AIO APEX
Software & Apps

Las passkeys están reemplazando las contraseñas — Aquí está la situación real

Compartir:
Las passkeys están reemplazando las contraseñas — Aquí está la situación real

Cómo funcionan las passkeys

Una passkey es una credencial criptográfica basada en los estándares WebAuthn / FIDO2. Al registrarte, tu dispositivo genera un par de claves pública-privada. La clave privada nunca sale de tu dispositivo; el servidor solo almacena la clave pública. Cuando te autenticas, el dispositivo firma un desafío con la clave privada y el servidor verifica la firma con la clave pública.

Debido a que la credencial está vinculada al origen — criptográficamente atada a un dominio específico — un sitio de phishing nunca puede robar una passkey. Incluso si un atacante te engaña para que visites paypa1.com, la passkey de paypal.com simplemente no funcionará allí. Esta inmunidad al phishing es el mayor avance de seguridad que ofrecen las passkeys sobre las contraseñas o los SMS OTP.

Números de adopción

Google informó haber superado 800 millones de autenticaciones con passkey por mes a finales de 2025, en más de 400 millones de cuentas. La lista de servicios compatibles de la FIDO Alliance ha superado las 300 plataformas importantes. Microsoft informa que más del 99% de sus inicios de sesión de consumidores ahora son sin contraseña (una categoría más amplia que incluye passkeys y Windows Hello).

Qué servicios admiten passkeys

  • Google — las passkeys son el inicio de sesión predeterminado para cuentas personales
  • Apple — compatible con todos los inicios de sesión de Apple ID; iCloud Keychain sincroniza entre dispositivos
  • Microsoft — Windows Hello y la aplicación Authenticator en cuentas personales y administradas por Entra
  • GitHub — passkeys disponibles para todos los tipos de cuenta desde 2023
  • PayPal — passkeys en EE. UU. y expandiéndose globalmente
  • eBay — soporte de passkey implementado en 2024
  • Shopify — flujos de passkey para comerciantes y compradores activos
  • WhatsApp — passkeys en Android y iOS

Sincronización entre dispositivos

Las passkeys son más convenientes cuando se sincronizan entre tus dispositivos. Tres ecosistemas principales manejan esto hoy:

  • Apple Keychain — las passkeys se sincronizan con cifrado de extremo a extremo entre iPhone, iPad y Mac a través de iCloud
  • Google Password Manager — las passkeys se sincronizan entre Android y Chrome en cualquier sistema operativo
  • 1Password & Dashlane — administradores de terceros que funcionan en múltiples plataformas y permiten a los equipos empresariales compartir passkeys

Fricción entre plataformas

El borde más áspero en 2026 es la autenticación entre ecosistemas. Si tu passkey está en Apple Keychain y necesitas iniciar sesión en una PC con Windows, debes usar el flujo híbrido de código QR + Bluetooth: la PC muestra un código QR, lo escaneas con tu iPhone y la proximidad Bluetooth confirma que estás físicamente presente. Funciona, pero es lo suficientemente molesto como para que muchos usuarios abandonen y recurran a una contraseña.

El progreso está llegando. El Protocolo de Intercambio de Credenciales (CXP) de la FIDO Alliance, finalizado en 2025, permite a los usuarios exportar passkeys de un administrador e importarlas a otro, terminando con el bloqueo del proveedor una vez que los administradores implementen la función.

Empresas: Okta y Microsoft Entra

Las empresas están adoptando passkeys a través de proveedores de identidad. Okta admite passkeys FIDO2 en su Workforce Identity Cloud, y la MFA resistente al phishing es ahora un requisito de cumplimiento para contratistas federales de EE. UU. Microsoft Entra (anteriormente Azure AD) admite claves de seguridad de hardware y passkeys vinculadas al dispositivo a través de Windows Hello for Business, con passkeys sincronizadas en la hoja de ruta.

Pérdida y recuperación del dispositivo

La pregunta de usabilidad más importante: ¿qué pasa si pierdes tu teléfono? Debido a que las passkeys sincronizadas existen en la nube (cifradas), recuperarlas está vinculado a tu flujo de recuperación de cuenta en la nube: contactos de recuperación de Apple ID, correo electrónico/teléfono de recuperación de cuenta de Google. Para passkeys vinculadas al dispositivo (como una clave de hardware FIDO2), debes registrar al menos dos claves y almacenar una fuera del sitio. La mayoría de los servicios también mantienen un código de recuperación de respaldo o un flujo de correo electrónico, aunque estos reintroducen superficie de phishing.

Por qué persiste el SMS OTP

A pesar de las ventajas de las passkeys, el SMS OTP sigue siendo generalizado porque no requiere configuración del lado del cliente, funciona en cualquier teléfono y es familiar para miles de millones de usuarios. Los ataques de SIM-swapping son reales pero raros en comparación con el relleno de credenciales. Las industrias reguladas (banca, atención médica) también enfrentan requisitos de cumplimiento escritos en torno a OTP. Se espera que el SMS OTP se desvanezca lentamente en los próximos cinco años a medida que la experiencia de usuario de las passkeys madure, no desaparezca de la noche a la mañana.

Descripción general de la API WebAuthn para desarrolladores

Agregar soporte de passkey requiere dos flujos: registro y autenticación.

Registro:

const credential = await navigator.credentials.create({
  publicKey: {
    challenge: serverChallenge,
    rp: { name: "My App", id: "myapp.com" },
    user: { id: userId, name: userEmail, displayName: userName },
    pubKeyCredParams: [{ type: "public-key", alg: -7 }],
    authenticatorSelection: { residentKey: "required" }
  }
});

Autenticación:

const assertion = await navigator.credentials.get({
  publicKey: { challenge: serverChallenge, rpId: "myapp.com" }
});

Del lado del servidor, bibliotecas como SimpleWebAuthn (Node.js), py_webauthn (Python) y webauthn4j (Java) manejan la verificación criptográfica. Las passkeys que usan residentKey: required se almacenan en el autenticador y permiten un inicio de sesión completamente sin contraseña y sin nombre de usuario.

Conclusiones prácticas

  • Usuarios: Habilita passkeys en Google, Apple ID y GitHub hoy. Usa 1Password o Dashlane si deseas flexibilidad multiplataforma.
  • Desarrolladores: Agrega registro WebAuthn junto con tu inicio de sesión existente. La API del navegador es estable; usa una biblioteca del servidor. Soporta tanto credenciales sincronizadas como vinculadas al dispositivo.
  • Empresas: Exige MFA resistente al phishing (passkey o clave de hardware) para el acceso privilegiado. Okta y Entra ya lo soportan.
  • Todos: Mantén un método de recuperación de respaldo. Las passkeys no son una razón para omitir la configuración de recuperación de cuenta.

La era de las contraseñas no ha terminado — 300 plataformas de millones significa que la mayoría de los cuadros de inicio de sesión aún esperan una cadena de caracteres. Pero la infraestructura está en su lugar, la experiencia de usuario está mejorando y el caso de seguridad es abrumador. La pregunta ya no es si las passkeys reemplazarán las contraseñas, sino qué tan rápido.

passkeysauthenticationsecurityFIDO2WebAuthnpasswords
Compartir:
Las passkeys están reemplazando las contraseñas — Aquí está la situación real | AIO APEX