-
Las passkeys reducen phishing al eliminar credenciales reutilizables en servidores.
-
El acceso depende del dispositivo, no de contraseñas memorizadas por el usuario.
-
Funcionan con estándares FIDO2 y WebAuthn de forma interoperable.
-
Apple, Google y Microsoft ya integran passkeys en sus sistemas.
-
No sirven para autocustodia de criptoactivos ni sustituyen seed phrases.
Table of Contents
Las passkeys se han consolidado como una de las principales alternativas a las contraseñas tradicionales en la autenticación digital. Basadas en criptografía de clave pública y en el uso de dispositivos personales como elemento de verificación, este sistema busca reducir riesgos habituales como el phishing o las filtraciones de datos sensibles.
Su adopción por parte de grandes plataformas tecnológicas ha acelerado el debate sobre su papel en el futuro del acceso digital y su posible integración en sectores como el de las criptomonedas, donde la gestión de claves sigue siendo un elemento crítico de seguridad y control.
1 ¿Qué son las passkeys?
Las passkeys (o claves de acceso) son un método de autenticación digital basado en credenciales criptográficas asociadas a un dispositivo específico (local), como un teléfono o un ordenador, diseñado para reemplazar las contraseñas tradicionales.
Desde un punto de vista técnico, una passkey permite iniciar sesión en aplicaciones o sitios web mediante un mecanismo local —como desbloquear el dispositivo— sin necesidad de introducir credenciales manualmente. Esto representa un cambio importante frente al modelo tradicional, basado en secretos compartidos entre usuario y servidor.
En este enfoque, la autenticación se apoya principalmente en la posesión del dispositivo y en mecanismos de verificación local, lo que reduce la exposición de credenciales en la red y limita vectores de ataque comunes.
Origen y propósito
Las passkeys surgen como respuesta a un problema estructural de Internet: la debilidad de las contraseñas. A pesar de su uso generalizado, este sistema ha demostrado ser vulnerable a filtraciones, reutilización de credenciales y ataques de suplantación de identidad.
Diversos informes de ciberseguridad han mostrado que una parte significativa de las brechas de datos está relacionada con el uso de credenciales comprometidas, lo que evidencia las limitaciones del modelo tradicional.
Frente a este escenario, iniciativas impulsadas por la FIDO Alliance han promovido el desarrollo de métodos de autenticación más robustos, con el objetivo de mejorar la seguridad sin sacrificar la experiencia del usuario.
2 ¿Cómo funcionan las passkeys?
El funcionamiento de las passkeys se basa en un proceso de autenticación que combina criptografía de clave pública y verificación local del usuario. A diferencia de las contraseñas, el acceso no depende de un secreto memorizado, sino de la posesión de un dispositivo y de la autorización del usuario mediante un mecanismo local, como biometría o un PIN.
Desde la perspectiva del usuario, esto significa que para autenticarse basta con desbloquear el dispositivo mediante huella dactilar, reconocimiento facial o un código local. Estos mecanismos no se utilizan para autenticarse directamente ante el servicio, sino para autorizar el uso de la clave privada almacenada en el dispositivo, lo que garantiza que solo el usuario legítimo pueda activarla.
Este proceso se divide en dos etapas: registro e inicio de sesión.
Durante el registro, el dispositivo genera un par de claves criptográficas único, asociado al servicio y al contexto del usuario en ese dispositivo. La clave pública se envía al servidor y queda vinculada a la cuenta, mientras que la clave privada se almacena de forma segura y solo puede utilizarse tras la verificación local del usuario. Este procedimiento se realiza automáticamente, sin que el usuario tenga que gestionar manualmente las claves.
En el inicio de sesión, el servidor envía un desafío criptográfico que el dispositivo debe validar. Para ello, utiliza la clave privada para firmar la solicitud, lo que permite comprobar la identidad del usuario sin necesidad de transmitir información sensible. Este modelo elimina la existencia de credenciales reutilizables y reduce significativamente los riesgos asociados a filtraciones.
Estándares WebAuthn y FIDO2
Las passkeys se basan en estándares abiertos desarrollados por la FIDO Alliance, una organización internacional que promueve métodos de autenticación seguros sin contraseñas, y el World Wide Web Consortium (W3C), el organismo encargado de definir estándares para la web.
En este contexto, WebAuthn (Web Authentication) es un estándar del W3C que define cómo los navegadores interactúan con dispositivos de autenticación para permitir inicios de sesión seguros sin contraseñas. Por su parte, FIDO2 es un conjunto de especificaciones técnicas impulsadas por la FIDO Alliance que complementa a WebAuthn y permite implementar este tipo de autenticación de forma interoperable entre servicios y dispositivos.
Gracias a estos estándares, las passkeys pueden funcionar en distintos dispositivos y plataformas sin depender de soluciones propietarias, lo que ha facilitado su adopción en el ecosistema digital.
Seguridad en hardware (TPM, Secure Enclave)
Las claves privadas se almacenan en entornos seguros del dispositivo, diseñados para proteger información sensible frente a accesos no autorizados. Tecnologías como el TPM o el Secure Enclave aíslan estas claves del sistema operativo, lo que dificulta su extracción incluso en escenarios de ataque avanzados. Esto refuerza el modelo de seguridad al mantener los elementos críticos de la autenticación fuera del alcance de atacantes remotos.
3 Passkeys vs contraseñas: diferencias clave
Las contraseñas se basan en un modelo de secreto compartido: el usuario crea una clave que el servidor debe almacenar y verificar. Este enfoque introduce riesgos estructurales, especialmente cuando las bases de datos son comprometidas. Las passkeys, en cambio, eliminan este modelo al utilizar credenciales que no se comparten ni se reutilizan, lo que cambia de forma significativa la superficie de ataque.
Riesgos de las contraseñas
Las contraseñas son vulnerables a múltiples vectores de ataque, como el phishing, las filtraciones de datos y la reutilización entre servicios. El informe Data Breach Investigations Report de Verizon muestra que el uso de credenciales robadas sigue siendo uno de los métodos más comunes en incidentes de seguridad.
Además, el National Institute of Standards and Technology advierte que los sistemas basados en conocimiento son especialmente susceptibles a ataques de ingeniería social.
Experiencia de usuario: fricción vs simplicidad
El uso de contraseñas implica gestionar múltiples credenciales, lo que genera fricción y fomenta prácticas inseguras. Las passkeys simplifican este proceso al integrarse en el uso cotidiano del dispositivo, reduciendo errores y facilitando el acceso sin comprometer la seguridad.
4 ¿Cuáles son los riesgos y limitaciones de las passkeys?
Aunque las passkeys mejoran significativamente la seguridad frente a ataques comunes, también presentan limitaciones que deben considerarse:
Dependencia del dispositivo
El acceso a las cuentas depende del dispositivo donde se almacena la clave privada. La pérdida o daño del dispositivo puede dificultar la recuperación, especialmente si no se han configurado mecanismos alternativos.
Dependencia de ecosistemas
Las passkeys suelen integrarse en entornos específicos, lo que puede generar dependencia de proveedores para su gestión, sincronización y recuperación.
Sincronización y nuevos riesgos
La posibilidad de sincronizar passkeys entre dispositivos mejora la experiencia de usuario, pero introduce dependencia de servicios en la nube, lo que añade nuevos puntos de riesgo.
Compatibilidad y adopción
La adopción aún es parcial y muchos servicios utilizan modelos híbridos, lo que limita una transición completa hacia sistemas sin contraseñas.
5 ¿Cuál es el nivel de adopción de las passkeys? Casos reales y uso actual
La adopción de passkeys ha crecido de forma significativa, impulsada por el respaldo de grandes empresas tecnológicas y estándares abiertos. Sin embargo, este crecimiento se da en un contexto de transición, donde conviven con métodos tradicionales.
Empresas como Google, Apple y Microsoft han integrado passkeys en sus ecosistemas, permitiendo su uso a gran escala sin necesidad de herramientas adicionales.
En la práctica, plataformas como PayPal, Shopify y GitHub ya utilizan passkeys para mejorar la seguridad y reducir la fricción en el acceso.
Aun así, la adopción global sigue siendo progresiva. La coexistencia con contraseñas refleja que la transición hacia un modelo completamente sin contraseñas aún está en desarrollo.
6 Passkeys y criptomonedas: ¿pueden reemplazar las claves privadas?
Las passkeys pueden mejorar la forma en que los usuarios acceden a servicios relacionados con criptomonedas, pero no sustituyen el papel fundamental de las claves privadas. En este ecosistema, las claves privadas y las seed phrases funcionan como pruebas criptográficas de propiedad, no como mecanismos de autenticación tradicionales. Quien posee estas claves tiene control directo sobre los fondos, sin intermediarios ni procesos de verificación externos.
Aunque las passkeys comparten fundamentos técnicos similares —como el uso de criptografía de clave pública— su propósito es distinto. Están diseñadas para autenticar usuarios frente a servicios, mientras que las claves privadas permiten firmar transacciones y gestionar activos en redes descentralizadas.
En servicios custodiales (como exchanges o plataformas centralizadas), las passkeys pueden actuar como un método de acceso más seguro, reemplazando contraseñas tradicionales y reduciendo riesgos asociados a credenciales comprometidas. De este modo, mejoran la seguridad sin alterar el modelo de custodia. Sin embargo, en esquemas de autocustodia, las passkeys no pueden sustituir a las claves privadas. La pérdida de control sobre la clave implica la pérdida de acceso a los fondos, independientemente del método de autenticación utilizado.
Por otro lado, el uso de passkeys introduce ciertos compromisos. Su dependencia de dispositivos y ecosistemas tecnológicos puede simplificar la experiencia de usuario, pero también añade una capa de abstracción que no forma parte del diseño original de las criptomonedas.
En consecuencia, el escenario más probable no es el reemplazo, sino la complementariedad. Las passkeys pueden facilitar el acceso y mejorar la usabilidad, mientras que las claves privadas continúan siendo la base del control criptográfico en sistemas descentralizados.
