Huella dactilar digital biometría autenticación seguridad acceso

Passkeys en 2026: el fin de las contraseñas tal como las conocemos

PorCarlos Diaz

Las passkeys representan el cambio más significativo en la autenticación digital desde la invención de la contraseña. Impulsadas por la alianza FIDO (Fast Identity Online), Apple, Google y Microsoft, las passkeys prometen eliminar las contraseñas de la ecuación de autenticación y con ellas la mayor parte de los problemas de seguridad que las contraseñas generan: filtraciones, phishing, reutilización y gestión engorrosa.

En 2026, las passkeys han pasado de ser una tecnología experimental a estar disponibles en los principales servicios y plataformas. Esta guía explica qué son, cómo funcionan y por qué representan un salto real en seguridad.

Qué es una passkey y en qué se diferencia de una contraseña

Una passkey es una credencial de autenticación basada en criptografía de clave pública (la misma matemática que sustenta el cifrado de extremo a extremo y el HTTPS) vinculada a un dispositivo y a un servicio específico.

Cuando creas una passkey para un servicio, el dispositivo genera un par de claves criptográficas:

  • Clave privada: se almacena de forma segura en el dispositivo (en el enclave seguro del hardware: el Secure Enclave de Apple, el TPM de Windows o el equivalente en Android). Nunca abandona el dispositivo. Nunca se envía al servidor del servicio.
  • Clave pública: se registra en el servidor del servicio. Es matemáticamente relacionada con la privada pero no permite deducir la privada.

Para autenticarte, el servidor te envía un desafío criptográfico aleatorio. Tu dispositivo firma ese desafío con la clave privada (tras verificar tu identidad mediante biometría o PIN local) y envía la firma al servidor. El servidor verifica que la firma es correcta usando tu clave pública. Acceso concedido.

Por qué las passkeys son fundamentalmente más seguras que las contraseñas

No hay secreto compartido que robar. En el sistema de contraseñas, tu contraseña (o su hash) está almacenada en el servidor. Si el servidor es hackeado, las contraseñas quedan expuestas. Con passkeys, el servidor nunca tiene la clave privada: solo tiene la pública, que es matemáticamente inútil para el atacante sin la privada.

Resistencia nativa al phishing. Las passkeys están vinculadas criptográficamente al dominio específico del servicio donde se crearon. Si un atacante te lleva a una página falsa de tu banco, la passkey simplemente no responderá porque el dominio no coincide. Es físicamente imposible hacer phishing de passkeys de la forma en que se hace phishing de contraseñas.

No hay contraseña que olvidar, filtrar o reutilizar. Las passkeys son generadas automáticamente por el dispositivo, no las elige el usuario. No se pueden "elegir mal", no se olvidan y no se pueden reutilizar en otros servicios porque son únicas por servicio.

Resistencia a los ataques de fuerza bruta. No hay nada que "adivinar": la clave privada es un número aleatorio de 256 bits que nunca se transmite. La fuerza bruta contra passkeys es matemáticamente inviable con la computación actual.

Para complementar la comprensión de cómo las passkeys se relacionan con otras formas de autenticación fuerte, el artículo sobre autenticación de dos factores: guía completa ofrece el contexto evolutivo desde el 2FA clásico hasta la autenticación sin contraseña.

Dónde se pueden usar passkeys en 2026

La adopción de passkeys ha avanzado muy significativamente. En 2026, los principales servicios que las soportan incluyen:

Sistemas operativos y plataformas principales:

  • Apple (iOS 16+, macOS Ventura+): passkeys sincronizadas en iCloud Keychain entre todos los dispositivos Apple del usuario.
  • Google (Android 9+, Chrome): passkeys sincronizadas en Google Password Manager.
  • Windows (Windows 11 con Windows Hello): passkeys vinculadas al dispositivo o sincronizadas con la cuenta Microsoft.

Servicios y plataformas:

  • Google/Gmail, Apple ID, Microsoft/GitHub, PayPal, eBay, Best Buy, Shopify, Uber, WhatsApp, Nintendo, 1Password, Bitwarden y decenas de otros servicios de relevancia.

La adopción sigue siendo parcial: muchos servicios todavía no soportan passkeys o las ofrecen como opción adicional junto a la contraseña. La transición completa será un proceso de varios años.

La sincronización entre dispositivos: soluciones y precauciones

Una preocupación inicial sobre las passkeys era el escenario de "qué pasa si pierdo el dispositivo". La respuesta ha sido la sincronización en la nube cifrada:

  • Las passkeys de Apple se sincronizan entre dispositivos Apple a través de iCloud Keychain, cifradas de extremo a extremo.
  • Las passkeys de Google se sincronizan a través de Google Password Manager.
  • Los gestores de contraseñas como 1Password y Bitwarden soportan passkeys y las sincronizan entre dispositivos de distintas plataformas.

Para dispositivos sin synchronización (por ejemplo, una clave de acceso en un dispositivo que perdiste sin backup), la mayoría de los servicios ofrecen métodos de recuperación alternativos.

Autenticación biométrica passkey sin contraseña huella dactilar acceso seguro futuro
Passkeys autenticación sin contraseña

Passkeys vs contraseñas + 2FA: ¿cuál es más seguro?

La comparación más relevante para usuarios con buenas prácticas actuales es entre passkeys y la combinación de contraseña robusta + autenticación de dos factores TOTP.

Passkeys son superiores en:

  • Resistencia al phishing (el 2FA TOTP puede ser interceptado en ataques de phishing en tiempo real; las passkeys no).
  • Comodidad (una autenticación biométrica en lugar de contraseña + código TOTP).
  • Eliminación del riesgo de base de datos de contraseñas robada.

Contraseña + TOTP siguen siendo aceptables en:

  • Servicios que no soportan passkeys todavía.
  • Usuarios que prefieren no depender de la sincronización en la nube de sus credenciales.

La recomendación en 2026: usa passkeys donde estén disponibles. Para el resto, contraseña única + TOTP es la segunda mejor opción.

La transición: cómo migrar a passkeys

La migración no requiere abandonar las contraseñas de golpe. La mayoría de los servicios te permiten registrar una passkey manteniendo la contraseña como método alternativo de acceso.

El proceso típico: en la configuración de seguridad de la cuenta, busca "passkey", "clave de acceso" o "FIDO2", sigue el proceso de registro (autenticación biométrica en el dispositivo), y a partir de ese momento el servicio te ofrecerá la passkey como método principal de acceso.

Conclusión

Las passkeys son la evolución más significativa en autenticación de las últimas décadas. Su resistencia nativa al phishing, la eliminación del secreto compartido y la comodidad de uso biométrico resuelven de forma elegante los tres problemas principales de las contraseñas. La transición llevará años, pero el destino está claro: un internet donde "¿cuál era mi contraseña?" sea una pregunta del pasado.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *