Passkeys: ventajas, limitaciones y ¿reemplazarán a las contraseñas?

Las principales compañías tecnológicas como Apple, Google y Microsoft están apostando activamente por las passkeys, y cada vez más sitios web y aplicaciones están adoptándolas. Según la FIDO Alliance, más de mil millones de personas en todo el mundo ya han creado al menos una passkey, lo que marca una transición rápida de las implementaciones experimentales a los métodos de inicio de sesión más comunes.

Esta adopción generalizada está haciendo que las passkeys sean una opción más accesible y viable para los usuarios. Al eliminar la necesidad de recordar e introducir contraseñas, no solo mejoran la seguridad, sino también la experiencia de usuario, convirtiéndose en una herramienta valiosa para cualquiera que busque proteger su identidad digital. A continuación, veremos cómo funcionan las passkeys, sus puntos fuertes y sus posibles limitaciones frente a las contraseñas.

¿Qué es una passkey?

Las passkeys son una alternativa a las contraseñas tradicionales, diseñadas para mejorar tanto la seguridad como la comodidad del usuario. Cuando creas una passkey, tu dispositivo genera un par de claves criptográficas: una clave pública, que se almacena en el servidor del servicio en el que te registras, y una clave privada, que permanece de forma segura en tu dispositivo. Para iniciar sesión, el dispositivo utiliza la clave privada para crear una firma única que el servidor verifica mediante la clave pública.

Este proceso garantiza que solo tú puedas iniciar sesión, incluso si otra persona tiene tu dispositivo. En lugar de recordar contraseñas complejas, usas autenticación biométrica (como huella dactilar o reconocimiento facial) o un PIN, lo que hace que el proceso sea más rápido e intuitivo. Se estima que ya existen más de 15.000 millones de cuentas online que pueden utilizar passkeys.

Diferencias entre passkeys y contraseñas

Las contraseñas son un concepto familiar: una cadena de caracteres que los usuarios deben recordar e introducir para obtener acceso. Aunque han sido el estándar durante décadas, presentan riesgos importantes. Pueden olvidarse fácilmente, adivinarse o robarse mediante ataques de phishing. Además, la tendencia a reutilizar contraseñas entre distintos servicios puede provocar brechas de seguridad generalizadas si una de ellas se ve comprometida.

Tanto las passkeys como las contraseñas cumplen el mismo propósito: autenticar a los usuarios y garantizar un acceso seguro a los servicios digitales. Sin embargo, la forma en la que lo logran es muy distinta. En lugar de depender de una cadena memorizada, las passkeys emplean criptografía de clave pública. La clave pública se almacena en el servidor del servicio, mientras que la clave privada permanece protegida en tu dispositivo.

Tabla comparativa: passkeys vs. contraseñas

Aspect	Passkeys	Passwords
Authentication model	Public-key cryptography (key pair: public + private)	Shared secret (you prove knowledge of the password)
Storage	Private key kept in secure hardware (Secure Enclave, TPM, hardware key)	Stored in memory or disk (often hashed); can be in browser/app
Phishing resistance	High: cryptographically bound to the real site origin; won’t work on fakes	Low: you may inadvertently enter your password on a spoofed site
Credential reuse risk	None: each site/app gets its own unique key pair	High: users often reuse the same password across sites
User verification	Required (PIN, biometric, or both) — “something you prove” + “something you have”	Optional: password alone (“something you know”); 2FA can be added
Attack surface	Cannot be exported or copied; hardware enforces private-key protection	Can be stolen via database breaches, keylogging, phishing
Usability / UX	One-tap or biometric unlock; no typing or memorization	Must think up, remember, type; prone to typos
Account recovery	Backup & sync via encrypted cloud or device-to-device transfer; recovery flows vary by platform	“Forgot password” workflows (email/SMS OTP)
Deployment & support	Requires FIDO-2/WebAuthn support (modern browsers & OSs)	Universally
Setup friction	Higher (device enrollment) but guided and once per-device	Low (just choose or enter one password)
Cross-device portability	Sync via vendor cloud (e.g. iCloud, Google Account) or export/import	Typing on any device; but you must remember or store it somewhere
Recovery & transfer	Encrypted backup or device-to-device migration needed	Reset via email/SMS
Privacy & anonymity	No identifying data sent; only key operations	Password reuse can reveal links between accounts

Ventajas de las passkeys 

Una de las principales ventajas de las passkeys es su mayor seguridad. Las contraseñas son vulnerables a ataques de phishing, fuerza bruta o filtraciones de datos. Las passkeys, en cambio, utilizan criptografía de clave pública, lo que significa que la clave privada permanece protegida en tu dispositivo. Aunque un atacante accediera a la clave pública almacenada en un servidor, no podría hacerse pasar por ti sin la clave privada correspondiente.

También aportan comodidad al usuario. Ya no necesitas recordar y gestionar múltiples contraseñas complejas, ya que las passkeys se autentican mediante biometría o un PIN seguro. Esto acelera el proceso de inicio de sesión, lo hace más intuitivo y reduce los errores humanos. Además, pueden sincronizarse entre dispositivos, ofreciendo una experiencia fluida y coherente.

Las contraseñas pueden combinarse con autenticación multifactor (MFA), pero a medida que más compañías de tecnología y servicios adoptan passkeys y el ecosistema madura, puede argumentarse que las passkeys ofrecen un nivel superior de seguridad y comodidad.

Cómo utilizan las passkeys FIDO2

Las passkeys son un método de autenticación moderno, seguro y fácil de usar, basado en el estándar FIDO2 (Fast IDentity Online 2). FIDO2 es un conjunto de estándares abiertos desarrollados por la FIDO Alliance para sustituir las contraseñas tradicionales por métodos más seguros y fáciles de usar.

A continuación, se explica su funcionamiento técnico en detalle:

1. Generación y registro de claves

• Creación del par de claves: cuando configuras una passkey para un servicio, tu dispositivo genera un par de claves criptográficas, una clave pública y una clave privada. Este proceso suele iniciarse al crear una cuenta nueva o al habilitar passkeys en una cuenta existente.
• Almacenamiento de la clave pública: la clave pública se envía al servidor del servicio con el que te autenticas. Esta clave se utiliza posteriormente para verificar tu identidad durante los inicios de sesión.
• Almacenamiento de la clave privada: la clave privada permanece almacenada de forma segura en tu dispositivo, normalmente dentro de un enclave seguro o un entorno de ejecución confiable (TEE), lo que evita accesos no autorizados.

2. Proceso de autenticación

• Mecanismo de desafío y respuesta: cuando intentas iniciar sesión, el servidor genera un desafío único y lo envía a tu dispositivo.
• Firma del desafío: el dispositivo utiliza la clave privada para firmar el desafío, creando una firma digital que demuestra que posees la clave privada.
• Verificación de la firma: la firma digital se devuelve al servidor, que la valida utilizando la clave pública almacenada. Si la firma es correcta, el servidor confirma tu identidad y concede el acceso.

3. Verificación biométrica o mediante PIN

• Autenticación local: antes de firmar el desafío, el dispositivo verifica tu identidad localmente mediante biometría (huella dactilar o reconocimiento facial) o un PIN seguro. Esto garantiza que solo el usuario autorizado pueda utilizar la clave privada.
• Entorno seguro: la clave privada se mantiene dentro de un enclave seguro o TEE, un entorno aislado a nivel de hardware que protege los datos sensibles incluso frente a malware.

4. Sincronización entre dispositivos

• Sincronización en la nube: las passkeys pueden sincronizarse entre dispositivos mediante servicios en la nube cifrados, como iCloud Keychain de Apple o el gestor de contraseñas de Google.
• Claves específicas por dispositivo: cada dispositivo genera su propio par de claves, pero todas las claves públicas se asocian a la misma cuenta, lo que permite iniciar sesión desde distintos dispositivos sin necesidad de registrar una passkey cada vez.

5. Funciones de seguridad

• Resistencia al phishing: las passkeys están vinculadas criptográficamente al dominio o origen legítimo. Si el usuario accede a un sitio falso, la passkey no funcionará porque el dominio no coincide.
• Sin almacenamiento de contraseñas: a diferencia de las contraseñas tradicionales, el servidor no almacena información sensible, solo la clave pública, que no sirve para suplantar al usuario.
• Autenticación multifactor (MFA): las passkeys pueden actuar como un método fuerte de MFA, aportando una capa adicional de seguridad sin necesidad de contraseñas.

6. Experiencia de usuario

• Inicio de sesión fluido: el proceso es rápido e intuitivo, basta con autenticarte localmente (biometría o PIN) para completar el inicio de sesión.
• Sin gestión de contraseñas: los usuarios ya no necesitan crear, recordar ni administrar contraseñas complejas, lo que reduce riesgos y problemas asociados a errores humanos.

Estándares y protocolos técnicos 

• WebAuthn (Web Authentication): API web que permite a los sitios interactuar con autenticadores, como las passkeys, para realizar autenticaciones seguras. Forma parte del estándar FIDO2.
• CTAP (Client to Authenticator Protocol): protocolo que permite la comunicación entre el navegador o la aplicación y el autenticador (por ejemplo, una llave de seguridad o un sensor biométrico) para ejecutar las operaciones criptográficas necesarias.

Experiencia del usuario con passkeys: ejemplo de flujo

1. Registro:
   • Interacción del usuario: el usuario inicia el proceso de registro en un sitio web.
   • Generación de claves: el dispositivo crea un par de claves pública y privada.
   • Transmisión de la clave pública: se envía al servidor junto con un identificador único del usuario.
   • Almacenamiento en el servidor: el servidor guarda la clave pública y la asocia a la cuenta del usuario.
2. Autenticación:
   • Interacción del usuario: el usuario intenta iniciar sesión. 
   • Generación del desafío: el servidor envía un desafío al dispositivo. 
   • Autenticación local: el usuario se valida mediante biometría o PIN. 
   • Firma del desafío: el dispositivo firma el desafío con la clave privada. 
   • Transmisión de la firma: el desafío firmado se envía de vuelta al servidor. 
   • Verificación: el servidor valida la firma usando la clave pública almacenada. 
   • Acceso concedido: si la verificación es correcta, el usuario obtiene acceso. 

Limitaciones de las passkeys

Aunque las passkeys ofrecen claras ventajas, también presentan algunas limitaciones:

1.Dependencia del dispositivo

• Pérdida o fallo del dispositivo: si un usuario pierde su dispositivo o este deja de funcionar, puede perder el acceso a sus passkeys. Aunque la sincronización en la nube puede ayudar, no siempre está disponible ni resulta totalmente fiable. 
• Compatibilidad de dispositivos: no todos los dispositivos admiten passkeys, especialmente los más antiguos o con capacidades limitadas. Esto puede restringir su adopción y uso para algunos usuarios. 

2. Educación del usuario y adopción

• Curva de aprendizaje: los usuarios pueden necesitar aprender cómo configurar y utilizar passkeys, lo que puede suponer una barrera inicial. El paso de contraseñas a passkeys requiere cierto esfuerzo y comprensión previa. 
• Resistencia al cambio: algunos usuarios pueden mostrarse reacios a abandonar sus hábitos con las contraseñas, sobre todo si se sienten cómodos con los métodos actuales. 

3. Problemas entre plataformas y dispositivos

• Interoperabilidad: aunque FIDO2 es un estándar abierto, no todas las plataformas y servicios lo implementan de la misma manera. Esto puede generar inconsistencias en la experiencia de usuario entre distintos entornos. 
• Desafíos de sincronización: la sincronización de passkeys entre dispositivos puede resultar compleja y no siempre funciona de forma totalmente fluida, especialmente cuando se utilizan dispositivos de distintos fabricantes o sistemas operativos. 

4. Recuperación y copias de seguridad 

• Mecanismos de recuperación: si un usuario pierde el acceso a sus passkeys (por ejemplo, tras perder un dispositivo), el proceso de recuperación puede ser más complejo que con las contraseñas tradicionales. Aunque algunos servicios ofrecen opciones de recuperación, no siempre son tan sencillas ni intuitivas. 
• Soluciones de copia de seguridad: es necesario contar con soluciones de respaldo sólidas que permitan recuperar las passkeys cuando sea necesario. No obstante, estas soluciones deben equilibrar seguridad y comodidad, lo que puede resultar complicado. 

5. Configuración inicial y gestión

• Configuración más compleja: la configuración inicial de las passkeys puede ser más compleja que la creación de una contraseña. Los usuarios deben comprender cómo se generan y gestionan, lo que puede suponer una barrera para quienes tienen menos conocimientos técnicos. 
• Carga de gestión: administrar múltiples passkeys en distintos servicios puede resultar más complejo que utilizar un único gestor de contraseñas. Es necesario asegurarse de que estén correctamente sincronizadas y respaldadas. 

6.Consideraciones de seguridad 

• Seguridad del dispositivo: la seguridad de las passkeys depende en gran medida de la seguridad del dispositivo. Si este se ve comprometido (por ejemplo, mediante malware), la clave privada podría quedar expuesta. 
• Datos biométricos: los datos biométricos utilizados para la autenticación local (huellas dactilares, reconocimiento facial) son especialmente sensibles. Si se vieran comprometidos, no pueden cambiarse con facilidad como una contraseña. 

7. Experiencia de usuario

• Interfaces inconsistentes: las interfaces para configurar y utilizar passkeys pueden variar entre dispositivos y servicios, lo que puede generar confusión y una experiencia menos uniforme. 
• Familiaridad con la biometría: algunos usuarios pueden sentirse incómodos o poco familiarizados con los métodos de autenticación biométrica, lo que puede afectar a su disposición a adoptar passkeys. 

¿Pueden los hackers explotar las passkeys?

Aunque las passkeys están diseñadas para resistir ataques tradicionales, la clave privada nunca abandona tu dispositivo y no puede ser suplantada, ningún sistema es infalible. Un atacante con acceso físico a un dispositivo desbloqueado podría autenticarse en nombre del usuario. Del mismo modo, malware con privilegios elevados podría intentar abusar de una clave privada desbloqueada, aunque los enclaves seguros y las protecciones modernas lo hacen extremadamente difícil.

Los fallos de implementación y las vulnerabilidades en la cadena de suministro representan riesgos adicionales. Por ello, es fundamental utilizar proveedores que sigan las mejores prácticas de FIDO2/WebAuthn y mantener siempre actualizado el firmware y el software del dispositivo.

¿Reemplazarán las passkeys a las contraseñas?

Las passkeys están ganando terreno rápidamente, respaldadas por grandes plataformas , como Apple, Google y Microsoft, y probablemente se conviertan en el estándar de autenticación en los próximos años. Aun así, la transición será gradual: los sistemas heredados, las integraciones de terceros y los usuarios con dispositivos no compatibles seguirán dependiendo de las contraseñas.

Mientras tanto, las organizaciones deben seguir aplicando políticas de contraseñas robustas, hash y salting seguros, y autenticación multifactor (MFA) donde sea necesario. El monitoreo, la detección de brechas y los flujos de recuperación seguros seguirán siendo esenciales hasta que las passkeys sustituyan por completo a las credenciales tradicionales.

Con Specops Password Policy, puedes impedir que los usuarios creen contraseñas débiles o fáciles de adivinar. Además, tu Active Directory se analiza continuamente frente a una base de datos de más de 4.000 millones de contraseñas comprometidas. Pruébalo gratis hoy.

Preguntas frecuentes