¿Qué es un passkey en términos simples?

Un passkey es un reemplazo moderno de la contraseña: en lugar de un secreto que escribes, tu dispositivo guarda una clave criptográfica privada y demuestra tu identidad a un sitio firmando un reto con ella. Apruebas el inicio de sesión con la misma cara, huella o PIN que usas para desbloquear el dispositivo. El sitio solo guarda la clave pública correspondiente, inútil para un ladrón. Así que un passkey es algo que tu dispositivo tiene más algo que tú eres — sin secreto compartido que recordar, reutilizar, phishear o filtrar.

¿En qué se diferencia un passkey de una contraseña?

Una contraseña es un secreto compartido: tú y el sitio la conocéis, la escribes, y cualquiera que la robe o phishee puede entrar como tú. Un passkey es un par de claves: la privada nunca sale de tu dispositivo ni se envía al sitio, que solo guarda la pública. Te autenticas firmando un reto de un solo uso, no enviando un secreto. Eso elimina toda la clase de ataques contra contraseñas — phishing, credential stuffing, filtraciones de bases, reutilización — porque no hay secreto reutilizable que capturar.

¿Por qué los passkeys son más seguros que las contraseñas?

Tres razones. Primero, no se guarda ningún secreto compartido en el servidor, así que una filtración solo expone claves públicas inútiles. Segundo, los passkeys están ligados al dominio exacto del sitio, así que una página falsa de phishing no puede disparar tu passkey real — resistencia al phishing por diseño. Tercero, no se transmite nada reutilizable, así que el credential stuffing y la reutilización simplemente no aplican. La clave privada permanece en tu dispositivo, protegida por tu biometría o PIN.

¿Qué pasa con mis passkeys si pierdo el teléfono?

Depende de dónde estén guardados. La mayoría de los passkeys se sincronizan vía un proveedor — iCloud Keychain de Apple, Google Password Manager, o un gestor de contraseñas multiplataforma — así que un dispositivo nuevo con sesión en esa cuenta recupera tus passkeys. Por eso también importa una cuenta sólida y bien protegida (con su propia recuperación). Guardar tus passkeys en un gestor multiplataforma evita quedar atrapado en un solo ecosistema y da un hogar único y recuperable en todos tus dispositivos.

¿Qué es un passkey? Cómo funciona y por qué supera a la contraseña (2026)

Q: ¿Ya se pueden usar passkeys en todas partes?

No en todas, pero la adopción es amplia en 2026: Google, Apple, Microsoft, Amazon y muchos bancos y apps admiten passkeys, y los principales sistemas y navegadores los manejan de forma nativa. Muchos sitios pequeños siguen con contraseñas, así que el enfoque práctico es híbrido — usar passkeys donde se ofrezcan, y un gestor de contraseñas con 2FA para el resto. Con el tiempo, los passkeys reemplazan a las contraseñas en los sitios que más importan.

Inicias sesión con un vistazo a tu teléfono — sin contraseña escrita, nada que olvidar, nada que phishear. Eso es un passkey, y en 2026 es la tecnología que reemplaza silenciosamente a la contraseña. Esta guía explica, con claridad, qué es un passkey, cómo funciona, por qué es más seguro que una contraseña, y cómo mantener tus passkeys disponibles en todos tus dispositivos.

Qué es un passkey

Un passkey reemplaza tu contraseña por un par de claves criptográficas. Cuando creas un passkey para un sitio, tu dispositivo genera dos claves:

una clave privada que nunca sale de tu dispositivo, protegida por tu cara, huella o PIN;
una clave pública que el sitio guarda.

Para entrar, el sitio envía un reto de un solo uso; tu dispositivo lo firma con la clave privada y devuelve la firma. El sitio la verifica con la clave pública. Nunca escribes ni transmites un secreto — solo apruebas con tu biometría. Es algo que tienes (el dispositivo con la clave) más algo que eres (tu biometría).

Un dedo pulsando un lector de huellas de un control de acceso en la pared

Passkey vs contraseña

Una contraseña es un secreto compartido: tú y el sitio la tenéis, la escribes, y quien la robe, phishee o adivine se convierte en ti. Un passkey es un par de claves: la mitad privada permanece en tu dispositivo y nunca se envía, y el sitio solo guarda la mitad pública, inútil para ladrones.

	Contraseña	Passkey
Secreto guardado en el servidor	Sí (con hash)	No — solo clave pública
Phisheable	Sí	No (ligado al dominio real)
Reutilizable entre sitios	A menudo (malo)	Nunca — único por sitio
Hay que recordarlo	Sí	No

Para el hábito más amplio en el que encaja, ve qué es un gestor de contraseñas y qué es una frase de contraseña.

Por qué los passkeys son más seguros

Sin secreto compartido — una filtración del servidor solo expone claves públicas, que no permiten entrar a nadie. El desfile interminable de filtraciones de bases de contraseñas simplemente deja de importar.
Resistencia al phishing — un passkey está ligado al dominio exacto del sitio, así que una página de phishing clónica no puede disparar tu passkey real. Esta es la grande, porque el phishing derrota incluso a contraseñas fuertes. (Ve qué es el phishing.)
No se envía nada reutilizable — el credential stuffing y la reutilización, causa de la mayoría de los robos de cuentas, ya no aplican.

Reconocimiento facial mapeando puntos en el rostro de una persona durante un escaneo

Cómo se guardan y sincronizan los passkeys

Tus claves privadas viven en tus dispositivos, pero normalmente se sincronizan para no atarte a un solo aparato:

Sincronización de plataforma — Apple iCloud Keychain, Google Password Manager, Microsoft — cómodo si vives en un ecosistema.
Un gestor de contraseñas multiplataforma — guarda tus passkeys y los sincroniza entre iPhone, Android, Windows, Mac y navegadores, así no quedas atado a un proveedor y tienes un hogar único y recuperable.

El bloqueo en un ecosistema y la recuperación son las principales fricciones prácticas de los passkeys — y un gestor multiplataforma es la respuesta más limpia.

Guarda tus passkeys en todos tus dispositivos → BitwardenCódigo abierto · Almacenamiento de passkeys multiplataforma (iPhone, Android, Windows, Mac, navegador) · Bóveda zero-knowledge con 2FA→

Dónde usar passkeys

La adopción es amplia en 2026 — Google, Apple, Microsoft, Amazon, PayPal y muchos bancos admiten passkeys, con manejo nativo en los principales navegadores y sistemas. Muchos sitios pequeños siguen con contraseñas, así que el enfoque realista es híbrido: passkeys donde se ofrezcan, y un gestor de contraseñas con 2FA sólida para el resto. Para profundizar en la configuración y la comparación, ve passkeys vs contraseñas y configurar passkeys en Google, Apple y Microsoft.

En resumen

Un passkey te conecta con una clave privada en tu dispositivo, desbloqueada con tu cara o huella, en vez de un secreto que escribes. Como no hay secreto compartido y los passkeys están ligados al sitio real, derrotan al phishing, al credential stuffing, a la reutilización y a las filtraciones de bases de una sola vez. Usa passkeys donde se ofrezcan, guárdalos en un gestor multiplataforma para no quedar atrapado, y mantén un gestor de contraseñas con 2FA para los sitios que aún no se han puesto al día.

Guía editorial basada en el modelo documentado de passkeys FIDO2/WebAuthn (clave privada en el dispositivo, verificación por clave pública, vínculo al dominio). Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste adicional para ti.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Blinda tus cuentas → NordPassContraseñas fuertes y únicas · escáner de filtraciones · plan gratis→

¿Qué es un passkey? Cómo funciona y por qué supera a la contraseña (2026)

Qué es un passkey

Passkey vs contraseña

Por qué los passkeys son más seguros

Cómo se guardan y sincronizan los passkeys

Dónde usar passkeys

En resumen

Para profundizar

¿Qué es el credential stuffing? Cómo funciona y cómo frenarlo (2026)

¿Qué es un gestor de contraseñas? Cómo funciona y por qué lo necesitas (2026)

¿Qué es una frase de contraseña? Frase vs contraseña (2026)