-
Las passkeys reducen phishing al eliminar credenciales reutilizables en servidores.
-
El acceso depende del dispositivo, no de contraseñas memorizadas por el usuario.
-
Funcionan con estándares FIDO2 y WebAuthn de forma interoperable.
-
Apple, Google y Microsoft ya integran passkeys en sus sistemas.
-
No sirven para autocustodia de criptoactivos ni sustituyen seed phrases.
Table of Contents
Las passkeys se han consolidado como una de las principales alternativas a las contraseñas tradicionales en la autenticación digital. Basadas en criptografía de clave pública y en el uso de dispositivos personales como elemento de verificación, este sistema busca reducir riesgos habituales como el phishing o las filtraciones de datos sensibles.
Su adopción por parte de grandes plataformas tecnológicas ha acelerado el debate sobre su papel en el futuro del acceso digital y su posible integración en sectores como el de las criptomonedas, donde la gestión de claves sigue siendo un elemento crítico de seguridad y control.
1 ¿Qué son las passkeys? Definición y conceptos clave
Las passkeys (o claves de acceso) son un método de autenticación digital diseñado para reemplazar las contraseñas tradicionales. En lugar de depender de datos que el usuario debe recordar, funcionan como credenciales criptográficas asociadas a un dispositivo específico, como un teléfono o un ordenador.
Desde un punto de vista técnico, una passkey permite iniciar sesión en aplicaciones o sitios web mediante un mecanismo local —como desbloquear el dispositivo— sin necesidad de introducir credenciales manualmente. Esto representa un cambio importante frente al modelo tradicional, basado en secretos compartidos entre usuario y servidor.
En este nuevo enfoque, la autenticación se apoya principalmente en la posesión del dispositivo y en mecanismos de verificación local, lo que reduce la exposición de credenciales en la red y limita vectores de ataque comunes.
Origen y propósito
Las passkeys surgen como respuesta a un problema estructural de Internet: la debilidad de las contraseñas. A pesar de su uso generalizado, este sistema ha demostrado ser vulnerable a filtraciones, reutilización de credenciales y ataques de suplantación de identidad.
Diversos informes de ciberseguridad han mostrado que una parte significativa de las brechas de datos está relacionada con el uso de credenciales comprometidas, lo que evidencia las limitaciones del modelo tradicional.
Frente a este escenario, iniciativas impulsadas por la FIDO Alliance han promovido el desarrollo de métodos de autenticación más robustos, con el objetivo de mejorar la seguridad sin sacrificar la experiencia del usuario.
2 ¿Cómo funcionan las passkeys? Tecnología y proceso paso a paso
El funcionamiento de las passkeys se basa en un proceso de autenticación que combina criptografía y validación local del usuario. Este proceso se divide en dos etapas: registro e inicio de sesión.
Durante el registro, el dispositivo genera un par de claves criptográficas único. La clave pública se envía al servidor y queda asociada a la cuenta, mientras que la clave privada se almacena de forma segura en el dispositivo del usuario. Este paso se realiza de forma automática, sin que el usuario tenga que gestionar manualmente las claves.
En el inicio de sesión, el servidor envía un desafío criptográfico que el dispositivo debe validar. Para ello, utiliza la clave privada para firmar la solicitud, lo que permite comprobar la identidad del usuario sin necesidad de transmitir información sensible. Este modelo elimina la existencia de credenciales reutilizables y reduce significativamente los riesgos asociados a filtraciones.
Criptografía de clave pública
En el núcleo de las passkeys se encuentra la criptografía de clave pública. Este sistema utiliza dos claves vinculadas: una pública, que puede almacenarse en servidores sin comprometer la seguridad, y una privada, que permanece protegida en el dispositivo.
Este modelo permite verificar identidades sin necesidad de compartir secretos, lo que representa una mejora sustancial frente a las contraseñas tradicionales. Además, al no existir una base de datos de credenciales reutilizables, se reduce el impacto potencial de ataques masivos.
Estándares WebAuthn y FIDO2
Las passkeys se basan en estándares abiertos desarrollados por la FIDO Alliance y el World Wide Web Consortium. WebAuthn define cómo los navegadores interactúan con dispositivos de autenticación, mientras que FIDO2 establece el marco técnico que permite implementar autenticación sin contraseñas de forma interoperable.
Gracias a estos estándares, las passkeys pueden funcionar en distintos dispositivos y plataformas sin depender de soluciones propietarias, lo que ha facilitado su expansión en el ecosistema digital.
Uso de biometría y dispositivos
Desde la perspectiva del usuario, el uso de passkeys simplifica el acceso a servicios digitales. En lugar de introducir credenciales, basta con realizar una acción cotidiana, como desbloquear el dispositivo mediante huella dactilar, reconocimiento facial o un PIN local.
Estos mecanismos no se utilizan para autenticarse directamente ante el servicio, sino para autorizar el uso de la clave privada. De este modo, los datos biométricos permanecen en el dispositivo y no se comparten con terceros.
Seguridad en hardware (TPM, Secure Enclave)
Las claves privadas se almacenan en entornos seguros del dispositivo, diseñados para proteger información sensible frente a accesos no autorizados. Tecnologías como el TPM o el Secure Enclave aíslan estas claves del sistema operativo, lo que dificulta su extracción incluso en escenarios de ataque avanzados. Esto refuerza el modelo de seguridad al mantener los elementos críticos de la autenticación fuera del alcance de atacantes remotos.
3 Passkeys vs contraseñas: diferencias clave y relación con criptomonedas
Las contraseñas se basan en un modelo de secreto compartido: el usuario crea una clave que el servidor debe almacenar y verificar. Este enfoque introduce riesgos estructurales, especialmente cuando las bases de datos son comprometidas. Las passkeys, en cambio, eliminan este modelo al utilizar credenciales que no se comparten ni se reutilizan, lo que cambia de forma significativa la superficie de ataque.
Riesgos de las contraseñas
Las contraseñas son vulnerables a múltiples vectores de ataque, como el phishing, las filtraciones de datos y la reutilización entre servicios. El informe Data Breach Investigations Report de Verizon muestra que el uso de credenciales robadas sigue siendo uno de los métodos más comunes en incidentes de seguridad.
Además, el National Institute of Standards and Technology advierte que los sistemas basados en conocimiento son especialmente susceptibles a ataques de ingeniería social.
Experiencia de usuario: fricción vs simplicidad
El uso de contraseñas implica gestionar múltiples credenciales, lo que genera fricción y fomenta prácticas inseguras. Las passkeys simplifican este proceso al integrarse en el uso cotidiano del dispositivo, reduciendo errores y facilitando el acceso sin comprometer la seguridad.
Relación con claves privadas y seed phrases
En criptomonedas, los usuarios gestionan claves privadas o frases semilla que otorgan control directo sobre los fondos. Estas no funcionan como un sistema de autenticación tradicional, sino como una prueba criptográfica de propiedad.
Aunque las passkeys comparten fundamentos técnicos similares, su propósito es distinto. Están diseñadas para autenticación en servicios digitales, mientras que las claves privadas son el elemento central de la custodia de activos.
4 ¿Cuáles son los riesgos y limitaciones de las passkeys?
Aunque las passkeys mejoran significativamente la seguridad frente a ataques comunes, también presentan limitaciones que deben considerarse:
Dependencia del dispositivo
El acceso a las cuentas depende del dispositivo donde se almacena la clave privada. La pérdida o daño del dispositivo puede dificultar la recuperación, especialmente si no se han configurado mecanismos alternativos.
Dependencia de ecosistemas
Las passkeys suelen integrarse en entornos específicos, lo que puede generar dependencia de proveedores para su gestión, sincronización y recuperación.
Sincronización y nuevos riesgos
La posibilidad de sincronizar passkeys entre dispositivos mejora la experiencia de usuario, pero introduce dependencia de servicios en la nube, lo que añade nuevos puntos de riesgo.
Compatibilidad y adopción
La adopción aún es parcial y muchos servicios utilizan modelos híbridos, lo que limita una transición completa hacia sistemas sin contraseñas.
Limitaciones en criptomonedas
En contextos de autocustodia, las passkeys no sustituyen a las claves privadas. Su uso puede simplificar el acceso, pero no reemplaza el control directo sobre los activos.
5 ¿Cuál es el nivel de adopción de las passkeys? Casos reales y uso actual
La adopción de passkeys ha crecido de forma significativa, impulsada por el respaldo de grandes empresas tecnológicas y estándares abiertos. Sin embargo, este crecimiento se da en un contexto de transición, donde conviven con métodos tradicionales.
Empresas como Google, Apple y Microsoft han integrado passkeys en sus ecosistemas, permitiendo su uso a gran escala sin necesidad de herramientas adicionales.
En la práctica, plataformas como PayPal, Shopify y GitHub ya utilizan passkeys para mejorar la seguridad y reducir la fricción en el acceso.
Aun así, la adopción global sigue siendo progresiva. La coexistencia con contraseñas refleja que la transición hacia un modelo completamente sin contraseñas aún está en desarrollo.
6 Passkeys y criptomonedas: ¿pueden reemplazar las claves privadas?
Las passkeys pueden mejorar la forma en que los usuarios acceden a servicios relacionados con criptomonedas, pero no sustituyen el papel fundamental de las claves privadas.
En servicios custodiales, pueden actuar como un método de acceso más seguro, reemplazando contraseñas tradicionales y reduciendo riesgos asociados a credenciales comprometidas. Además, desarrollos como la abstracción de cuentas impulsada por la Ethereum Foundation exploran formas de simplificar la interacción con wallets.
Sin embargo, en modelos de autocustodia, las claves privadas siguen siendo insustituibles. Representan la propiedad directa de los fondos y no dependen de intermediarios ni de infraestructuras externas.
El uso de passkeys introduce un equilibrio entre usabilidad y control: facilita el acceso, pero puede implicar dependencia de dispositivos y ecosistemas tecnológicos.
En este contexto, el escenario más probable no es el reemplazo, sino la complementariedad. Las passkeys pueden actuar como una capa de abstracción que simplifique la experiencia de usuario, mientras que las claves privadas continúan siendo la base del control criptográfico.
