Passkeys de Google: qué son, cómo funcionan y por qué buscan reemplazar a las contraseñas tradicionales

En octubre de 2023, Google anunció que las passkeys pasarían a ser el método de autenticación por defecto para sus usuarios. La decisión responde a un escenario en el que las contraseñas tradicionales se volvieron vulnerables frente a ataques de phishing, filtraciones masivas y técnicas automatizadas de descifrado. La compañía apuesta a eliminar la dependencia de claves memorizadas y avanzar hacia una autenticación basada en dispositivos y verificación biométrica.

¿Qué es una passkey? el formato que busca cambiar las contraseñas tradicionales

Una passkey es una credencial digital cifrada que permite iniciar sesión sin ingresar una contraseña. Está basada en el estándar "WebAuthn", que utiliza criptografía de clave pública para autenticar al usuario sin compartir información sensible con el servicio en línea. En lugar de escribir una clave, el usuario valida su identidad mediante huella digital, reconocimiento facial o PIN del dispositivo.

Passkey

La passkey se almacena de forma segura en el dispositivo (como un teléfono, computadora o llave física de seguridad) y puede sincronizarse en la nube a través de la cuenta del usuario. De esta manera, el sistema reconoce si existe una clave registrada y solicita la verificación biométrica correspondiente para completar el acceso.

El proceso es directo. Si el usuario intenta iniciar sesión desde un navegador y la passkey está guardada en su celular, puede escanear un código QR que aparece en pantalla. Tras la confirmación biométrica en el teléfono, la autenticación se completa sin necesidad de contraseña. Además, al crear una nueva cuenta en un servicio compatible, el sistema puede generar automáticamente una passkey y almacenarla en el gestor integrado de Google Chrome.

Ventajas y desventajas de las passkeys

La principal ventaja de las passkeys es su resistencia al "phishing", una forma de ciberdelito en la que los delincuentes intentan obtener información sensible del usuario a través de correos electrónicos con enlaces fraudulentos. Como no existe una contraseña que pueda ser robada mediante un sitio falso, se elimina uno de los vectores de ataque más utilizados. Tampoco pueden reutilizarse en múltiples servicios ni interceptarse en filtraciones masivas, ya que la clave privada nunca abandona el dispositivo del usuario.

phishing

Otra mejora significativa es la experiencia de uso. El sistema reduce fricciones como el ingreso manual de contraseñas complejas, los códigos enviados por SMS o los recordatorios constantes de cambio de clave. Para empresas y organizaciones, también implica menos incidencias por recuperación de contraseñas y menor exposición a ataques de credenciales recicladas.

ADEMÁS: La fiebre de la IA dispara el precio de la memoria RAM

Sin embargo, el modelo todavía enfrenta desafíos. No todos los sitios web son compatibles con el estándar y en muchos casos conviven sistemas híbridos que combinan contraseña y passkey. Además, en entornos compartidos (como computadoras o celulares familiares o dispositivos que son usados por varias personas en entornos laborales) la gestión de accesos puede resultar más compleja. La pérdida de un dispositivo también genera inquietudes, aunque el sistema contempla mecanismos de recuperación vinculados a la sincronización en la nube.

El avance hacia la autenticación sin contraseña no es exclusivo de Google, compañías como Apple y Microsoft impulsaron el mismo estándar, lo que consolida una transición global hacia métodos de identificación más seguros. En ese escenario, las passkeys se perfilan como el reemplazo natural de las contraseñas tradicionales en el ecosistema digital.