Las passkeys están listas para el uso generalizado, pero la recuperación es ahora la parte difícil
Durante mucho tiempo, las passkeys parecieron una de esas ideas de seguridad en las que todos estaban de acuerdo en que eran mejores en teoría que en la práctica. Las contraseñas eran débiles, se necesitaba urgentemente una autenticación resistente al phishing, y el ecosistema FIDO parecía técnicamente sólido, pero la adopción aún se sentía desigual. Esa etapa está terminando. La pregunta central de implementación para 2026 ya no es si las passkeys están listas. Es si los productos y las empresas pueden manejar la recuperación lo suficientemente bien como para permitir que los usuarios dependan de ellas.
Ese es un cambio más importante de lo que parece. Los sistemas de seguridad se vuelven de uso generalizado solo cuando funcionan bajo estrés. Crear una passkey en un nuevo iPhone o laptop no es la verdadera prueba. La verdadera prueba es lo que sucede cuando el usuario pierde un dispositivo, cambia de plataforma, olvida en qué cuenta se inscribió o recurre al soporte al cliente en un momento de pánico. La recuperación es donde la autenticación fuerte a menudo vuelve a ser débil.
Por qué las passkeys finalmente tienen impulso
La tecnología base es mucho más sólida de lo que era incluso hace dos años. El soporte de plataformas es amplio. El soporte de navegadores es amplio. Los principales servicios para consumidores ahora ofrecen passkeys, y los equipos de identidad empresariales tienen opciones de proveedores más sólidas para implementarlas dentro de las pilas existentes. FIDO también ha realizado el arduo trabajo de estandarización necesario para que las passkeys se sientan menos como un complemento de nicho y más como un modelo de autenticación duradero.
El atractivo es obvio. Las passkeys reemplazan los secretos compartidos con criptografía de clave pública, lo que reduce drásticamente el riesgo de phishing, el relleno de credenciales y los problemas de reutilización de contraseñas. También pueden ser más rápidas y menos frustrantes para los usuarios comunes cuando se implementan de manera limpia. En seguridad, esa combinación es rara. Una mejor defensa suele venir envuelta en más fricción. Las passkeys prometen lo contrario, al menos en el camino feliz.
El camino feliz no es suficiente
El problema es que los sistemas de autenticación se juzgan por sus casos extremos. Una experiencia de inicio de sesión puede ser elegante el 95 por ciento del tiempo y aun así crear un riesgo grave si el 5 por ciento restante lleva a los usuarios a canales de respaldo débiles. Es exactamente por eso que el diseño de la recuperación ahora merece más atención que la inscripción de passkeys.
Si un producto dice que es sin contraseña pero permite que cualquiera recupere el acceso a través de un restablecimiento de correo electrónico endeble o un flujo de SMS mal protegido, es posible que simplemente haya movido la superficie de ataque en lugar de reducirla. Lo mismo ocurre con los scripts de recuperación del servicio de asistencia que pueden ser objeto de ingeniería social, o los pasos de verificación de identidad que son demasiado débiles para el valor de la cuenta que se protege. Los equipos de seguridad no pueden permitirse celebrar la adopción de passkeys mientras ignoran la calidad de la vía de escape.
La recuperación es un problema de diseño de producto tanto como un problema de seguridad
Lo que hace esto difícil es que la recuperación no se resuelve con una regla universal. Una aplicación de compras para consumidores, un portal de banca empresarial y un panel de control empresarial interno no necesitan el mismo modelo de recuperación. El diseño correcto depende del valor de la cuenta, la exposición regulatoria, la capacidad de soporte y la probabilidad de que los usuarios cambien o pierdan dispositivos.
Es por eso que muchos equipos de identidad se están moviendo hacia una recuperación por capas en lugar de un solo método de respaldo. Las passkeys sincronizadas ayudan mucho porque reducen el número de eventos de bloqueo reales en primer lugar. Los dispositivos secundarios importan. Los códigos de recuperación siguen siendo importantes en algunos contextos. Los flujos de 'identificador primero' (identifier-first flows) son cada vez más comunes porque permiten que un servicio determine si una passkey está disponible antes de obligar al usuario a seguir un camino confuso. Los entornos de mayor riesgo pueden añadir verificaciones de documentos, verificación de vivacidad o revisión humana. Ninguno de esos es elegante, pero la elegancia no es el único objetivo.
El ángulo empresarial es especialmente complicado
La adopción de passkeys empresariales debería seguir creciendo porque la economía es sólida. La autenticación resistente al phishing se está convirtiendo en un requisito base más realista. La sobrecarga del restablecimiento de contraseñas es costosa. La presión de cumplimiento sigue aumentando. Pero los entornos empresariales tienen una complicación que las aplicaciones de consumo no tienen: los empleados cambian constantemente de dispositivos, roles y dominios de control.
Una empresa puede estandarizar el uso de passkeys y aun así enfrentar problemas de recuperación desagradables cuando se reemplaza una laptop, un contratista se va, un teléfono se borra o un usuario inscribió una credencial en un dispositivo que la empresa ya no administra. Eso significa que los planes de implementación empresarial necesitan una mentalidad de ciclo de vida desde el primer día. El reemplazo de dispositivos, la recuperación de administradores, el acceso de emergencia (break-glass access) y la desaprovisionamiento deben diseñarse juntos. De lo contrario, la organización termina resolviendo cada excepción con improvisación insegura.
Por qué esto sigue siendo una buena noticia para la seguridad
Nada de esto debe interpretarse como una razón para ralentizar la implementación de passkeys. Es todo lo contrario. El hecho de que la conversación haya pasado de la validez criptográfica a la recuperación operativa es una señal de madurez. Las contraseñas acostumbraron a la industria a aceptar una seguridad deficiente en nombre de la conveniencia. Las passkeys crean la oportunidad de reconstruir ese compromiso sobre mejores cimientos.
Pero eso solo funciona si los equipos resisten la tentación de acoplar passkeys a un modelo de identidad antiguo sin revisar el flujo de trabajo circundante. La recuperación, el soporte, la portabilidad de dispositivos y la calidad de la inscripción necesitan un diseño de primera clase. Las mejoras de seguridad fallan con sorprendente frecuencia no porque la tecnología central sea débil, sino porque las decisiones de producto circundantes reintroducen silenciosamente el problema original.
Qué deben hacer los equipos ahora
El siguiente paso práctico es sencillo. Audite todo el ciclo de vida de inicio de sesión, no solo la pantalla principal de inicio de sesión. Mida cómo los usuarios recuperan el acceso. Pruebe los flujos de soporte contra escenarios de ingeniería social. Distinga las cuentas de bajo valor de las de alto valor. Decida si las passkeys sincronizadas, los códigos de recuperación, la reautenticación de dispositivos de confianza o las verificaciones de identidad más sólidas se ajustan a cada nivel de riesgo. Luego, elimine las rutas de respaldo que existen solo porque son familiares.
Ese último paso es incómodo, pero necesario. Cada sistema de autenticación eventualmente revela en qué confía realmente. Los sistemas de la era de las contraseñas decían que confiaban en la posesión de una bandeja de entrada de correo electrónico o un número de teléfono. Los sistemas modernos necesitan hacerlo mejor que eso.
Las passkeys finalmente están cerca de ser algo común, y eso es un verdadero hito de seguridad. El siguiente hito es asegurarse de que el camino de regreso a una cuenta sea digno de la puerta principal. Ahí es donde se libra ahora la batalla principal.