Passkey: el adiós a las contraseñas tradicionales y cómo protegerte

Las passkey o claves de acceso están revolucionando la forma en que nos autenticamos en el mundo digital. Se perfilan como el reemplazo definitivo de las contraseñas, un sistema que, a pesar de su popularidad, ha sido criticado por sus múltiples fallos de seguridad y su carácter obsoleto.

Actualmente, las compañías tecnológicas más grandes del planeta ya han comenzado a adoptar esta nueva arquitectura. Los especialistas la consideran una de las transformaciones más significativas en seguridad digital de los últimos años.

¿Por qué las passkey podrían reemplazar a las contraseñas?

Desde su creación en 1961 por el MIT, las contraseñas han sido el pilar de la seguridad informática. Sin embargo, después de más de sesenta años de uso masivo, sus puntos débiles se han vuelto evidentes. El Informe de Violaciones de Datos de Verizon 2024 revela que más del 80 % de los incidentes confirmados involucran credenciales comprometidas, ya sea por contraseñas débiles, reutilizadas o robadas mediante técnicas de phishing.

Las claves de acceso surgen como una solución de fondo. A diferencia de los intentos anteriores —como los gestores de contraseñas o la autenticación de dos factores—, no son un simple parche sobre el viejo sistema, sino una alternativa completamente nueva basada en criptografía de clave pública, estandarizada bajo WebAuthn y promovida por la Alianza FIDO.

Las claves de acceso se basan en criptografía de clave pública bajo WebAuthn y la Alianza FIDO, en lugar de mantener el modelo tradicional de contraseñas. (Imagen Ilustrativa Infobae)

Diferencias técnicas y ventajas frente a las contraseñas

La diferencia principal radica en el modelo de seguridad. Mientras que una contraseña es un secreto compartido que debe ser recordado, almacenado y enviado al servidor, una clave de acceso funciona con un par de llaves criptográficas: una pública, que se guarda en el servidor, y una privada, que nunca sale del dispositivo del usuario.

Este sistema, protegido por módulos de seguridad de hardware como el Secure Enclave de Apple o TPM en PC, hace que el phishing resulte prácticamente ineficaz. Incluso si un atacante intercepta el tráfico, no puede reutilizar las credenciales, ni el servidor almacena secretos útiles en caso de una brecha.

En cuanto a la experiencia del usuario, las claves de acceso eliminan la necesidad de memorizar cadenas complejas o gestionar listas interminables de contraseñas. La autenticación se realiza mediante mecanismos integrados en los dispositivos modernos, como reconocimiento facial, huellas dactilares o PIN, lo que combina seguridad robusta y simplicidad de uso.

Cómo se utilizan las claves de acceso

El proceso es sencillo para el usuario. Al registrarse en un servicio compatible, el dispositivo genera el par de claves y almacena la privada en su espacio seguro. Para iniciar sesión, basta con una verificación biométrica o PIN. El servidor envía un desafío y el dispositivo responde con la firma digital correspondiente; el acceso se concede solo si ambas claves coinciden.

La autenticación con claves de acceso se realiza con reconocimiento facial, huella dactilar o PIN, sin necesidad de memorizar contraseñas. (Imagen Ilustrativa Infobae)

Esta tecnología ya es compatible con iOS, Android, Windows y la mayoría de navegadores actuales. Las principales empresas —Apple, Google y Microsoft— han integrado el soporte en sus sistemas, y gigantes como Amazon, PayPal y WhatsApp también la utilizan. Google, por ejemplo, hizo de las claves de acceso el método predeterminado de inicio de sesión para nuevas cuentas en 2024, estableciendo un precedente para el resto de la industria.

Uno de los retos iniciales fue la vinculación de las credenciales a un solo dispositivo. La industria lo resolvió mediante la sincronización cifrada en la nube a través de servicios como iCloud Keychain o el Administrador de contraseñas de Google.

Sin embargo, esto introduce una nueva dependencia: la seguridad del proveedor de identidad centralizado. Si la cuenta principal es comprometida, todas las credenciales sincronizadas podrían quedar expuestas, aunque los proveedores afirman que la protección es mucho mayor comparada con los sistemas de contraseñas tradicionales.

La interoperabilidad entre plataformas aún plantea desafíos. Por ejemplo, una clave generada en un iPhone puede no funcionar de manera transparente en un PC con Windows, y los métodos de autenticación multiplataforma como códigos QR o Bluetooth todavía resultan poco familiares para muchos usuarios.

La sincronización cifrada en la nube resolvió el uso de claves de acceso en varios dispositivos, aunque aumentó la dependencia de proveedores de identidad centralizados.(Imagen Ilustrativa Infobae)

La recuperación de cuentas también representa una asignatura pendiente: a diferencia del clásico “olvidé mi contraseña”, los mecanismos actuales requieren métodos más sofisticados, como dispositivos de confianza o verificación de identidad por parte del proveedor, lo que podría ser una barrera para usuarios menos expertos.

En el sector empresarial, la migración es más lenta debido a la persistencia de sistemas heredados y la complejidad de los entornos informáticos. Solo el 22% de las grandes empresas en Norteamérica y Europa Occidental había adoptado claves de acceso como método principal para 2025, aunque los primeros casos muestran mejoras notables en seguridad y eficiencia.

Fuente: Infobae

COMPARTIR ESTA NOTICIA

Facebook
Twitter

FACEBOOK