Passkeys, la alternativa más segura y fácil de usar que reemplaza a las contraseñas

“Olvidé mi contraseña, necesito ayuda, no recuerdo mi clave, resetear password”. Todos, alguna vez, enfrentamos la situación de intentar entrar a nuestro correo, redes sociales o el banco. A pesar de que la recomendación general es usar un gestor de contraseñas (genera claves y las almacena de manera segura), el usuario promedio vive en un looppasskeys”, o llaves de acceso.

Una passkey es una credencial digital para autenticarse en un sitio web o aplicación, sin usar contraseñas. En lugar de recordar claves complejas, el usuario simplemente usa un método biométrico (como la huella digital o el reconocimiento facial) o un PIN local en su dispositivo.

Por ejemplo, si un usuario quiere entrar a su cuenta de Google desde un navegador, puede usar su huella digital en el celular para verificar su identidad, sin necesidad de escribir un password. Esto no sólo es más cómodo, sino que reduce el riesgo de hackeos por robo de claves.

A principios de mes, Microsoft anunció que todas las cuentas nuevas que creen sus usuarios (sea para usar el mail en Outlook, Office o cualquier servicio que requiera loguearse) van a usar passkeys por defecto. Es un movimiento que otros jugadores como Google y Apple ya están aplicando.

Acá, qué son, cómo funcionan, por qué convienen y cómo activarlas en un servicio.

La autenticación: suena simple, es complicada

Autenticar: decir «soy yo» en internet. Foto: Archivo

La autenticación es el proceso de verificar que un usuario es quien dice ser: cuando introducimos nuestro usuario y clave en el mail, por ejemplo, el sistema toma esa información como la confirmación de que nuestra identidad está autenticada y nos da acceso a leer los correos.

Si bien esta idea suena simple, es mucho más compleja en la práctica, en tanto el robo de cuentas es una constante. En 2024 se detectaron 1.700 millones de combinaciones de usuario y contraseña robadas circulando en foros de la dark web, según datos de FortiGuard Labs (Fortinet). Además, otro estudio reveló que el 59% de las contraseñas analizadas podrían ser descifradas en menos de una hora. Todo esto deposita al usuario frente a un riesgo permanente de lo que se conoce como account takeover, o robo de cuenta.

“A los fines prácticos, las llaves físicas o las passkeys son más seguras y prácticos que una contraseña. Es debatible la afirmación de ‘más seguro’, ya que siempre dependerá del contexto del usuario, pero haciendo una generalización, ha sido demostrado que es correcta”, explica a Clarín Iván Barrera Oro, “HacKan”, desarrollador de software especializado en ciberseguridad.

Por todo esto, Microsoft aplicó este cambio hacia las passkeys, que marca el pulso de la industria. “Este cambio no es aislado: Microsoft y otras organizaciones firmaron el ‘Passkey Pledge’, un compromiso global para impulsar la adopción de passkeys a lo largo del próximo año. La idea es avanzar hacia una experiencia de autenticación más segura, más simple y sin fricción, alineada con los estándares de la industria y con los principios de seguridad por defecto”, cuenta a Clarín Marcelo Felman, director de Ciberseguridad de Microsoft para América Latina.

Google también permite usar passkyes. Foto Google

El problema suele ser que los servicios que usamos no nos dan opción a la hora de elegir cómo iniciar sesión. Pero los grandes jugadores, Microsoft, Apple, Google, Amazon y Meta, ya lo están haciendo.

“Una passkey es una forma más segura y simple de comprobar que sos vos cuando iniciás sesión en una app o sitio web. Antes, para entrar a una cuenta necesitabas recordar y escribir una contraseña, algo que solo vos supuestamente sabías. El problema es que, si alguien más conseguía ese dato, podía hacerse pasar por vos. Las passkeys cambian eso: siguen siendo un “secreto”, pero vos no tenés que memorizarlo. Están protegidas por la seguridad de tu dispositivo y vinculadas a algo que solo vos tenés, como tu huella digital, tu cara o el PIN con el que desbloqueás el celular”, sigue Felman.

“Por ejemplo, en lugar de poner tu contraseña en una app de banco, simplemente usás tu cara para entrar, igual que cuando desbloqueás el teléfono. Así, nadie puede robarte la contraseña, porque no hay una escrita que puedan adivinar o filtrar. Es una forma moderna, más segura y más cómoda de identificarse”, ilustra.

En este sentido, y siempre recordando que la seguridad es un concepto relativo al uso y no absoluto, las passkeys son consideradas como más seguras en la industria. “No se pueden robar ni adivinar como una contraseña. Si alguien consigue tu contraseña, puede entrar a tus cuentas como si fuera vos. En cambio, las passkeys están protegidas por algo que no se puede copiar ni falsificar fácilmente, como tu huella digital, tu cara o el PIN con el que desbloqueás tu dispositivo. Nadie puede hacerse pasar por vos si no tiene acceso físico a tu dispositivo y, además, a tu forma única de desbloquearlo. Con contraseñas, cualquiera que sepa tu ‘secreto’ puede hacerse pasar por vos. Con passkeys, solo vos podés acceder, porque están ligadas a quién sos y al dispositivo que usás”, complementa.

¿Adiós passwords? El salto a las passkeys

Las filtraciones de claves son cada vez más comunes. Foto Shutterstock

En el escenario actual es difícil creer que las contraseñas desaparezcan de un día para otro. “Actualmente predomina el usuario+contraseña, con o sin segundo factor, y luego el login social [es decir, entrar usando las credenciales de Google, por ejemplo]. De a poco, las passkeys van ganando terreno. Algunos servicios ofrecen login con un solo factor, entregando un enlace único y exclusivo vía email, que es una buena alternativa a las contraseñas. Otros servicios, como Uber, permiten login sin contraseña vía SMS. Estamos hablando de un solo factor en ambos casos, dado que la industria está buscando la manera de reemplazar las contraseñas”, dice HackAn.

Por lo general, suele ser conveniente usar este método y empezar a dejar atrás las contraseñas. “En general los servicios no permiten elegir cómo iniciar sesión, pero de poderse, que sea vía enlace único y exclusivo vía email + llave física u otro segundo factor, que no sea contraseña, resulta muy práctico y muy seguro. La contraseña es vulnerable a phishing. Recientemente se probó que las passkeys también, pero en menor medida. Incluso ha habido vulnerabilidades que posibilitaron el phishing de llaves físicas, pero por fortuna son casos más aislados”, complementa HackAn.

Las “llaves físicas” se suelen utilizar para tener un segundo factor de autenticación a la hora de acceder a una cuenta personal, un paso extra de seguridad.

Así, hay una migración de la industria tecnológica hacia las passkeys. “La transición de contraseñas a passkeys va a ser progresiva pero firme. Microsoft ya anunció que todas las nuevas cuentas serán sin contraseña por defecto, utilizando passkeys como método predeterminado de autenticación. Es decir, las personas que creen una cuenta nueva ya no necesitarán establecer una contraseña: podrán iniciar sesión usando reconocimiento facial, huella digital o un PIN seguro, según el dispositivo. Para quienes ya tienen una cuenta, la opción de pasarse a passkeys ya está disponible. Será la forma recomendada de autenticarse, pero quienes prefieran seguir usando contraseñas podrán hacerlo por ahora”, dice Felman.

HackAn, sin embargo, pone algunos reparos: “Me parece una buena idea, aunque quizá un poco apresurada. Passkeys son una buena idea como concepto, y las contraseñas son siempre incómodas, por lo que ésta vía puede ser acertada. Sin embargo, es falso que las passkeys sean invulnerables, e incluso aún pueden no funcionar en muchísimos dispositivos. Yo tengo problemas en hacerlas funcionar en mi laptop, por ejemplo, por lo que espero que hagan una implementación adecuada que cuente con habilitación de otras vías de ingreso en caso de que passkey falle, o no esté disponible en el dispositivo en cuestión. Sí resulta positivo moverse en una dirección que nos permita relegar a las contraseñas a un segundo plano”, opina.

Felman, en un punto coincide: no hay bala de plata. “Ningún cambio tecnológico está exento de desafíos. Por eso hoy más que nunca, la cultura de la ciberseguridad y la resiliencia digital se han convertido en una prioridad estratégica. En la vida cotidiana, esto se refleja en cosas tan simples como mantener el software actualizado, elegir métodos de autenticación seguros y —sobre todo— capacitarse. Porque no se trata sólo de implementar nuevas herramientas, sino de acompañarlas con educación, conciencia y hábitos seguros. Solo así podemos construir un entorno digital más protegido para todos”, cierra.

Cómo configurar una passkey

El algoritmo RSA es uno de los cifrados más usados del mundo. Shutterstock

Si bien cada servicio tiene su forma, la mecánica suele ser similar y estar en las opciones de configuración de cuenta, debajo de la solapa “Seguridad». Acá, un ejemplo con Microsoft:

• Ingresá a https://myaccount.microsoft.com e iniciá sesión.

• Hacé clic en Seguridad > Opciones de seguridad avanzadas.

• Buscá la opción Agregar una clave de acceso (passkey).

• Elegí el método que querés usar (huella digital, reconocimiento facial o PIN).

• Seguí las instrucciones del navegador para registrar la passkey con tu dispositivo.

• Listo: ya podés usar esa passkey para iniciar sesión sin contraseña.

Una vez creada, conviene testear que funcione correctamente para evitar sorpresas.

• Cerrá sesión de tu cuenta Microsoft.

• Volvé a iniciar sesión en https://account.microsoft.com.

• Elegí la opción de usar clave de acceso (passkey) en lugar de ingresar la contraseña.

SL