AIO APEX
Privacy & Data

Las Passkeys Reemplazan las Contraseñas en Apple, Google y Microsoft — Esto Es Lo Que Realmente Cambia para Ti

Compartir:
Las Passkeys Reemplazan las Contraseñas en Apple, Google y Microsoft — Esto Es Lo Que Realmente Cambia para Ti

En mayo de 2022, Apple, Google y Microsoft anunciaron conjuntamente un soporte ampliado para un estándar de autenticación sin contraseña basado en WebAuthn y FIDO2. Para 2024, Apple había migrado las cuentas de iCloud a passkeys por defecto, Google había inscrito más de 800 millones de cuentas de Google y Microsoft había comenzado a eliminar las contraseñas por completo de las cuentas de consumidores nuevas. A pesar de esta escala, la mayoría de los usuarios aún piensan que las passkeys son solo otra forma de autenticación de dos factores — no lo son. Las passkeys son un modelo de autenticación fundamentalmente diferente, y entender la mecánica explica por qué eliminan categorías enteras de ataques que las contraseñas no pueden.

La tesis central: las passkeys reemplazan el modelo de secreto compartido de las contraseñas con criptografía asimétrica. Cuando creas una passkey, tu dispositivo genera un par de claves — una clave privada almacenada en un enclave seguro de hardware en tu dispositivo, y una clave pública registrada con el servicio. Al iniciar sesión, el servicio envía un desafío criptográfico; tu dispositivo lo firma con la clave privada y devuelve la firma. El servidor verifica la firma contra tu clave pública. En ningún momento se transmite un secreto, y la clave privada nunca sale de tu hardware. Compara esto con la autenticación por contraseña, donde tu secreto — o un derivado de él — debe transmitirse al servidor en cada inicio de sesión.

WebAuthn Bajo el Capó

WebAuthn (API de Autenticación Web) es el estándar del W3C que los navegadores implementan para exponer la funcionalidad de passkey a los sitios web. La API se finalizó como Recomendación del W3C en marzo de 2019 (Nivel 1) y se actualizó en abril de 2021 (Nivel 2). Cuando un sitio llama a navigator.credentials.create(), el navegador delega en un autenticador — ya sea un autenticador de plataforma (el enclave seguro de tu dispositivo, como Apple Secure Enclave, Android StrongBox o el chip TPM de Windows Hello) o un autenticador itinerante (una clave de hardware como una YubiKey).

El autenticador genera un par de claves ES256 (ECDSA con curva P-256) o RS256 para esa parte confiadora específica — identificada por su dominio registrado (RP ID). La clave privada se sella dentro del elemento seguro, donde solo se puede usar después de la verificación local del usuario (biométrica o PIN). La clave pública y un ID de credencial se envían al servidor y se almacenan en su base de datos. Sin hash de contraseña, sin rondas de PBKDF2, sin factor de costo bcrypt — solo una clave pública que es matemáticamente inútil para un atacante sin la clave privada correspondiente.

El Paso de Atestación

Durante el registro, los autenticadores pueden producir opcionalmente una declaración de atestación — una declaración firmada criptográficamente de la marca, modelo y nivel de seguridad del dispositivo, firmada por una cadena de certificados con raíz en el Servicio de Metadatos de la FIDO Alliance (MDS). Esto permite que servicios de alta seguridad (bancos, gobiernos) verifiquen que están aceptando credenciales de un elemento seguro de hardware genuino, no de una emulación de software. Los servicios de consumo típicamente omiten la atestación y aceptan cualquier autenticador conforme.

La Resistencia al Phishing Es Estructural, No de Comportamiento

El phishing de contraseñas funciona porque los usuarios no pueden distinguir de manera confiable accounts.google.com de accounts.g00gle.com bajo presión de tiempo. Incluso las claves de hardware 2FA que implementan TOTP (contraseñas de un solo uso basadas en tiempo) son phishingeables — el atacante retransmite el OTP en tiempo real al sitio real. Las passkeys cierran esta superficie de ataque a nivel de protocolo.

La clave privada está vinculada al RP ID — el dominio registrado. Cuando comienza la ceremonia de aserción de WebAuthn, el navegador incluye el RP ID en los datos firmados. Si estás en un sitio de phishing en un dominio diferente, el RP ID en la aserción no coincidirá con el enlace de la credencial, y la autenticación falla. El atacante no puede redirigir la aserción al sitio real porque la firma no es transferible — se calculó con el origen del sitio de phishing incorporado. Esto no es un problema de educación del usuario con un sistema de passkey; es imposible por construcción.

El informe Passkey Central de la FIDO Alliance de 2023 documentó que las credenciales compatibles con CTAP2.1 (Protocolo de Autenticador a Cliente versión 2.1) son resistentes al phishing en tiempo real, a los ataques de adversario en el medio (AiTM) y al relleno de credenciales. Los ataques de proxy AiTM — que eluden con éxito SMS OTP y TOTP — no tienen un vector de ataque equivalente contra las firmas de aserción de WebAuthn.

Passkeys Sincronizadas: Comodidad vs. Seguridad Vinculada al Dispositivo

El modelo original de FIDO2 estaba vinculado al dispositivo: un autenticador de hardware mantenía una copia de la clave privada. Perder el dispositivo significaba perder la credencial. Esto era seguro pero creó problemas de usabilidad — era un obstáculo para la adopción masiva. La extensión de la FIDO Alliance de 2022 introdujo credenciales multi-dispositivo, conocidas coloquialmente como passkeys sincronizadas.

Con las passkeys sincronizadas, el material de la clave privada se cifra y se sincroniza entre tus dispositivos a través de la nube del proveedor de la plataforma. Apple sincroniza a través de iCloud Keychain usando cifrado de extremo a extremo con claves derivadas de tu código de acceso del dispositivo. Google sincroniza a través de Google Password Manager, también cifrado de extremo a extremo. Microsoft sincroniza a través de Windows Hello y, a partir de 2024, admite la sincronización entre dispositivos a través de la aplicación Microsoft Authenticator.

Esto crea un equilibrio que los equipos de seguridad debaten activamente. Las passkeys sincronizadas son dramáticamente más seguras que las contraseñas — aún no pueden ser phishingeadas, y ninguna violación del servidor las expone — pero el modelo de amenaza cambia de comprometer el dispositivo a comprometer la cuenta en la nube más el PIN/biométrico del dispositivo. Para la mayoría de los usuarios, esta es una compensación aceptable; su cuenta de Google o Apple ya protege datos mucho más sensibles. Para objetivos de alto valor (periodistas, ejecutivos, activistas), las passkeys vinculadas al dispositivo en una clave de hardware FIDO2 dedicada (serie YubiKey 5, desde 50 USD, o clave Google Titan a 30 USD) siguen siendo la opción más fuerte.

Autenticación Entre Dispositivos

Cuando intentas iniciar sesión en un sitio en un navegador de escritorio pero tu passkey está almacenada en tu teléfono, WebAuthn admite un flujo de autenticación entre dispositivos utilizando el transporte híbrido CTAP2. El navegador de escritorio muestra un código QR; tu teléfono lo escanea y establece un canal BLE (Bluetooth de Baja Energía) cifrado. El teléfono firma la aserción localmente (después de la verificación biométrica) y transmite la firma de vuelta a través del canal cifrado. Tu clave privada nunca cruza el enlace BLE — solo la respuesta al desafío firmada lo hace. Esto requiere que Bluetooth esté habilitado en ambos dispositivos, lo cual es un pequeño punto de fricción.

Qué Sucede con las Violaciones de Servidores

La filtración RockYou2024 de 2024 compiló 9.9 mil millones de contraseñas en texto plano de filtraciones anteriores. Las bases de datos de contraseñas son valiosas para los atacantes precisamente porque las contraseñas se reutilizan — el 65% de los usuarios reutilizan la misma contraseña en múltiples sitios según el Informe de Google Password Manager de 2023. Con las passkeys, no hay contraseña en la base de datos para robar. El servidor almacena solo tu clave pública. Incluso si un atacante exfiltra toda la base de datos de passkeys, tienen una colección de claves públicas — matemáticamente equivalente a una lista de candados sin llaves. No pueden autenticarse como tú, no pueden descifrar las claves sin conexión, y no pueden usarlas para atacar otros servicios.

Servicios que Siguen Atascados en Contraseñas

A mediados de 2025, el soporte de passkey es amplio pero desigual. GitHub añadió soporte de passkey en julio de 2023. Shopify lo habilitó a principios de 2024. Los rezagados notables incluyen muchos portales bancarios (particularmente cooperativas de crédito y bancos regionales), servicios gubernamentales, VPNs empresariales y cualquier servicio que no haya actualizado su pila de autenticación desde 2020. Las aplicaciones heredadas de Java EE y PHP a menudo utilizan bibliotecas de autenticación que no han integrado componentes del lado del servidor de FIDO2 (como java-webauthn-server de Yubico o php-webauthn de lbuchs).

Para servicios que aún requieren contraseñas, el enfoque práctico es un gestor de contraseñas con credenciales aleatorias fuertes — Bitwarden (código abierto, nivel gratuito), 1Password (2.99 USD al mes) o el llavero de la plataforma. Esto no es equivalente a la seguridad de passkey — tu bóveda del gestor de contraseñas está cifrada con una contraseña maestra que podría ser phishingeada — pero elimina la reutilización de credenciales, que es el vector de ataque más común.

Pasos Accionables

  • Audita el soporte de passkey ahora: Revisa passkeys.directory (un registro mantenido por la comunidad) para ver qué servicios que usas ya admiten passkeys. Habilítalas en Google, Apple ID, Microsoft, GitHub y cualquier otro servicio listado.
  • Comprende tu modelo de sincronización: Si usas dispositivos Apple, tus passkeys se sincronizan a través de iCloud Keychain por defecto. Si usas Android, se sincronizan a través de Google Password Manager. También puedes guardar passkeys en 1Password o Bitwarden si prefieres un almacenamiento neutral al proveedor — ambos añadieron soporte de passkey en 2023.
  • Las cuentas de alta seguridad obtienen claves de hardware: Para tu correo electrónico principal, registrador de dominio y cuentas financieras, combina la configuración de passkey con una clave de hardware FIDO2 de respaldo. Registra dos claves para tener un repuesto. La YubiKey 5C NFC (55 USD) cubre USB-C y NFC, manejando casi todos los dispositivos.
  • No borres tu TOTP antiguo todavía: Cuando agregues una passkey, conserva tu autenticador TOTP existente o respaldo por SMS para la recuperación del servicio. Elimina la contraseña (donde el servicio lo permita) una vez que hayas confirmado que la passkey funciona en todos tus dispositivos.
  • Los servicios heredados obtienen contraseñas únicas: Para cualquier servicio sin soporte de passkey, genera una contraseña aleatoria única en tu gestor de contraseñas. No esperes a que el servicio se ponga al día antes de mejorar tu postura de seguridad hoy.

Las passkeys no son una tecnología futura — están desplegadas a escala ahora. La brecha entre los servicios que las respaldan y los usuarios que las han adoptado es un problema de concienciación del usuario, no técnico. Cada passkey que creas elimina una credencial que puede ser phishingeada, violada o adivinada. Comienza con las cuentas que más importan.

passkeysauthenticationprivacyWebAuthnpassword-security
Compartir:
Las Passkeys Reemplazan las Contraseñas en Apple, Google y Microsoft — Esto Es Lo Que Realmente Cambia para Ti | AIO APEX