Durante décadas, las contraseñas han sido la forma estándar de proteger nuestras cuentas en internet. Pero tienen un problema fundamental: dependen de que tú las recuerdes, de que el servidor las guarde de forma segura, y de que nadie las intercepte por el camino. Los passkeys eliminan todos esos puntos débiles de golpe.
¿Qué es un passkey?
Un passkey es un método de autenticación basado en criptografía de clave pública. En lugar de una contraseña que tú inventas y memorizas, tu dispositivo genera automáticamente un par de claves matemáticamente enlazadas: una clave privada, que nunca sale de tu teléfono u ordenador, y una clave pública, que se comparte con el servidor del sitio web.
La magia está en que ambas claves son inseparables matemáticamente: lo que una cifra, solo la otra puede descifrarlo. Pero conocer la clave pública no te permite deducir la privada. El servidor guarda la pública; la privada permanece en el chip seguro de tu dispositivo.
Cómo funciona en la práctica
Registro: la primera vez que creas una cuenta con passkey, tu dispositivo genera el par de claves. La clave pública se envía al servidor. La privada queda almacenada en el enclave seguro de tu hardware, protegida por tu huella dactilar, reconocimiento facial o PIN local.
Inicio de sesión: cuando quieres acceder, el servidor te manda un desafío: un número aleatorio único. Tu dispositivo firma ese desafío usando la clave privada, pero para hacerlo necesita que tú te autentiques localmente (huella, cara o PIN). La firma viajará al servidor, que la verificará con la clave pública que tiene guardada. Si coincide, acceso concedido.
En ningún momento viaja un secreto por internet. Solo viajan datos que, sin la clave privada, son completamente inútiles para un atacante.
Por qué son más seguras que las contraseñas
Las contraseñas tienen varios puntos de fallo conocidos. Pueden ser robadas si el servidor sufre una brecha de seguridad. Pueden ser interceptadas si la conexión no está bien protegida. Pueden ser adivinadas si el usuario elige una contraseña débil o la reutiliza en varios sitios. Y pueden ser capturadas mediante phishing, engañando al usuario para que las introduzca en una página falsa.
Los passkeys resuelven cada uno de estos problemas de raíz. Si alguien hackea el servidor, solo obtiene claves públicas, que son inútiles para entrar. El phishing tampoco funciona: el passkey está vinculado criptográficamente al dominio exacto del sitio legítimo, por lo que una página falsa nunca podrá usarlo. No hay secreto compartido que interceptar, y no hay contraseña débil que adivinar.
¿Dónde puedo usar passkeys hoy?
La adopción está creciendo rápidamente. Google, Apple, Microsoft, GitHub, PayPal, Amazon o X ya permiten autenticarse con passkeys. En dispositivos Apple se sincronizan a través de iCloud Keychain; en Android, a través de Google Password Manager. También pueden almacenarse en gestores de contraseñas como 1Password o Bitwarden.
El estándar detrás de todo esto es WebAuthn, desarrollado por el W3C y la FIDO Alliance, lo que garantiza que los passkeys funcionan de forma interoperable entre navegadores y sistemas operativos.
¿Y si pierdo el dispositivo?
Esta es la pregunta más frecuente. La respuesta depende de cómo tengas configurada la sincronización. En el ecosistema Apple, los passkeys se sincronizan cifrados entre tus dispositivos mediante iCloud Keychain, así que perder el iPhone no significa perder el acceso si tienes otro dispositivo Apple vinculado. En Android ocurre lo mismo con Google Password Manager.
Además, los sitios web que implementan passkeys están obligados a ofrecer métodos alternativos de recuperación, como códigos de respaldo o verificación por correo electrónico, precisamente para cubrir este escenario.
El futuro de la autenticación
Los passkeys no son una solución de nicho ni una tecnología experimental. Son el resultado de años de trabajo conjunto entre los principales actores tecnológicos del mundo para crear un estándar abierto, seguro y cómodo. La experiencia de usuario es más sencilla que con las contraseñas: no hay nada que recordar, nada que escribir, solo tu huella o tu cara.
La pregunta ya no es si los passkeys reemplazarán a las contraseñas, sino cuándo. Y la respuesta, viendo el ritmo de adopción actual, es: antes de lo que muchos esperan.