Passkey sustituye la contraseña tradicional por una credencial criptográfica asociada al usuario y a un dispositivo o gestor sincronizado; la clave privada no sale del entorno del usuario.
Identidad y acceso
Passkey
Qué es Passkey
Una passkey es una credencial de autenticación moderna, basada en los estándares FIDO2 y WebAuthn, que permite iniciar sesión sin contraseña tradicional. En vez de depender de un secreto memorizado y reutilizable, se apoya en criptografía de clave pública: una clave privada queda protegida dentro del dispositivo del usuario (o en un gestor sincronizado) y se desbloquea con biometría, PIN o desbloqueo local, mientras que sólo la clave pública viaja al servicio. En términos prácticos, su objetivo es reducir drásticamente el robo de credenciales, la reutilización de contraseñas y los ataques de phishing.
Por qué importa
En empresa passkey importa porque el compromiso de identidad sigue siendo una de las vías de acceso inicial más frecuentes: informes de referencia como el DBIR de Verizon o los paneles de ENISA sitúan las credenciales débiles, reutilizadas o robadas detrás de una parte muy significativa de las brechas. Cuando una organización depende de contraseñas memorizadas se amplía la superficie de ataque en correo, colaboración, aplicaciones SaaS, VPN, accesos remotos y servicios críticos. Passkey cambia esa ecuación porque elimina el secreto reutilizable: la credencial está ligada criptográficamente al origen legítimo (dominio) y no puede reintroducirse en un sitio falso, lo que corta de raíz el phishing clásico y la fatiga MFA. No es una bala de plata —sigue haciendo falta IAM bien gobernado, gestión de dispositivos y procedimientos de recuperación robustos—, pero encaja muy bien como pieza central de una estrategia de MFA resistente al phishing, Zero Trust y control de acceso moderno.
Puntos clave
Corta el phishing clásico de robo de credenciales: al estar vinculada al origen (dominio), no puede reintroducirse en un portal falso ni reutilizarse en otro servicio.
Se apoya en biometría, PIN o desbloqueo local, pero esos datos no viajan al servicio remoto: se usan sólo para desbloquear la credencial dentro del dispositivo.
Está construida sobre estándares abiertos (FIDO2 / WebAuthn), soportados por sistemas operativos y navegadores modernos y compatibles con los principales proveedores de identidad corporativa.
En empresa encaja en suites de productividad cloud, aplicaciones SaaS, VPN y accesos privilegiados; su valor aumenta cuando se combina con Conditional Access, MFA y políticas de dispositivo gestionado.
Obliga a pensar bien los flujos de alta, recuperación y revocación: perder el acceso a la passkey sin un segundo método o un procedimiento documentado es una fuente real de incidentes operativos.
Ejemplo de passkey en un entorno empresarial
Una empresa con plantilla distribuida utiliza una suite de productividad en la nube, varias aplicaciones SaaS y acceso remoto corporativo. Con el modelo clásico de usuario y contraseña, incluso con MFA por SMS o notificación push, conviven el phishing de robo de credenciales, la fatiga MFA (el atacante bombardea al usuario con prompts hasta que aprueba uno) y la reutilización de contraseñas en servicios externos. Al habilitar passkeys basadas en FIDO2/WebAuthn para los servicios compatibles, el acceso deja de depender de un secreto que pueda teclearse en una web falsa: la credencial está ligada al dominio legítimo y se desbloquea con biometría o PIN local.
El despliegue real, sin embargo, no es simplemente activar una casilla. Hay que revisar la compatibilidad de las aplicaciones, diseñar el enrolamiento (bootstrap con MFA temporal, registro del segundo dispositivo), definir un procedimiento de recuperación que no reintroduzca la contraseña como atajo, integrar passkey con el proveedor de identidad y con las políticas de Conditional Access y comunicar el cambio al usuario final. En despliegues acompañados por Hard2bit esta capa de gobierno —flujos de alta, revocación ante pérdida de dispositivo, telemetría de uso y métricas de adopción— suele ser la que decide si el programa se queda en los primeros pilotos o llega de verdad a reducir incidentes de identidad.
Errores habituales
- Pensar que passkey elimina por completo el riesgo de identidad. Mejora mucho la autenticación, pero siguen haciendo falta gobierno de acceso, revisión periódica de permisos, gestión de dispositivos y protección del entorno.
- Tratar el despliegue como una simple opción técnica a activar. En empresa hay que revisar compatibilidad de aplicaciones, procesos de enrolamiento, recuperación de acceso, estrategia de dispositivos y experiencia de usuario antes de generalizar.
- Dejar la contraseña como mecanismo de respaldo universal: si la recuperación permite volver a iniciar sesión con contraseña + SMS, el phishing sigue siendo viable y buena parte del beneficio de passkey se pierde.
- Confundir passkey con cualquier MFA convencional. Aunque se relacionan, passkey no es sólo otro segundo factor: cambia el modelo de autenticación y elimina el secreto reutilizable, algo que ni OTP por SMS ni los push approvals consiguen.
Términos relacionados
Servicios relacionados
Preguntas frecuentes
¿Una passkey es lo mismo que una contraseña?
No. Una passkey sustituye la contraseña tradicional por una credencial criptográfica vinculada al usuario y al dispositivo. El usuario ya no depende de memorizar ni escribir una clave reutilizable.
¿Passkey protege frente al phishing?
Ayuda mucho a reducir ese riesgo porque elimina gran parte del problema de las credenciales reutilizables introducidas manualmente en formularios falsos. Aun así, la empresa debe seguir protegiendo identidad, dispositivos y procesos.
¿Tiene sentido usar passkey en empresa?
Sí, especialmente en organizaciones con suites de productividad cloud, aplicaciones SaaS, acceso remoto y necesidades de reducir fricción y riesgo de compromiso de cuentas. Su valor aumenta cuando se integra en una estrategia más amplia de identidad y acceso, con políticas condicionales, MFA resistente al phishing y gestión de dispositivos.