´Passkeys´: el nuevo método seguro para protegerte digitalmente

La autenticación en los entornos digitales es clave para identificar usuarios y proteger sus datos. No obstante, ante la diversidad de mecanismos de seguridad disponibles, el futuro parece apuntar hacia un mundo sin contraseñas, en el que ganan terreno las 'passkeys' o claves de acceso.

Las contraseñas son uno de los métodos de autenticación más antiguos y extendidos: una clave secreta formada por caracteres que permite acceder a servicios, sistemas o dispositivos. Aunque su uso es sencillo, esa misma facilidad se convierte en un punto débil: las contraseñas son un blanco frecuente de ataques como el phishing, los malwares o las brechas de datos, que pueden exponerlas o robarlas y dejarlas inservibles.

En palabras del director técnico de Check Point Software para España y Portugal, Eusebio Nieva: "Los atacantes utilizan herramientas muy avanzadas, incluso con inteligencia artificial (IA) para adivinarlas o robarlas".

A ello se suma la conducta insegura de muchos usuarios: usar claves débiles (por ejemplo '12345'), reutilizar la misma contraseña en distintos servicios o basarla en información personal. Tampoco es habitual que la gente actualice sus contraseñas con frecuencia; además, a veces las comparten con terceros. En el contexto actual, en el que las ciberamenazas evolucionan con rapidez, las contraseñas ya no bastan por sí solas.

Por eso grandes compañías tecnológicas están dejando de exigir contraseñas para nuevas cuentas: es un síntoma de la transición hacia otras soluciones. Entre las alternativas emergentes figuran los gestores de contraseñas, las claves de acceso (passkeys) y la autenticación multifactor (MFA). Como recuerda Nieva, "la dependencia exclusiva de contraseñas ya no es recomendable. Si bien aún están presentes en muchos sistemas, su eficacia como única medida de protección ha disminuido considerablemente debido al incremento en técnicas de robo de credenciales".

Higiene digital: gestores de contraseña y autenticación multifactor

Los gestores de contraseñas son aplicaciones diseñadas para guardar y organizar de forma segura las credenciales. Funcionan como una “caja fuerte” digital protegida por una única contraseña maestra. Emplean cifrado de alto nivel y generan credenciales únicas para cada servicio, lo que reduce la reutilización de claves. Según Marc Rivero, investigador principal de Kaspersky, esto los convierte en un método "muy seguro", ya que, incluso si alguien accede a los ficheros de sus servidores, "no podrá leer las contraseñas sin la clave adecuada".

Además, la mayoría de estos gestores implementan cifrado de extremo a extremo, de modo que solo el usuario controla la contraseña maestra, no el proveedor. Su punto vulnerable es precisamente la protección de esa contraseña maestra: si el usuario no la protege bien (o no emplea una autenticación de dos factores), la seguridad del conjunto se debilita.

La 2FA (autenticación de dos factores) exige un segundo método de verificación, un código en el smartphone, una app de autenticación o una huella dactilar y, según Rivero, "añade una capa adicional de protección" y hace que "la seguridad aumente significativamente". La MFA, por su parte, amplía este concepto pidiendo dos o más factores.

 

Entre los factores multifactor más robustos, Josep Albors (ESET España) enumera, de mayor a menor seguridad: llaves físicas o tokens, apps de autenticación (Google Authenticator, Microsoft Authenticator) y, en último lugar, los códigos por SMS. Sobre estos últimos, Albors advierte que "hace años que se aconseja dejar de usar", porque técnicas como el SIM Swapping facilitan su interceptación. Además, la MFA puede sufrir engaños por ingeniería social que llevan al usuario a facilitar el código en webs falsas.

Un paso adelante: las ´passkeys´

Las 'passkeys' representan una de las apuestas más novedosas: se apoyan en la biometría (huella, reconocimiento facial) o en un PIN local para verificar identidad y eliminan la necesidad de introducir contraseñas.

Hervé Lambert, director global de Operaciones de Consumo en Panda Security, explica que las 'passkeys' son actualmente "uno de los métodos más seguros para autenticarse" y que se basan en la criptografía asimétrica: el usuario conserva una clave privada segura en su dispositivo y el servicio tiene la clave pública asociada. Esa arquitectura las hace "inútiles" ante los ataques de phishing, "ya que no hay nada que robar visualmente".

Sus principales limitaciones son la adopción: no todos los servicios ni navegadores las soportan, y su uso depende de dispositivos compatibles y actualizados.

¿Cuándo usar cada sistema?

Según Lambert, las contraseñas deberían reservarse "cuando no haya otra alternativa". La contraseña ideal, recuerda, tiene al menos 12 caracteres y mezcla números, mayúsculas, minúsculas y símbolos para resistir ataques por fuerza bruta. La MFA es imprescindible en cuentas críticas, "email", redes sociales o banca 'online', mientras que las 'passkeys' resultan "ideales siempre que estén disponibles", sobre todo en plataformas que ya las integran (por ejemplo, Google o Apple), porque combinan seguridad y facilidad de uso.

Hacia un futuro sin contraseñas 

La tendencia clara es la progresiva sustitución de contraseñas por métodos como las 'passkeys', junto al crecimiento de soluciones como la autenticación adaptativa, que analiza el contexto (ubicación, dispositivo, IP, comportamiento) para decidir si un acceso es legítimo y aplicar medidas adicionales ante riesgos. Nieva añade que se está viendo "el uso creciente de IA para detectar patrones anómalos en tiempo real y aplicar autenticación adaptativa. Todo apunta hacia una autenticación más transparente para el usuario, pero más robusta y contextual para los sistemas".