Press ESC to close

Adiós a las contraseñas: cómo empezar con passkeys, evitar bloqueos y elegir el método adecuado

Adiós a las contraseñas: cómo empezar con passkeys, evitar bloqueos y elegir el método adecuado

Por qué todos hablan de passkeys

Las contraseñas cumplieron su función durante décadas, pero hoy generan cansancio, fallos y riesgos. Se filtran, se reutilizan y se roban con phishing a diario. Las passkeys llegan para cambiar el guion: inicios de sesión más rápidos, sin contraseñas que recordar y con phishing prácticamente imposible. Si ya has visto el botón “Usar passkey” al iniciar sesión, es que el cambio está en marcha.

Este artículo te guía para activar passkeys con cabeza, elegir el método que encaja contigo y, sobre todo, evitar quedarte fuera de tus cuentas. Lo haremos con lenguaje claro, pasos concretos y sin tecnicismos innecesarios.

Qué es una passkey (sin jerga)

Una passkey es una credencial segura que tu dispositivo crea para cada servicio. En vez de escribir una contraseña, confirmas tu identidad con huella, rostro o PIN del dispositivo, y listo. La web o app verifica una “firma” digital y te deja pasar. No hay nada que un atacante pueda adivinar o pescar por correo.

Cómo funciona por dentro, explicado simple

Cada passkey tiene dos piezas: una queda en tu dispositivo (es secreta) y la otra la guarda el servicio (es pública). Cuando inicias sesión, el servicio te lanza un desafío y tu dispositivo lo firma con la parte secreta. Si encaja con la pública, acceso concedido. Este mecanismo se basa en estándares abiertos como WebAuthn y cifra moderna, pero tú solo ves un “Desbloquea para entrar”.

Lo que cambia respecto a contraseñas, SMS y apps de códigos

  • No hay texto que recordar ni escribir. Confirmas con tu método de desbloqueo.
  • Resiste el phishing. La passkey “sabe” para qué sitio se creó. Si te engañan con una copia falsa, no funcionará.
  • Menos fricción. Nada de escribir códigos de 6 dígitos o esperar SMS.
  • Autenticación fuerte por diseño. No necesitas sumar capas confusas porque la base ya es sólida.

Tipos de passkeys y cuál te conviene

No todas las passkeys se gestionan igual. Elegir bien reduce riesgos y evita líos el día que cambies de móvil.

1) Passkeys sincronizadas con tu ecosistema (móvil y nube del fabricante)

Las más comunes. Tu móvil crea la passkey y la sincroniza de forma cifrada con la nube del proveedor (por ejemplo, el llavero del teléfono). Así la tienes también en tu tablet o portátil del mismo ecosistema.

  • Ventajas: rápida configuración, funciona en varios dispositivos tuyos, login fluido con QR o Bluetooth en equipos cercanos.
  • Riesgos a vigilar: depender de una sola nube; proceso de recuperación si pierdes acceso a la cuenta principal (correo, móvil, métodos de recuperación).
  • Para quién: la mayoría de personas que usan un móvil principal y un portátil o tablet.

2) Gestores de contraseñas que ya soportan passkeys

Algunos gestores conocidos integran passkeys para que todo quede en un solo lugar. Su atractivo es la multiplataforma: puedes saltar entre sistemas y marcas con mayor facilidad.

  • Ventajas: un único “cerebro” para credenciales; migraciones más simples entre dispositivos y sistemas distintos.
  • Riesgos a vigilar: confía solo en gestores reputados y activa la verificación en dos pasos; revisa opciones de backup y recuperación familiar.
  • Para quién: quien ya usa un gestor y alterna entre Windows, macOS, Android y/o iOS.

3) Llaves de seguridad físicas compatibles

Dispositivos como una “memoria” USB/NFC que guarda tus passkeys. Son muy robustas, ideales para perfiles de alto riesgo (periodismo, administración de sistemas, criptoactivos, cuentas críticas).

  • Ventajas: independencia de nubes, seguridad muy alta, útiles en entornos corporativos o con normativa estricta.
  • Riesgos a vigilar: perder la llave sin copia de seguridad; compatibilidad (USB-A/C, NFC, Lightning) y logística de llevarla.
  • Para quién: personas y equipos con necesidades elevadas de seguridad y procedimientos claros.

Primeros pasos: activa tu primera passkey sin drama

Te propongo una ruta segura y gradual. No migres todo de golpe. Empieza por una cuenta “a medias” (no crítica) y ensaya.

Paso 1: revisa tus dispositivos

  • Actualiza sistema y navegador para tener soporte de passkeys al día.
  • Activa bloqueo de pantalla con huella, rostro o PIN robusto.
  • Comprueba que el Bluetooth funciona (sirve para inicios de sesión “cercanos” desde el móvil al ordenador).

Paso 2: prepara métodos de recuperación

  • Asegura tu correo principal con autenticación fuerte (idealmente también con passkey si está disponible).
  • Guarda códigos de recuperación en un lugar seguro (caja fuerte física o gestor cifrado).
  • Si usarás llave física, compra dos y configura ambas. Guarda una fuera de casa.

Paso 3: crea tu primera passkey

Elige un servicio que ya use passkeys. En su configuración de seguridad, busca “passkey” o “clave de acceso”. Sigue el asistente: normalmente te pedirá desbloquear el móvil y, si estás en el ordenador, aparecerá un QR. Escanéalo, confirma con huella o rostro, y listo.

Paso 4: prueba el inicio de sesión cercano

Cierra sesión en el ordenador y vuelve a entrar con “Usar passkey”. El sitio te mostrará un QR o detectará tu móvil por Bluetooth. Desbloquea el móvil y confirma. Observa lo rápido que es.

Paso 5: añade un “plan B”

Si el servicio lo permite, registra una segunda passkey: otra en tu tablet o una llave física. Así no dependes de un único dispositivo.

Migración ordenada: qué pasar a passkeys y en qué orden

No todas las cuentas pesan lo mismo. Prioriza según daño potencial si perdieras acceso.

  • Nivel 1: correo principal, almacenamiento en la nube y cuentas con pagos.
  • Nivel 2: redes sociales, desarrollador (repositorios), herramientas de trabajo.
  • Nivel 3: foros, servicios de lectura, cuentas temporales.

Para cada cuenta, activa passkeys sin eliminar aún tus métodos actuales. Prueba inicio de sesión en dos dispositivos. Cuando veas que funciona, considera retirar SMS como segundo factor (es el más débil). Si el servicio ofrece TOTP (app de códigos) como respaldo, mantenlo activo junto a la passkey mientras migras.

Qué hacer si un sitio no soporta passkeys todavía

  • Usa una contraseña única y robusta generada por tu gestor.
  • Activa autenticación en dos pasos con app de códigos antes que SMS.
  • Apunta en una lista qué servicios revisar cada 3-6 meses para añadir passkeys cuando lo permitan.

Recuperación: cómo no quedarte fuera

La seguridad útil es la que contempla errores, pérdidas y robos. Define tu protocolo de “día malo” para dormir tranquilo.

Si pierdes o rompes el móvil

  • Accede desde un dispositivo de confianza donde también tengas tus passkeys (por sincronización).
  • Si no es posible, usa la segunda passkey (otra en la tablet o una llave física).
  • Recurre a códigos de recuperación del servicio. Por eso conviene guardarlos en papel o en un gestor cifrado independiente.
  • Restaura tu copia de seguridad del móvil y elimina las passkeys del dispositivo perdido desde el panel de tu cuenta.

Si pierdes una llave física

  • Usa la llave de repuesto inmediatamente para seguir operando.
  • Revoca la llave perdida en cada servicio donde estaba registrada.
  • Compra una nueva llave y regístrala como segundo factor de nuevo.

Si cambias de ecosistema

  • Mientras tienes ambos dispositivos, registra la passkey de tus cuentas en el nuevo ecosistema (o en tu gestor multiplataforma).
  • Solo cuando verifiques que todo inicia bien, desvincula el dispositivo viejo.

Privacidad y seguridad: lo que se comparte y lo que no

Un miedo común: “Si uso passkeys, ¿sabrán más de mí?”. Al autenticar, tu dispositivo no comparte tu huella ni tu rostro. Solo usa ese desbloqueo local para autorizar la firma. El servicio recibe una prueba criptográfica, no datos biométricos. Además, la passkey está vinculada al dominio correcto, lo que impide su uso en sitios falsos.

Tu modelo de amenazas, tu configuración

  • Uso personal estándar: passkeys sincronizadas con tu móvil y un buen bloqueo de pantalla son más que suficientes, con un segundo método de respaldo.
  • Riesgo alto: añade llaves físicas, desactiva SMS, documenta procedimientos y usa dos administradores de seguridad en cuentas críticas.
  • Entorno familiar: configura grupos familiares en el gestor o ecosistema para ayudar en recuperaciones sin compartir demasiados permisos.

Trabajo y empresa: passkeys sin fricciones para equipos

En entornos profesionales, las passkeys encajan con inicio de sesión único y políticas centralizadas. La clave está en combinar facilidad para el personal con controles de TI.

Buenas prácticas en equipos

  • Dos métodos por persona: por ejemplo, una passkey en el portátil corporativo y una llave física de respaldo.
  • Gestión del ciclo de vida: alta, baja y rotación de llaves al cambiar de rol o dispositivo.
  • Segmentación: permisos mínimos necesarios y auditoría de accesos.
  • Concienciación: entrenar en inicios cercanos, uso de QR y qué hacer ante pérdida.

Compatibilidad y adopción progresiva

Introduce passkeys primero en aplicaciones internas críticas y en cuentas administrativas. Después, expándelas a herramientas de productividad. Mantén una ventana con métodos tradicionales (TOTP) durante la transición.

Cómo se ve el inicio de sesión en el día a día

En el móvil

Abres la app o la web, el sistema te pide desbloquear y entras. Nada de teclear. Si cambias de navegador, seguirá funcionando porque la passkey vive en el sistema.

Del móvil al ordenador

Quieres entrar en el portátil. Pulsas “Usar passkey”, aparece un QR, lo escaneas con el móvil y confirmas con huella. El móvil y el navegador se entienden por Bluetooth de baja energía para verificar que están uno junto a otro. Rápido y seguro.

En el trabajo con llave física

Conectas la llave o la acercas por NFC, pulsas el botón táctil y accedes. Si hay políticas de empresa, puede pedirse además un PIN de la propia llave. Sencillo, repetible, auditable.

Errores típicos y cómo evitarlos

  • Depender de un único dispositivo. Añade siempre un segundo método (otra passkey o llave).
  • Olvidar los códigos de recuperación. Guárdalos al crearlos. No esperes al día del problema.
  • Desactivar TOTP demasiado pronto. Mantén un respaldo mientras verificas que passkeys te funciona en todos tus dispositivos.
  • Confundir dominios. Accede desde marcadores o escribe la dirección; no sigas enlaces dudosos. Aunque las passkeys resistan phishing, conviene consolidar hábitos.
  • No actualizar. Sistema y navegador al día corrigen errores y mejoran la experiencia de passkeys.

Preguntas frecuentes resueltas rápido

¿Puedo usar una passkey en varios dispositivos?

Sí, si la gestionas en un ecosistema con sincronización o en un gestor compatible. También puedes registrar varias passkeys para la misma cuenta: una por dispositivo o una llave física extra.

¿Y si no quiero usar biometría?

Puedes usar el PIN o contraseña local del dispositivo. La biometría no sale del aparato: solo desbloquea la clave.

¿Las passkeys sustituyen la verificación en dos pasos?

En muchos casos, sí. La propia passkey ya es un factor fuerte y resistente a phishing. Algunos servicios, no obstante, permiten mantener otro factor como respaldo.

¿Son compatibles con mis contraseñas guardadas?

Sí. Puedes convivir con ambas mientras migras. Verás las dos opciones al iniciar sesión en sitios compatibles.

¿Y si compartimos una cuenta familiar?

Lo mejor es que cada persona registre su propia passkey en la misma cuenta, si el servicio lo permite. Evitas pasar códigos por mensajería y reduces bloqueos.

Checklist de adopción en 30 minutos

  • Actualiza tu móvil y navegador del ordenador.
  • Activa bloqueo de pantalla seguro.
  • Elige una cuenta no crítica y crea tu primera passkey.
  • Prueba el inicio con QR desde el ordenador.
  • Añade una segunda passkey o una llave física.
  • Guarda códigos de recuperación.
  • Repite en tu correo principal cuando te sientas cómodo.

¿Qué cambia para internet cuando quitamos contraseñas?

La gran promesa es una red con menos fricción y menos robo masivo de credenciales. Las bases de datos con millones de contraseñas pierden valor porque ya no hay contraseñas que robar. Los ataques migran a otros puntos (suplantación telefónica, ingeniería social avanzada), pero el vector más fácil queda cerrado.

Para empresas, la atención baja en “resetear contraseñas” y sube en diseñar recuperaciones claras y seguras, en especial para personas con menos pericia digital. Para la sociedad, es un paso de inclusión: menos requisitos de memoria, flujos más accesibles, menos barreras de entrada.

Pequeñas decisiones que marcan la diferencia

Elige bien tu PIN

La biometría falla a veces (guantes, poca luz). Tu PIN es el respaldo. Evita fechas y secuencias obvias. Un PIN robusto hace más fuerte todo tu esquema.

Activa avisos de seguridad

En tus cuentas principales, activa notificaciones cuando se registre una nueva passkey o haya inicio desde un dispositivo nuevo. Es tu alarma temprana.

Haz “ensayos de emergencia”

Una vez al trimestre, intenta iniciar sesión con tu método de respaldo. Mejor descubrir un fallo en un momento tranquilo que durante un viaje o cierre de trimestre.

Cómo evaluar si un sitio implementó bien passkeys

  • Claridad en interfaz: opciones visibles de añadir y quitar passkeys; aviso y nombre del dispositivo registrado.
  • Respaldo documentado: códigos de recuperación, posibilidad de añadir más de una passkey.
  • Compatibilidad: funciona en móvil y ordenador sin obligarte a un navegador concreto.
  • Dominio correcto: al crear la passkey, el navegador muestra el dominio real y el tipo de dispositivo que firma.

Si te dedicas a crear contenido o manejar finanzas

Perder un canal o una cuenta de pagos duele. Refuerza estos puntos:

  • Para redes y plataformas de vídeo, registra passkeys en el ordenador principal y en un móvil de respaldo.
  • En pasarelas de pago y banca, evita SMS; prioriza passkeys y TOTP. Documenta un protocolo personal de pérdida/robo.
  • Si trabajas con colaboradores, no compartas contraseñas. Usa funciones de acceso delegado o añade la passkey de cada persona con permisos limitados.

¿Y dentro de cinco años?

La tendencia es clara: más sitios con passkeys por defecto, menos campos de “contraseña”. Veremos mejores herramientas para compartir acceso temporal sin revelar credenciales, y flujos más amables para recuperaciones complejas. Lo importante es que tú ya puedes aprovecharlo hoy con pasos pequeños, seguros y reversibles.

Resumen:

  • Las passkeys eliminan contraseñas visibles y resisten el phishing por diseño.
  • Elige entre passkeys sincronizadas, gestor multiplataforma o llaves físicas según tu perfil.
  • Empieza con una cuenta secundaria, añade un segundo método y guarda códigos de recuperación.
  • Migra por niveles: correo y pagos primero; redes y trabajo después.
  • Evita depender de un único dispositivo y ensaya tu plan de emergencia.
  • En equipos, combina facilidad de uso con políticas claras y dos métodos por persona.

Referencias externas:

Berythium

Modelos: gpt-5 + dall-e 2

Estupidéz Artificial es un proyecto experimental de generación de un blog empleando OpenAI
(Revisión humana posterior).