IRCNF
Security

Las claves de acceso (passkeys) cruzaron el punto de inflexión: las contraseñas están perdiendo

Compartir:
Las claves de acceso (passkeys) cruzaron el punto de inflexión: las contraseñas están perdiendo

Durante años, el futuro sin contraseñas fue una diapositiva de PowerPoint: prometedor, perpetuamente "próximamente" y nunca llegaba realmente. Eso cambió. Para mediados de 2026, las passkeys han pasado de ser una función experimental a la autenticación predeterminada para cientos de millones de cuentas. Google, Apple, Microsoft, Amazon, GitHub, Shopify, PayPal y WhatsApp han adoptado las passkeys como opción predeterminada o las han convertido en la credencial principal recomendada. La transición ya no es teórica. Está ocurriendo, y los datos de seguridad que la respaldan son sorprendentes.

Qué son realmente las Passkeys

Las passkeys son una implementación del estándar FIDO2/WebAuthn, una especificación desarrollada conjuntamente por la FIDO Alliance y el W3C. En esencia, las passkeys utilizan criptografía de clave pública asimétrica: cuando registras una passkey en un servicio, tu dispositivo genera un par de claves. La clave privada nunca sale de tu dispositivo (o de tu llavero sincronizado). El servicio solo almacena la clave pública. Cuando te autenticas, el servicio envía un desafío criptográfico; tu dispositivo lo firma con la clave privada; el servidor verifica la firma con la clave pública almacenada.

No se transmite ninguna contraseña. No existe ningún secreto compartido en el servidor que pueda ser robado. Una filtración de base de datos que exponga cada credencial almacenada solo filtrará claves públicas, inútiles para un atacante sin las claves privadas correspondientes que permanecen en los dispositivos de los usuarios.

Passkeys Vinculadas al Dispositivo vs. Passkeys Sincronizadas

Existen dos modelos de implementación fundamentalmente diferentes, y la distinción es importante tanto para la seguridad como para la usabilidad:

  • Passkeys vinculadas al dispositivo (también llamadas credenciales vinculadas al hardware o no descubribles) se almacenan en un módulo de seguridad de hardware: un chip TPM en Windows, el Secure Enclave en los dispositivos Apple, o una clave de hardware FIDO2 como una YubiKey. La clave privada es físicamente no exportable. Si el dispositivo se pierde, la passkey se pierde. Este es el modelo de mayor seguridad y es apropiado para empresas, cuentas de alto valor y personas conscientes de la seguridad dispuestas a gestionar claves de respaldo.
  • Passkeys sincronizadas se almacenan en un llavero respaldado en la nube: iCloud Keychain de Apple, Google Password Manager, o un gestor de terceros como 1Password o Bitwarden. El material de la clave privada está encriptado, se sincroniza entre tus dispositivos y puede sobrevivir a la pérdida del dispositivo. Esto sacrifica una garantía limitada de atestación de hardware a cambio de una usabilidad y recuperación drásticamente mejores. Para la gran mayoría de los casos de uso del consumidor, las passkeys sincronizadas representan una enorme mejora de seguridad con respecto a las contraseñas, sin prácticamente ninguna desventaja significativa en el mundo real.

La actualización de la especificación de la FIDO Alliance de 2023 estandarizó formalmente las passkeys sincronizadas después de reconocer que las passkeys solo de hardware creaban una barrera de adopción que mantenía a los usuarios en las contraseñas, el peor resultado para la seguridad general.

El Flujo de Autenticación, Paso a Paso

Comprender lo que sucede internamente durante una autenticación WebAuthn ayuda a aclarar por qué los ataques de phishing fallan contra las passkeys:

  • Registro: El navegador llama a navigator.credentials.create() con un desafío del servidor. El autenticador (dispositivo, plataforma o clave de hardware) genera un par de claves con ámbito para el ID exacto de la parte confiable (el dominio). La clave pública y un ID de credencial se envían al servidor y se almacenan.
  • Autenticación: El servidor emite un nuevo desafío aleatorio. El navegador llama a navigator.credentials.get(). El autenticador verifica que el origen y el ID de la parte confiable coincidan exactamente: una passkey registrada para google.com se negará a firmar un desafío de g00gle.com. Después de la verificación biométrica o del PIN, la clave privada firma el desafío. El servidor verifica la firma.
  • La barrera contra el phishing: Debido a que la passkey está vinculada al origen exacto en el momento del registro, un sitio de phishing no puede interceptar ni reutilizar las credenciales. Incluso si un usuario es engañado para visitar un sitio similar, el autenticador se niega a producir una firma válida para un origen diferente. Este es el mecanismo detrás de la tasa de phishing casi nula para las cuentas con passkey.

Números de Adopción: Lo que Muestran los Datos

Google informó en Google I/O 2024 que más de 800 millones de cuentas de Google tenían passkeys habilitadas, frente a los 400 millones a finales de 2023. A principios de 2025, Google comenzó a solicitar a los usuarios que crearan passkeys durante los flujos de inicio de sesión y comenzó a predeterminar el registro de nuevas cuentas al uso de passkey como primera opción. Los datos internos de Google citados en su blog de seguridad mostraron que los inicios de sesión con passkey se completaban a una velocidad 4 veces más rápida que los flujos de contraseña + SMS 2FA.

Más importante aún: las métricas internas de phishing de Google para cuentas que habían migrado a la autenticación solo con passkey mostraron tasas de compromiso por phishing cercanas a cero, en comparación con una línea base de cuentas con contraseña donde, incluso con 2FA, los ataques de phishing SIM-swap y AiTM (adversario en el medio) continuaban teniendo éxito.

Apple lanzó soporte para passkey en iOS 16 y macOS Ventura (2022) y para 2025 había convertido las passkeys en el método sugerido por defecto en el gestor de credenciales de Safari. Microsoft habilitó las passkeys para cuentas de consumidor de Microsoft en 2023 y las expandió a Entra ID (Azure AD) para empresas en 2024. GitHub hizo que las passkeys estuvieran generalmente disponibles en 2023 y ha visto una adopción particularmente fuerte entre las cuentas de desarrolladores, un segmento de alto valor donde la resistencia al phishing es crítica.

Soporte de Plataformas y Ecosistema

Apple: Passkeys de iCloud Keychain

La implementación de Apple sincroniza las passkeys con cifrado de extremo a extremo a través de iCloud Keychain. Las passkeys funcionan en iPhone, iPad, Mac y, desde iOS 17, se pueden compartir con miembros de la familia o usar en dispositivos que no sean Apple mediante autenticación de proximidad con código QR. El Secure Enclave exige verificación biométrica (Face ID o Touch ID) antes de cualquier operación de firma. Apple también admite claves de seguridad de hardware como autenticadores de passkey a través de su API de autenticador de plataforma.

Google: Passkeys de Password Manager

Google Password Manager ahora sincroniza passkeys en Android y Chrome en cualquier plataforma, incluyendo Windows y macOS. La sincronización está cifrada de extremo a extremo con el PIN de la cuenta de Google del usuario. Una adición significativa en 2024: Google comenzó a admitir la exportación de passkeys en algunos flujos y añadió soporte para passkeys en su Programa de Protección Avanzada, anteriormente dominio exclusivo de las claves de seguridad físicas.

Windows Hello

Windows Hello proporciona passkeys vinculadas al dispositivo, asociadas al chip TPM y desbloqueadas mediante reconocimiento facial, huella dactilar o PIN. La implementación de Microsoft está estrechamente integrada con el almacén de credenciales de Windows. En entornos empresariales, Windows Hello for Business extiende esto a la autenticación basada en certificados con Entra ID, permitiendo flujos sin contraseña en entornos corporativos gestionados.

Gestores de Contraseñas de Terceros

Tanto 1Password como Bitwarden agregaron almacenamiento de passkeys en 2023-2024, tratando las passkeys como un nuevo tipo de credencial junto con las contraseñas. Esto es significativo: desvincula el almacenamiento de passkeys de los proveedores de plataformas, permite el uso de passkeys multiplataforma sin dependencia de Google o Apple, y brinda a las empresas una ruta para gestionar passkeys en la infraestructura de bóveda existente. La implementación de código abierto de Bitwarden ha sido auditada de forma independiente.

Los Problemas Difíciles que Persisten

Pérdida del Dispositivo y Recuperación de Cuenta

La pérdida del dispositivo es el obstáculo emocionalmente más significativo para la adopción de passkeys. La respuesta correcta, y que requiere educación explícita del usuario, es registrar múltiples passkeys en diferentes dispositivos o autenticadores antes de que sean necesarias. Registra una passkey en tu teléfono, tu portátil y una clave de hardware guardada en un lugar seguro. La mayoría de los servicios que implementan bien las passkeys solicitan esto. Pero la realidad es que la mayoría de los usuarios registran una sola passkey y descubren el problema de recuperación solo cuando su dispositivo ya no está.

Para las passkeys sincronizadas, iCloud Keychain y Google Password Manager tienen mecanismos de recuperación de cuenta. Si pierdes tu iPhone pero puedes recuperar tu cuenta de iCloud (mediante una clave de recuperación o un dispositivo de confianza), recuperas tus passkeys. Esto mueve el límite de seguridad de la posesión del dispositivo a la seguridad de la cuenta, lo que puede ser un retroceso si tu cuenta de iCloud o Google tiene una seguridad débil. La solución es tratar tu cuenta de nube principal como una raíz de alta seguridad: clave de recuperación sólida, 2FA con hardware, nada más débil.

Implementación Empresarial: Active Directory y LDAP

Los entornos empresariales presentan una complejidad genuina. Las aplicaciones heredadas que se autentican contra Active Directory o LDAP no hablan WebAuthn. Unir las passkeys a estos entornos requiere federación a través de un proveedor de identidad (Entra ID, Okta, Ping Identity) que pueda traducir la autenticación WebAuthn en tokens SAML u OIDC, o esperar la modernización de la aplicación. La mayoría de las grandes empresas se encuentran en un estado híbrido: passkeys para aplicaciones nativas de la nube y portales SSO, contraseñas o tarjetas inteligentes para aplicaciones heredadas de línea de negocio. La implementación completa de passkeys empresariales es un programa de varios años, no un interruptor de configuración.

Interoperabilidad Android/iOS

El uso de passkeys multiplataforma (iniciar sesión en un dispositivo iOS con una passkey almacenada en un teléfono Android, o viceversa) funciona a través del transporte híbrido CTAP2 (flujo de código QR de proximidad Bluetooth). En la práctica, esto funciona de manera confiable cuando ambos dispositivos son modernos, el Bluetooth está encendido y el usuario entiende lo que está haciendo. No es fluido para usuarios menos técnicos y agrega fricción en escenarios como pedir prestado el dispositivo de alguien. Esta es un área donde la experiencia de usuario aún está por detrás de la capacidad criptográfica subyacente.

Dispositivos Heredados Sin Biometría

Las passkeys requieren alguna forma de verificación del usuario: biometría (huella dactilar, rostro) o un PIN del dispositivo. Los dispositivos sin sensores biométricos pueden usar un PIN, pero un PIN corto en un dispositivo Android antiguo es una verificación de usuario más débil que Face ID. Las claves de seguridad de hardware (claves FIDO2 con PIN + toque) resuelven esto para los usuarios dispuestos a llevar una, pero la adopción entre usuarios no técnicos es mínima.

La Perspectiva del Desarrollador: Implementar WebAuthn

Si estás creando autenticación, la implementación de WebAuthn ahora cuenta con un buen soporte. Las bibliotecas maduras y mantenidas activamente en 2026 incluyen:

  • SimpleWebAuthn (TypeScript/Node.js): la biblioteca JS más utilizada, maneja tanto el registro como la autenticación, documentación excelente, maneja el ceremony correctamente, incluyendo la verificación de desafíos y los patrones de almacenamiento de credenciales.
  • py_webauthn (Python): la implementación de referencia en Python, utilizada en la pila de Duo Security, admite tanto FIDO2 como el U2F más antiguo para compatibilidad hacia atrás.
  • webauthn4j (Java): la biblioteca Java madura utilizada por el soporte WebAuthn de Spring Security; maneja la validación de atestación, la integración con el servicio de metadatos y funciona bien en aplicaciones Spring Boot.
  • go-webauthn/webauthn (Go): la implementación estándar de Go, API limpia, mantenida activamente.

La compatibilidad del navegador ahora no es un problema para la API WebAuthn central: Chrome 67+, Firefox 60+, Safari 14+ y Edge 18+ la admiten. La brecha de compatibilidad restante está en la UI condicional (indicaciones de passkey impulsadas por autocompletado), que requiere versiones de navegador ligeramente más recientes, pero ahora está ampliamente implementada.

Errores clave de implementación a evitar: no vincular el desafío a la sesión del lado del servidor (vector de ataque de repetición), no verificar el rpId y el origen en la validación del servidor, omitir la validación de atestación en contextos de alta seguridad y no implementar flujos de registro multidispositivo desde el principio.

Recomendaciones Prácticas

Habilita las passkeys primero en tus cuentas de mayor valor, en este orden de prioridad:

  • Proveedor de correo electrónico: tu correo electrónico es el mecanismo de recuperación para todo lo demás. Una cuenta de correo comprometida se extiende a todas las demás cuentas. Habilita las passkeys en Gmail o iCloud Mail de inmediato.
  • Gestor de contraseñas: si tu gestor de contraseñas admite el inicio de sesión con passkey (1Password y Bitwarden lo hacen), actívalo. Esta es la clave maestra de tu bóveda de credenciales.
  • Cuentas financieras: los bancos y corredores de bolsa que admiten passkeys (una lista en expansión) deben ser convertidos. Consulta la configuración de seguridad de tu institución.
  • Infraestructura de desarrollador: GitHub, AWS IAM Identity Center y plataformas similares donde un compromiso podría tener consecuencias en la cadena de suministro.

Sobre la cuestión de passkeys vinculadas al dispositivo vs. sincronizadas: para la mayoría de las personas, las passkeys sincronizadas son la opción correcta. Son mucho más seguras que las contraseñas, resisten completamente el phishing y sobrev

passkeyspasswordlessauthenticationFIDO2WebAuthn
Compartir:
Las claves de acceso (passkeys) cruzaron el punto de inflexión: las contraseñas están perdiendo | IRCNF - Intelligent Reliable Custom Next-gen Frameworks