La aplicación de contraseñas de Apple cambia ahora las contraseñas por sí misma
7 Min. de lectura
La app de contraseñas de Apple incorpora en la WWDC 2026 una función que hará levantar las cejas a los responsables de seguridad: detecta contraseñas débiles o comprometidas, accede a la web afectada, inicia sesión, navega por los menús y sustituye la contraseña por una robusta. El usuario solo tiene que tocar para activarlo; el resto lo hace la app. Cómodo, sí. Pero un actor de inicio de sesión automatizado que navega por interfaces web ajenas es, en términos de seguridad, un arma de doble filo.
Lo más importante en resumen
- Un toque, el resto lo hace el agente. Apple Passwords inicia sesión automáticamente en una web tras un toque de confirmación y renueva la contraseña débil.
- La higiene aumenta, pero también la superficie de ataque. Las contraseñas débiles y reutilizadas desaparecen, pero la app automatiza procesos de inicio de sesión en sitios ajenos.
- Los passkeys siguen siendo el objetivo real. Para la identidad empresarial, la rotación es un paso intermedio hacia métodos sin contraseña.
Relacionado:Passkeys en la mediana empresa: el fin de la contraseña / PAM sin presupuesto empresarial: control de derechos de administrador
Qué hace ahora la app de contraseñas de forma autónoma
Hasta ahora, un gestor de contraseñas solo indicaba si una clave era débil o había sido filtrada. El cambio debía realizarlo el usuario manualmente. Apple invierte este proceso. Con un simple toque, la app Passwords accede a la web afectada, inicia sesión con la contraseña antigua, localiza el menú de cambio de contraseña, establece una nueva clave robusta y la guarda.
¿Qué es la rotación de contraseñas agentiva? Se refiere a que un software no solo sugiere el cambio de una contraseña, sino que ejecuta todo el proceso tras una confirmación. El agente navega por los flujos de inicio de sesión y ajustes de un sitio ajeno y sustituye la contraseña sin que el usuario tenga que hacer clic en cada paso.
Técnicamente, es un pequeño robot que navega por interfaces web ajenas. Precisamente esta autonomía es el punto donde convergen comodidad y riesgo.
La ventaja: las contraseñas débiles desaparecen en segundo plano
La mejora en seguridad es real y no debe minimizarse. El mayor problema práctico con las contraseñas es la inercia. Claves débiles y reutilizadas permanecen años sin cambiarse porque el proceso manual resulta tedioso. Un agente que asume esta tarea eleva la higiene de golpe, sin necesidad de disciplina por parte del usuario.
Además, Apple apuesta por un enfoque *on-device*. Según la compañía, el contexto se mantiene en el dispositivo y los datos personales no lo abandonan. Para los usuarios particulares, esto supone un avance claro frente al *statu quo* de notas adhesivas y la misma contraseña en todas partes.
El riesgo: más automatización en un punto sensible
El reverso de la moneda tiene un peso considerable para las empresas. Un actor automatizado que ejecuta procesos de inicio de sesión en sitios de terceros opera en un punto sensible. Cuantos más de estos procesos se ejecuten de forma automática, más cruciales se vuelven el control y la trazabilidad de lo que la aplicación hace en nombre de quién.
Lo que refuerza
- Desaparecen las contraseñas débiles y reutilizadas sin esfuerzo por parte del usuario
- Respuesta más rápida ante una contraseña filtrada
- El procesamiento en el dispositivo mantiene los datos localmente
Lo que expone
- Más procesos de inicio de sesión automatizados aumentan la dependencia de un mecanismo
- Los inicios de sesión automatizados exigen una identificación fiable del sitio de destino real
- Mayor vinculación al almacén de contraseñas de Apple
Lo decisivo es la fiabilidad con la que el automatismo identifica el sitio de destino real. Un inicio de sesión automatizado solo es tan seguro como la verificación de que realmente aterriza en la página legítima. Para las empresas, por tanto, cuenta sobre todo si es posible controlar y registrar dicha automatización.
Qué implica esto para la identidad empresarial
Para los responsables de seguridad, la función es en un principio una característica para consumidores, pero que marca expectativas. Los empleados exigirán esta comodidad basada en agentes también en el ámbito corporativo. La respuesta debe integrarse en las herramientas existentes: cuentas gestionadas de Apple y perfiles MDM, una política clara para gestores de contraseñas y, sobre todo, una hoja de ruta vinculante para Passkeys.
Passkeys y los métodos sin contraseña según el estándar FIDO2 resuelven el problema de raíz, ya que, al no existir un secreto reutilizable, no hay nada que rotar. El paso de Apple puede interpretarse mejor como un paso intermedio. La rotación basada en agentes salva una realidad que aún depende de las contraseñas, pero el objetivo en la empresa sigue siendo abandonar este modelo. Hay tiempo para ello: los nuevos sistemas operativos llegarán en el otoño de 2026, y Siri AI se retrasará en iPhone e iPad en la UE debido al Digital Markets Act.
Preguntas frecuentes
¿Qué diferencia la rotación de contraseñas basada en agentes de un gestor de contraseñas normal?
Un gestor normal almacena contraseñas y avisa sobre entradas débiles o filtradas. El cambio lo realiza el usuario. En la variante basada en agentes, el software ejecuta el proceso de modificación tras un toque de confirmación en la web, desde el inicio de sesión hasta el guardado de la nueva contraseña.
¿Qué riesgo de seguridad conlleva la rotación automática?
La aplicación realiza inicios de sesión automatizados en sitios de terceros. Esto aumenta la dependencia de un mecanismo y exige que la app identifique de forma fiable el sitio de destino real. El control y el registro de estos procesos se vuelven más importantes.
¿Salen las contraseñas del dispositivo durante este proceso?
Según la descripción de Apple, el procesamiento se mantiene local en el dispositivo y no se externalizan datos personales. No obstante, las empresas deberían revisar la implementación en detalle antes de evaluarla, basándose en la documentación oficial.
¿Sustituye esta función una estrategia de Passkeys en la empresa?
No. Mejora la higiene en un entorno que aún depende de las contraseñas. Passkeys, según el estándar FIDO2, eliminan por completo el secreto reutilizable y siguen siendo el verdadero objetivo para las empresas.
¿Desde cuándo es relevante la función para las empresas alemanas?
Los nuevos sistemas operativos se lanzarán en otoño de 2026. Siri AI se retrasa en iPhone y iPad en la UE debido al Digital Markets Act. Por lo tanto, los responsables de seguridad tienen tiempo para evaluar la función y adaptar su estrategia de identidad a ella.
Consejos de lectura de la redacción
Más de la red MBF Media
Fuente de la imagen: Generado por IA (junio de 2026), certificado C2PA incorporado en la imagen