Las contraseñas llevan décadas siendo el punto débil más predecible de la seguridad digital. No porque la tecnología no haya podido mejorarlas, sino porque el factor humano siempre termina ganando: contraseñas repetidas, predecibles, almacenadas en sitios inseguros o robadas mediante phishing. Los gestores de contraseñas resolvieron parte del problema, pero crearon un nuevo punto único de fallo.
Las passkeys son la solución que el sector lleva años preparando y que en 2026 ha pasado de promesa a adopción masiva. Apple, Google, Microsoft, Amazon, PayPal, GitHub y cientos de servicios menores ya las soportan. La tecnología es estándar abierto (FIDO2/WebAuthn), funciona en cualquier dispositivo moderno y ofrece algo que las contraseñas no pueden dar: inmunidad estructural al phishing.
Cómo funcionan las passkeys sin el tecnicismo innecesario
Una passkey es un par de claves criptográficas. La clave privada se queda en tu dispositivo, protegida por el módulo de seguridad del hardware (el chip Secure Enclave en iPhone, el Titan Security Chip en dispositivos Google, el TPM en PC). La clave pública va al servidor del servicio al que te registras.
Cuando inicias sesión, el servicio envía un desafío criptográfico a tu dispositivo. Tu dispositivo lo firma con la clave privada, usando tu huella digital, tu cara o el PIN de desbloqueo como confirmación de que eres tú. El servicio verifica la firma con la clave pública y te da acceso.
El resultado práctico: nunca hay una contraseña que viajar por la red, nunca hay nada que robar en una filtración del lado del servidor (la clave privada nunca sale del dispositivo) y el phishing no funciona porque la verificación criptográfica está ligada al dominio exacto del sitio. Una passkey creada para amazon.es no funciona en amaz0n.es ni en ninguna variante.
Dónde están las passkeys en 2026 y cómo activarlas
La adopción ha sido desigual pero ya cubre los servicios que más cuentan. Los más relevantes para la mayoría de usuarios:
Apple ID y iCloud: soporte completo desde iOS 16 y macOS Ventura. Las passkeys se sincronizan automáticamente entre dispositivos Apple vía iCloud Keychain con cifrado de extremo a extremo.
Google: passkeys disponibles para cuentas de Google desde 2023 y habilitadas por defecto desde finales de 2024. En dispositivos Android se almacenan en Google Password Manager. En iPhone se pueden usar mediante la app de Google o Chrome.
Microsoft: soporte en cuentas de Microsoft desde 2023. Windows 11 gestiona passkeys a través de Windows Hello, el sistema biométrico integrado.
GitHub: passkeys disponibles en configuración de seguridad de la cuenta. Especialmente útil para desarrolladores que acceden desde múltiples dispositivos.
Amazon: soporte desde principios de 2025. La activación está en Configuración > Inicio de sesión y seguridad > Clave de acceso.
PayPal: disponible globalmente desde 2024. La configuración es directa desde Configuración > Seguridad.
El proceso de activación es similar en todos: vas a la configuración de seguridad de la cuenta, buscas la opción de passkeys o clave de acceso y sigues el proceso de creación, que pide confirmar con huella, cara o PIN dependiendo del dispositivo.
La gestión multiplataforma: el punto de fricción que queda
El mayor problema pendiente de las passkeys es la portabilidad entre ecosistemas. Si creas una passkey en un iPhone y luego necesitas iniciar sesión desde un PC Windows, hay dos opciones: usar el código QR que genera el iPhone (escaneas con el iPhone, el iPhone verifica la identidad y autoriza el acceso en el PC mediante Bluetooth de proximidad) o usar un gestor de contraseñas multiplataforma que soporte passkeys.
Los gestores de contraseñas como Bitwarden ya soportan almacenamiento y uso de passkeys. Si tienes una cuenta de Bitwarden, puedes almacenar tus passkeys ahí y usarlas desde cualquier dispositivo donde tengas Bitwarden instalado, independientemente del sistema operativo. La comparativa entre Bitwarden y Vaultwarden (la versión auto-alojada) explica las diferencias entre ambas opciones si prefieres mantener el control total de tus credenciales.
1Password también soporta passkeys desde 2023 y su implementación multiplataforma es buena. Dashlane y Keeper han añadido soporte más recientemente con resultados más irregulares.
Para quien prefiere no depender de un gestor externo, el mecanismo del código QR funciona bien siempre que tengas el móvil a mano y Bluetooth activado. No es tan fluido como en un ecosistema cerrado (todo Apple o todo Google), pero funciona.
Por qué no reemplaza todavía a todo lo demás
Las passkeys no han eliminado las contraseñas aún por razones prácticas. Muchos servicios menores no las soportan. Los servicios legacy con infraestructura antigua tardarán años en adoptarlas. Y hay casos de uso específicos donde las passkeys no encajan bien, como compartir acceso a una cuenta con otra persona (algo que no debería hacerse pero que en la práctica ocurre).
La recomendación más sensata en 2026: activar passkeys en todos los servicios que las soporten, especialmente en los más críticos (correo, banco, identidad digital), y mantener el gestor de contraseñas para el resto. La clave de cambiar de Google Authenticator a una app de autenticación más robusta sigue siendo relevante como segunda línea de defensa para servicios que no han adoptado passkeys aún.
El escenario realista para los próximos dos o tres años es que las passkeys se conviertan en el método predeterminado de inicio de sesión en los servicios principales mientras las contraseñas quedan relegadas al ecosistema de servicios menores o de nicho. El sector ha tardado décadas en consensuar un estándar. Ahora que está aquí y funciona, la adopción va a ser más rápida de lo que muchos predicen.
El phishing de credenciales es uno de los vectores de ataque más rentables para los ciberdelincuentes precisamente porque las contraseñas pueden robarse. Cuando las passkeys sean el método dominante, ese vector desaparece casi por completo. Eso no elimina todos los problemas de seguridad, pero sí elimina uno de los más rentables para los atacantes.
0 Comentarios