Las Passkeys alcanzan la adopción masiva: así es realmente el fin de las contraseñas

Las Passkeys ya no son una característica experimental oculta en la configuración del desarrollador. A partir de 2025, más de 15 mil millones de cuentas de usuario en las plataformas de Apple, Google y Microsoft son compatibles con Passkeys, y los principales servicios de consumo — desde PayPal hasta GitHub y Amazon — han implementado autenticación basada en WebAuthn. La industria ha cruzado el umbral de la adopción temprana hacia una infraestructura masiva.

Por qué fallaron las contraseñas

El argumento en contra de las contraseñas no es teórico. El Informe de Investigaciones de Violaciones de Datos de Verizon 2024 encontró que las credenciales robadas o débiles estuvieron involucradas en el 77% de las violaciones de aplicaciones web. Have I Been Pwned indexa más de 14 mil millones de cuentas comprometidas de violaciones conocidas. Los administradores de contraseñas ayudan, pero protegen contra contraseñas débiles, no contra el phishing. Una página de inicio de sesión falsa convincente sigue capturando todo lo que el usuario escribe, sin importar qué tan fuerte sea la contraseña.

El Credential stuffing — tomar pares de nombre de usuario/contraseña violados y probarlos en otros servicios — funciona precisamente porque los usuarios reutilizan contraseñas. El phishing funciona porque los usuarios no pueden distinguir de manera confiable las páginas de inicio de sesión reales de las falsas. Estos son problemas estructurales de la autenticación basada en secreto compartido, no problemas que puedan solucionarse con mejor educación del usuario.

Cómo funcionan realmente las Passkeys

Una Passkey es un par de claves criptográficas generado en tu dispositivo. La clave privada nunca sale del dispositivo — se almacena en un enclave seguro, el TPM del dispositivo o un elemento de seguridad físico. La clave pública se registra con el servicio y se almacena en sus servidores. Esta es la ruptura fundamental con las contraseñas: el servidor nunca guarda un secreto.

Registro

Cuando creas una Passkey para un sitio, tu dispositivo genera un par de claves único para ese sitio. La clave pública se envía al servidor y se asocia con tu cuenta. La clave privada está protegida por el método de autenticación de tu dispositivo — biometría (Face ID, Touch ID, Windows Hello), PIN o patrón — y se almacena en un almacenamiento seguro respaldado por hardware.

Autenticación

Cuando inicias sesión, el servidor envía un desafío criptográfico — un nonce aleatorio. Tu autenticador (enclave seguro del dispositivo o TPM) firma ese desafío con la clave privada, después de verificar tu presencia mediante biometría o PIN. El servidor verifica la firma contra la clave pública almacenada. No viaja ninguna contraseña por la red. No se puede robar ningún secreto compartido mediante phishing. Incluso si un atacante intercepta el desafío firmado, no se puede reutilizar: el nonce es de un solo uso y está limitado a ese dominio de origen específico, lo que derrota los ataques de repetición y el phishing por suplantación de dominio.

La vinculación al dominio de origen exacto es lo que hace que las Passkeys sean resistentes al phishing por diseño. Una página falsa paypa1.com no puede recibir una autenticación Passkey válida para paypal.com. El navegador aplica esto a nivel de protocolo mediante la especificación WebAuthn, formalizada como FIDO2 por la FIDO Alliance.

Dónde se han implementado las Passkeys hoy

El soporte a nivel de plataforma ahora es completo:

Apple: iCloud Keychain sincroniza las Passkeys entre iPhone, iPad y Mac mediante sincronización iCloud cifrada de extremo a extremo. Compatible con iOS 16+ y macOS Ventura+.
Google: Google Password Manager sincroniza las Passkeys entre dispositivos Android y Chrome en Windows/macOS. Las cuentas de Google admiten inicio de sesión con Passkey: más de 800 millones de cuentas de Google han usado Passkeys a partir de 2024.
Microsoft: Windows Hello (PIN respaldado por TPM, huella dactilar o reconocimiento facial) maneja las Passkeys en Windows 11. Las cuentas de Microsoft admiten autenticación con Passkey.
Gestores de terceros: 1Password, Dashlane y Bitwarden admiten almacenamiento de Passkeys, lo que permite la portabilidad de Passkeys entre plataformas fuera de los ecosistemas nativos.

En el lado del servicio, las implementaciones importantes incluyen:

Google — inicio de sesión con Passkey para todas las cuentas de Google Workspace y de consumo
Apple — soporte de Passkey para Apple ID en todos los servicios de Apple
GitHub — Passkeys como método de autenticación principal desde 2023
PayPal — despliegue de Passkey para usuarios de EE.UU., expandido internacionalmente
Amazon — soporte de Passkey en cuentas de consumo
Best Buy, Target, CVS, Shopify — adopción acelerada de Passkey en el comercio minorista de consumo
DocuSign, Kayak, Robinhood, Zoho — adoptantes de SaaS y fintech con implementaciones activas

La FIDO Alliance informó que más de 12 mil millones de cuentas en línea están listas para Passkey a fines de 2024, y el número sigue creciendo a medida que más servicios completan los despliegues.

Puntos de fricción restantes

La adopción es real, pero la transición no está exenta de fricciones.

Sincronización entre plataformas

La mayor limitación práctica es el bloqueo del ecosistema. Una Passkey creada en Apple Keychain no aparece automáticamente en Google Password Manager. Un usuario que cambia de iPhone a Android se enfrenta a volver a registrar Passkeys en cada servicio. La especificación de Autenticación entre Dispositivos (CDA) de la FIDO Alliance y el trabajo pendiente sobre importación/exportación de Passkeys — aprobado en principio en 2024 — deberían abordar esto, pero las implementaciones aún se están implementando a mediados de 2025.

Implementación de MDM empresarial

En entornos empresariales, las Passkeys vinculadas a dispositivos personales crean desafíos de políticas. Si el iPhone personal de un empleado contiene la Passkey de un servicio corporativo, ¿qué sucede cuando ese empleado deja la empresa? La implementación de Passkeys a nivel empresarial requiere integración con MDM, claves de seguridad físicas (YubiKey, Google Titan) para estaciones de trabajo compartidas y soporte del proveedor de identidad (IdP) — Okta, Microsoft Entra ID y Ping Identity ahora ofrecen soporte para Passkey, pero los despliegues empresariales son complejos. Reemplazar completamente los flujos de contraseña de LDAP/Active Directory requiere planificación a varios años.

Recuperación de cuenta

Las Passkeys trasladan el problema de recuperación en lugar de eliminarlo. Si un usuario pierde todos los dispositivos registrados y no tiene una Passkey de respaldo registrada, la recuperación de la cuenta vuelve a la verificación por correo electrónico, tickets de soporte o códigos de respaldo — todos eslabones más débiles. Los servicios están implementando la inscripción múltiple de Passkeys (inscribirse tanto en el teléfono como en la computadora portátil) y opciones de respaldo multiplataforma, pero la educación del usuario sobre el registro de múltiples autenticadores va por detrás del despliegue.

Migración de sistemas heredados

Las empresas que ejecutan sistemas locales — VPN antiguas, sistemas ERP, autenticación de mainframe — enfrentan cronogramas de migración de años. La autenticación basada en contraseñas está profundamente arraigada en las configuraciones de SSO y las herramientas internas. De manera realista, los entornos híbridos (Passkeys para servicios nuevos, contraseñas + MFA para sistemas heredados) serán la norma hasta 2027-2028.

Qué hacer ahora

Para individuos

Habilita las Passkeys en todos los servicios que las admitan — comienza con tu cuenta de Google, Apple ID y GitHub. Estos son tus objetivos de mayor valor para los atacantes.
Registra una Passkey en al menos dos dispositivos para cada servicio crítico (teléfono + computadora portátil) para evitar escenarios de bloqueo.
Si tu gestor de contraseñas admite Passkeys (1Password, Bitwarden), guárdalas allí para portabilidad entre plataformas.
Para servicios que aún no admiten Passkeys, usa autenticación de dos factores (2FA) con una aplicación de autenticación, no SMS.

Para equipos empresariales y de seguridad de TI

Audita el soporte de Passkey de tu IdP ahora. Okta, Microsoft Entra, Duo y Ping tienen capacidades de Passkey: verifica que tu configuración actual las exponga a los usuarios.
Prueba las Passkeys para MFA resistente al phishing en 2025. Comienza con roles de alto riesgo: administradores de TI, finanzas, ejecutivos. Estas cuentas son las primeras en ser atacadas en campañas de phishing.
Establece una política de claves de seguridad físicas para dispositivos compartidos o no gestionados. La serie YubiKey 5 y las claves Google Titan admiten FIDO2 y brindan funcionalidad de Passkey sin necesidad de un dispositivo personal.
Crea tu hoja de ruta de migración de sistemas heredados para 2026-2027. Inventaria qué sistemas internos admiten SAML/OIDC — esos se pueden actualizar para admitir Passkeys a través del IdP — y cuáles requieren actualizaciones a nivel de protocolo o reemplazo.
Actualiza tu manual de respuesta a incidentes. Las Passkeys eliminan los vectores de Password-Spray y phishing, pero el compromiso del dispositivo se convierte en la nueva superficie de ataque. Asegúrate de que el MDM pueda revocar de forma remota los dispositivos capaces de usar Passkey.

La contraseña aún no ha muerto — coexistirá con las Passkeys en implementaciones híbridas durante años. Pero la infraestructura de autenticación subyacente a los servicios de Internet de consumo realmente ha cambiado. La pregunta para los equipos de seguridad ya no es si adoptar Passkeys, sino qué tan rápido puede avanzar la migración sin romper los sistemas heredados ni bloquear a los usuarios. Las herramientas están listas. El cronograma es ahora.