7. junio 2026 | Imprimir artículo |

Claves de paso en la mediana empresa: el fin de la contraseña

6 Min. de lectura

La contraseña es el último punto único de falla que casi todas las empresas mantienen voluntariamente. Los correos electrónicos de phishing no apuntan al firewall, sino a la persona que introduce su contraseña en una página de inicio de sesión falsa. Las claves de acceso eliminan exactamente este ataque de la mesa, y en 2026 estarán disponibles de manera productiva para las empresas medianas.

Lo más importante en resumen

  • Resistente al phishing por diseño. Una clave de acceso está vinculada al dominio y no se puede ingresar en una página falsa. El camino de ataque más común a las credenciales se elimina de esta manera.
  • Las plataformas están listas. Microsoft Entra ID y Google Workspace admiten claves de acceso de manera productiva. Microsoft ha transferido las claves de acceso sincronizadas a la disponibilidad general en 2026.
  • La trampa está en la recuperación. Sin un proceso de recuperación reflexivo para dispositivos perdidos, se bloquea a los empleados. Este es el verdadero trabajo del proyecto, no la introducción en sí misma.

Relacionado:PAM sin presupuesto empresarial  /  El robo de tokens OAuth anula la MFA

Por qué la contraseña se ha convertido en un riesgo

La mayoría de los ataques exitosos no comienzan con un exploit genial, sino con una contraseña robada. Phishing, reutilización en diferentes servicios, bases de datos filtradas: la contraseña es vulnerable porque es un secreto compartido. El usuario la conoce, el servidor la conoce, y cualquiera que la intercepte o la adivine también la conoce.

La autenticación clásica de múltiples factores ha mitigado esto, pero no lo ha resuelto. Los atacantes reenvían códigos de un solo uso a través de páginas falsas o interceptan tokens de sesión mucho antes de que la víctima sospeche. Aquí es donde entra en juego el cambio: si no hay secreto que se pueda phishar, el ataque más común se queda vacío.

¿Qué es una clave de acceso? Una clave de acceso es un par de claves criptográficas según el estándar FIDO2 y WebAuthn. La clave privada permanece en el dispositivo del usuario y se libera mediante biometría o PIN, la clave pública se encuentra en el servicio. No hay contraseña que se pueda transferir, almacenar o robar.

Cómo las claves de acceso solucionan el problema del phishing

El mecanismo decisivo es la vinculación al dominio. Una clave de acceso registrada para la página de inicio de sesión real solo funciona técnicamente allí. Si un empleado aterriza en una copia muy realista, el navegador simplemente no tiene una clave adecuada para ofrecer. El ataque falla no por la atención del usuario, sino por la criptografía.

Por esta razón, las claves de acceso se cuentan entre las clases de procedimientos de inicio de sesión resistentes al phishing, que también son recomendadas expresamente por las autoridades de seguridad. La agencia estadounidense CISA nombra a FIDO2 y WebAuthn como uno de los pocos procedimientos que resisten el phishing moderno. Para un equipo de seguridad, este es un caso raro en el que un cambio cierra el camino de ataque más común, en lugar de agregar solo otro obstáculo.

La implementación de Entra ID y Google Workspace

La entrada en práctica en 2026 se ha vuelto mucho más fácil porque las grandes plataformas de identidad han seguido adelante. Microsoft Entra ID ha trasladado las claves de acceso sincronizadas y los perfiles de claves de acceso a la disponibilidad general y ahora permite a los administradores implementar el inicio de sesión sin contraseña de manera específica a través de campañas de registro. El número de perfiles de claves de acceso permitidos por inquilino se ha aumentado de tres a diez, lo que permite políticas diferenciadas para varios grupos de usuarios.

Marzo 2026
Microsoft Entra ID trae claves de acceso sincronizadas a la disponibilidad general. El inicio de sesión sin contraseña abandona el estado de prueba y se convierte en una opción regular para las empresas.
Fuente: Hoja de ruta de Microsoft Entra ID, 2026

También Google Workspace y las plataformas de Apple admiten claves de acceso de manera productiva. Para las empresas medianas, esto significa que los componentes están disponibles en las plataformas de identidad comunes, y el esfuerzo se desplaza de la técnica a la introducción adecuada. Deberían revisar su estado de licencia actual.

Dónde se atasca la transición en las empresas medianas

La parte difícil de un proyecto de claves de acceso no está en las instrucciones de inicio de sesión, sino en las de recuperación. ¿Qué sucede si un empleado pierde su teléfono móvil en el que se encuentra la clave de acceso? Quien no haya simulado este caso con anticipación produce compañeros de trabajo bloqueados en lugar de mayor seguridad. Se han consolidado claves de seguridad de respaldo registradas durante el onboarding, códigos de recuperación emitidos por TI y un proceso definido de nuevo registro después de la verificación de identidad.

El segundo obstáculo son las aplicaciones antiguas. No todo el software interno ni toda la conexión de inicio de sesión único más antigua admite WebAuthn. En la fase de transición, la contraseña o el código de un solo uso permanecen en vigor, lo que hace que la transición sea un proyecto gradual y no una fecha límite. Es razonable comenzar con las cuentas críticas y bien admitidas como Microsoft 365 y Google Workspace, desde donde crece la zona sin contraseña.

Preguntas frecuentes

¿Cuál es la diferencia entre una clave de acceso y una contraseña?

Una contraseña es un secreto compartido que se puede transmitir y capturar. Una clave de acceso es un par de claves criptográficas cuyo componente privado nunca abandona el dispositivo. No hay nada que se pueda ingresar en un sitio de phishing.

¿Necesitan las claves de acceso licencias especiales costosas?

Las claves de acceso son admitidas por Microsoft Entra ID y Google Workspace en los planes comerciales comunes. Deberían verificar el requisito de licencia exacto para su propio plan. El principal esfuerzo radica en la introducción y el concepto de recuperación, no en las licencias.

¿Qué sucede si un empleado pierde su dispositivo?

Entonces se activa el concepto de recuperación. Es común que se registren claves de seguridad de respaldo durante el onboarding, códigos de recuperación emitidos por TI y un proceso definido de nuevo registro después de la verificación de identidad. Este caso debe probarse antes de la implementación.

¿Puede la empresa mediana abandonar las contraseñas de inmediato?

Rara vez de inmediato. Las aplicaciones antiguas y las conexiones de inicio de sesión único más antiguas a menudo no admiten WebAuthn. La transición se realiza de manera gradual, comenzando con cuentas bien admitidas como Microsoft 365, mientras que los sistemas antiguos continúan utilizando contraseñas o códigos de un solo uso de manera transitoria.

¿Reemplaza una clave de acceso la autenticación de múltiples factores?

Una clave de acceso combina ambos en un solo paso: posesión del dispositivo y aprobación mediante biometría o PIN. Por lo tanto, cumple con el requisito de una autenticación fuerte y resistente al phishing sin que se solicite un segundo factor separado.

Consejos de lectura de la redacción

Más del network de MBF Media

cloudmagazin

Coolify en prueba: Self-Hosting en lugar de Vercel y Heroku

mybusinessfuture

Sourcing en Asia: lo que realmente cuesta a las empresas medianas

digital-chiefs

IA en el consejo de administración: por qué solo el 12% se beneficia

Fuente de la imagen: generada por IA (junio de 2026), certificado C2PA depositado en la imagen

Imprimir artículo
Alec Chizhik

Sobre el autor: Alec Chizhik

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH