Las contraseñas tradicionales ya no bastan para proteger nuestras cuentas. A diario vemos filtraciones de datos, ataques de phishing y robo de credenciales a través de malware. Incluso usando autenticación en dos pasos, los usuarios pueden caer en trampas al ingresar sus datos en sitios falsos.
Por eso surgen las Passkeys, un nuevo estándar basado en criptografía que brinda una protección mucho más robusta. Este artículo explica cómo funcionan desde la perspectiva del usuario y por qué podrían marcar el fin de las contraseñas.
¿Qué son las Passkeys?
Las Passkeys se basan en criptografía de clave pública y privada. Al crear una passkey en un sitio web, se generan dos claves. La clave privada se almacena cifrada en el dispositivo del usuario (ordenador, móvil, etc.), mientras que la clave pública se guarda en el servidor web.
En la siguiente tabla se mencionan algunas de las diferencias entre Passkeys y contraseñas clásicas.
Característica
Passkeys
Contraseñas
Almacenamiento
Clave privada en el dispositivo del usuario
En el servidor (con hash)
Creación
Generadas automáticamente
Creadas por el usuario
Seguridad
Muy alta (resistencia al phishing, fuerza bruta,fugas, etc)
Dependiente de la complejidad, uso de 2fa y protecciones del lado del servidor
Facilidad de uso
Alta
Dependiente de la complejidad
Protección contra robo
Alta
Baja
Cómo funcionan las Passkeys
Creación de una Passkey
Crear una passkey es un proceso sencillo que suele encontrarse en el mismo lugar donde se modifican las contraseñas. El nombre puede variar según la plataforma; por ejemplo, Google lo denomina “llaves de acceso” y Microsoft “clave de paso”.
Tras ubicar la opción, se genera la passkey y se elige dónde guardar la clave privada: navegador, gestor de contraseñas o dispositivo móvil.
(Acceso libre, no requiere suscripción)
Si se utiliza el mismo gestor de contraseñas en diversos dispositivos, la clave privada se sincronizará automáticamente, permitiendo el acceso al sitio web desde cualquiera de ellos.
A continuación se muestra un ejemplo de cómo agregar una Passkey en Google guardada en un teléfono móvil:
Durante este proceso se crearon el par de llaves quedando la llave privada del lado del cliente y la pública del lado del servidor web.
Si se utiliza el mismo gestor de contraseñas en diversos dispositivos, la clave privada se sincronizará automáticamente, permitiendo el acceso al sitio web desde cualquiera de ellos.
A continuación se muestra un ejemplo de cómo agregar una Passkey en Google guardada en un teléfono móvil:
Durante este proceso se crearon el par de llaves quedando la llave privada del lado del cliente y la pública del lado del servidor web.
Acceso al sitio web utilizando Passkey
Identificá la opción de Passkey en el sitio web:
Puede aparecer como “Passkey” o “Llave de acceso”, según la traducción.
Algunos sitios la ofrecen directamente, en otros hay que seleccionarla manualmente.
Ingresá tu nombre de usuario.
Elegí dónde está guardada tu clave privada: Puede estar en tu celular, computadora, una llave de seguridad o en la nube.
Confirmá tu identidad usando el método de desbloqueo de tu dispositivo:
Huella digital
Reconocimiento facial
PIN u otro método configurado
Listo. Vas a acceder al sitio sin tener que escribir ni compartir una contraseña
Ejemplos de accesos utilizando Passkeys en Amazon y en Google:
Es importante configurar múltiples Passkeys para una misma página web, especialmente si se usan diferentes dispositivos con gestores de contraseñas separados. Esto es recomendable para evitar la pérdida de acceso al sitio web en caso de problemas con el dispositivo que almacena la clave privada. Se aconseja tener varias Passkeys.
Características de las Passkeys
A diferencia de las contraseñas tradicionales, están basadas en criptografía de clave pública. Esto es lo que las hace resistentes a
Phishing. El usuario nunca intercambia contraseñas con el servidor web.
Ataques de fuerza bruta. No tienen sentido estos ataques con este tipo de criptografía.
Fuga de credenciales. Si el servidor es comprometido, la filtración de las claves públicas guardadas no implicaría ningún peligro, dado que la clave privada permanece protegida en el dispositivo del usuario.
Robo de credenciales mediante malware como info-stealers.
Además, eliminan la necesidad de recordar múltiples contraseñas complejas, lo que facilita su uso. Gracias a su diseño, permiten un acceso rápido y sencillo desde distintos dispositivos, manteniendo la seguridad sin sacrificar la comodidad.
Implementación y adopción de Passkeys
Puede encontrarse una lista de sitios web que soportan esta tecnología aquí:
Mayor seguridad: Eliminan el riesgo de contraseñas robadas o filtradas. Protección contra Info-stealers y Data Breaches.
Compatibilidad limitada: No todos los servicios soportan Passkeys.
Autenticación simple y rápida: Generalmente basta con una huella, rostro o PIN.
Dependencia del ecosistema: Las Passkeys no se comparten entre distintas tecnologías (Apple, Google, Microsoft, etc.).
Resistencia al phishing: No se pueden reutilizar ni enviar a sitios maliciosos.
Dificultad en dispositivos compartidos: Puede ser complicado usarlas en equipos que no son propios.
Sin necesidad de recordar contraseñas: Se gestionan de forma automática.
Curva de aprendizaje: Requiere que los usuarios entiendan un modelo nuevo.
Sincronización en la nube: Puedes usarlas en varios dispositivos (según la plataforma).
Conclusión
Las Passkeys representan una evolución en la forma en que accedemos a nuestros servicios digitales. Al eliminar las contraseñas y aprovechar la criptografía, brindan seguridad y simplicidad al mismo tiempo. En futuros artículos explicaremos cómo implementar esta tecnología en nuestras aplicaciones y cómo acompañar a los usuarios en su adopción.
