendiendo rápidamente. Google, Apple, Microsoft, Amazon, GitHub, PayPal y otros servicios principales ya son compatibles.

La migración a passkeys es más realista si se realiza de forma gradual.

  1. Primero, configure passkeys en las cuentas más importantes (correo electrónico, finanzas, almacenamiento en la nube)
  2. Después de configurar las passkeys, mantenga la contraseña + 2FA como método de respaldo durante un tiempo
  3. Una vez familiarizado con el uso de passkeys, amplíe gradualmente a más servicios compatibles
  4. Gestionar las passkeys de forma centralizada con un gestor de contraseñas facilita el uso en múltiples dispositivos

Para servicios que no son compatibles con passkeys, la mejor estrategia sigue siendo combinar contraseñas robustas generadas por un gestor de contraseñas con 2FA.

Funcionamiento técnico de FIDO2/WebAuthn y autenticación entre dispositivos

FIDO2, la base de las passkeys, está compuesto por dos especificaciones: WebAuthn (Web Authentication API) y CTAP (Client to Authenticator Protocol).

Flujo de registro: Cuando el usuario crea una passkey, la API WebAuthn del navegador solicita al autenticador (módulo de autenticación biométrica del dispositivo o llave de seguridad) que genere un par de claves. El autenticador almacena la clave privada en un área segura (TPM, Secure Enclave) y envía la clave pública al servidor. En este momento, el origen (dominio) del servicio se vincula a la clave.

Flujo de autenticación: El servidor genera un desafío aleatorio (nonce) y lo envía al navegador. El navegador pasa el desafío al autenticador a través de la API WebAuthn, y cuando el usuario confirma su identidad mediante autenticación biométrica, la clave privada firma el desafío. El servidor verifica la firma con la clave pública almacenada y la autenticación se completa. En ningún momento fluye información secreta como contraseñas a través de la red.

Autenticación entre dispositivos (transporte híbrido): Cuando se desea iniciar sesión en un PC pero la passkey está en el smartphone, se puede utilizar el transporte híbrido de CTAP 2.2. Se muestra un código QR en la pantalla del PC, se escanea con el smartphone, se realiza una verificación de proximidad a través de Bluetooth Low Energy (BLE), y la autenticación biométrica en el smartphone completa el inicio de sesión en el PC.

Compatibilidad por plataforma: iOS 16 y posteriores y macOS Ventura y posteriores sincronizan passkeys a través del llavero de iCloud. Android es compatible a través del Gestor de contraseñas de Google, integrado con Chrome. Windows ofrece passkeys vinculadas al dispositivo a través de Windows Hello, y las passkeys sincronizadas se gestionan mediante gestores de contraseñas de terceros como 1Password o Bitwarden. Linux se centra actualmente en la compatibilidad con llaves de seguridad a través del navegador.

Estrategia de migración organizacional: Cuando una empresa migra de contraseñas a passkeys, un enfoque gradual es más efectivo que un cambio simultáneo para toda la organización. Primero, se realiza una implementación piloto con el departamento de TI o el equipo de seguridad para identificar problemas operativos. Luego, se establece un período de coexistencia entre passkeys y contraseñas, permitiendo que los usuarios migren a su propio ritmo. Finalmente, se pasa a requerir passkeys obligatoriamente, pero siempre manteniendo llaves de seguridad como medio de respaldo.

Conceptos erróneos comunes

Las passkeys envían información biométrica al servidor
La autenticación biométrica se completa dentro del dispositivo, y los datos de huellas dactilares o rostro nunca se envían al servidor. La autenticación biométrica solo se utiliza para autorizar el acceso a la clave privada dentro del dispositivo.
Si configuro passkeys y pierdo mi smartphone, no podré iniciar sesión
Las passkeys sincronizadas se respaldan en la nube a través del llavero de iCloud o el Gestor de contraseñas de Google. Al iniciar sesión en su cuenta desde un nuevo dispositivo, las passkeys se restauran.

Diferencias entre passkeys y contraseña + 2FA

Passkeys

Criptografía de clave pública. Resistente al phishing. No almacena información secreta en el servidor. Inicio de sesión en un solo paso con autenticación biométrica. Imposible de filtrar o adivinar.

Contraseña + 2FA

Método de secreto compartido. Riesgo de introducir contraseña y código en sitios de phishing. Almacena hash de contraseña en el servidor. Requiere operación en dos pasos.

Términos relacionados

Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… Credential Stuffing Un ataque automatizado que toma combinaciones de nombre de usuario y contraseña … Gestor de contraseñas Una herramienta que genera, almacena de forma segura y autocompleta contraseñas … OAuth 2.0 Un marco de autorización (RFC 6749) que otorga a aplicaciones de terceros acceso…

Artículos relacionados

¿Qué son las Passkeys? Cómo funciona la autenticación sin contraseña Comprende cómo funciona la autenticación con passkeys basada en FIDO2, en qué se diferencia de las c… Autenticación de dos factores (2FA) - La mejor defensa para tus cuentas Comprende cómo funciona 2FA, los diferentes tipos (SMS, TOTP, FIDO2), cómo configurarla y por qué la…
← Glosario