Tienes 301 contraseñas. No las recuerdas todas —nadie las recuerda todas—, así que repites tres o cuatro variaciones y cruzas los dedos. Mientras tanto, más de dos tercios de las brechas de seguridad siguen empezando por lo mismo: una credencial robada o comprometida. Las contraseñas llevan décadas siendo el eslabón más débil de internet. Las passkeys son la tecnología que, por fin, tiene números reales para reemplazarlas.
Una passkey (clave de acceso) es una credencial digital basada en criptografía de clave pública que sustituye a la contraseña tradicional. En lugar de escribir una combinación de letras y números que un servidor almacena y puede ser robada, la passkey utiliza un par de claves criptográficas: una privada que nunca sale de tu dispositivo y una pública que se guarda en el servicio al que te conectas. Para iniciar sesión, tu dispositivo firma un desafío criptográfico usando la clave privada, verificada mediante tu huella dactilar, tu rostro o un PIN. No hay nada que memorizar, nada que teclear y nada que pueda ser interceptado por phishing.
Según datos de la FIDO Alliance publicados en mayo de 2025, el 69% de los usuarios ya tiene al menos una passkey configurada —frente al 39% de apenas dos años antes—, las passkeys alcanzan una tasa de éxito del 93% en inicio de sesión frente al 63% de los métodos tradicionales, y el 48% de los 100 sitios web más populares las soportan. Google informa de que más de 800 millones de cuentas las utilizan. Amazon superó los 175 millones de usuarios con passkey en su primer año. No es una promesa de futuro: es una migración en marcha.
¿Por qué las contraseñas son un problema tan grave?
El modelo de contraseñas tiene un defecto de diseño fundamental: depende de un secreto compartido. Tú sabes la contraseña, el servidor la almacena (o un hash de ella), y cualquiera que intercepte ese dato —por phishing, por una filtración de base de datos o por fuerza bruta— puede hacerse pasar por ti.
Los números son obstinados. El informe Cost of a Data Breach 2025 de IBM y Ponemon Institute cifra el coste medio de una brecha en 4,44 millones de dólares. La mayoría de esos incidentes comienzan con credenciales comprometidas. Y no es solo un problema técnico: casi la mitad de los consumidores reconoce haber abandonado una compra porque olvidó su contraseña. Las contraseñas son un problema de seguridad y de negocio.
La verificación en dos pasos (2FA) con SMS alivió algo la presión, pero ya no se considera suficiente. En 2025, Emiratos Árabes Unidos ordenó a todas sus instituciones financieras eliminar los códigos OTP por SMS antes de marzo de 2026. India sigue con plazo en abril. Filipinas, en junio. La Unión Europea avanza con su cartera de identidad digital para finales de año. La industria y los reguladores coinciden: hace falta algo mejor.
¿Cómo funcionan las passkeys por dentro?
La magia —que en realidad es criptografía bien aplicada— funciona así:
Cuando creas una passkey en un servicio compatible, tu dispositivo genera dos claves matemáticamente vinculadas. La clave privada se almacena en el enclave seguro de tu teléfono u ordenador (el chip especializado que protege datos biométricos y credenciales). La clave pública se envía al servidor del servicio.
Para iniciar sesión, el servidor envía un desafío aleatorio. Tu dispositivo lo firma con la clave privada —pero solo después de que te autentiques con huella, reconocimiento facial o PIN— y devuelve la firma. El servidor verifica esa firma con la clave pública que tiene almacenada. Si coincide, entras.
Lo fundamental: la clave privada nunca viaja por la red. No hay secreto compartido que robar. No hay base de datos de contraseñas que filtrar. Y la passkey está vinculada al dominio específico del servicio, lo que significa que un sitio de phishing que imite a tu banco no puede activarla. Es resistente al phishing por diseño, no por la prudencia del usuario.
Las passkeys están construidas sobre el estándar FIDO2, desarrollado por la FIDO Alliance (Fast IDentity Online) junto con el W3C. FIDO2 combina el protocolo WebAuthn —que permite a los navegadores comunicarse con autenticadores— y CTAP (Client to Authenticator Protocol), que gestiona la comunicación entre el dispositivo y las llaves de seguridad externas.
¿Dónde puedo usar passkeys ahora mismo?
La lista crece cada semana, pero las plataformas principales ya están dentro.
Sistemas operativos. Apple soporta passkeys desde iOS 16 y macOS Ventura, sincronizándolas a través de iCloud Keychain. Google las integró en Android y Chrome con sincronización mediante Google Password Manager. Microsoft las activó como opción predeterminada para nuevas cuentas en mayo de 2025, lo que provocó un aumento del 120% en su uso.
Servicios y apps. Google, Apple, Amazon, PayPal, WhatsApp, TikTok, eBay, GitHub, Shopify, Adobe, Nintendo, PlayStation y docenas más ya permiten iniciar sesión con passkey. Facebook lanzó soporte en 2025 tanto en la app como en Messenger.
Gestores de contraseñas. Dashlane, 1Password, Bitwarden y el propio Google Password Manager permiten almacenar y sincronizar passkeys entre dispositivos. Dashlane reporta que las autenticaciones con passkey se duplicaron interanualmente hasta alcanzar 1,3 millones mensuales, con un 40% de sus usuarios almacenando al menos una.
¿Puedo usar passkeys en varios dispositivos?
Esta era una de las barreras más importantes, y ya está resuelta en gran medida.
Las passkeys sincronizadas (synced passkeys) se replican automáticamente entre todos los dispositivos vinculados a tu cuenta de Apple, Google o gestor de contraseñas. Si creas una passkey en tu iPhone, estará disponible en tu Mac, iPad y cualquier otro dispositivo con tu Apple ID. Lo mismo ocurre con el ecosistema de Google y con gestores como 1Password o Dashlane.
Para situaciones donde necesitas usar un dispositivo ajeno —el ordenador de un amigo, por ejemplo—, puedes escanear un código QR con tu teléfono para autenticarte sin transferir la passkey al dispositivo temporal.
Además, la FIDO Alliance está desarrollando el Credential Exchange Protocol (CXP), un estándar que permitirá mover passkeys entre gestores de contraseñas de distintos proveedores. En 2026, las implementaciones en 1Password y Bitwarden ya están en marcha. El objetivo: que cambiar de ecosistema no signifique perder tus credenciales, igual que cambiar de operador de móvil no te hace perder tu número.
Passkeys vs. contraseñas vs. 2FA: ¿qué gana?
La comparación directa no deja mucho margen de duda.
Una contraseña puede ser adivinada, reutilizada, filtrada en una brecha, capturada por phishing o robada mediante ingeniería social. Una passkey no puede ser ninguna de esas cosas, porque el secreto nunca sale del dispositivo y está vinculado al dominio legítimo.
La verificación en dos pasos con SMS añade una capa de protección, pero es vulnerable al SIM swapping (duplicar tu tarjeta SIM) y al phishing en tiempo real (el atacante te pide el código y lo usa al instante). Las passkeys ofrecen autenticación multifactor en un solo gesto: algo que tienes (tu dispositivo) más algo que eres (tu biometría) o algo que sabes (tu PIN).
Los datos respaldan la diferencia. Google reporta que los inicios de sesión con passkey son cuatro veces más exitosos que con contraseña. TikTok alcanza una tasa de éxito del 97%. HubSpot registró inicios de sesión cuatro veces más rápidos y un 25% de mejora en la tasa de éxito tras implementar passkeys.
¿Son seguras las passkeys? Riesgos y matices
Ninguna tecnología es invulnerable, y las passkeys tienen sus propios puntos de atención.
El riesgo más evidente es la pérdida del dispositivo. Si pierdes el teléfono donde están tus passkeys y no tienes sincronización activada ni un método de recuperación configurado, puedes quedarte fuera de tus cuentas. La solución: usar passkeys sincronizadas o tener una segunda passkey registrada en un dispositivo diferente. Algunos servicios también permiten recuperación mediante correo electrónico o llave de seguridad física (como YubiKey).
Otro punto es la confianza en el proveedor de sincronización. Si usas iCloud Keychain o Google Password Manager para sincronizar tus passkeys, dependes de la seguridad de esos servicios. Es un riesgo real, aunque las passkeys están cifradas de extremo a extremo, lo que significa que ni Apple ni Google pueden leer tus claves privadas.
También existe la cuestión de la adopción incompleta. Aunque la lista de servicios compatibles crece rápidamente, muchos sitios todavía no ofrecen passkeys. Durante la transición, necesitarás mantener contraseñas para algunos servicios. La buena práctica es combinar passkeys con un gestor de contraseñas robusto para cubrir ambos escenarios.
¿Cómo configuro mi primera passkey?
El proceso es más sencillo de lo que parece. Te lo muestro con Google, pero el flujo es similar en la mayoría de servicios.
Accede a tu cuenta de Google y busca la sección de seguridad. Dentro de las opciones de inicio de sesión verás «Passkeys» o «Claves de acceso». Pulsa en crear una nueva. Tu dispositivo te pedirá que te autentiques con tu método habitual (huella, Face ID, PIN de pantalla). En unos segundos, la passkey estará creada y sincronizada.
La próxima vez que inicies sesión en Google desde cualquier dispositivo vinculado, te ofrecerá usar la passkey. Un toque en el sensor de huellas o una mirada a la cámara, y estás dentro. Sin escribir nada.
Para servicios como Amazon, PayPal o WhatsApp, el proceso es similar: ve a los ajustes de seguridad de tu cuenta, busca la opción de passkey o clave de acceso, y sigue las instrucciones. La mayoría lo resuelve en menos de un minuto.
¿Qué viene después? El horizonte de las passkeys en 2026
Tres tendencias están acelerando la adopción.
La primera es la presión regulatoria. Los plazos son concretos: Emiratos Árabes, marzo 2026; India, abril; Filipinas, junio; UE, finales de año. Las instituciones financieras de estas regiones están migrando activamente de SMS OTP a autenticación resistente al phishing, y las passkeys son la opción más madura.
La segunda es la portabilidad entre ecosistemas. Con el Credential Exchange Protocol de la FIDO Alliance madurando y Apple introduciendo importación y exportación de passkeys en iOS 26, la barrera del «lock-in» de plataforma se desvanece. Pronto podrás mover tus passkeys de iCloud a Bitwarden o viceversa con la misma facilidad con la que exportas un archivo.
La tercera es el empuje empresarial. Según la FIDO Alliance y HID, el 87% de las empresas encuestadas ya ha desplegado o está desplegando passkeys, 14 puntos más que en 2022. El uso de contraseñas cae un 26% tras la implementación. El argumento ya no es solo seguridad: es ahorro en soporte técnico, menos reseteos y empleados más productivos.
Microsoft lo resumió con una declaración clara de su CEO de Dashlane, John Bennett: cero contraseñas debería ser el objetivo, y estamos avanzando hacia un punto donde la contraseña empieza a desaparecer. Quizá no mañana. Pero la dirección ya no tiene marcha atrás.
Preguntas frecuentes sobre passkeys
¿Las passkeys son gratuitas? Sí. Crear y usar passkeys no tiene coste. Los sistemas operativos (iOS, Android, Windows, macOS) las soportan de forma nativa, y los servicios web las ofrecen como opción de inicio de sesión sin cargo adicional.
¿Necesito un dispositivo nuevo para usar passkeys? No necesariamente. Cualquier dispositivo con iOS 16+, Android 9+, Windows 10/11 o macOS Ventura+ y un método de autenticación biométrica o PIN soporta passkeys. La mayoría de los teléfonos y ordenadores de los últimos cuatro o cinco años son compatibles.
¿Qué pasa si pierdo mi teléfono? Si tienes sincronización activada (iCloud Keychain, Google Password Manager), tus passkeys estarán disponibles en tus otros dispositivos. Si registras una passkey de respaldo en una llave física o en un segundo dispositivo, tendrás un acceso alternativo.
¿Puedo seguir usando contraseña si tengo passkey? Sí. La mayoría de servicios mantienen la contraseña como método alternativo durante la transición. Pero algunos, como Microsoft, ya están haciendo de la passkey la opción predeterminada para cuentas nuevas.
¿Las passkeys funcionan en todos los navegadores? Chrome, Safari, Edge y Firefox soportan passkeys a través de WebAuthn. La compatibilidad es amplia en escritorio y móvil.
¿Un sitio de phishing puede robar mi passkey? No. Las passkeys están vinculadas criptográficamente al dominio del servicio legítimo. Si un atacante crea una copia falsa de la web de tu banco, la passkey simplemente no se activa. Es resistente al phishing por diseño.