Las Passkeys han ganado el argumento técnico. Implementarlas a escala es la parte difícil.
Las contraseñas son un desastre de seguridad conocido. La reutilización es ubicua: un estudio de 2024 encontró que el 65% de las personas reutilizan contraseñas en múltiples cuentas. El phishing roba credenciales a escala industrial, y el FBI reportó pérdidas de 4.57 mil millones de dólares por fraude relacionado con phishing solo en 2023. Los ataques de Credential Stuffing, donde contraseñas filtradas de una brecha se prueban en cientos de otros servicios, generan millones de tomas de cuentas por día. El problema no es que los usuarios sean irresponsables, sino que pedir a los humanos que memoricen y administren docenas de credenciales únicas y sólidas es fundamentalmente irrazonable.
Las Passkeys son la respuesta de la FIDO Alliance. Construidas sobre el estándar WebAuthn (formalmente W3C Web Authentication), utilizan criptografía de clave pública para autenticar usuarios sin enviar ningún secreto a través de la red. Tu dispositivo genera un par de claves cuando creas una Passkey: la clave privada permanece en tu dispositivo, asegurada por tu biometría (Face ID, sensor de huellas dactilares) o PIN. La clave pública va al sitio web. Cuando inicias sesión, el sitio envía un desafío; tu dispositivo lo firma con la clave privada sin que la clave privada salga nunca del dispositivo. No hay nada que un sitio de phishing pueda robar, nada que una filtración de datos pueda exponer y nada que un atacante de Credential Stuffing pueda reproducir.
El caso técnico está cerrado
Los fundamentos criptográficos de WebAuthn son robustos. El estándar fue publicado por W3C en 2019 y ha pasado por un extenso análisis de seguridad. Las Passkeys creadas en dispositivos Apple, Android o Windows ahora son multiplataforma mediante sincronización: Apple Keychain sincroniza Passkeys entre dispositivos Apple vía iCloud; Google Password Manager sincroniza Passkeys entre Android y Chrome; 1Password y Bitwarden han agregado almacenamiento de Passkeys, permitiendo el uso multiplataforma a través de gestores de contraseñas de terceros.
La resistencia al phishing es el beneficio práctico más significativo. Una contraseña estándar puede ser capturada por una página de inicio de sesión falsa convincente. Una Passkey no puede: el desafío-respuesta criptográfico está vinculado al dominio. Una Passkey para google.com literalmente no puede autenticarse en g00gle.com; el origen está integrado en el protocolo. Los ataques de Replay, donde se reutiliza un token de autenticación interceptado, también se previenen. El desafío firmado durante cada autenticación es único y con límite de tiempo; una firma capturada es inútil.
Google informó en mayo de 2024 que los usuarios de Passkeys completan la autenticación 2 veces más rápido que con contraseñas, con una mejora del 25% en las tasas de éxito de inicio de sesión. Para los sitios web, esto es una métrica de ingresos directa: los inicios de sesión fallidos son sesiones abandonadas.
Donde la implementación se complica
Si las Passkeys funcionan tan bien, ¿por qué la mayoría de los sitios web siguen usando contraseñas por defecto? Varios obstáculos reales ralentizan la adopción.
Recuperación de cuenta. Las contraseñas tienen una ruta de recuperación conocida: enlace de restablecimiento por correo electrónico. Las Passkeys no tienen un equivalente. Si un usuario pierde todos sus dispositivos sin migrar su Passkey, queda bloqueado. Los sitios deben mantener un mecanismo de respaldo, generalmente un código único enviado por correo electrónico o SMS, que se convierte en el nuevo eslabón más débil. Un atacante determinado puede hacer phishing o SIM-swap al respaldo de recuperación, anulando parcialmente la resistencia al phishing de la Passkey.
Cuentas compartidas. Familias que comparten suscripciones de streaming, empresas con credenciales de inicio de sesión compartidas: estos casos no se asignan claramente al modelo de Passkey, que asume un único dispositivo autenticador por credencial. Los proveedores de identidad empresarial están trabajando en modelos de delegación, pero las cuentas compartidas orientadas al consumidor siguen siendo incómodas.
Complejidad de implementación empresarial. Los departamentos de TI corporativos que gestionan flotas de Windows deben integrar las Passkeys con Active Directory y los proveedores de identidad empresarial (Azure AD, Okta, Ping Identity). Las Passkeys sincronizadas, que se mueven entre dispositivos, están bloqueadas por muchas políticas de seguridad empresarial porque violan los requisitos de autenticación vinculada al dispositivo.
Incentivos para desarrolladores. Implementar WebAuthn correctamente requiere cambios del lado del servidor en los flujos de autenticación, cambios del lado del cliente en la UX de inicio de sesión y un manejo cuidadoso de los flujos de registro y recuperación. Para un equipo de desarrollo pequeño que mantiene una pila de autenticación heredada, la inversión en ingeniería puede ser sustancial.
Quién lidera y qué funciona
Google es el adoptante más agresivo, habiendo habilitado Passkeys como método de inicio de sesión predeterminado para cuentas de Google a finales de 2023. El llavero iCloud de Apple ha sincronizado Passkeys desde iOS 16. Microsoft integró el soporte de Passkeys en cuentas de Microsoft para consumidores en 2023, y Windows 11 23H2 agregó una interfaz de usuario dedicada para la gestión de Passkeys.
Entre los servicios de consumo, GitHub, PayPal, eBay, Shopify, TikTok, Best Buy y Hyatt han implementado soporte para Passkeys. El sitio web Passkey Central de la FIDO Alliance enumera más de 400 servicios con soporte para Passkeys a mediados de 2026. La adopción empresarial avanza primero a través de claves de seguridad de hardware: las claves YubiKey FIDO2 han estado en implementaciones empresariales durante años y cubren el beneficio de resistencia al phishing sin requerir infraestructura de sincronización de Passkeys.
La brecha en la experiencia de usuario
El mayor obstáculo práctico no es técnico: es la UX. Muchas implementaciones de Passkeys presentan a los usuarios un flujo de registro complejo que los confunde sobre si la Passkey está guardada y si funcionará en otro dispositivo. Diseñar un flujo de Passkeys intuitivo y seguro para la recuperación es más difícil de lo que parece.
La FIDO Alliance ha publicado investigaciones de UX y pautas de diseño específicamente para abordar esto, pero la implementación es inconsistente. La UX de Passkeys de Apple — una única solicitud de Face ID activada por una lámina que dice "Use Face ID to sign in" — es ampliamente citada como el estándar de oro. Las implementaciones basadas en web construidas sobre la API WebAuthn pura varían significativamente en calidad.
El camino hacia la adopción masiva pasa porque las Passkeys se conviertan en la opción predeterminada al iniciar sesión en lugar de una opción opcional oculta en la configuración de seguridad, y una experiencia confiable entre dispositivos que haga que la configuración inicial sea obvia y la ruta de recuperación clara. La tecnología está lista. La estandarización de la UX no lo está. Esa brecha es lo que el trabajo de implementación de los próximos 2-3 años necesita cerrar, y una vez que lo haga, la era de las contraseñas terminará más rápido de lo que la mayoría espera.