Las contraseñas han sido durante mucho tiempo la forma estándar de acceder a correos, redes sociales, bancos y servicios en línea. Sin embargo, también se han convertido en uno de los eslabones más débiles de la seguridad digital. Muchas personas reutilizan la misma contraseña en varias cuentas, optan por claves fáciles de adivinar o caen en sitios falsos que imitan a servicios legítimos para robar sus datos.
En este contexto, surgen las passkeys, también conocidas como llaves de acceso. Estas permiten iniciar sesión sin necesidad de escribir una contraseña. En lugar de eso, el usuario confirma su identidad desbloqueando su propio dispositivo: ya sea con una huella dactilar, reconocimiento facial, un PIN, un patrón o una llave de seguridad física.
Qué son las passkeys
Una passkey es una credencial digital que reemplaza a la contraseña tradicional. No es una clave que el usuario deba recordar, copiar o escribir en un sitio web.
Cuando se crea una passkey, el sistema genera dos claves: una pública, que se asocia al servicio donde tienes la cuenta, y una privada, que se mantiene protegida en tu dispositivo o en un gestor de contraseñas compatible.
Al intentar iniciar sesión, el servicio verifica que tu dispositivo tenga la llave correcta, sin que tengas que enviar una contraseña. Además, tu huella, tu rostro o tu PIN no se comparten con el sitio web: solo se utilizan para desbloquear el dispositivo localmente.
Por qué las passkeys son más seguras que una contraseña
La gran ventaja de las passkeys es que ayudan a minimizar el riesgo de phishing.
Protección frente al phishing
Si un estafador crea una página falsa que imita a tu banco, correo o red social, puede intentar engañarte para que ingreses tu contraseña. Sin embargo, una passkey está vinculada al sitio legítimo donde fue creada, lo que significa que no debería funcionar en una web falsa.
Una credencial única para cada cuenta
Además, evitan otro problema común: la reutilización de la misma contraseña en diferentes servicios. Cada passkey es única para cada cuenta, así que si hay una filtración en un sitio, no se puede usar esa misma credencial en otros lugares.
En la práctica, esto las hace mucho más difíciles de robar, reutilizar o interceptar en comparación con una contraseña tradicional.
Dónde conviene activar las passkeys primero
Si un servicio te permite usar passkeys, es una buena idea comenzar por las cuentas más importantes:
- Tu correo electrónico principal.
- Cuenta de Google, Apple o Microsoft.
- Gestores de contraseñas.
- Banca online o servicios financieros, si lo permiten.
- Redes sociales importantes.
- Servicios en la nube.
- Tiendas online donde guardas métodos de pago.
El correo electrónico debe ser una prioridad
El correo electrónico merece una atención especial, ya que a menudo es la puerta de entrada para recuperar muchas otras cuentas. Si alguien logra acceder a tu correo, puede intentar restablecer contraseñas, recibir códigos de verificación o incluso hacerse pasar por ti ante terceros.
Cómo se activan las passkeys
El proceso varía según el servicio, pero generalmente lo encontrarás en la sección de seguridad, métodos de inicio de sesión, passkeys o llaves de acceso.
El sistema te pedirá que confirmes tu identidad y que crees la passkey utilizando el desbloqueo de tu dispositivo. Luego, cuando vuelvas a iniciar sesión, podrás acceder sin necesidad de escribir una contraseña.
Si el servicio lo permite, es aconsejable tener más de una opción de acceso o recuperación, como una passkey en tu móvil y otra en tu ordenador.
Precauciones al usar passkeys
Las passkeys son más seguras, pero no eliminan todos los riesgos. Un estafador aún puede intentar engañarte por teléfono, WhatsApp, correo electrónico o redes sociales.
No crees passkeys siguiendo instrucciones de terceros
Nunca crees una passkey siguiendo las instrucciones de alguien que te llama diciendo ser del banco, soporte técnico o una empresa conocida. Además, evita escanear códigos QR de inicio de sesión si no eres tú quien ha iniciado el proceso desde una página oficial.
También es recomendable no crear passkeys en ordenadores públicos, dispositivos compartidos o equipos que no controlas.
Qué pasa si pierdes el móvil
Si tus passkeys están sincronizadas con un gestor seguro, como los sistemas de Apple, Google, Microsoft u otros gestores compatibles, generalmente podrás recuperarlas al iniciar sesión en un nuevo dispositivo.
Sin embargo, es crucial proteger bien la cuenta principal donde se almacenan esas passkeys y mantener actualizados los métodos de recuperación, como el correo alternativo o el número de teléfono.
Para cuentas que son especialmente sensibles, puede ser una buena idea tener una llave de seguridad física o un método alternativo de acceso.
Consejo de InfoEstafas:
Las passkeys no reemplazan el sentido común, pero pueden ayudar a reducir uno de los riesgos más comunes en Internet: el robo de contraseñas.
Si una cuenta importante ya permite activarlas, especialmente el correo, redes sociales, servicios en la nube o plataformas financieras, definitivamente vale la pena considerarlo.
La mejor protección sigue siendo combinar varias medidas: usar passkeys cuando estén disponibles, crear contraseñas únicas donde aún sean necesarias, habilitar la autenticación de dos factores, mantener los dispositivos actualizados y tener mucha precaución ante mensajes urgentes, enlaces sospechosos o llamadas inesperadas.
Fuentes consultadas
- FIDO Alliance, información oficial sobre passkeys y autenticación sin contraseña.
- Google for Developers, documentación sobre passkeys y protección frente al phishing.
- Apple Support, información sobre passkeys e iCloud Keychain.
- Microsoft Support, explicación sobre qué son las passkeys.
- National Cyber Security Centre, guía sobre passkeys.
- NIST, Digital Identity Guidelines.
- INCIBE, recomendaciones sobre contraseñas seguras y autenticación.
Sobre el autor
Joan Torras es fundador de InfoEstafas.com y responsable editorial del proyecto. Redacta y revisa contenidos sobre estafas online, fraudes digitales y prevención en internet.
