Passkeys 2025: La guía práctica para su implantación en la empresa

1 min de lectura

En 2025, los passkeys ya no son una prueba experimental. Apple, Google, Microsoft, GitHub y Okta los admiten de forma nativa. El estándar FIDO es estable, la experiencia de usuario está pulida y la promesa de seguridad es inequívoca: imposible el phishing, ninguna filtración de contraseñas ni ataques de credential stuffing. Para las empresas, ahora es el momento adecuado para planificar su implantación.

En resumen

• Los passkeys son seguros frente al phishing: la clave privada nunca abandona el dispositivo; una página de phishing no puede capturar nada.
• Estándar FIDO2/WebAuthn: abierto, interoperable y compatible con todas las principales plataformas.
• Sincronización en la nube: los passkeys se sincronizan en iCloud Keychain, Google Password Manager o 1Password.
• Integración con IAM empresarial: Okta, Entra ID y PingIdentity admiten passkeys como factor primario.
• Implantación en tres fases: cuentas privilegiadas → equipos de TI → todos los empleados es la ruta de despliegue recomendada.

Los passkeys en entornos empresariales: qué funciona

En 2025, el soporte para passkeys está disponible en todas las principales plataformas de gestión de identidades y accesos (IAM). Okta Identity Engine admite passkeys como factor primario y secundario. Microsoft Entra ID (Azure AD) ha activado los passkeys para todos los usuarios. Google Workspace permite desde 2024 despliegues empresariales de passkeys a escala corporativa mediante políticas administrativas.

En la práctica, esto significa que un usuario con un PC Windows, un iPhone y un iPad puede utilizar el mismo passkey en todos sus dispositivos, siempre que el gestor de passkeys (iCloud Keychain, Windows Hello o Google Password Manager) esté sincronizado. La utilización multiplataforma está resuelta.

Implementación técnica: qué tener en cuenta

Estrategia del gestor de passkeys: Las empresas deben decidir si utilizan gestores propios de plataforma (iCloud, Google) o soluciones gestionadas por la empresa (1Password Business, Bitwarden). Estas últimas ofrecen mayor control y capacidad de auditoría.

Mecanismos de respaldo: ¿Qué ocurre si se pierde un dispositivo? Debe definirse un proceso de recuperación: un segundo dispositivo como copia de seguridad, un token físico como opción de recuperación o un procedimiento del servicio de asistencia técnica con verificación de identidad.

Aplicaciones heredadas: No todos los sistemas internos admiten FIDO2/WebAuthn. Un enfoque basado en SSO (passkey para el proveedor de identidad y SSO para las aplicaciones heredadas) resuelve el problema prácticamente sin necesidad de integrar individualmente cada aplicación.

Estrategia de despliegue en tres fases

Fase 1 – Equipos de TI y cuentas privilegiadas (meses 1-2): Migrar todos los cuentas de administrador a passkeys. Utilizar tokens físicos FIDO2 (YubiKey) como respaldo. Esto elimina inmediatamente el riesgo más crítico y genera experiencia interna.

Fase 2 – Grupo de primeros adoptantes (meses 3-4): 10-15 % de los empleados, con afinidad tecnológica y participación voluntaria. Recopilar retroalimentación, probar procesos y elaborar una base de conocimientos con preguntas frecuentes.

Fase 3 – Despliegue corporativo completo (meses 5-8): Formación, preparación del servicio de asistencia técnica y campaña de comunicación. Desactivar las contraseñas para las aplicaciones centrales tan pronto como todos los empleados dispongan de un passkey.

Datos clave de un vistazo

Cuentas compatibles con passkeys en todo el mundo: Más de 13 000 millones (2025, FIDO Alliance)

Protección frente al phishing: 100 % – los passkeys no pueden ser explotados por páginas de phishing

Plataformas empresariales de IAM con soporte para passkeys: Okta, Entra ID, PingIdentity y Google Workspace – todas en 2025

Tiempo estimado de implantación: De 3 a 6 meses para un despliegue corporativo completo (según tamaño de la organización)

Ahorro de costes: Menos incidencias en el servicio de asistencia técnica relacionadas con restablecimientos de contraseñas (20-30 % de las solicitudes al departamento de TI)

Dato: La FIDO Alliance informa de que los passkeys basados en FIDO2/WebAuthn ya procesan más de mil millones de autenticaciones mensuales – un crecimiento del 400 % desde 2023.

Dato: Según Gartner, las empresas que implementan passkeys reducen los costes asociados a restablecimientos de contraseñas en un 92 % y disminuyen las tasas de éxito del phishing a valores prácticamente nulos.

Preguntas frecuentes

¿Cuál es la diferencia entre un passkey y un token físico FIDO2?

Los tokens físicos FIDO2 (YubiKey) son dispositivos tangibles – extremadamente seguros, pero sin sincronización en la nube y más costosos. Los passkeys son software basado en la nube, sincronizado y más fácil de usar. Ambos son seguros frente al phishing. Para administradores de TI y cuentas privilegiadas, se recomienda complementarlos con tokens físicos como respaldo.

¿Qué ocurre si pierdo mi dispositivo?

Si el passkey está sincronizado en un gestor de claves en la nube (iCloud, Google), estará disponible en otro dispositivo tras volver a autenticarse. En el caso de passkeys gestionados por la empresa: recuperación mediante el servicio de asistencia técnica con verificación de identidad o mediante un token físico previamente configurado.

¿Todos los navegadores web admiten passkeys?

Chrome (versión 90+), Firefox (versión 89+), Safari (versión 16+) y Edge (versión 91+) admiten WebAuthn/FIDO2. Navegadores antiguos o aplicaciones empresariales específicas podrían presentar problemas – resulta conveniente auditar las aplicaciones utilizadas antes del despliegue.

¿Puedo utilizar passkeys para SSO?

Sí. El enfoque empresarial recomendado es: passkey para el proveedor de identidad (Okta, Entra ID) y luego SSO para todas las demás aplicaciones. Así no es necesario que todas las aplicaciones heredadas implementen WebAuthn – el proveedor de identidad asume esa función.

¿Cuál es el estado de cumplimiento normativo de los passkeys?

Los passkeys (FIDO2) se consideran autenticación robusta en numerosos marcos de cumplimiento normativo: NIS2, BSI IT-Grundschutz, PCI DSS 4.0 e ISO 27001 aceptan FIDO2 como solución de autenticación multifactor (MFA). Esto simplifica la obtención de pruebas de cumplimiento.

Otros artículos sobre este tema

→ Seguridad de contraseñas 2024: passkeys, MFA y el fin de la contraseña tradicional

→ Zero Trust para pymes: entrada en cinco pasos

Lecturas adicionales en la red

Gestión de identidades y accesos: cloudmagazin.com

Transformación digital: mybusinessfuture.com

Artículos relacionados

• Uno de cada cuatro usuarios emplea deliberadamente contraseñas sencillas
• Concienciación en ciberseguridad 2025: por qué las formaciones solas no resuelven los riesgos cibernéticos
• Zero Trust para pymes: entrada en cinco pasos

Más contenido de la red MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Pexels / cottonbro studio

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow