Durante dos décadas, las contraseñas fueron el peaje inevitable de internet: fáciles de olvidar, difíciles de gestionar y, sobre todo, vulnerables. En el siglo XXI, sin embargo, está tomando fuerza una alternativa que promete cambiar la rutina de inicio de sesión en bancos, redes sociales y tiendas online: las passkeys (claves de acceso). La idea es simple para el usuario —desbloquear con huella, rostro o PIN del dispositivo—, pero por debajo hay un cambio profundo en cómo se protege la identidad digital.

Una passkey no es “una contraseña mejorada”. Es un método basado en criptografía de clave pública: el dispositivo genera un par de claves (una pública y otra privada). La clave privada se queda en el teléfono u ordenador y no se comparte; la pública se registra en el servicio. Cuando inicias sesión, el servicio envía un desafío y el dispositivo lo firma con la clave privada. Resultado: no hay contraseña que robar, reutilizar o pescar con un correo falso.

Este enfoque está impulsado por la FIDO Alliance, un consorcio industrial que reúne a empresas tecnológicas y de seguridad, y se apoya en estándares como FIDO2 y WebAuthn (del W3C). La adopción se aceleró cuando grandes plataformas empezaron a ofrecer passkeys como alternativa real a la contraseña. Por ejemplo, Google anunció en 2023 soporte para passkeys en Cuentas de Google; Microsoft ha promovido el acceso sin contraseña en sus servicios y Windows; y Apple integró las passkeys en iOS, iPadOS y macOS con sincronización mediante iCloud Keychain. En paralelo, gestores de contraseñas populares también han incorporado soporte para guardarlas y usarlas en distintos dispositivos.

La curiosidad es que, aunque se apoyan en biometría, las passkeys no “mandan tu huella” a internet. La verificación biométrica ocurre localmente en el dispositivo; el servicio solo recibe la prueba criptográfica de que eres tú (o, más exactamente, de que tienes el dispositivo desbloqueado y autorizado). Eso reduce el riesgo de phishing: aunque entres por error a una web falsa, el mecanismo está ligado al dominio legítimo y no entrega un secreto reutilizable.

¿Es el fin definitivo de las contraseñas? Aún no en todos lados. Hay retos prácticos: recuperación de cuenta si pierdes el teléfono, compatibilidad en sistemas antiguos y hábitos de usuarios y empresas. Aun así, el movimiento es claro: el acceso está migrando de “algo que sabes” (contraseña) a “algo que tienes” (tu dispositivo) con verificación local (biometría o PIN). En un mundo donde las filtraciones masivas y el phishing siguen siendo de las amenazas más comunes, las passkeys destacan como una de esas innovaciones discretas del siglo XXI que, sin hacer ruido, pueden cambiar la vida digital cotidiana.