Passkeys en la empresa: El fin de las contraseñas
La contraseña es el punto débil que todo el mundo conoce y del que casi nadie logra deshacerse. Los passkeys vienen a reemplazarla, vinculando el acceso a un dispositivo y un factor biométrico. Para las empresas, la implementación es menos una cuestión técnica que de despliegue. La tecnología está madura; la pregunta es la ejecución limpia.
Lo más importante en resumen
- Ya no es un secreto compartido: Los passkeys utilizan un par de claves. La parte privada nunca abandona el dispositivo; no existe ninguna contraseña que interceptar.
- El phishing queda en nada: Como la clave está ligada al dominio real, las páginas de inicio de sesión falsas no funcionan.
- La recuperación es el punto crítico: Lo que ocurra al perder un dispositivo decide el éxito de la implementación.
Por qué los passkeys superan a las contraseñas
¿Qué es un passkey? Un passkey es un método de autenticación criptográfico que sustituye una contraseña por un par de claves. La clave privada permanece segura en el dispositivo del usuario; la pública se encuentra en el servicio. La autenticación se confirma localmente mediante biometría o el PIN del dispositivo.
Definición · Passkey
Un método de autenticación criptográfico que sustituye una contraseña por un par de claves. La clave privada permanece en el dispositivo del usuario; la pública reside en el servicio. La autenticación se confirma localmente mediante biometría o el PIN del dispositivo.
La ventaja de seguridad proviene de la eliminación del secreto compartido. Una contraseña puede adivinarse, interceptarse o robarse de una base de datos. Un passkey no tiene ese valor en el servidor, porque allí solo está la parte pública, con la que un atacante no puede hacer nada. Incluso un ataque exitoso contra la base de datos de usuarios no entrega credenciales de acceso utilizables.
La protección integrada contra el phishing
Quizá la mayor ventaja sea la vinculación al dominio. Un passkey para el sitio web real de la empresa no puede usarse en una página de phishing clonada, porque el procedimiento verifica el destino. De este modo, la forma más habitual de ataque contra las credenciales pierde su fundamento.
Para los responsables de seguridad esto constituye un argumento de peso. Muchos incidentes comienzan con credenciales obtenidas mediante phishing. Esa cadena se rompe precisamente cuando deja de existir un secreto que pueda pescarse. La protección funciona sin necesidad de que los empleados deban ser entrenados para detectar phishing. Está incorporada en el propio procedimiento, no en la vigilancia de cada persona. Esta es una diferencia fundamental frente a los factores de segundo factor clásicos, como los códigos de un solo uso, que siguen siendo interceptables.
Dónde tropieza la implementación
La visión sincera: la parte más difícil no es el inicio de sesión, sino la recuperación. Cuando se pierde un dispositivo, se necesita una forma segura de regresar a la cuenta que no se convierta ella misma en la nueva vulnerabilidad. Recurrir a la contraseña antigua como vía de escape anularía la ventaja, porque el atacante simplemente tomaría esa ruta.
En la empresa se añaden la gestión de dispositivos y las plataformas mixtas. Los usuarios trabajan en equipos Windows, Macs y smartphones de diferentes fabricantes. Los passkeys deben poder utilizarse a través de estos dispositivos sin que la seguridad se vea comprometida. Aquí se decide si la implementación funciona en la práctica o fracasa por obstáculos cotidianos.
Cómo lograr la implementación paso a paso
Un plan de despliegue limpio no comienza con la desactivación de las contraseñas, sino con el establecimiento de la recuperación. Primero se define cómo un usuario puede regresar de forma segura a su cuenta tras la pérdida de un dispositivo, por ejemplo a través de un segundo dispositivo registrado o un proceso controlado por el soporte de TI con una verificación de identidad estricta. Solo cuando esta vía está lista, viene lo demás.
Plan de despliegue en etapas
- ✓Definir el proceso de recuperación (segundo dispositivo o soporte de TI verificado)
- ✓Ofrecer los passkeys primero como complemento al método existente
- ✓Los usuarios se acostumbran al nuevo inicio de sesión mientras TI acumula experiencia con los dispositivos
- ✓Por último, desactivar la contraseña en las cuentas protegidas
A continuación se ofrecen los passkeys inicialmente como opción adicional, en paralelo al procedimiento actual. Los usuarios registran su passkey y se habitúan al inicio de sesión, mientras el equipo de TI gana experiencia con los dispositivos propios. En la etapa final se desactiva la contraseña para las cuentas protegidas. Este camino escalonado es más seguro que un cambio repentino, porque pone a prueba la recuperación crítica antes de que sea necesaria en un escenario real.
Qué significan los passkeys para el cumplimiento
Los passkeys no solo representan una mejora en comodidad, sino que contribuyen directamente a los requisitos regulatorios. Normas como NIS2 exigen medidas efectivas contra el acceso no autorizado. Un método de autenticación resistente al phishing es exactamente eso. Quien elimina técnicamente la causa más frecuente de intrusiones puede acreditarlo ante la autoridad supervisora.
Para la dirección esto es un argumento que trasciende el ámbito de TI. Un único ataque de phishing exitoso puede desencadenar un incidente costoso. Un método de autenticación que neutraliza el phishing en el procedimiento reduce este riesgo de manera medible y refuerza al mismo tiempo la capacidad de demostrarlo ante auditores y aseguradoras.
Preguntas frecuentes
Cada pregunta está cerrada. Al tocarla se desbloquea la respuesta.
¿Qué diferencia a un passkey de una contraseña?
Una contraseña es un secreto compartido que puede transmitirse y robarse. Un passkey utiliza un par de claves cuyo componente privado nunca sale del dispositivo. En el servidor solo reside la parte pública, que no tiene utilidad.
¿Protege realmente un passkey contra el phishing?
Sí. El passkey está vinculado al dominio real y no funciona en páginas falsas. Así, el método más habitual para robar credenciales pierde su efectividad.
¿Qué ocurre si se pierde el dispositivo?
Para ello se requiere una vía de recuperación definida de antemano, por ejemplo un segundo dispositivo registrado o un método de respaldo seguro. Esta vía es la parte más crítica de la implementación.
¿Deben desaparecer todas las contraseñas de inmediato?
No. Un plan de despliegue escalonado que ofrece los passkeys inicialmente como complemento resulta más práctico que un cambio abrupto, especialmente con plataformas mixtas.
¿Son los passkeys adecuados también para empresas con muchos dispositivos?
Sí, pero requieren una gestión de dispositivos bien pensada y reglas claras de recuperación. Con estos requisitos previos pueden implementarse también en entornos grandes.
Selección de la redacción
RecomendadoMFA adaptativo: La presión del NIS2 como palanca de Zero Trust en la PYMERecomendadoCuando una llamada paraliza la producción automotriz
Más de la red MBF Media
Digital ChiefsLa inteligencia artificial escribe el código. ¿Quién responde por ello?


