Más seguras y rápidas: así funcionan las passkeys frente a las contraseñas tradicionales

Las claves de acceso o passkeys constituyen un método de autenticación que elimina la necesidad de recordar contraseñas y nombres de usuario. Estas claves digitales se almacenan y protegen mediante cifrado en el propio dispositivo del usuario, lo que impide su interceptación por parte de actores maliciosos.

Empresas como Google, Apple y la propia Microsoft han trabajado en la implementación de esta tecnología, siguiendo los estándares de la FIDO Alliance y el World Wide Web Consortium (W3C).

El funcionamiento de las passkeys se basa en la criptografía asimétrica, que utiliza una combinación de claves públicas y privadas para autenticar a los usuarios sin exponer información sensible.

El proceso de autenticación con passkeys es sencillo y seguro. Cuando un usuario desea iniciar sesión en un servicio, la aplicación o el sitio web almacena la clave pública, mientras que la clave privada permanece resguardada en el dispositivo del usuario.

Al intentar acceder, el servicio envía un mensaje cifrado que solo puede ser descifrado con la clave privada, confirmando así la identidad del usuario. Un ejemplo concreto de este sistema se observa en Google: al iniciar sesión en un navegador, el usuario puede utilizar su dispositivo móvil para autenticar el acceso.

Google muestra un código QR que debe escanearse con el móvil, lo que permite la verificación sin necesidad de introducir contraseñas. Además, al crear una nueva cuenta, el dispositivo puede generar automáticamente una passkey, que se almacena en el gestor de contraseñas de Chrome y se sincroniza con otros dispositivos vinculados a la cuenta de Google.

Las ventajas de las passkeys frente a las contraseñas tradicionales son notables. Los métodos convencionales de inicio de sesión son vulnerables a ataques de phishing, piratería, keyloggers y filtraciones de datos. En contraste, las passkeys han sido diseñadas para ofrecer mayor comodidad y resistencia ante estas amenazas.

Su seguridad radica en que dependen de la posesión del dispositivo o de una llave de seguridad, y pueden incorporar datos biométricos como un factor adicional de autenticación. Además, las passkeys no pueden compartirse, recordarse ni escribirse, lo que reduce significativamente la exposición a ataques dirigidos a sistemas basados en contraseñas.

Entre los beneficios específicos de las passkeys destacan la protección contra el phishing, ya que no funcionan en sitios web falsos y cada clave es única e irrepetible. La simplicidad es otro punto fuerte, pues los usuarios no necesitan recordar ni gestionar contraseñas, ya que el acceso puede realizarse mediante datos biométricos.

En cuanto a la privacidad, cuando se emplea biometría, la información permanece en el dispositivo y no se comparte con los proveedores de servicios, garantizando así la confidencialidad de los datos personales.

El respaldo institucional y el aumento del conocimiento sobre las passkeys refuerzan su adopción. Desde la introducción de estas claves de acceso, la FIDO Alliance, junto con la W3C, ha promovido su uso y reporta un crecimiento significativo en la familiaridad de los usuarios con esta tecnología: el porcentaje de personas que conocen las passkeys pasó del 39% en 2022 al 57% en 2024, según datos de la organización.

El Instituto Nacional de Estándares y Tecnología (NIST) también ha dado su aval a las passkeys, al aprobar su uso sincronizado en las directrices SP 800-63B. Este reconocimiento consolida a las claves de acceso como una pieza clave en la evolución de la identidad digital, abriendo paso a una nueva etapa en la protección y gestión de la información personal en el entorno digital.