¿Son realmente las Passkeys más seguras que las contraseñas? ¿Cómo implementarlas?

¿Son realmente las Passkeys más seguras que las contraseñas? ¿Cómo implementarlas?

Con más de 6 millones de nombres de usuarios y contraseñas únicos disponibles en la Dark Web, y con la mayoría de los usuarios utilizando las mismas contraseñas en todas las plataformas, Passkeys ha surgido como una solución revolucionaria, ofreciendo un método más seguro y racionalizado para la autenticación.

Todos, en algún momento, hemos sido víctimas del tedioso proceso de recordar una contraseña. Años de recomendaciones sobre complejidad, longitud, uso de mayúsculas, símbolos y números, y aún así seguimos lidiando con el clásico mensaje de “contraseña incorrecta” pese a estar seguros de haberla escrito bien. Esto nos genera malestar y un sentimiento de perdida de tiempo productivo incalculable. Algo tenía que cambiar.

¿Qué son las passkeys?

Una llave de acceso (passkey en ingles) es una credencial digital utilizada como método de autentificación para un sitio web o una aplicación. Es un tipo de autentificación sin contraseña promovido por el W3C y la Alianza FIDO.

Las passkeys son habitualmente almacenadas por el sistema operativo o el navegador web y sincronizadas entre dispositivos pertenecientes al mismo ecosistema mediante la nube.

En lugar de una contraseña que tú recuerdas y escribes, las passkeys funcionan mediante:

  • Una clave pública almacenada en el servidor (como un identificador).

  • Una clave privada guardada de forma segura en tu dispositivo (por ejemplo, en el llavero de iCloud o el módulo TPM de Android/Windows).

Ventajas de las passkeys: 

  1. Antiphishing por diseño: no puedes ingresar tu passkey en un sitio falso, ya que el navegador o sistema operativo solo la ofrece al dominio correcto.

  2. Autenticación más rápida y sencilla: permiten iniciar sesión con datos biométricos (huella dactilar, reconocimiento facial) o un PIN, lo que elimina la necesidad de recordar contraseñas y agiliza el proceso de inicio de sesión. 

  3. Uso multiplataforma: funciona en diferentes dispositivos y sistemas operativos.

  4. Privacidad: No se pueden reutilizar ni compartir. Cada passkey es única para cada servicio.

  5. Almacenamiento seguro: en hardware seguro del dispositivo o en la nube cifrada.

¿Hay alguna desventaja? 

  • Compatibilidad: aún no todos los sitios o servicios soportan passkeys.

  • Dependencia del dispositivo: si pierdes el dispositivo sin copia de seguridad en la nube, puedes perder el acceso (aunque los ecosistemas modernos como Apple o Google permiten sincronización segura).

  • Curva de adopción: para algunos usuarios o empresas, el cambio requiere tiempo y ajustes.

¿Cómo implementar Passkeys dentro de mi organización?

Implementar passkeys en una organización es una excelente decisión de seguridad y usabilidad, pero requiere una estrategia clara. A continuación algunos consejos sobre cómo hacerlo paso a paso, tanto si trabajas en una empresa que desarrolla servicios propios, como si solo quieres usarlas con servicios de terceros (como Google Workspace, Microsoft 365, etc.):

PASO A PASO PARA IMPLEMENTAR PASSKEYS EN UNA ORGANIZACIÓN

1. Define tu caso de uso 

Pregúntate:

¿Tu organización ofrece aplicaciones o sitios web propios que requieren inicio de sesión? ¿O simplemente quieres que los empleados usen passkeys para autenticarse en servicios como Google Workspace, Azure AD, etc.?

2. Requisitos técnicos básicos 

Para utilizar passkeys se necesita:

  • Dispositivos compatibles (Windows 10+, macOS, Android, iOS).

  • Navegadores compatibles (Chrome, Edge, Safari, Firefox en versiones recientes).

  • Infraestructura de identidad compatible (FIDO2/WebAuthn).

3. Si solo usas servicios de terceros

Esto es lo más rápido de implementar.

🟢 Google Workspace 

  1. Ve a la consola de administración de Google.

  2. Activa la autenticación con llaves de seguridad (WebAuthn/passkeys).

  3. Puedes exigir que los usuarios registren una passkey para acceder.

  4. Opcional: fuerza el uso de autenticación sin contraseña (passwordless).

🟢 Microsoft 365 / Azure AD 

  1. Habilita FIDO2 Security Keys en Azure AD.

  2. Los usuarios pueden registrar una passkey compatible (Windows Hello, YubiKey, biometría, etc.).

  3. Puedes configurar políticas de acceso condicional para exigir passkeys.

4. Si desarrollas tus propias aplicaciones 

Necesitarás:

  • Backend con soporte para FIDO2/WebAuthn.

  • Frontend compatible con WebAuthn API.

  • Servidor para almacenar claves públicas de passkeys asociadas a usuarios.

📦 Proceso típico: 

  1. Usuario registra una passkey en tu sitio.

  2. Tu backend almacena la clave pública.

  3. En el login, se genera un challenge que el usuario firma con su clave privada local.

  4. El servidor valida la firma usando la clave pública registrada.

🔐 Beneficio: no almacenas secretos, solo claves públicas. No hay contraseñas que robar.

5. Define una política de autenticación interna 

  • ¿Quién debe usar passkeys (todos, roles críticos, TI)?

  • ¿Cómo se registran los dispositivos?

  • ¿Qué hacer en caso de pérdida del dispositivo?

  • ¿Se permiten múltiples passkeys por usuario?

6. Capacitación y transición gradual 

  • Informa a los empleados sobre qué son las passkeys.

  • Empieza con un grupo piloto (TI, seguridad).

  • Proporciona guías de registro paso a paso.

  • Evalúa usar herramientas de gestión.

7. Monitorea y mejora 

  • Evalúa métricas de adopción.

  • Ajusta políticas según problemas reportados.

  • Mantente actualizado con nuevas herramientas FIDO/WebAuthn.

Conclusión 

Sí, las passkeys son más seguras que las contraseñas, tanto desde un punto de vista técnico como práctico. Resuelven por diseño muchos de los problemas inherentes a la autenticación basada en contraseña como el riesgo de phishing, errores humanos y ataques a bases de datos con contraseñas robadas.

Desde el punto de vista comercial, un proceso de registro más fluido reduce la tasa de abandono de potenciales clientes. Además al tener menos restablecimientos de contraseñas, los tiempos y recursos invertidos por parte del departamento de IT se reducen. 

En definitiva, a medida que más servicios las adopten, probablemente veremos una transición masiva hacia este método.

En esa línea, hasta el NIST (Instituto Nacional de Estándares y Tecnología) aprobó la utilización de las passkeys sincronizadas en su suplemento a las directrices SP 800-63B. Gracias a este respaldo, las passkeys surgen como un pilar fundamental en el camino de la identidad digital.

¿Te interesó este tema? Si la respuesta es afirmativa, échale un vistazo a la web de AD Self Service Plus, la solución de seguridad de identidad que pondrá fin a los ciberataques, ahorrará costos de TI y dará el impulso inicial a tu viaje hacia el modelo Zero Trust.