Más allá del marketing: la verdad técnica sobre las PassKeys

La industria tecnológica liderada por Microsoft, Google y Apple avanza a pasos agigantados hacia un futuro sin contraseñas. El último movimiento de Microsoft establece las PassKeys como método predeterminado para nuevas cuentas. Pero este cambio, aunque innovador, no está exento de dudas, especialmente en términos de seguridad práctica.

En este artículo explicamos cómo funciona realmente este sistema a nivel de arquitectura de seguridad, qué protecciones existen, y por qué, aunque sea más seguro en algunos frentes, aún hay escenarios donde las contraseñas fuertes siguen siendo una primera opción.

¿Qué es una PassKey y cómo funciona?

Las PassKeys son credenciales basadas en criptografía asimétrica diseñadas para reemplazar las contraseñas. Utilizan un par de claves:

  • Clave privada: se guarda de forma segura en tu dispositivo.
  • Clave pública: se registra en el servidor del servicio (Microsoft, Google, etc.).

¿Qué ocurre al iniciar sesión?

  1. El servidor envía un mensaje cifrado para verificar la identidad del dispositivo.
  2. Tu dispositivo firma ese mensaje con la clave privada, que nunca sale del dispositivo.
  3. El servidor verifica la firma usando la clave pública registrada.
  4. Si todo coincide, el acceso se concede.

Este proceso se basa en el estándar FIDO2 y se ejecuta sin transmitir ninguna información sensible reutilizable.

Autenticación local: el papel de la biometría o el PIN

El dispositivo no utiliza directamente tu cara o huella para iniciar sesión en el servidor. Lo que hace es:

  • Desbloquear el uso de la clave privada localmente, si tu autenticación biométrica o PIN es válida.
  • Firmar el desafío remoto, de forma invisible para ti.

Esto significa que el servidor nunca ve tu cara, ni tu PIN, ni tu huella, y que tu identidad se valida localmente antes de que tu dispositivo firme nada.

¿Qué pasa si alguien obtiene mi cara, huella o PIN?

Aquí entramos ya en terreno más delicado. Es decir:

Escenario 1: Robo remoto

  • Imposible usar tu PassKey si no tienen acceso a tu dispositivo físico.
  • Phishing inservible, porque no hay nada que robar remotamente (ni PIN, ni cara, ni contraseña).

Escenario 2: Acceso físico + suplantación de identidad local

Evidentemente puede existir riesgo si alguien obtiene acceso a tu dispositivo y puede desbloquearlo con tu cara, huella o PIN. Sin embargo Windows Hello y otros sistemas usan detección de vida (infrarrojos, geometría facial, etc.) para dificultar engaños con fotos o deepfakes.

Los PIN están vinculados al dispositivo, no se pueden reutilizar en otros equipos.

¿Puede la IA romper esta seguridad?

Con los avances actuales en IA generativa y deepfakes, es posible generar rostros animados falsos que imitan la biometría facial. Pero la eficacia de estos ataques depende mucho del hardware:

  • Sensores básicos (2D) son vulnerables.
  • Sensores avanzados con cámara IR o 3D (como Windows Hello certificado o Face ID) detectan profundidad, calor, y micro-movimientos reales del rostro.

Aunque no es imposible, la suplantación facial asistida por IA sigue siendo extremadamente difícil contra hardware moderno bien configurado.

¿Y qué hay de las contraseñas tradicionales?

En entornos profesionales y de alta exigencia, muchas personas especialistas en seguridad continúan considerando las contraseñas fuertes, combinadas con autenticación multifactor, como una alternativa válida y en algunos casos preferible.

Ventajas de una contraseña fuerte:

  • Portabilidad: puedes usarla en cualquier lugar, en cualquier equipo.
  • Independencia del hardware: no dependes de sensores o cámaras.
  • Control total: puedes cambiarla, actualizarla, revocarla al instante.
  • Privacidad biométrica: no se expone tu rostro ni huella, ni siquiera localmente.

Pero eso sí, una contraseña solo es segura si es compleja, única y reforzada con 2FA (autenticación de doble factor).

En definitiva, la innovación que representa PassKey es una solución sólida para combatir el phishing, el robo masivo de contraseñas y la reutilización de credenciales, que son las tres amenazas más comunes hoy. Sin embargo, hay que reconocer que:

  • El acceso físico sigue siendo una debilidad potencial si no se gestiona bien la autenticación local.
  • El desarrollo de IA podría reducir la fiabilidad de la biometría facial en el futuro si no se refuerza con mejores sensores.
  • Un PIN mal elegido es tan débil como una mala contraseña.

Por eso, para quienes utilizan bien la gestión de contraseñas, combinadas con llaves físicas (como YubiKey) y cifrado de disco, siguen siendo perfectamente válidas y, en ciertos contextos, incluso preferibles.

Fuente imagen: freepik.com