Login Probar gratis
Passkeys: el futuro sin contraseñas ya está aquí y así funcionan

Passkeys: el futuro sin contraseñas ya está aquí y así funcionan

por MataSpam Privacidad Digital

Las passkeys —o claves de acceso— son el reemplazo real de las contraseñas. No una promesa vaga de Silicon Valley, sino un estándar que ya funciona en Google, Apple, Microsoft y decenas de servicios. Si llevas años lidiando con gestores de contraseñas, autenticación en dos pasos y el pánico de que tu clave aparezca en alguna filtración, el futuro sin contraseñas ya no es futuro: es presente. El login sin contraseña basado en FIDO2 passkey elimina el vector de ataque más explotado de la historia de internet: la contraseña misma. Y funciona de una forma sorprendentemente simple.

Qué es una passkey y por qué debería importarte

Una passkey es un par de claves criptográficas —una pública y una privada— vinculadas a tu dispositivo y a tu identidad biométrica (huella, rostro o PIN del dispositivo). Cuando te registras en un servicio compatible, tu dispositivo genera ese par. La clave pública se envía al servidor; la privada nunca sale de tu dispositivo.

Para iniciar sesión, el servidor envía un desafío criptográfico. Tu dispositivo lo firma con la clave privada tras verificar tu identidad (huella, Face ID, Windows Hello). El servidor comprueba la firma con la clave pública. No hay contraseña que robar, reutilizar ni filtrar.

El estándar detrás es FIDO2, desarrollado por la FIDO Alliance (Fast Identity Online) junto con el W3C a través de la especificación WebAuthn. Google, Apple y Microsoft adoptaron el estándar en 2022 y desde entonces la implementación se ha acelerado. A principios de 2026, servicios como GitHub, Amazon, PayPal, WhatsApp, Adobe y la mayoría de proveedores de correo ya soportan claves de acceso.

Cómo funcionan las passkeys paso a paso

Vamos al grano técnico sin perder la perspectiva práctica.

Registro (crear una passkey)

  1. Accedes a la configuración de seguridad del servicio (Gmail, GitHub, etc.) y seleccionas "Crear passkey" o "Añadir clave de acceso".
  2. Tu navegador activa la API WebAuthn y pide verificación biométrica o PIN del dispositivo.
  3. El dispositivo genera un par de claves asimétricas (normalmente ECDSA P-256 o Ed25519). La clave privada se almacena en el enclave seguro del hardware (Secure Enclave en Apple, TPM en Windows, Titan M en Pixel).
  4. La clave pública y un identificador (credential ID) se envían al servidor.

Autenticación (usar la passkey)

  1. Introduces tu email o nombre de usuario.
  2. El servidor envía un challenge aleatorio.
  3. Tu dispositivo te pide verificación biométrica.
  4. Si verificas, la clave privada firma el challenge.
  5. El servidor valida la firma. Estás dentro.

Todo el proceso dura entre 2 y 5 segundos. Menos que escribir una contraseña y esperar el SMS del segundo factor. Y aquí está la gracia: las passkeys son autenticación multifactor por diseño. Combinan algo que tienes (el dispositivo) con algo que eres (biometría) o algo que sabes (PIN). No necesitas un segundo paso.

Si te preocupa que alguien te robe la sesión después de autenticarte, las passkeys no resuelven ese problema directamente —pero sí eliminan el eslabón más débil de la cadena: la autenticación inicial.

Passkeys frente a contraseñas tradicionales: qué ganas y qué pierdes

AspectoContraseñasPasskeys (FIDO2)
PhishingVulnerables. El usuario puede introducirlas en sitios falsos.Inmunes. La clave está vinculada al dominio legítimo.
FiltracionesSi el servidor sufre un breach, las contraseñas (incluso hasheadas) están en riesgo.Solo se filtra la clave pública, que es inútil sin la privada.
ReutilizaciónLa mayoría de usuarios repite contraseñas entre servicios.Cada passkey es única por servicio y dispositivo.
UsabilidadRequieren gestor de contraseñas o buena memoria.Huella o rostro. Sin nada que recordar.
Segundo factorNecesitas añadir 2FA (SMS, TOTP, hardware key).MFA integrado de serie.
PortabilidadCopias/pegas o sincronizas con gestor.Sincronización por ecosistema (iCloud, Google Password Manager) o gestores como 1Password.

La ventaja más brutal de las claves de acceso es que eliminan el phishing de credenciales. El protocolo WebAuthn verifica criptográficamente que el dominio que solicita la autenticación es el dominio original donde se registró la passkey. Si alguien clona la web de tu banco en un dominio parecido, la passkey simplemente no responde. No hay intervención humana en esa decisión, así que no hay error humano posible.

¿La pega? La portabilidad entre ecosistemas todavía genera fricción. Si usas un iPhone y un PC con Windows, necesitarás mecanismos de sincronización cruzada o crear passkeys separadas en cada dispositivo. 1Password, Dashlane y Bitwarden ya soportan passkeys multiplataforma, lo que mitiga este problema. Puedes verificar qué cuentas tuyas ya soportan passkeys en passkeys.directory.

Cómo configurar passkeys ahora mismo

No necesitas hardware especial. Si tu dispositivo tiene sensor biométrico o soporte para PIN de plataforma (prácticamente cualquier móvil o portátil de los últimos 4 años), ya puedes usarlas.

En Google

  1. Ve a myaccount.google.com → Seguridad → Claves de acceso.
  2. Pulsa "Crear clave de acceso".
  3. Verifica con tu huella, rostro o PIN.
  4. Listo. La próxima vez que inicies sesión, Google te pedirá la passkey en lugar de la contraseña.

En Apple (iCloud Keychain)

  1. En cualquier sitio compatible, al registrarte o en ajustes de seguridad, selecciona "Passkey".
  2. Face ID o Touch ID verifican tu identidad.
  3. La passkey se guarda en iCloud Keychain y se sincroniza entre tus dispositivos Apple automáticamente.

En Windows (Windows Hello)

  1. Asegúrate de tener Windows Hello configurado (PIN, huella o reconocimiento facial).
  2. En Chrome o Edge, cuando un servicio ofrezca crear passkey, acepta.
  3. Windows Hello gestionará la verificación.

Un consejo práctico: no elimines tu contraseña antigua hasta tener passkeys configuradas en todos los dispositivos donde necesites acceder. Y ya que estás revisando la seguridad de tus cuentas, comprueba la fortaleza de las contraseñas que aún conserves para aquellos servicios que todavía no soportan el estándar FIDO2.

Si trabajas en remoto, las passkeys son un upgrade directo a la seguridad de tu entorno. Las combinaciones de contraseña débil + VPN mal configurada son la puerta de entrada favorita de los atacantes en entornos de teletrabajo. Las claves de acceso eliminan al menos la mitad de esa ecuación.

Mitos y preocupaciones legítimas sobre el login sin contraseña

"Si pierdo el móvil, pierdo todo." No. Las passkeys sincronizadas (a través de iCloud, Google o un gestor de contraseñas) sobreviven a la pérdida de un dispositivo. Además, los servicios serios mantienen métodos de recuperación alternativos. Lo que sí deberías hacer es tener configurados al menos dos dispositivos con passkeys o conservar un método de recuperación de respaldo.

"Mis datos biométricos van al servidor." Falso. Tu huella o rostro nunca salen del dispositivo. La biometría solo desbloquea la clave privada localmente. El servidor jamás recibe datos biométricos; solo recibe firmas criptográficas.

"Es cosa de Google/Apple, me atan a su ecosistema." Parcialmente cierto, parcialmente resuelto. El estándar FIDO2 es abierto y cualquier gestor de contraseñas puede implementar soporte. 1Password y Bitwarden ya permiten almacenar passkeys independientemente del ecosistema del dispositivo. La FIDO Alliance publicó en 2024 el protocolo CXP (Credential Exchange Protocol) para facilitar la migración de passkeys entre proveedores.

"No todos los sitios las soportan." Correcto. La adopción crece rápido pero no es universal. Según sus propios datos, la FIDO Alliance estima que a finales de 2025 más de 15.000 millones de cuentas de usuario ya podían usar passkeys. Los sectores bancario y de comercio electrónico van más lentos por regulaciones (PSD2 en Europa exige SCA, y las passkeys cumplen, pero la integración con sistemas legacy lleva tiempo). Si gestionas un negocio online, implementar passkeys como opción de login es una mejora directa en conversión y seguridad.

Preguntas frecuentes

¿Las passkeys funcionan en todos los navegadores?

Chrome, Safari, Edge y Firefox soportan WebAuthn y passkeys desde sus versiones de 2023 en adelante. En navegadores muy antiguos o poco comunes puede faltar soporte, pero la cobertura supera el 95% del tráfico web global según datos de Can I Use.

¿Puedo usar passkeys y contraseña a la vez en la misma cuenta?

Sí. La mayoría de servicios permiten tener ambos métodos activos durante la transición. Puedes configurar la passkey como método principal y mantener la contraseña como respaldo. Algunos servicios como Google ya permiten eliminar la contraseña por completo si tienes passkeys configuradas en suficientes dispositivos.

¿Qué pasa si un atacante clona mi huella dactilar?

Clonar una huella dactilar con la precisión suficiente para engañar a un sensor capacitivo moderno requiere acceso físico al dedo y equipamiento especializado. Es un ataque dirigido y costoso, no escalable. Para la inmensa mayoría de usuarios, el riesgo es insignificante comparado con la reutilización de contraseñas filtradas.

¿Las passkeys cumplen con el RGPD y la normativa europea?

Sí. Como los datos biométricos se procesan localmente en el dispositivo y nunca se transmiten al servidor, no hay tratamiento de datos biométricos por parte del proveedor del servicio. El EDPB (European Data Protection Board) ha señalado en sus orientaciones que este modelo de procesamiento local es compatible con el RGPD. Además, passkeys cumplen con los requisitos de SCA (Strong Customer Authentication) de la directiva PSD2.

¿Puedo usar passkeys con llaves de seguridad físicas como YubiKey?

Sí. Las YubiKey 5 y otros tokens FIDO2 funcionan como dispositivo de almacenamiento de passkeys. La diferencia es que las passkeys en llaves físicas no se sincronizan —están vinculadas al hardware—, lo que las hace ideales para entornos de alta seguridad donde no quieres que la clave exista en la nube.

El siguiente paso

Abre ahora mismo la configuración de seguridad de tu cuenta de Google (o Apple, o Microsoft) y crea tu primera passkey. Tarda menos de un minuto. Después, revisa passkeys.directory para ver qué otros servicios que usas ya soportan claves de acceso y actívalas uno por uno. Cada passkey que configures es una contraseña menos que puede filtrarse, una credencial menos que pueden robarte por phishing y un login sin contraseña más rápido y más seguro. Tu yo del futuro te lo agradecerá.

passkeys claves de acceso futuro contraseñas login sin contraseña fido2 passkey
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

VPN gratis: por qué la mayoría son peligrosas y cuáles sí merece la pena usar
Privacidad Digital

VPN gratis: por qué la mayoría son peligrosas y cuáles sí merece la pena usar

RGPD: tus derechos como ciudadano europeo sobre tus datos personales
Privacidad Digital

RGPD: tus derechos como ciudadano europeo sobre tus datos personales

Privacidad en coches conectados: los datos que tu vehículo recopila sobre ti
Privacidad Digital

Privacidad en coches conectados: los datos que tu vehículo recopila sobre ti

← Volver al blog