En el dinámico mundo de la ciberseguridad, las contraseñas tradicionales no bastan.
Combinando el poder de la criptografía de clave pública con la autenticación biométrica, Passkeys crea una solución en la que nunca tendrá que recordar contraseñas ni temer brechas de seguridad.
Con más de 6.000 millones de nombres de usuario y contraseñas únicos disponibles en la Dark Web, y con la mayoría de los usuarios utilizando las mismas contraseñas en todas las plataformas, Passkeys ha surgido como una solución revolucionaria, ofreciendo un método más seguro y racionalizado para la autenticación.
La tecnología de Passkeys aporta muchas ventajas que la convierten en la opción más eficaz.
Pero, ¿qué es Passkeys y en qué se diferencia de las contraseñas habituales?
¿Qué grandes empresas lideran esta tendencia e integran la compatibilidad con Passkeys en su ecosistema?
En este artículo, profundizaremos en el significado de Passkeys, cómo funciona y por qué va a ser el futuro de la seguridad en línea.
¿Listo para sumergirte en el futuro? Empecemos.
En pocas palabras, una Passkey es una clave criptográfica diseñada para sustituir a las contraseñas.
Como las antiguas contraseñas podían ser fácilmente robadas, pirateadas o incluso adivinadas, las Passkeys funcionan a un nivel completamente distinto, con autenticación por combinaciones de clave pública y privada.
A diferencia de las contraseñas, las Passkeys no se pueden compartir, recordar ni escribir. Esto las hace mucho menos vulnerables a los tipos de ataques que suelen dirigirse contra los sistemas basados en contraseñas.
En esencia, las Passkeys se basan en la criptografía asimétrica, que proporciona una autenticación fuerte y sin complicaciones. Las Passkeys utilizan combinaciones de claves públicas y privadas para autenticar a los usuarios sin exponer nunca información sensible.
Cuando se crea una Passkey, se generan dos claves criptográficas:
Ahora que el significado de Passkeys está claro, pasemos a ver cómo funciona:
Cuando creas una cuenta utilizando Passkeys, tu dispositivo crea un dúo de claves pública-privada.
La clave pública se almacena en los servidores del servicio, mientras que la clave privada se guarda de forma segura en tu dispositivo, dentro de componentes específicos diseñados para guardar datos confidenciales. Entre ellos se encuentran Secure Enclave en los dispositivos Apple, Trusted Platform Module (TPM) en Windows y Android, y Samsung Knox para los dispositivos Galaxy. Estos componentes están aislados del procesador principal, y funcionan como una cámara acorazada, que incluso en caso de ataque de malware o vulneración de seguridad, los datos sensibles del usuario permanecen seguros.
Passkeys también funciona entre dispositivos; gracias a los ecosistemas seguros, las claves privadas se sincronizan entre todos los dispositivos, lo que hace que la autenticación sea perfecta en cualquier dispositivo en el que esté activa una cuenta en la nube, como iCloud o Google.
Al iniciar sesión, en lugar de pedir al usuario una contraseña, el servicio le pide que utilice el mecanismo de desbloqueo del dispositivo.
El dispositivo firma el envío con la clave privada y lo devuelve al servicio para que lo verifique con la clave pública. La clave privada se asigna a cada dominio.
El dispositivo crea una firma basada en el tiempo para cada intento de inicio de sesión y caduca poco después de su creación, lo que garantiza que, aunque se intercepte, no pueda reutilizarse ni manipularse.
Esto sucede en tiempo real y proporciona un inicio de sesión muy seguro y sin problemas.
Es como tener un portero digital superseguro para todas tus cuentas.
Aunque la biometría se remonta al año 500 a. C. en el Imperio Babilónico, donde se utilizaban las huellas dactilares en tablillas de arcilla para la identificación, el primer sistema biométrico formal fue desarrollado en el siglo XIX por Alphonse Bertillon en París, utilizando mediciones corporales para identificar a delincuentes.
Aunque las primeras autenticaciones biométricas sentaron las bases para la verificación de la identidad, la evolución hacia las Passkeys comenzó en 2012, cuando empresas como PayPal y Lenovo crearon la Alianza FIDO, con la misión de eliminar las contraseñas.
En 2013, el iPhone 5S de Apple introdujo Touch ID, acelerando la adopción de la biometría y allanando el camino para que otras empresas integraran la autenticación biométrica.
La revolución de las Passkeys comenzó en 2021, con la adopción por parte de las principales empresas tecnológicas de los estándares FIDO 2 y WebAuth, para permitir la autenticación sin contraseña, poniendo las Passkeys a disposición de miles de millones de usuarios en la actualidad.
Un hito importante en la evolución de las Passkeys se produjo con la aprobación por parte del NIST (Instituto Nacional de Estándares y Tecnología) de las Passkeys sincronizadas en su suplemento a las directrices SP 800-63B.
Este reconocimiento pone de relieve la naturaleza resistente al phishing de las passkeys y su potencial para sustituir las contraseñas tradicionales por soluciones seguras de una manera más cómoda para sus propietarios.
Con el respaldo del NIST, las Passkeys están preparadas para su adopción generalizada, especialmente en sectores regulados como la banca y la sanidad, impulsando la siguiente fase de la verificación segura de la identidad digital.
La adopción de las passkeys está ganando impulso, con los principales proveedores de navegadores/OS a la cabeza.
Apple, Google y Microsoft ya han integrado la asistencia para la tecnología en sus ecosistemas, lo que permite a los usuarios iniciar sesión en su sistema con facilidad.
Además, muchos proveedores de servicios ya están adoptando la revolución que supone Passkeys.
Entre los más destacados figuran:
Varios navegadores populares han integrado el soporte de Passkey, incluyendo a:
Grandes gigantes como GitHub, Dropbox y PayPal están habilitando actualmente Passkeys para mejorar la seguridad en sus sitios web.
Una lista cada vez mayor de grandes empresas han adoptado Passkeys, incluyendo a:
Existen dos tipos diferentes de Passkeys, que sirven para diferentes propósitos y, lo que es más importante, para diferentes requisitos de seguridad. Entre las diversas categorías que encontrarás al investigar en el mundo de la seguridad digital, se encuentran las claves multidispositivo y las claves vinculadas a dispositivos. Entendamos estas variaciones.
Las Passkeys multidispositivo, también conocidas como Passkeys sincronizadas, son la mejor opción para uso personal. Se sincronizan a la perfección en varios dispositivos, como teléfonos, tablets u ordenadores portátiles, siempre que estén vinculados a tu cuenta de Apple, Google o Microsoft. Esta flexibilidad te permite acceder a tus cuentas desde cualquiera de tus dispositivos de confianza.
Por el contrario, las Passkeys vinculadas a dispositivos son los guardianes de la fortaleza del mundo empresarial: al no poder copiarse en absoluto porque están vinculadas a un dispositivo, añaden una capa adicional de seguridad vital para las empresas con políticas estrictas de protección de datos.
Las Passkeys ofrecen un nuevo nivel de comodidad y seguridad tanto a usuarios como a desarrolladores. He aquí cómo marcan la diferencia:
Las Passkeys también tienen sus inconvenientes: Su adopción es limitada y aún no todos los servicios las admiten.
Si no se implementa correctamente, la recuperación puede ser difícil si se pierden todos los dispositivos vinculados. Además, la dependencia de ecosistemas como iCloud y Google Password Manager puede limitar a los usuarios que no utilicen esas plataformas.
Por último, está la curva de aprendizaje para los usuarios no familiarizados con este nuevo método de autenticación.
Sin embargo, estas desventajas son sólo temporales, ya que, a medida que la adopción de las Passkeys se generalice, su uso será más fácil y universal.
Passkeys son la próxima generación de autenticación, que intenta resolver las limitaciones de las contraseñas que los usuarios suelen verse obligados a gestionar reutilizando o simplificando debido a las limitaciones de memoria.
Las contraseñas introducen puntos débiles y facilitan mucho la vida de los atacantes.
He aquí algunos puntos clave por los que las Passkeys son mejores:
El futuro de las Passkeys va a ser realmente innovador. Aparte de las huellas dactilares y el reconocimiento facial, que son los métodos de autenticación biométrica que se utilizan hoy en día, también podríamos ver en uso las ondas cerebrales, los latidos del corazón o incluso el ADN.
Más aún, con el uso de la tecnología blockchain, esto podría permitir la entrada en juego de la identidad autosuficiente, en la que las propias personas tienen el control total de sus datos, utilizando claves de acceso como prueba de identidad universal.
A medida que estas tecnologías evolucionan, más gente se pregunta qué es una Passkey y cómo funciona. Esta creciente curiosidad está impulsando a los innovadores tecnológicos a invertir grandes esfuerzos en desarrollar y mejorar este campo.
No cabe duda de que las Passkeys cambiarán la seguridad y la identidad digital de las generaciones futuras.
Una vez explicadas las Passkeys, es posible que desees implementarlas en tu sitio web o aplicación.
Consulta nuestra guía de integración de Passkeys para obtener más información.
La buena noticia es que no es necesario empezar de cero para implantar las Passkeys. Existen muchas soluciones que aceleran su hoja de ruta.
Los proveedores de identidad admiten Passkeys listas para usar para facilitar la integración en sus flujos de autenticación.
Si quieres más control, librerías como SimpleWeb Auth o WebAuth n4J pueden manejar criptografía compleja del lado del servidor.
Y para los desarrolladores de aplicaciones móviles, es igual de fácil implementar Passkeys utilizando los Servicios de Autenticación de Apple o la API de Servicios de Identidad de Google.
Plataformas como OwnID proporcionan SDKs y APIs completas que están disponibles tanto para desarrolladores web como móviles, OwnID soporta personalización, análisis y cumplimiento.
Con OwnID, los desarrolladores disponen de soluciones seguras y fáciles de usar que se integran perfectamente en sus sistemas con un mínimo de líneas de código. Esto ahorra tiempo de desarrollo y garantiza una seguridad robusta, liberando a los desarrolladores para que innoven, no para que construyan infraestructuras.
Estas soluciones para las Passkeys permitirán a los equipos poner en marcha sus proyectos en un abrir y cerrar de ojos sin tener que reinventar la rueda, proporcionando de paso una forma innovadora de autenticación.
Las passkeys representan un tipo innovador de autenticación que sustituye a las contraseñas.
La criptografía de clave pública permite que tu dispositivo genere un par de claves, en el que la clave privada permanece guardada en un lugar seguro mientras que la pública se entrega al servicio.
Abre cualquier servicio o aplicación en línea que admita Passkeys y haz clic en la opción para crear una. Solo tienes que seguir estas indicaciones, que suelen implicar autenticación biométrica.
Las contraseñas normales son creadas por el usuario en una cadena de caracteres, las Passkeys se generan a través de claves criptográficas creadas y almacenadas de forma segura en su dispositivo. En comparación con las contraseñas, las Passkeys son inmunes al phishing o a las filtraciones de datos.
Las Passkeys son prácticamente inhackeables. La clave privada nunca sale de tu dispositivo, y este requiere autenticación biométrica, lo que las hace completamente inmunes al phishing y las brecha de seguridad.
Algunos de los posibles inconvenientes del uso de Passkeys son su adopción limitada, que su acceso depende de los dispositivos y la dificultad de recuperación en caso de que se pierdan todos los dispositivos.
La mayoría de las plataformas que ofrecen esta función disponen de opciones de recuperación, cómo utilizar otro dispositivo vinculado a la cuenta o un código de recuperación. Es muy recomendable que configures dispositivos de copia de seguridad o incluso que utilices una forma alternativa de recuperación para acceder a tus distintas cuentas.
Correcto, la mayoría de las veces podrás seguir utilizando tu contraseña incluso después de configurar una Passkey. La mayoría de los servicios que admiten Passkeys siguen admitiendo contraseñas por motivos de compatibilidad y como forma alternativa de autenticación.
