- Las passkeys sustituyen a las contraseñas usando criptografía de clave pública y biometría, reduciendo drásticamente el phishing y el robo de credenciales.
- Su adopción se dispara: grandes plataformas como Google, Apple, Microsoft, Amazon o TikTok ya las usan de forma masiva y las ofrecen por defecto.
- La sincronización entre dispositivos y los estándares FIDO2 y CXP facilitan usarlas en móviles, ordenadores y gestores de contraseñas sin perder control.
- La presión regulatoria y el empuje de las empresas en Europa y el resto del mundo están acelerando el abandono progresivo de la contraseña tradicional.
En el día a día digital, la mayoría de personas convive con cientos de contraseñas distintas, versiones parecidas de las mismas combinaciones y un goteo constante de formularios de “he olvidado mi clave”. Mientras tanto, la estadística se mantiene tozuda: más de dos tercios de las brechas de seguridad siguen empezando por unas credenciales robadas o comprometidas. El modelo clásico de usuario y contraseña se ha convertido en el eslabón más débil de la cadena.
En ese contexto irrumpen las passkeys (claves de acceso), una tecnología que por primera vez presenta cifras reales para reemplazar la contraseña y no solo “reforzarla”. No se trata de un concepto futurista ni de una promesa lejana: su soporte ya está integrado en los principales sistemas operativos, navegadores y servicios online, y la migración está en plena marcha tanto a nivel global como en Europa.
Qué es exactamente una passkey y qué problema resuelve
Una passkey es una credencial digital basada en criptografía de clave pública que sustituye a la contraseña de toda la vida. En lugar de almacenar en un servidor una cadena de caracteres que puede ser robada, el sistema funciona con un par de claves criptográficas: una privada, que nunca sale de tu dispositivo, y una pública, que se guarda en el servicio al que te conectas.
Cuando quieres iniciar sesión, el servidor envía un desafío aleatorio y tu dispositivo lo firma con la clave privada después de que te identifiques con tu huella, tu cara o un PIN. Esa firma se verifica con la clave pública almacenada en el servicio. No hay nada que recordar ni teclear, y el secreto que da acceso a tu cuenta nunca viaja por la red, de modo que no puede ser capturado mediante phishing ni extraído de una base de datos filtrada.
El enfoque rompe con el defecto de diseño de las contraseñas, que dependen de un secreto compartido entre usuario y servidor. Tú conoces la clave, el proveedor la almacena (o almacena un hash) y cualquier atacante que consiga ese dato puede hacerse pasar por ti. Con passkeys, el servidor ya no guarda “tu secreto”, solo una clave pública que por sí sola no permite suplantarte.
Además, cada passkey está asociada criptográficamente al dominio legítimo del servicio. Esto implica que, aunque un atacante clone la web de tu banco, la clave de acceso no se activará porque el dominio no coincide. La protección frente al phishing no depende tanto de la prudencia del usuario como del propio diseño técnico del sistema.
La base técnica: FIDO2, WebAuthn y autenticación sin contraseña
Las passkeys se apoyan en el estándar FIDO2, impulsado por la FIDO Alliance (Fast IDentity Online) junto con el W3C. FIDO2 integra dos piezas clave: WebAuthn, que permite a los navegadores comunicarse de forma segura con autenticadores, y el protocolo CTAP (Client to Authenticator Protocol), que gestiona la interacción entre el dispositivo y llaves de seguridad externas u otros autenticadores.
En la práctica, cuando creas una passkey tu móvil u ordenador genera dos claves matemáticamente vinculadas. La clave privada se guarda en un enclave seguro del dispositivo (el chip que protege datos biométricos y credenciales sensibles) y la clave pública se envía al servicio. A partir de ahí, cada inicio de sesión es un intercambio de desafíos firmados criptográficamente y verificados, en lugar del envío de una contraseña.
Este enfoque permite que la passkey actúe de facto como un método multifactor en un solo gesto: el “algo que tienes” es el dispositivo donde reside la clave privada, y el “algo que eres o sabes” es la biometría o el PIN con el que desbloqueas ese dispositivo. No hay SMS, ni códigos temporales que copiar, ni aplicaciones extra que gestionar.
La arquitectura FIDO2 también se integra con llaves de seguridad físicas (tipo YubiKey), que pueden funcionar como autenticadores adicionales o de respaldo. En entornos corporativos y administrativos en Europa, esta combinación de passkeys y hardware dedicado está ganando peso por su robustez frente a ataques dirigidos.
Adopción en cifras: de promesa a uso masivo
Los datos muestran que las passkeys han dejado de ser un experimento. Según cifras de la FIDO Alliance publicadas en 2025, el 69% de los usuarios ya tiene al menos una passkey configurada, frente al 39% de apenas dos años antes. Es un salto considerable que refleja un cambio de hábito acelerado en relativamente poco tiempo.
La tasa de éxito en el inicio de sesión es otro indicador relevante: las passkeys alcanzan un 93% de inicios satisfactorios, frente al entorno del 63% de los métodos tradicionales con contraseña y segundo factor. Empresas tecnológicas que han integrado esta opción hablan de inicios de sesión hasta cuatro veces más rápidos y con menos abandonos en mitad del proceso.
En el plano de los grandes servicios, Google informa de que más de 800 millones de cuentas ya usan passkeys. Amazon superó los 175 millones de usuarios con esta tecnología en su primer año desde que la habilitó. Plataformas como TikTok reportan tasas de éxito cercanas al 97%, y herramientas B2B como HubSpot han registrado incrementos del 25% en la tasa de inicio de sesión completado tras implementar claves de acceso.
Otro dato significativo es la presencia en la web: cerca de la mitad de los 100 sitios más visitados del mundo ya soportan passkeys. La cifra sigue creciendo semana a semana, impulsada tanto por presión competitiva como por exigencias regulatorias que van orientando a soluciones resistentes al phishing.
Dónde puedes usar passkeys hoy: sistemas, apps y Europa en el mapa
En la práctica, el principal freno ya no es tanto la tecnología como la visibilidad para el usuario. Los grandes ecosistemas han dado el paso y ofrecen passkeys de forma nativa. Apple las soporta desde iOS 16 y macOS Ventura y las sincroniza a través de iCloud Keychain, mientras que Google las integra en Android y Chrome usando su propio gestor integrado. Microsoft ha ido más allá y las ha establecido como opción predeterminada para nuevas cuentas desde mayo de 2025.
En cuanto a servicios concretos, la lista incluye a Google, Apple, Amazon, PayPal, WhatsApp, TikTok, eBay, GitHub, Shopify, Adobe, Nintendo y PlayStation, entre muchos otros. Redes sociales como Facebook también han desplegado soporte tanto en la aplicación principal como en Messenger, lo que acerca esta tecnología a perfiles de usuario mucho menos técnicos.
Los gestores de contraseñas han visto en las passkeys una evolución natural de su papel. Soluciones como Dashlane, 1Password o Bitwarden, además del propio Google Password Manager, permiten almacenar y sincronizar claves de acceso entre distintos dispositivos. Dashlane, por ejemplo, ha observado que las autenticaciones con passkeys se han duplicado interanualmente, alcanzando alrededor de 1,3 millones de inicios de sesión mensuales.
En Europa, esta adopción se cruza con iniciativas como la cartera de identidad digital europea (eID), que busca ofrecer una identidad unificada para ciudadanos y empresas dentro de la UE. Aunque los proyectos son distintos, comparten la orientación hacia mecanismos criptográficos más robustos y menos dependientes de la contraseña tradicional o del SMS como segundo factor.
Usar passkeys en varios dispositivos y en equipos ajenos
Uno de los miedos habituales es qué ocurre cuando se cambia de dispositivo o se usan varios a la vez. Las llamadas passkeys sincronizadas han solventado gran parte de este problema. Si creas una clave de acceso en tu iPhone, por ejemplo, se replica de forma cifrada en el resto de dispositivos ligados a tu Apple ID. Lo mismo sucede en el ecosistema de Google o si utilizas gestores como 1Password o Dashlane.
Este modelo permite que, al iniciar sesión desde tu portátil o tu tablet, la passkey ya esté disponible sin necesidad de repetir el proceso desde cero. La sincronización se realiza de extremo a extremo, de forma que ni Apple ni Google pueden leer las claves privadas, lo que mitiga parte de la preocupación sobre delegar tanta responsabilidad en un proveedor.
Para casos puntuales en los que necesitas identificarte en un ordenador ajeno —el equipo de un amigo, un terminal en la oficina, un PC público—, muchos servicios permiten iniciar sesión escanenando un código QR con el móvil. De esta manera usas la passkey almacenada en tu teléfono para autorizar el acceso, pero la clave privada nunca se instala ni se sincroniza con ese dispositivo temporal.
Además de la sincronización, la FIDO Alliance está trabajando en el Credential Exchange Protocol (CXP), un estándar pensado para que el usuario pueda mover sus passkeys de un gestor a otro. Con implementaciones ya en marcha en productos como 1Password o Bitwarden, la idea es que cambiar de ecosistema no implique perder el control sobre tus credenciales, de forma parecida a lo que ocurre cuando se porta un número de teléfono entre operadores.
Passkeys frente a contraseñas y 2FA: comparación directa
Si se ponen sobre la mesa las opciones habituales —contraseña sola, contraseña más 2FA por SMS o app, y passkeys—, las diferencias son claras. Una contraseña puede ser reutilizada, adivinada, interceptada en una brecha de datos o capturada mediante phishing. Y, en la práctica, muchas personas terminan usando variaciones mínimas de la misma clave en múltiples servicios.
La verificación en dos pasos con SMS o códigos temporales ha sido durante años una mejora muy extendida, pero tampoco está exenta de problemas. Ataques como el SIM swapping (duplicación fraudulenta de la tarjeta SIM) o el phishing en tiempo real (en el que el atacante persuade al usuario para que comparta el código y lo usa al instante) han demostrado sus limitaciones.
Las passkeys, por diseño, no son vulnerables a esos vectores clásicos. No hay códigos que copiar, ni secretos que circulen por la red, ni bases de datos de contraseñas que se puedan filtrar. El dominio al que se asocia cada passkey actúa como una barrera frente a webs falsas, lo que hace mucho más difícil que un usuario sea engañado.
En términos de experiencia, también suelen ganar. Google ha comunicado que los inicios de sesión con passkey son hasta cuatro veces más exitosos que con contraseña y segundo factor, y plataformas como TikTok registran tasas de éxito por encima del 95%. En entornos empresariales, esto se traduce en menos incidencias de soporte, menos reseteos de claves y menos tiempo perdido intentando acceder a las herramientas habituales.
Riesgos, matices y puntos a vigilar
Ninguna tecnología es perfecta, y las passkeys tienen su propia letra pequeña. Un riesgo evidente es la pérdida o robo del dispositivo donde se almacenan las claves privadas. Si no se ha activado la sincronización ni se ha configurado un método de recuperación (como una llave física adicional o un segundo dispositivo), se puede complicar el acceso a determinados servicios.
La recomendación general es registrar, siempre que sea posible, más de una passkey por cuenta: por ejemplo, el móvil como dispositivo principal y un portátil o una llave FIDO2 como respaldo. Algunos servicios también mantienen opciones de recuperación mediante correo electrónico o procesos de verificación adicionales, aunque se intenta limitar su uso para no debilitar el modelo de seguridad general.
Otro punto sensible es la dependencia de los proveedores de sincronización. Confiar en iCloud Keychain, Google Password Manager o un gestor de terceros implica delegar buena parte de la seguridad y la disponibilidad de las passkeys. Si bien las claves viajan y se guardan cifradas de extremo a extremo, y los proveedores no deberían poder acceder a ellas, sigue habiendo un componente de confianza en la infraestructura y en la gestión de posibles vulnerabilidades.
Por último, hay una cuestión de adopción desigual. Muchos sitios relevantes ya ofrecen passkeys, pero una parte importante de la web sigue apoyándose en el combo clásico de usuario, contraseña y, con suerte, un segundo factor. Durante esta fase de transición, los usuarios tendrán que convivir con los dos modelos y seguir recurriendo a un gestor de contraseñas robusto para los servicios que aún no han dado el salto.
Cómo crear tu primera passkey paso a paso
Pese a lo que pueda parecer, configurar una passkey suele ser un proceso bastante simple. En el caso de Google, basta con ir a la sección de seguridad de la cuenta, localizar las opciones de inicio de sesión y seleccionar “Passkeys” o “Claves de acceso”. Al pulsar en crear, el sistema pedirá que te identifiques con tu método habitual (huella, reconocimiento facial o PIN) y en unos segundos la clave estará creada.
A partir de ese momento, cuando intentes entrar en tu cuenta de Google desde un dispositivo compatible vinculado a tu perfil, el servicio te propondrá usar la passkey en lugar de introducir la contraseña. Un toque en el sensor de huellas o mirar a la cámara suele ser suficiente para completar el proceso sin tener que escribir nada.
En servicios como Amazon, PayPal, WhatsApp o plataformas de juegos, el flujo es muy parecido: accedes al apartado de seguridad o privacidad de tu cuenta, buscas la opción de passkeys o claves de acceso y sigues las instrucciones. La mayoría de implementaciones están pensadas para que el usuario medio pueda completar el alta en menos de un minuto sin necesidad de conocimientos técnicos.
Para quienes utilizan gestores de contraseñas, suele haber apartados específicos desde los que se pueden ver, gestionar y exportar las passkeys. En el futuro, con estándares como el Credential Exchange Protocol ya en marcha, se espera que mover tus claves de acceso entre servicios sea tan directo como cambiar de gestor sin perder la información.
Presión regulatoria y hoja de ruta hacia un internet sin contraseñas
El impulso hacia la autenticación resistente al phishing no se explica solo por motivos técnicos, sino también por cambios normativos. Distintos reguladores financieros en todo el mundo —desde regiones de Oriente Medio y Asia hasta la propia Unión Europea— están marcando plazos concretos para abandonar los códigos de un solo uso por SMS como mecanismo principal de verificación.
En Europa, la agenda digital incorpora la idea de que los sistemas de identificación en servicios bancarios, administrativos y sanitarios deben evolucionar hacia modelos más sólidos, compatibles con marcos como GDPR y eIDAS. Las passkeys encajan bien en esa visión, porque reducen la exposición a robo de credenciales, limitan los vectores de phishing y permiten demostrar de forma más fiable que quien accede es realmente el titular de la cuenta.
El sector privado también se está moviendo. Estudios realizados por la FIDO Alliance y compañías especializadas en identidad señalan que en torno al 87% de las empresas consultadas ha desplegado, o está desplegando, soluciones basadas en passkeys o en autenticación sin contraseña, una cifra que ha crecido de forma notable en pocos años. A la vez, se observa una reducción aproximada del 26% en el uso de contraseñas internas tras estos despliegues.
En las declaraciones públicas de proveedores de seguridad y de gestores de contraseñas se repite una idea: el objetivo a medio plazo es acercarse a un escenario de “cero contraseñas”. No es algo que vaya a ocurrir de un día para otro, pero sí un rumbo claro en el que la contraseña quede como método residual o de emergencia, más que como la base de todo el sistema.
Dudas habituales sobre passkeys: lo que más preocupa a los usuarios
Una de las preguntas más frecuentes es si las passkeys tienen coste. A día de hoy, crear y usar claves de acceso es gratuito: los sistemas operativos actuales (iOS, Android, Windows, macOS) las soportan de serie, y los servicios que las ofrecen no suelen cobrar nada extra por activarlas.
Otra inquietud tiene que ver con la compatibilidad de los dispositivos. No hace falta un terminal de última generación: móviles y ordenadores de los últimos años con iOS 16 o superior, Android 9 en adelante, Windows 10/11 o macOS Ventura y algún método de autenticación biométrica o PIN son suficientes para poder usar passkeys con normalidad.
También es típico preguntarse qué ocurre si se pierde el teléfono. Si la sincronización está habilitada, tus passkeys seguirán disponibles en otros dispositivos vinculados a tu cuenta. Y si además has registrado una llave física o un segundo dispositivo como respaldo, tendrás una vía adicional de acceso que evita quedarte completamente bloqueado.
Respecto al navegador, la compatibilidad es amplia: Chrome, Safari, Edge y Firefox soportan passkeys a través de WebAuthn en escritorio y en móvil. Y, por último, en relación con el phishing, la respuesta es clara: un sitio fraudulento que intente hacerse pasar por tu banco o tu email no puede activar tu passkey, porque la clave está vinculada al dominio legítimo y no funciona fuera de ese contexto.
Todo apunta a que las passkeys han pasado de ser una curiosidad técnica a convertirse en la pieza central de la nueva generación de inicios de sesión. Mientras el uso de contraseñas empieza a retroceder —aunque no vaya a desaparecer de golpe—, la combinación de estándares abiertos, apoyo de los grandes proveedores, presión regulatoria y mejoras visibles en usabilidad y seguridad está empujando a usuarios, empresas y administraciones a dar el salto hacia un modelo donde recordar docenas de claves deje de ser la norma.
