Passkeys y biometría: la nueva frontera de la identidad digital

Las contraseñas clásicas están en retirada: filtraciones masivas, campañas de phishing automatizadas y robo de credenciales han dejado muy claro que este modelo ya no da la talla. En paralelo, las empresas necesitan procesos de acceso más fluidos, menos soporte técnico y una experiencia que no haga huir a los usuarios en el primer login.

En este contexto han aparecido con fuerza las passkeys y la autenticación biométrica, dos tecnologías que, lejos de competir, se complementan para crear una identidad digital mucho más robusta. Combinan criptografía de clave pública, biometría avanzada, módulos de seguridad de hardware y detección de vida para construir un modelo donde el usuario apenas nota la complejidad, pero el salto de seguridad es gigantesco.

Qué son las passkeys y por qué marcan un antes y un después

Una passkey es, básicamente, una credencial criptográfica que sustituye a las contraseñas. En lugar de un secreto que el usuario tiene que recordar y escribir, el sistema genera un par de claves: una clave privada que se guarda de forma segura en el dispositivo (móvil, ordenador, tablet) y una clave pública que se registra en el servicio o aplicación donde te das de alta.

Cuando vuelves a iniciar sesión, el servicio envía un desafío que solo puede resolverse con la clave privada almacenada en tu dispositivo. El dispositivo firma ese desafío y devuelve la firma; el servidor la verifica con la clave pública y, si encaja, te deja pasar. En ningún momento se transmite la clave privada ni se teclea una contraseña que pueda ser robada o reutilizada.

Esta arquitectura se basa en criptografía asimétrica y en los estándares FIDO2 y WebAuthn, ampliamente impulsados por gigantes como Apple, Google, Microsoft y la FIDO Alliance. El resultado es un método de autenticación que no depende de secretos compartidos y que es, de forma nativa, resistente al phishing.

Además, las passkeys no son un concepto teórico; ya están presentes en productos reales. Facebook, WhatsApp, GitHub, Dropbox, PayPal, Amazon, X, LinkedIn o TikTok han ido activando compatibilidad con passkeys para parte o la totalidad de sus usuarios, y cada vez más servicios de comercio electrónico, banca y plataformas de desarrollo se suman a esta ola.

En el mundo empresarial, algunos proveedores de ciberseguridad han empezado a medir su impacto. Un ejemplo es Sophos, que señala que desde que añadió soporte de passkeys en su plataforma central, más de un 20 % de los inicios de sesión ya utilizan claves de acceso, una cifra muy relevante teniendo en cuenta que la mayoría de usuarios sigue atado por inercia a la contraseña.

Detalles técnicos: cómo funcionan las passkeys por dentro

Detrás de la apariencia sencilla de «inicia sesión con tu huella o tu rostro» hay una arquitectura de seguridad bastante sofisticada. Cuando un usuario crea una passkey, su dispositivo genera automáticamente el par de claves pública y privada. La clave privada se almacena dentro de componentes de seguridad dedicados, como el Secure Enclave en dispositivos Apple, el Trusted Platform Module (TPM) en Windows y Android (dónde se guarda el certificado digital en el móvil) o soluciones como Samsung Knox en terminales Galaxy.

Estos módulos están aislados del procesador principal y de las aplicaciones normales, actuando como una cámara acorazada criptográfica. Incluso si el sistema operativo tiene una vulnerabilidad o se instala malware, extraer esa clave privada resulta extremadamente difícil. En Windows, por ejemplo, puede consultarse la carpeta de certificados en Windows 10.

Cuando intentas iniciar sesión en un servicio que soporta passkeys, el flujo típico es el siguiente: el servidor envía un reto, el dispositivo solicita que te identifiques localmente (por ejemplo, con Face ID o Touch ID), y solo si se supera esa verificación local el módulo seguro firma el reto con la clave privada. El servidor compara la firma con la clave pública registrada y, si todo cuadra, concede acceso. La clave privada nunca sale del dispositivo, y la firma suele incluir información ligada al dominio y al momento concreto, de manera que no se puede reutilizar en otros sitios.

Otro aspecto importante es la portabilidad. En muchos casos, las passkeys se gestionan como credenciales multidispositivo sincronizadas en la nube del fabricante o proveedor (iCloud, Google Password Manager, etc.). Esto permite que, si te compras un nuevo móvil o usas un portátil dentro del mismo ecosistema, tus passkeys te acompañen sin necesidad de reconfigurar todo desde cero.

A la vez, existen también passkeys vinculadas a un dispositivo concreto, muy habituales en entornos corporativos. En este modelo, la clave privada no se sincroniza ni se copia: se queda atada a ese hardware, lo que reduce la superficie de ataque y encaja mejor con políticas de seguridad estrictas, por ejemplo en empresas con requisitos muy altos de protección de datos.

Biometría: el nuevo pilar de la identidad moderna

La biometría lleva mucho más tiempo con nosotros de lo que parece. Desde las huellas en tablillas de arcilla en la antigua Babilonia, pasando por el sistema antropométrico de Alphonse Bertillon en el siglo XIX, hasta llegar al Touch ID del iPhone 5S en 2013, la idea siempre ha sido la misma: identificar a una persona a partir de características físicas o de comportamiento que son prácticamente únicas.

En el ámbito digital actual, cuando hablamos de autenticación biométrica nos referimos a técnicas como el reconocimiento facial, la huella dactilar, el escaneo de iris o la identificación por voz. Estas tecnologías se emplean tanto para verificar quién es alguien en un primer alta (prueba de identidad) como para confirmar que es la misma persona que ya se registró antes (autenticación).

Los sistemas modernos se apoyan en algoritmos avanzados de comprobación de vida (liveness detection) y mecanismos anti-spoofing, diseñados para distinguir a una persona real de una foto, un vídeo o un deepfake. Esto es crucial porque, a medida que las herramientas de generación de contenido sintético mejoran, también lo hacen los intentos de fraude que las explotan.

Para las empresas, la biometría ofrece ventajas claras: aporta una garantía de identidad mucho más fuerte que una simple combinación usuario-contraseña, es portable entre dispositivos y sesiones (tu rostro te acompaña aunque cambies de móvil) y permite procesos de recuperación de cuenta más seguros, por ejemplo cuando alguien pierde el teléfono o necesita reemitir sus credenciales.

Un matiz clave es que, correctamente implementada, la biometría no implica enviar tu rostro o tu huella a un servidor central. Lo que se almacena son plantillas biométricas cifradas o representaciones matemáticas, normalmente dentro de módulos seguros del propio dispositivo, cumpliendo así mejor con normativas como el RGPD y reduciendo el impacto en caso de que un servidor remoto resulte comprometido.

Biometría local vs autenticación remota: roles distintos

Conviene diferenciar muy bien dos conceptos que suelen mezclarse: la biometría local en el dispositivo y la autenticación remota frente a un servicio en la nube. Cuando desbloqueas una app bancaria con tu huella o tu rostro, en realidad lo que haces es una verificación local. La aplicación ya sabe quién eres porque antes te autenticaste (con contraseña, passkey u otro método) y está comprobando que sigues siendo tú quien tiene el móvil en la mano.

Esta verificación local no necesita conexión a Internet y no intercambia datos biométricos con el servidor. Funciona como una segunda barrera de acceso dentro de una sesión ya establecida, muy útil cuando bloqueas el móvil, te vas un momento del escritorio o quieres que ciertas acciones sensibles (por ejemplo, una transferencia o un cambio de configuración crítica) requieran una confirmación extra.

La autenticación remota, por el contrario, es el proceso de establecer la identidad del usuario ante el backend. Aquí es donde entran en juego las passkeys (o, en modelos más antiguos, usuario y contraseña). Este paso inicial crea la sesión en el sistema remoto y define qué permisos tienes, desde qué dispositivo accedes, etc.

La biometría local está anclada al hardware, se gestiona dentro de entornos seguros como el Secure Enclave o el TEE en Android y no es transferible entre dispositivos ni servicios. Si cambias de móvil, tienes que volver a registrar tu rostro o tu huella, precisamente para evitar que ese dato viaje o se replique sin control.

En resumen, la biometría local es ideal para reautenticar al usuario durante una sesión en curso de forma cómoda y casi instantánea, pero no sustituye por sí sola a un método robusto de autenticación remota como las passkeys, que es lo que realmente vincula tu identidad a una cuenta online concreta.

Passkeys y biometría: complementos, no rivales

Una confusión bastante habitual es pensar que, si una aplicación ya protege el acceso con Face ID o con huella dactilar, añadir passkeys sería redundante. En realidad ocurre lo contrario: las dos tecnologías se potencian mutuamente y cubren huecos distintos dentro del mismo flujo de autenticación.

Las passkeys aportan un inicio de sesión resistente al phishing y al robo de credenciales. Eliminan la necesidad de contraseñas, códigos de un solo uso por SMS o aplicaciones de autenticación basadas en secretos compartidos que pueden ser interceptados o reutilizados. Son especialmente valiosas en escenarios donde el usuario y el dispositivo son inicialmente desconocidos para el servicio.

La biometría, por su parte, actúa como mecanismo cómodo y seguro para desbloquear la clave privada que vive en el dispositivo. En la práctica, cuando un usuario autentica con una passkey, lo que ve es que el sistema le pide su huella, su rostro o el PIN del bloqueo de pantalla. Bajo la superficie, esa verificación local es la condición para que el módulo seguro utilice la clave privada y firme el desafío del servidor.

Desde el punto de vista de experiencia de usuario, esta combinación encaja muy bien con lo que la gente ya hace a diario: desbloquear el móvil con un gesto rápido. Desde la óptica de seguridad, la suma de «algo que tienes» (el dispositivo) y «algo que eres» (tu biometría) se traduce en una autenticación multifactor integrada en un solo paso, sin los engorros de los métodos tradicionales.

Directivos y responsables de seguridad que miran el panorama actual, con el auge del teletrabajo, aplicaciones en la nube y comercio digital, empiezan a verlo claro: la identidad se ha convertido en el nuevo perímetro de seguridad. Ya no basta con proteger el firewall de la oficina; hay que blindar el momento en el que un usuario accede a datos y sistemas críticos, esté donde esté y con el dispositivo que tenga.

Limitaciones de las passkeys y riesgos emergentes

A pesar de todas las ventajas, también hay que ser realistas con las limitaciones y retos de las passkeys. La adopción todavía es desigual: muchos servicios importantes han dado el paso, pero miles de aplicaciones y webs siguen atadas al modelo clásico de usuario y contraseña por razones técnicas, de inercia o de compatibilidad.

La dependencia de ecosistemas como iCloud Keychain o Google Password Manager puede ser un problema para usuarios que prefieren no vincularse a esas plataformas o que utilizan sistemas mixtos. Además, si un usuario pierde todos sus dispositivos sin haber configurado métodos de respaldo adecuados, la recuperación de acceso puede complicarse, especialmente si no se han previsto passkeys multidispositivo, dispositivos de seguridad físicos o mecanismos alternativos.

Desde el lado biométrico, la popularización de estas técnicas ha traído consigo una evolución notable en los ataques de presentación. Deepfakes, vídeos manipulados y contenido sintético de alta calidad se utilizan para intentar engañar a los sistemas de reconocimiento facial o de voz. La respuesta técnica pasa por mejorar los algoritmos de detección de vida y usar señales adicionales (movimientos naturales, reflejos, profundidad, análisis de textura, etc.).

No hay que olvidar, además, el aspecto legal y de privacidad. En algunos países, especialmente en Estados Unidos, la protección jurídica frente a la obligación de desbloquear un dispositivo con biometría no está tan clara como en el caso de las contraseñas. Hay decisiones judiciales que consideran que forzar a alguien a poner el dedo o mostrar el rostro no vulnera determinados derechos constitucionales de la misma forma que obligarle a revelar una contraseña memorizada.

Este es uno de los motivos por los que muchos expertos recomiendan ofrecer al usuario alternativas y configuraciones equilibradas, por ejemplo permitiendo un PIN robusto que pueda usarse en contextos sensibles, o combinando biometría con passkeys de manera que sea posible adaptar el nivel de protección al marco legal y a las necesidades de cada organización.

Impacto para usuarios, empresas y desarrolladores

Para los usuarios de a pie, lo que se traduce de todo esto es bastante simple: más seguridad con menos lío. No hay que recordar docenas de contraseñas complejas (gestores de contraseñas), ni recurrir a notas adhesivas, ni utilizar el mismo password en todas partes cruzando los dedos para que no lo filtren. Iniciar sesión se parece más a desbloquear el móvil que a rellenar formularios interminables.

En cuanto a seguridad, las passkeys y la biometría reducen drásticamente el impacto de los ataques de phishing y del relleno de credenciales. Si no hay contraseña que robar ni código de SMS que interceptar, gran parte del arsenal clásico de los ciberdelincuentes deja de ser eficaz. Esto no significa que el riesgo desaparezca, pero sí desplaza el foco hacia otras superficies de ataque.

Para los líderes empresariales, la combinación de estas tecnologías tocad tres palancas clave: seguridad, experiencia de usuario y eficiencia operativa. Menos restablecimientos de contraseña, menos llamadas al soporte técnico, menos bloqueos de cuentas y menos fricción en procesos como el alta de clientes, la incorporación de empleados o el acceso a aplicaciones corporativas desde dispositivos personales.

Informes recientes, como el Sophos Active Adversary Report, muestran que alrededor del 67 % de los incidentes analizados tienen origen en problemas de identidad, y que las credenciales comprometidas siguen siendo la causa principal en un porcentaje altísimo de casos. A esto se suma otro dato preocupante: cerca del 59 % de los incidentes investigados se produjeron en entornos donde no había MFA o estaba mal configurado, lo que deja claro que muchos programas de seguridad siguen fallando justo en el punto más crítico.

Para desarrolladores y equipos de producto, el cambio también es profundo. Implementar passkeys ya no exige reinventar la rueda: los grandes sistemas operativos y navegadores soportan WebAuthn de forma nativa (Chrome, Safari, Edge, con Mozilla incorporándolo de manera progresiva), y existen SDKs, APIs y servicios de terceros que simplifican la integración tanto en web como en aplicaciones móviles.

Tipos de passkeys, casos de uso y adopción actual

En la práctica, podemos distinguir dos grandes tipos de passkeys: las multidispositivo (sincronizadas) y las vinculadas a dispositivo. Las primeras están pensadas sobre todo para uso personal y de consumo; se sincronizan entre los distintos dispositivos del usuario dentro de un mismo ecosistema (Apple, Google, Microsoft), lo que permite una experiencia muy fluida al cambiar de móvil, tablet u ordenador.

Las passkeys vinculadas a dispositivo, en cambio, se utilizan mucho en entornos empresariales donde se busca una seguridad más férrea y controlada. Aquí la clave privada se queda físicamente anclada a un único dispositivo o token de hardware, lo que reduce el riesgo de robo masivo en caso de que una cuenta en la nube sea comprometida. En estos escenarios suele ser útil consultar guías de Android para empresa y políticas de gestión de dispositivos.

La lista de plataformas que ya soportan passkeys no para de crecer. A nivel de dispositivos, hablamos de iPhone y iPad con iOS 16 o superior, Mac con macOS Ventura 13 en adelante, Android desde la versión 9 (análisis completo de Android) y Windows 10/11 con Windows Hello. En navegadores, las versiones modernas de Chrome, Safari y Edge ofrecen soporte sólido, con Firefox incorporándolo de manera más limitada pero creciente.

En cuanto a servicios, se encuentran ya passkeys en comercio electrónico (Amazon, Walmart, Best Buy, Target, Shopify, Kayak), redes sociales (X, LinkedIn, TikTok), servicios financieros (Coinbase, Robinhood, Stripe, PayPal, Affirm) y plataformas de desarrollo (GitHub, Bitbucket), entre muchos otros. Esta masa crítica de proveedores está acelerando el cambio cultural hacia un mundo sin contraseñas.

Todo ello se ve reforzado por hitos normativos y de estandarización como la aprobación por parte del NIST (Instituto Nacional de Estándares y Tecnología) de las passkeys sincronizadas en sus directrices, reconociendo explícitamente su resistencia al phishing y su potencial para sustituir a las contraseñas tradicionales incluso en sectores regulados como banca y sanidad.

Implementación y futuro de passkeys y biometría

Para quienes están pensando en implantar estas tecnologías en sus propias aplicaciones o servicios, el mensaje principal es claro: no hace falta empezar desde cero. Los proveedores de identidad (IdP) más conocidos ya ofrecen soporte nativo para passkeys, y existen librerías como las basadas en WebAuthn para distintos lenguajes que se encargan de la parte criptográfica del lado del servidor.

En entornos móviles, tanto Apple como Google ofrecen APIs de autenticación que integran de forma relativamente sencilla passkeys y biometría local en las apps nativas. Además, han surgido plataformas especializadas en observabilidad y gestión de passkeys a gran escala que permiten a los equipos ver qué dispositivos y navegadores son compatibles, dónde falla el flujo de login, o cómo afectan las actualizaciones de sistemas operativos a la tasa de éxito en los inicios de sesión.

Mirando un poco más allá, el horizonte apunta a innovaciones todavía más avanzadas. Se investiga en nuevas formas de biometría (ondas cerebrales, patrones de latidos del corazón, incluso marcadores de ADN en contextos muy específicos) y en modelos de identidad soberana apoyados en tecnologías como blockchain, donde el usuario controlaría sus datos y utilizaría claves criptográficas como prueba universal de identidad en distintos servicios.

Todo esto converge hacia un escenario en el que las contraseñas se irán convirtiendo en una opción residual, mantenida solo por compatibilidad o por requisitos muy particulares. Passkeys y biometría avanzada dibujan un ecosistema en el que la seguridad se refuerza al mismo tiempo que se simplifica la vida del usuario, reduciendo la superficie de ataque asociada a la identidad y minimizando los errores humanos que tanto explotan los atacantes.

La combinación de passkeys y autenticación biométrica, sostenida por estándares abiertos y por la adopción de los grandes proveedores tecnológicos, se está consolidando como la pieza central del nuevo modelo de identidad digital. A medida que más servicios la adoptan y que los usuarios se acostumbran a «entrar en todas partes igual que desbloquean su móvil», la dependencia de las contraseñas va quedando atrás y las organizaciones que abracen este cambio estarán mejor posicionadas para proteger sus sistemas, a sus empleados y a sus clientes frente al panorama de amenazas actual.