Las contraseñas tradicionales están cediendo su lugar a las passkeys, un sistema de autenticación basado en criptografía asimétrica y biometría impulsado por los gigantes tecnológicos. Esta innovación promete eliminar el riesgo de phishing y mitigar drásticamente el impacto de las filtraciones de datos.

El fin de las contraseñas tradicionales

Durante décadas, las contraseñas alfanuméricas han sido la principal barrera defensiva para acceder a correos electrónicos, aplicaciones bancarias y plataformas corporativas. Sin embargo, este método ha demostrado ser cada vez más obsoleto frente a la sofisticación tecnológica de los ciberataques modernos. La constante reutilización de claves en distintos portales, la creación de combinaciones predecibles basadas en datos personales y el almacenamiento inseguro han facilitado enormemente el trabajo de los ciberdelincuentes.

Según advierten firmas de ciberseguridad como Kaspersky, los ataques automatizados de fuerza bruta y las campañas estructuradas de ingeniería social logran vulnerar millones de cuentas al año, exponiendo información confidencial de individuos y empresas. Ante este panorama crítico, la industria tecnológica ha decidido acelerar la transición hacia un modelo sin contraseñas (passwordless), donde el usuario ya no debe memorizar secuencias complejas que terminan siendo el eslabón más débil de la cadena de seguridad informática.

¿Qué son y cómo funcionan las Passkeys?

Las passkeys o claves de paso representan una evolución fundamental en la arquitectura de la identidad digital. En lugar de exigir que el usuario introduzca un texto secreto que debe coincidir con un registro centralizado en un servidor, este nuevo modelo delega la validación de seguridad a los dispositivos personales, como teléfonos inteligentes, tabletas o computadoras portátiles.

El acceso se concede mediante la verificación biométrica que el usuario ya emplea diariamente para desbloquear su equipo. Al utilizar el reconocimiento facial, el escáner de huella dactilar o el PIN del hardware, el sistema confirma la identidad de la persona sin que se transmita ninguna credencial tradicional a través de la red. Esto añade una capa de fricción casi imperceptible para el usuario, pero infranqueable para los agentes maliciosos externos. Además, ofrecen la conveniencia de sincronizarse de forma segura en la nube, permitiendo el acceso ininterrumpido en ecosistemas conectados, e incluso facilitan el inicio de sesión en dispositivos de terceros mediante el escaneo de códigos QR.

Criptografía asimétrica: La arquitectura de la seguridad

El núcleo tecnológico de las passkeys, tal como explican los especialistas en ciberseguridad de ESET, reside en la criptografía de clave pública o criptografía asimétrica. A diferencia de las contraseñas tradicionales, donde una misma palabra clave es compartida y verificada por ambas partes, las claves de paso operan bajo un paradigma completamente distinto. Al crear una cuenta en un servicio compatible, el dispositivo del usuario genera de manera local un par de claves matemáticas vinculadas entre sí.

Una de ellas es la “clave pública”, que se envía y se almacena en los servidores de la plataforma utilizada. La segunda es la “clave privada”, que nunca abandona el chip de seguridad integrado del hardware del usuario. Cuando se solicita el inicio de sesión, el servidor remoto envía un “desafío” matemático cifrado que únicamente puede ser resuelto por la clave privada correspondiente.

Una vez que el usuario aprueba la transacción mediante su biometría, el dispositivo firma criptográficamente la respuesta y la devuelve al servidor para confirmar su autenticidad. Como la clave privada jamás viaja por la red de internet, los ciberdelincuentes carecen de un vector para interceptarla. Incluso si logran vulnerar los servidores de una empresa mediante un ciberataque, solo encontrarán claves públicas inservibles por sí solas, haciendo imposible la suplantación de identidad.

El respaldo de la FIDO Alliance y la industria

El éxito de esta transición digital depende directamente de la interoperabilidad tecnológica y la adopción masiva. Por ello, corporaciones de primera línea como Apple, Google y Microsoft han unido fuerzas bajo el estándar de la FIDO Alliance (Fast IDentity Online). Esta organización global ha diseñado los protocolos que permiten que las passkeys funcionen de manera fluida y estandarizada entre diferentes sistemas operativos y navegadores web.

A pesar de las indudables ventajas técnicas, la erradicación total de las contraseñas tomará tiempo. La infraestructura heredada en plataformas corporativas antiguas y la curva de aprendizaje de los usuarios representan desafíos significativos para su implementación global. Sin embargo, el consenso en la industria es claro: el futuro de la seguridad digital no dependerá de la memoria humana.

Desde una perspectiva tecnológica y financiera, la estandarización de las passkeys marca un hito en la reducción de costos operativos asociados al fraude transaccional y la recuperación de cuentas. Para el sector fintech y la banca digital, implementar el estándar FIDO disminuye radicalmente la superficie de ataque frente al phishing y los ataques de intermediario (Man-in-the-Middle). Al eliminar la credencial compartida como vector de vulnerabilidad, las entidades financieras no solo optimizan la experiencia del usuario (UX) reduciendo la fricción en la autenticación, sino que logran un cumplimiento normativo más robusto en materia de protección de identidad digital, garantizando que el acceso ilegítimo a bases de datos corporativas no se traduzca bajo ningún concepto en el compromiso de las cuentas de sus clientes.

Fuente: Infobae