El fin de una era
Llevamos 30 años inventando contraseñas cada vez más largas, con símbolos, cambios trimestrales y frustración diaria. Y aun así, el 80% de las brechas de seguridad involucran contraseñas robadas o débiles.
El problema es estructural: cualquier cosa que puedas escribir, alguien más puede robar. Por phishing, por bases de datos filtradas, por keylogger, por mirar sobre tu hombro. Da igual la longitud.
En 2026, Google, Apple, Microsoft, Amazon, PayPal y los principales bancos están migrando activamente a passkeys. Y si aún no las usas, es momento de entender por qué y cómo.
Qué son las passkeys en simple
Una passkey es una llave criptográfica que vive en tu dispositivo (celular, laptop, llavero de hardware) y desbloquea servicios sin escribir contraseñas.
En lugar de recordar "MiP@ssw0rd2026!", tu teléfono guarda una llave secreta única para cada sitio. Cuando entras a Google, el sitio le pregunta a tu teléfono "¿eres tú?", el teléfono te pide huella o cara, y listo. Estás dentro.
Diferencia crítica con contraseñas:
- La llave secreta nunca sale de tu dispositivo.
- No hay nada que puedas escribir por error en un sitio de phishing.
- No hay base de datos con contraseñas que un hacker pueda robar.
- No hay que "recordar" nada.
Por qué las passkeys son más seguras
Inmunes al phishing
Un sitio falso que se ve idéntico a tu banco no puede pedirte la passkey del banco real. La passkey está atada criptográficamente al dominio real. Si el sitio no es el correcto, la passkey no funciona. Punto.
Inmunes a brechas de datos
Cuando le roban a un servicio la base de datos, se llevan las contraseñas cifradas de todos los usuarios. Con passkeys, solo hay claves públicas en el servidor, y las claves públicas no sirven para nada sin la privada que está en tu dispositivo.
Sin reutilización
Cada passkey es única por sitio. Aunque un servicio caiga, no expone las demás cuentas. Adiós al problema del 76% de personas que reutilizan contraseñas.
Autenticación multifactor incorporada
La passkey requiere que tengas el dispositivo (algo que tienes) y que confirmes con biometría o PIN (algo que eres o sabes). Es MFA sin trámite adicional.
Dónde ya puedes usarlas hoy
- Google, YouTube, Gmail: 100% funcional desde 2023.
- Apple ID e iCloud: desde iOS 16.
- Microsoft y Outlook: desde 2023.
- Amazon: soporte completo.
- PayPal, eBay, Best Buy: activo.
- GitHub, GitLab: soporte para desarrolladores.
- WhatsApp: soporte para cifrar backups.
- Bancos en LATAM y España: BBVA, Santander, Interbank y varios más están habilitándolo por región.
Si no ves la opción en tu servicio favorito, es cuestión de meses.
Cómo empezar a usarlas paso a paso
Paso 1: Activa passkeys en tu cuenta Google
Ve a myaccount.google.com, sección Seguridad, busca "Passkeys" y sigue el flujo. Vas a usar tu celular o tu computador como llave.
Paso 2: Guárdalas en un gestor confiable
Aunque la passkey vive en tu dispositivo, gestores como 1Password, Bitwarden, iCloud Keychain o Google Password Manager sincronizan tus passkeys entre dispositivos de forma cifrada. Esto es clave si pierdes el celular.
Paso 3: Configura un segundo dispositivo como respaldo
Nunca dependas de un único dispositivo. Configura passkeys en tu celular y también en tu laptop. Si uno se pierde, el otro te salva.
Paso 4: Migra tus cuentas críticas primero
Prioriza: correo principal, gestor de contraseñas, banca, redes sociales de la empresa, sistemas de facturación. En ese orden.
Paso 5: Mantén contraseñas de respaldo bien guardadas
Todavía no es realista eliminar contraseñas del todo. Los servicios que aún no soporten passkeys necesitan contraseñas fuertes. Usa gestor de contraseñas con contraseñas generadas de 20+ caracteres.
Passkeys para tu negocio
Si tienes empleados, la conversación cambia:
- Google Workspace y Microsoft 365 ya soportan passkeys para cuentas empresariales. Actívalo como método obligatorio.
- Gestores como 1Password Business o Bitwarden Teams permiten políticas centralizadas de passkeys y control por administrador.
- Elimina las contraseñas compartidas. Con passkeys ya no hay "la contraseña del correo compartido". Cada persona tiene la suya y se controla por grupos.
- Cuando alguien se va, revocar sus passkeys es un click. No hay que cambiar contraseñas que otros conocían.
Errores comunes al adoptarlas
"Perdí el celular, perdí todo"
Falso si configuraste sincronización con gestor y un dispositivo de respaldo. La mayoría de casos de "perdí acceso" son por no leer el flujo de configuración inicial.
"No confío en la biometría"
La biometría no sale del dispositivo. Ni Apple, ni Google, ni Microsoft tienen tu huella. Solo la usa el chip local para desbloquear la llave criptográfica.
"Mis empleados no van a entender esto"
Es más simple que las contraseñas. Solo tienen que confirmar con huella o cara. La curva de aprendizaje es una tarde.
"¿Y si voy a un cybercafé o computadora prestada?"
Puedes usar la passkey de tu celular escaneando un QR desde otro dispositivo. Funciona multiplataforma.
Preguntas frecuentes
¿Funcionan las passkeys sin internet?
Para desbloquear tu dispositivo local, sí. Para iniciar sesión en un servicio online, necesitas internet como con contraseñas. Es lo mismo.
¿Puedo tener passkey Y contraseña en la misma cuenta?
Sí. La mayoría de servicios permiten ambas por seguridad. Recomendado durante la transición.
¿Los bancos las aceptan?
Cada vez más. Depende del banco y el país. En 2026 la mayoría de bancos grandes en LATAM y España tienen soporte parcial o piloto.
¿Qué pasa si me cambio de sistema operativo (Android a iPhone)?
Las passkeys guardadas en gestores multiplataforma (1Password, Bitwarden) se transfieren. Las guardadas solo en el sistema requieren re-registro. Por eso el paso 2 es crítico.
¿Passkeys reemplazan al 2FA con app o SMS?
Sí y con ventaja. Passkeys son más seguras que SMS (que tiene ataques de SIM swap) e igual de seguras que apps autenticadoras, con mejor experiencia.
Conclusión
Las passkeys no son una moda técnica más. Son el fin de la era de las contraseñas y la respuesta a los dos problemas más grandes de seguridad: phishing y reutilización. En 5 años vamos a mirar atrás y las contraseñas se van a sentir como el fax.
La transición ya empezó. Los que se anticipen van a tener una capa gratuita de seguridad muy superior a la competencia. Los que se resistan van a estar defendiendo un modelo roto.
En FDev ayudamos a empresas a migrar sus procesos de autenticación a passkeys y a diseñar políticas de seguridad modernas sin caos. Si tu negocio aún depende de contraseñas compartidas y quieres modernizar, escríbenos por WhatsApp.
