¿Qué es un passkey? Definición, funcionamiento y estándares
¿Qué es un Passkey? Un Passkey es una clave de acceso criptográfica basada en los estándares FIDO2 que sustituye la contraseña. Está compuesta por un par de claves: la clave pública está en el servicio, la privada permanece en el dispositivo del usuario y nunca se transmite. Como el Passkey está vinculado al dominio exacto del servicio, el phishing técnicamente resulta imposible.
Lo más importante en resumen
- Principio: Criptografía de clave pública con desafío‑respuesta. La clave privada nunca sale del dispositivo, se desbloquea localmente mediante biometría o PIN.
- Resistencia al phishing: El Passkey está vinculado al dominio exacto. No existe ningún secreto que un usuario pueda introducir en una página falsificada.
- Estándares: Las Passkeys se basan en FIDO2, la combinación de la especificación W3C WebAuthn y el protocolo FIDO CTAP.
Cómo funciona un Passkey
Al registrarse, el dispositivo genera un par de claves único para cada servicio. El servicio solo guarda la clave pública. En cada inicio de sesión, envía un desafío que el dispositivo firma con su clave privada y el servicio verifica la firma. La firma solo se libera tras una verificación local, mediante huella digital, reconocimiento facial o PIN. Los datos biométricos permanecen en el dispositivo, al igual que la clave privada.
En la práctica, las empresas se enfrentan a dos variantes. Las Passkeys sincronizadas se almacenan en un gestor de credenciales, como el llavero de Apple o Google, y están cifradas de extremo a extremo en todos los dispositivos del usuario. Las Passkeys vinculadas a un dispositivo permanecen permanentemente en un único autenticador, normalmente una llave de seguridad FIDO. No pueden copiarse.
WebAuthn (W3C) plus CTAP (FIDO Alliance): los dos estándares detrás de cada Passkey
Fuente: FIDO Alliance
Por qué el phishing queda en el vacío
La resistencia al phishing no es una promesa de marketing. Surge de la arquitectura. Un passkey se vincula a la creación con el origen del servicio, es decir, con su dominio exacto. Los navegadores y los sistemas operativos solo liberan la credencial frente a ese dominio preciso. Una copia tan convincente de la página de inicio de sesión en un dominio ajeno simplemente no recibe ninguna firma.
Además, no existe ningún secreto compartido. Los atacantes pueden interceptar y reenviar contraseñas y códigos de un solo uso en tiempo real a través de un proxy de phishing. Con un passkey no hay nada que el usuario pueda escribir o transmitir. Incluso el BSI describe los passkeys como una alternativa segura a las contraseñas y ha publicado la directriz técnica TR-03188 para su implementación del lado del servidor.
Qué deben revisar ahora las empresas
La migración comienza con el inventario: ¿Qué aplicaciones siguen dependiendo de contraseñas y dónde causan más daño el credential stuffing y el phishing? A continuación se decide qué servicios se migrarán primero a WebAuthn y cómo se gestionará la recuperación en caso de pérdida de dispositivo.
REVISAR AHORA
- ✓Inventariar los procedimientos de inicio de sesión y evaluar los riesgos de phishing por aplicación
- ✓Implementar un servidor Passkey compatible con WebAuthn o elegir un proveedor, referencia: BSI TR-03188
- ✓Iniciar un piloto con grupos de usuarios seleccionados, dejar el inicio de sesión con contraseña de forma paralela temporalmente
- ✓Definir la recuperación: sincronizada o vinculada al dispositivo, claves de respaldo para cuentas críticas
- ✓Eliminar los fallos débiles, de lo contrario el restablecimiento de contraseñas vulnera la seguridad de la Passkey
Diferenciación con conceptos relacionados
FIDO2 es el término genérico para dos componentes. WebAuthn es la especificación de la W3C que permite a navegadores y servicios crear y verificar credenciales. CTAP regula la comunicación entre el cliente y el autenticador, como una llave de seguridad. Una clave de acceso es la credencial resultante.
La clave de acceso se diferencia fundamentalmente del segundo factor clásico. Los códigos de un solo uso mediante SMS o aplicaciones de autenticador siguen siendo phishables, ya que pueden interceptarse y reenviarse en tiempo real. Una llave de hardware, como un YubiKey, no es un contraste con la clave de acceso: es un almacenamiento para claves de acceso vinculadas al dispositivo y ofrece además una atestación del fabricante para requisitos de alta protección.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Qué ocurre si se pierde el dispositivo?
Las passkeys sincronizadas se pueden restaurar a través del gestor de credenciales en un nuevo dispositivo. Para las passkeys vinculadas al dispositivo se necesita una clave de respaldo o un proceso de recuperación en el servicio.
¿Son las passkeys más seguras que la contraseña junto con MFA?
Contra el phishing sí. Los códigos de un solo uso y las confirmaciones push pueden interceptarse mediante relés en tiempo real, un passkey simplemente no genera firma en un dominio ajeno. La FIDO Alliance otorga, por ello, mayor importancia a un passkey que a una contraseña más el segundo factor tradicional.
¿Funcionan Passkeys en todas partes?
Todos los sistemas operativos y navegadores más habituales lo admiten, el inicio de sesión desde un segundo dispositivo se realiza mediante un código QR y la verificación de proximidad por Bluetooth. Cada servicio debe ofrecer WebAuthn por sí mismo, y muy pocos lo hacen ya.
¿En qué se diferencia un Passkey de un YubiKey?
La Passkey es el credential, la YubiKey un lugar físico donde se almacena. Las claves de hardware mantienen las Passkeys vinculadas al dispositivo y ofrecen attestation, adecuadas para entornos en los que solo se permite una única copia de la clave.
¿Se pueden transferir Passkeys a otro proveedor?
Dentro de un ecosistema como iCloud o Google Password Manager, las passkeys sincronizadas se trasladan automáticamente. Exportar directamente entre distintos proveedores es, hasta ahora, solo parcialmente posible; las passkeys vinculadas a dispositivos no se pueden copiar.
Selección de la redacción
RecomendadoPasskeys en la empresa: El fin de las contraseñasRecomendadoAutenticación multifactor adaptativa en la auditoría NIS2: Cuando la política sirve como pruebaRecomendadoConciencia de seguridad: la tasa de clics mide lo incorrecto
Más de la red MBF Media
cloudmagazinOcho minutos hasta AWS-Admin: Cómo un cubo S3 abierto y una Lambda de administrador bastaronMyBusinessFutureMes de acción IA: Ciberseguridad para PYMES sin TIDigital ChiefsServicios de Ciberseguridad Gestionados: El CISO no asume la responsabilidad exclusiva





