Todo sobre las Passkeys: qué son, cómo funcionan y por qué revolucionan la seguridad digital

En un mundo cada vez más conectado, la seguridad digital es más importante que nunca. Las contraseñas, durante años el estándar para acceder a nuestras cuentas, se han convertido en un punto débil expuesto a filtraciones, robos y ataques de phishing. A pesar de los esfuerzos por reforzarlas con gestores de contraseñas o la autenticación en dos pasos, muchas personas siguen utilizando combinaciones simples, repetidas o fáciles de adivinar.

Ante esta problemática, se está produciendo una transformación silenciosa pero revolucionaria: el uso de passkeys. Estas claves de acceso están llamadas a cambiar por completo la forma en que iniciamos sesión en nuestros dispositivos, servicios en línea, aplicaciones y plataformas. Pero ¿qué son exactamente las passkeys?, ¿cómo funcionan y qué ventajas ofrecen?

Qué es una passkey y para qué sirve

Una passkey es una credencial criptográfica que elimina la necesidad de recordar contraseñas tradicionales. Está basada en criptografía asimétrica, un método ampliamente utilizado para cifrar datos de forma segura. En lugar de enviar una contraseña al servidor, se utilizan dos claves: una privada, que permanece segura en tu dispositivo, y una pública, que se almacena en el servidor del proveedor del servicio.

Cuando un usuario desea iniciar sesión, el sistema solicita al dispositivo que firme un mensaje con la clave privada. El servidor valida esa firma con la clave pública registrada, y así asegura que la identidad del usuario es auténtica. Todo este proceso se realiza de forma rápida, silenciosa y segura.

Las passkeys no pueden ser compartidas ni exportadas manualmente, y, al estar asociadas al propio dispositivo (como un móvil o un portátil), requieren algún método biométrico para ser usadas, como la huella dactilar, el reconocimiento facial o incluso un PIN seguro.

Cómo funcionan las passkeys paso a paso

1. Creación: Cuando creas una cuenta en un sitio compatible, tu dispositivo genera un par de claves: pública y privada. La clave privada queda protegida en el dispositivo y la clave pública se sube al servidor del servicio.
2. Inicio de sesión: En el momento de acceder, el servidor envía un desafío cifrado que solo puede ser firmado por la clave privada en tu dispositivo.
3. Validación: Mediante reconocimiento facial, huella o PIN, desbloqueas el acceso y el dispositivo firma el reto.
4. Autenticación segura: El servidor valida la respuesta usando la clave pública, y autoriza el acceso si coincide.

Todo este proceso ocurre sin revelar ningún dato sensible como contraseñas, y el sistema es resistente a ataques de ‘phishing’ o de tipo ‘man in the middle’. La clave privada nunca abandona el dispositivo y, además, cada clave está asociada a un único dominio para evitar que sea utilizada en un sitio distinto.

Diversos tipos de passkeys

Según el uso y el nivel de seguridad requerido, existen principalmente dos variantes:

Passkeys sincronizadas (multidispositivo)

Son ideales para el uso personal, ya que permiten que tu identidad se sincronice de forma cifrada entre distintos dispositivos conectados con tu cuenta en la nube (como Google, Apple o Microsoft).

Por ejemplo, si configuras una passkey en tu iPhone, esta se podrá usar también en tu iPad, Mac o Apple Watch sin tener que volver a crearla en cada uno. Lo mismo ocurre con los dispositivos Android o Windows si están vinculados a tu cuenta de Google o Microsoft.

Passkeys vinculadas a dispositivo

Conocidas también como claves ligadas al dispositivo, proporcionan un nivel aún mayor de seguridad. Su uso se orienta más al entorno empresarial, ya que una vez creada, la passkey no puede salir del terminal en el que se generó. Esto las convierte en infranqueables para usos externos, especialmente en entornos restringidos o regulados donde no es deseable permitir la sincronización en la nube.

Ventajas de las passkeys frente a contraseñas tradicionales

Las claves de acceso están revolucionando la autenticación digital por los múltiples beneficios que aportan:

• Seguridad resistente al phishing: No pueden ser utilizadas en sitios falsos y su clave privada nunca se transmite.
• Experiencia sin contraseñas: Olvidas para siempre las cadenas complejas; basta con autenticarte mediante biometría.
• Fluidez entre dispositivos: Las claves se sincronizan de una forma sencilla y segura gracias a servicios como iCloud o Google Password Manager.
• Privacidad garantizada: Tus huellas dactilares u otros datos biométricos nunca se comparten con los servicios.
• Autenticación multifactor integrada: Lo que tienes (dispositivo) y lo que eres (biometría) se combinan en un solo paso.

Limitaciones actuales y posibles inconvenientes

Como toda tecnología emergente, las passkeys todavía afrontan algunos desafíos:

• Compatibilidad: No todos los servicios las han implementado aún, aunque el número crece rápidamente.
• Recuperación complicada: Si pierdes acceso a todos tus dispositivos sincronizados, podrías tener dificultades para acceder hasta que restablezcas la cuenta.
• Dependencia del ecosistema: Si no usas plataformas de sincronización como Apple, Google o Microsoft, podrías tener una experiencia más limitada.
• Curva de aprendizaje: Algunos usuarios desconocen su funcionamiento y pueden verlas como algo complejo, aunque no lo son.

Estas limitaciones son principalmente temporales y están relacionadas con el grado de adopción. A medida que más servicios integren esta tecnología, los inconvenientes disminuirán y su uso se generalizará, como lo demuestra la adopción en plataformas como Moment 4.

Aplicaciones y servicios que ya usan passkeys

Grandes plataformas y aplicaciones ya han implementado passkeys en sus flujos de autenticación:

Google

Desde mayo de 2023, Google permite usar passkeys como método predeterminado para iniciar sesión en cuentas desde cualquier navegador. Se pueden configurar fácilmente a través del menú de “Cuenta de Google” accediendo a la pestaña de Seguridad.

Apple

Los dispositivos con iOS 16 o versiones posteriores, así como los Macs con macOS Ventura, ya ofrecen soporte total para passkeys a través de iCloud Keychain. Esto permite su uso fluido entre todos los dispositivos Apple conectados.

Microsoft

Windows 10 y 11 son compatibles mediante Windows Hello, que integra autenticación biométrica con claves de paso.

Navegadores compatibles

La compatibilidad con passkeys ya se ha integrado en:

• Google Chrome (versión 109 o superior)
• Safari (versión 16 o superior)
• Microsoft Edge
• Mozilla Firefox (soporte limitado)

Empresas que ya ofrecen soporte a passkeys

Entre los servicios más conocidos que ya permiten iniciar sesión usando passkeys encontramos:

• Comercio electrónico: Amazon, Best Buy, Walmart, Shopify, Kayak
• Finanzas: PayPal, Stripe, Coinbase, Robinhood, Affirm
• Redes sociales: X (Twitter), LinkedIn, TikTok, Snapchat
• Desarrollo: GitHub, Bitbucket, Docker Hub
• Otros: eBay, Uber, WhatsApp, DocuSign, Nintendo

Esta adopción masiva demuestra la confianza actual en el sistema y anticipa su expansión aún mayor.

Origen e historia de las passkeys

La historia moderna del uso de la biometría como autenticación comienza en el siglo XIX con Alphonse Bertillon, y evoluciona hacia la clave de acceso con la fundación de la Alianza FIDO (Fast IDentity Online) en 2012, una organización creada por PayPal y otras empresas con el objetivo de eliminar las contraseñas en favor de métodos más seguros y cómodos.

En 2013, Apple dio un gran impulso con el lanzamiento del Touch ID en el iPhone 5S, lo que facilitó la adopción de sensores biométricos en la vida cotidiana. En 2021, las principales empresas tecnológicas se unen en la implementación masiva de los estándares FIDO2 y WebAuthn.

Posteriormente, instituciones clave como el NIST estadounidense han respaldado oficialmente la adopción de las passkeys, especialmente en sectores críticos como banca o sanidad.

Implementación técnica para desarrolladores y empresas

Para quienes deseen integrar passkeys en sus propios sistemas, existen múltiples soluciones:

• Bibliotecas como WebAuthn4j o SimpleWebAuth facilitan la criptografía backend.
• Herramientas de Apple o Google para apps móviles permiten una implementación rápida con APIs oficiales.
• OwnID ofrece SDK y soluciones completas para integración rápida en webs y móviles.
• Proveedores con soporte FIDO2 como Auth0 permiten habilitar passkeys sin necesidad de desarrollar infraestructuras desde cero.

Esto reduce el coste y tiempo de desarrollo, mejorando la seguridad de cualquier servicio web o móvil.

Futuras innovaciones en el mundo de las passkeys

El futuro de las passkeys no se detiene en las huellas o el reconocimiento facial. Ya se están investigando formas de autenticación aún más personales, como:

• Ritmo cardíaco
• Ondas cerebrales
• Uso de ADN

Además, las tecnologías emergentes como el blockchain podrían introducir la identidad soberana, donde los usuarios son los únicos propietarios y gestores de sus datos de identidad, eliminando intermediarios.

También se plantea que las passkeys sean el estándar único de identidad digital, válido globalmente para múltiples servicios (banca, estado, compras, redes…), reemplazando contraseñas, tokens y certificados en un único formato descentralizado y seguro.

Las passkeys han llegado para quedarse. Con una tecnología más segura que las contraseñas y un uso más cómodo que cualquier sistema anterior, van camino de convertirse en una parte fundamental de nuestro día a día digital. La posibilidad de olvidarnos de las contraseñas, ganar en privacidad y reducir los riesgos cibernéticos es solo el principio de esta nueva etapa de seguridad.

Qué es Moment 4 en Windows 11 y todas sus novedades en detalle