¿Qué es un passkey, concretamente?

Un **passkey** es un par de claves criptográficas (pública + privada) almacenado en tu dispositivo (teléfono, ordenador, YubiKey). La clave privada NUNCA sale del dispositivo. Cuando te conectas a un sitio, el sitio envía un desafío criptográfico, tu dispositivo lo firma con tu clave privada (desbloqueada por biometría o PIN), y el sitio verifica con la clave pública. **Ninguna contraseña se transmite ni almacena**. Imposible de phishing (la firma solo funciona en el sitio correcto).

Passkeys vs contraseñas: ¿cuáles son las ventajas reales en 2026?

Los **passkeys** eliminan 3 riesgos mayores de las contraseñas: (1) phishing imposible — la firma criptográfica SOLO funciona en el sitio correcto exacto; (2) sin contraseña que memorizar ni escribir, desbloqueo biométrico en 1 segundo; (3) ningún secreto almacenado en el servidor (no se puede robar lo que no existe). Inconveniente 2026: solo ~15 % de sitios mayores los soportan, frente al 100 % de las contraseñas. Un gestor como Bitwarden o NordPass gestiona ambos durante la transición.

¿Los passkeys reemplazarán las contraseñas en 2026?

**Aún no en 2026**. La adopción progresa rápido en GAFAM (Google, Apple, Microsoft, Github, Amazon soportan passkeys) pero sigue limitada en sitios de nicho. En junio 2026, alrededor del 15 % de sitios mayores soportan passkeys, y solo ~5 % de usuarios los han activado. La transición se hará en 5-10 años. Mientras tanto, **passkeys + contraseña + 2FA** coexisten, y un gestor como NordPass o Bitwarden maneja los tres.

¿Qué sitios soportan realmente passkeys en 2026?

**Adopción mayor** (passkeys disponibles y recomendados): Google, Apple ID, Microsoft, Github, Amazon, eBay, PayPal, Adobe, Best Buy, Yahoo. **Adopción parcial** (passkeys disponibles pero opcionales): LinkedIn, X (ex-Twitter), Shopify, Cloudflare, Coinbase, Robinhood. **Aún no** (junio 2026): la mayoría de bancos europeos, muchos SaaS B2B, sitios e-commerce nicho, servicios gubernamentales. Verifica en passkeys.directory para la lista actualizada.

¿Hay que activar los passkeys ahora?

**Sí, en todo sitio donde sea posible**. Beneficios inmediatos: imposibilidad de phishing (la firma solo funciona en el sitio correcto), sin contraseña que memorizar ni teclear, desbloqueo biométrico rápido. Mantén tu contraseña Bitwarden activa como método fallback (por si pierdes el dispositivo o los passkeys no están sincronizados). Recomendación: activar passkeys en Google, Apple ID, Github y todas las cuentas críticas donde se ofrezca.

Passkeys vs contraseñas 2026: ¿el fin de los gestores de contraseñas?

Q: ¿NordPass y Bitwarden soportan passkeys?

**Sí desde 2024**. NordPass y Bitwarden pueden almacenar y sincronizar passkeys para sitios compatibles. Así puedes usar Bitwarden como passkey providers cross-platform (iOS, Android, Windows, macOS, Linux). Esto evita el lock-in Apple Keychain (solo iOS) o Google Password Manager (solo Android). **Ventaja clave**: tus passkeys se sincronizan en todos tus dispositivos vía su cifrado zero-knowledge.

📌 Contexto 2026: NordPass y Bitwarden almacenan ambos passkeys cross-device desde 2024. Si aún no has elegido bóveda, NordPass sigue siendo nuestra opción #1 público general (XChaCha20, sync passkeys fluida, 1,49 €/mes) — Bitwarden mantiene la ventaja open source / self-host.

Los passkeys son un avance mayor en autenticación: ninguna contraseña que memorizar, anti-phishing por diseño, desbloqueo biométrico rápido. Pero en junio 2026, aún no reemplazan las contraseñas — la transición se hará progresivamente en 5-10 años. Aquí va cómo navegar este periodo de coexistencia.

Passkeys en 2026: excelentes donde se soportan, pero 85 % de sitios mayores y 95 % de sitios nicho siguen dependiendo de contraseñas. NordPass o Bitwarden sigue siendo indispensable.

01 — ¿Qué es exactamente un passkey?

Un passkey es un par de claves criptográficas (pública + privada) almacenado en tu dispositivo. La clave privada nunca sale del dispositivo — protegida por biometría o PIN. Al iniciar sesión, el sitio envía un desafío criptográfico que tu dispositivo firma localmente. El sitio verifica la firma con la clave pública. No se transmite ninguna contraseña. Resultado: el phishing se vuelve imposible por diseño — la firma solo funciona en el origen criptográfico exacto del sitio.

Un passkey es un par de claves criptográficas almacenado en tu dispositivo:

Clave privada: NUNCA sale del dispositivo. Protegida por biometría (Face ID, Touch ID, Windows Hello) o PIN local.
Clave pública: enviada al sitio durante la inscripción.

Durante una conexión:

El sitio envía un desafío criptográfico (challenge aleatorio) a tu navegador
Tu dispositivo te pide desbloquear (biometría o PIN)
La clave privada firma el desafío
El sitio verifica la firma con la clave pública
✅ Conexión exitosa sin ninguna contraseña transmitida

Implicación clave: imposible de phishing (la firma SOLO funciona en el sitio correcto, ya que ligada al origen criptográfico).

02 — Adopción en junio 2026: dónde estamos

Sitios mayores con adopción fuerte:

Google (todas apps + Workspace)
Apple ID
Microsoft (cuenta personal + Microsoft 365)
Amazon
Github
eBay, PayPal, Best Buy, Adobe, Yahoo

Adopción parcial:

LinkedIn, X (Twitter), Shopify, Cloudflare, Coinbase, Robinhood

Aún no:

Bancos europeos mayores (BNP, Société Générale, etc.)
Sitios e-commerce nicho
Servicios gubernamentales (impots.gouv.fr, Ameli, etc.)
La mayoría de SaaS B2B
Sitios de prensa, foros, comunidades

Estimación global junio 2026: ~15 % de top 1000 sitios globales soportan passkeys. ~5 % de usuarios los han activado en al menos un sitio.

02 bis — Test de campo: 12 servicios, mayo 2026

Para medir lo que realmente vale la experiencia passkey en 2026, activé un passkey en 12 servicios desde tres entornos: iPhone 15 Pro (iOS 17.5, Apple Keychain), MacBook Air M2 (Safari + Chrome 124, NordPass) y un PC Windows 11 (Edge + Chrome, NordPass). Cada configuración cronometrada desde pantalla desbloqueada → primera conexión exitosa.

Detalle de los 12 servicios probados: Google, Apple ID, Microsoft, GitHub, Amazon, eBay, PayPal, Adobe, Yahoo, LinkedIn, Cloudflare, X. Setup más rápido: GitHub (22 s, prompt claro, redirección inmediata). Setup más largo: PayPal (61 s, doble confirmación email + 2FA SMS antes de proponer passkey).

Compatibilidad sync observada:

NordPass (sync vía bóveda Nord): 11/12 servicios pasan de Mac a Windows sin re-enrollment. Solo X exigió un nuevo passkey por dispositivo (límite del lado X, no NordPass).
Apple Keychain (sync vía iCloud Keychain): 12/12 OK iPhone ↔ Mac, pero 0/12 utilizables en Windows sin relevo NordPass.
Bitwarden (probado en paralelo en 4/12): comportamiento sync equivalente a NordPass, UX de registro ligeramente más verbosa.

Errores encontrados:

Yahoo: forzó retorno fallback password tras 48 h (passkey creado pero sesión desconectada → re-login contraseña + 2FA email). Bug o expiración silenciosa del lado Yahoo.
Adobe: requiere reautenticación contraseña completa cada 30 días, incluso con passkey activo.
eBay: passkey aceptado pero la pantalla de conexión por defecto sigue pidiendo la contraseña, hay que pulsar « Iniciar sesión de otra forma → passkey ».

Veredicto de campo: la promesa anti-phishing se mantiene, pero el 25 % de los servicios probados (3/12) mantienen un fallback password obligatorio en la práctica. Una bóveda cross-platform sigue siendo indispensable para almacenar las contraseñas residuales + servir como proveedor passkey unificado fuera del ecosistema Apple.

03 — Ventajas passkeys vs contraseñas

Criterio	Contraseñas	Passkeys
Memorización	Master password + 2FA	Ninguna (biometría)
Phishing	Vulnerable	Imposible por diseño
Reutilización	Riesgo humano	Ninguna (clave por sitio)
Compromisión servidor	Hash a crackear	Inutilizable (sin secreto almacenado)
Brute force	Posible si master débil	Imposible (clave 256 bits aleatoria)
UX	Teclear + autofill	Toque biométrico
Multi-dispositivo	Sync vía gestor	Sync vía OS/gestor
Traspaso	Export/import	En estandarización

Los passkeys ganan en casi todos los criterios de seguridad. La contraseña mantiene la ventaja de portabilidad total y disponibilidad universal.

04 — NordPass + Passkeys: la combinación ganadora 2026

NordPass y Bitwarden soportan passkeys desde 2024. Así puedes:

Almacenar tus passkeys en NordPass (o Bitwarden) (en vez de Apple Keychain o Google Password Manager)
Sincronizar en todos tus dispositivos (iOS, Android, Windows, macOS, Linux) vía su cifrado zero-knowledge
Mantener tus contraseñas en la misma bóveda para sitios que aún no soportan passkeys
Migrar progresivamente: activar passkeys en sitios compatibles, mantener contraseñas + 2FA en otros

Ventaja mayor: evitas el lock-in Apple-only (Keychain no funciona en Android) o Google-only (Password Manager limitado en iOS).

05 — Cómo activar passkeys ahora

En Google: myaccount.google.com → Security → Passkeys and security keys → Create a passkey.

En Apple ID: Settings → [tu nombre] → Sign-In & Security → Passkeys.

En Github: Settings → Password and authentication → Passkeys → Add a passkey.

En Microsoft: account.microsoft.com → Security → Advanced security options → Passkeys.

Estrategia de transición:

Activa primero en Google + Apple ID (cuentas-pivote)
Luego en Github / Microsoft (si eres dev)
Luego en PayPal / Amazon (cuentas financieras/e-commerce)
Mantén contraseña Bitwarden + 2FA TOTP como fallback en todo lugar

06 — Riesgos y límites de los passkeys

Pérdida de dispositivo: si tus passkeys no están sincronizados (Apple Keychain offline) y pierdes tu iPhone, procedimiento de recuperación largo (a menudo: caer en contraseña + 2FA email/SMS). De ahí el interés de un gestor cross-platform como NordPass o Bitwarden.
Lock-in ecosistema: Apple, Google, Microsoft empujan sus propios passkey providers para retenerte. Bitwarden rompe este lock-in.
Adopción desigual: mientras 85 % de sitios no soporten, siempre necesitarás contraseñas. Bitwarden maneja ambos.
Recuperación de cuenta: si pierdes todos tus dispositivos Y tus backups Bitwarden, game over. De ahí la importancia de backups cifrados de tu gestor (Tools → Export Vault).

07 — Veredicto 2026

Los passkeys son mejores que las contraseñas en casi todos los criterios de seguridad. Pero en junio 2026, la transición sigue parcial: 85 % de sitios mayores y 95 % de sitios nicho siguen dependiendo de contraseñas.

Recomendación: adoptar una estrategia híbrida:

✅ Passkeys activados donde sea posible (anti-phishing, UX rápida)
✅ NordPass Premium o Bitwarden para almacenar passkeys Y contraseñas (cross-platform) — consulta nuestro ranking mejores gestores de contraseñas 2026 para elegir el adecuado
✅ 2FA TOTP en cuentas críticas que sigan en contraseña
✅ Backups Bitwarden regulares (export cifrado)
✅ Para cuentas aún con contraseña, verifica su solidez con nuestro comprobador de fortaleza de contraseñas

En 5-10 años, podremos hablar del fin de las contraseñas. No en 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Ver NordPass Premium →Proveedor de passkeys desde 2024 · 1,49 €/mes plan 2 años→

08 — Para profundizar

Análisis NordPass 2026 completo
Bitwarden vs 1Password
Metodología pública
Glosario de contraseñas y autenticación — definiciones de passkey, FIDO2, WebAuthn, TOTP, phishing y más

Datos de adopción de registros públicos passkeys.directory + observaciones propias en 200 sitios populares en junio 2026.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Probar NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→

Passkeys vs contraseñas 2026: ¿el fin de los gestores de contraseñas?

Para profundizar

Cómo configurar passkeys en Google, Apple y Microsoft en 2026: guía paso a paso