Passkeys y autenticación sin contraseña
Las contraseñas son el eslabón más débil en la mayoría de las configuraciones de seguridad — no porque la tecnología sea defectuosa, sino porque las personas las reutilizan, las olvidan y las escriben en páginas de phishing. El Informe de Investigaciones de Brechas de Datos de Verizon de 2025 encontró que las credenciales robadas estaban involucradas en la mayoría de los ataques a aplicaciones web. Ese número apenas ha cambiado en años.
Qué es un passkey
Un passkey es una credencial almacenada en su dispositivo — no una contraseña que escribe, sino un par de claves criptográficas generado al registrarse. Una clave permanece en su dispositivo (privada), la otra va al servidor (pública). Cuando inicia sesión, el servidor envía un desafío, su dispositivo lo firma con la clave privada y el servidor verifica la firma con la clave pública. Acceso concedido.
La clave privada nunca sale de su dispositivo. Está protegida por la autenticación que use su dispositivo — biometría, PIN o una llave de seguridad de hardware. El servidor nunca la ve, por lo que no hay nada que robar del lado del servidor.
Este es el estándar WebAuthn, desarrollado por el W3C y la FIDO Alliance. Es la misma tecnología detrás de los passkeys en las cuentas de Google, Apple y Microsoft.
Métodos de autenticación compatibles
Los passkeys funcionan con cualquier autenticador compatible con WebAuthn:
| Método de autenticación | Ejemplos | Dónde reside la clave |
|---|---|---|
| Biometría del dispositivo | Face ID, Touch ID, Windows Hello, huella dactilar en Android | Secure Enclave / chip TPM |
| Llave de seguridad física | YubiKey, Google Titan Key, cualquier llave FIDO2 | La propia llave |
| PIN del dispositivo | PIN de Windows, código de acceso de iPhone | Almacenamiento seguro del dispositivo |
Todos estos funcionan como método de inicio de sesión principal (reemplazando su contraseña) o como segundo factor además de una contraseña.
Dos formas de usar passkeys
Opción 1: Inicio de sesión sin contraseña
Reemplaza su contraseña por un passkey. Cuando abre una aplicación o servicio, se autentica con su huella dactilar, cara o llave de seguridad — sin campo de contraseña, sin escribir nada.
Esta es la opción de mayor seguridad. Una contraseña que no existe no puede ser objeto de phishing, adivinada ni filtrada en una brecha. Adecuada para:
- Equipos donde el phishing es una amenaza realista
- Entornos donde la reutilización de contraseñas es difícil de controlar
- Organizaciones que quieren reducir la carga de soporte de TI por restablecimientos de contraseña
Opción 2: Passkey como segundo factor
Mantiene su contraseña y añade un passkey como paso de autenticación adicional. En lugar de introducir un código TOTP de 6 dígitos desde una aplicación autenticadora, confirma el inicio de sesión con biometría o una llave de seguridad.
Adecuado para:
- Equipos que quieren mejorar su segundo factor sin cambiar los hábitos de inicio de sesión
- Despliegue gradual — empiece con 2FA, pase a sin contraseña más adelante
Por qué los passkeys son más seguros que TOTP
Los códigos TOTP tienen una debilidad conocida: phishing en tiempo real. Un atacante configura una página de inicio de sesión falsa, captura su nombre de usuario, contraseña y código TOTP mientras los escribe, y los reproduce inmediatamente en el sitio real. La ventana de 30 segundos es suficiente.
Los passkeys no tienen este problema. El desafío criptográfico está ligado al dominio exacto del sitio. Si está en un dominio falso — incluso uno que parece idéntico — el dispositivo no usará el passkey. No hay código que interceptar, ni forma de reproducir la autenticación.
| Propiedad de seguridad | TOTP | Passkey |
|---|---|---|
| Resistente al phishing | No | Sí |
| Requiere escribir | Sí (código de 6 dígitos) | No |
| Puede ser interceptado en tránsito | Sí | No |
| Vinculado a un dominio específico | No | Sí |
| Almacenado en el servidor | Hash del secreto | Solo la clave pública |
NIST SP 800-63B (revisión de 2024) exige explícitamente que las implementaciones de MFA ofrezcan al menos una opción resistente al phishing. Los passkeys cumplen este requisito. El OTP por SMS no.
Implementación de passkeys en su organización
Empezar con un grupo piloto
Elija un equipo pequeño — idealmente uno cómodo con nuevas herramientas — y haga que cambien primero. Recopile comentarios antes de un despliegue más amplio.
Decidir el modelo
Dos opciones:
- Sin contraseña — el passkey reemplaza la contraseña por completo. Mayor seguridad, mayor cambio para los usuarios.
- Passkey como 2FA — el passkey se añade sobre la contraseña. Menor riesgo en el despliegue, más fácil de comunicar.
Para la mayoría de las organizaciones, empezar con passkey como 2FA es el primer paso correcto.
Planificar para dispositivos perdidos
Defina el proceso antes de que alguien pierda su teléfono. Opciones:
- Passkey de respaldo en una llave de seguridad física
- Código de recuperación almacenado en el gestor de contraseñas de la empresa
- Procedimiento de restablecimiento por administrador
Documéntelo y asegúrese de que los usuarios lo sepan antes del despliegue, no después del primer incidente.
Usar llaves de hardware para cuentas con privilegios elevados
Para los administradores y usuarios con acceso a sistemas sensibles, una llave de seguridad de hardware (YubiKey o similar) proporciona una capa adicional de garantía. A diferencia de la biometría del dispositivo, una llave física puede asegurarse físicamente y su uso puede auditarse por separado.
Registre siempre al menos dos passkeys por cuenta — uno para el dispositivo principal, uno de respaldo. Si pierde un dispositivo, no quedará bloqueado.
Comunicar el cambio
Los usuarios que nunca han usado autenticación biométrica para una herramienta de trabajo pueden no entender qué está pasando. Una guía interna breve — qué cambió, cómo configurarlo, qué hacer si algo sale mal — previene la mayoría de los tickets de soporte.
Preguntas frecuentes
¿Puedo usar un passkey en varios dispositivos?
Sí. Registra passkeys separados para cada dispositivo — su portátil, teléfono, una llave de hardware. Cada uno es independiente. Eliminar uno no afecta a los demás.
¿Qué pasa si pierdo mi dispositivo?
Si tiene un passkey de respaldo en otro dispositivo o llave de hardware, inicia sesión con ese. Si no, un administrador puede restablecer su autenticación. Por eso registrar un respaldo es obligatorio, no opcional.
¿Se envían los datos biométricos al servidor?
No. Los datos biométricos nunca salen de su dispositivo. El dispositivo usa la biometría para desbloquear la clave privada localmente y luego envía solo la firma criptográfica al servidor. Su huella dactilar o escaneo facial nunca se transmiten.
¿Puedo seguir usando una contraseña después de configurar un passkey?
Por defecto, sí — a menos que un administrador haya deshabilitado el inicio de sesión basado en contraseña. Ambos métodos pueden coexistir durante un período de transición.
Passkeys en Passwork
Si usa Passwork como su gestor de contraseñas, la compatibilidad con passkeys está integrada. Puede iniciar sesión en Passwork usando Face ID, Touch ID, Windows Hello o una llave de seguridad física — ya sea como su método de inicio de sesión principal (reemplazando completamente la contraseña maestra) o como segundo factor además de ella.
Passwork también admite 2FA estándar basado en TOTP mediante la aplicación Passwork 2FA.
Todos los métodos de autenticación se gestionan desde una única página en la configuración de su cuenta. Documentación completa: Métodos de inicio de sesión.
El panorama general
Los passkeys se están convirtiendo en el método de autenticación predeterminado en toda la industria. Apple, Google y Microsoft se han comprometido con el estándar. GitHub, Shopify, PayPal y otros ya lo han implementado. La infraestructura está ahí; la adopción se está acelerando.
Para las empresas pequeñas, esto importa porque la superficie de ataque cambia drásticamente. Las campañas de phishing que recopilan credenciales — la mayoría de los ataques contra pequeñas empresas — dejan de funcionar cuando no hay contraseñas que recopilar.
Tarda unos minutos en configurarse. La mejora de seguridad es permanente.
Qué sigue
La autenticación está resuelta. A continuación: directorio de usuarios y SSO — centralizar el acceso para que añadir y eliminar personas de todos sus sistemas sea una acción, no veinte.