Respuesta corta: sí, las passkeys son seguras — y frente a los ataques que de verdad se apoderan de las cuentas, son notablemente más seguras que las contraseñas. Pero «segura» no es lo mismo que «nada en lo que pensar». Los riesgos solo se desplazan de lo que no controlas (que hackeen un sitio web) a lo que sí controlas (tu dispositivo, tu sincronización, tu recuperación). Esta guía explica exactamente dónde son fuertes las passkeys, dónde están los riesgos reales y cómo usarlas para que sigan siendo seguras.
Por qué las passkeys son seguras por diseño
Una passkey sustituye tu contraseña por un par de claves criptográficas. Tu dispositivo guarda una clave privada que nunca lo abandona; el sitio solo almacena una clave pública. Para iniciar sesión, tu dispositivo firma un desafío de un solo uso — nunca tecleas ni transmites un secreto. Esa sola decisión de diseño elimina las formas más comunes en que caen las cuentas:
- Sin secreto compartido que robar por phishing. Una passkey está ligada al dominio exacto del sitio, así que una página de phishing imitadora literalmente no puede activar tu passkey real. Esto es lo importante, porque el phishing derrota incluso a contraseñas fuertes. (Ver qué es el phishing.)
- Sin base de datos de contraseñas que filtrar. Cuando hackean un sitio, solo filtra claves públicas — inútiles para un atacante. El desfile interminable de filtraciones de credenciales simplemente deja de importar para esa cuenta.
- No se envía nada reutilizable. El credential stuffing y la reutilización de contraseñas — la causa de la mayoría de los robos de cuentas — dejan de aplicar, porque no hay secreto reutilizable que capturar.
Para la comparación directa, ver passkeys vs contraseñas.
Entonces, ¿qué puede salir mal?
El punto débil no es la criptografía — es la logística. Esta es la lista honesta de riesgos:
- Un dispositivo totalmente comprometido. Si un malware o un keylogger ya se ejecuta con acceso profundo en tu teléfono u ordenador, podría abusar de una sesión después de que desbloquees. Las passkeys protegen el inicio de sesión; no arreglan un dispositivo ya envenenado. Mantén el sistema actualizado y evita apps fuera de la tienda.
- Tu dispositivo desbloqueado en malas manos. Una passkey se desbloquea con tu biometría o el PIN del dispositivo. Alguien con tu teléfono y tu PIN podría aprobar un inicio de sesión. Un PIN no trivial y el bloqueo biométrico cierran casi todo esto.
- Perder la única copia. Si una passkey está ligada al dispositivo y no sincronizada, un dispositivo perdido o roto puede significar perder el acceso a esa cuenta.
- Confianza en la sincronización. Las passkeys sincronizadas son tan seguras como la cuenta a través de la cual se sincronizan. Una cuenta de Apple, Google o gestor mal protegida se convierte en el nuevo punto único de fallo — así que esa cuenta necesita su propia credencial maestra fuerte y 2FA.
Fíjate en que ninguno de estos puntos consiste en romper el cifrado — se trata de higiene del dispositivo y recuperación. Esa es una superficie mucho más pequeña y controlable que «cualquiera de los cientos de sitios que guardan mi contraseña podría ser hackeado».
Passkeys vs contraseña + 2FA
A menudo se pregunta si una passkey es realmente más segura que una contraseña fuerte respaldada por autenticación de dos factores. Para la mayoría de las cuentas, sí:
| Contraseña + 2FA | Passkey | |
|---|---|---|
| Vulnerable a phishing en página falsa | Sí (contraseña e incluso códigos) | No — ligada al dominio real |
| El servidor guarda un secreto utilizable | Sí (contraseña con hash) | No — solo una clave pública |
| Vulnerable a SIM-swap | Si usas códigos SMS | No |
| Pasos que realizas | Teclear contraseña y luego aprobar código | Un toque biométrico |
Una passkey combina de hecho algo que tienes (tu dispositivo) con algo que eres (tu biometría) en un único paso resistente al phishing — por eso se considera una forma más fuerte de inicio de sesión multifactor, no un atajo. Cuando hay 2FA por SMS de por medio, la diferencia es aún mayor, ya que los códigos están expuestos a ataques de SIM-swap.
Cómo mantener seguras tus passkeys en la práctica
- Bloquea bien tu dispositivo — biometría activada, un PIN fuerte, bloqueo automático, sistema al día.
- Sincroniza a través de un hogar recuperable. Guardar las passkeys en un gestor de contraseñas multiplataforma significa que no quedan atrapadas en un solo dispositivo ni en un solo ecosistema, con una ruta clara de recuperación si pierdes el teléfono.
- Protege la cuenta de sincronización. Sea lo que sea que guarde tus passkeys — Apple, Google o un gestor — necesita una contraseña maestra fuerte y única y su propia 2FA.
- Mantén un inicio de sesión de respaldo. Para las cuentas importantes, registra una segunda passkey (o códigos de recuperación) para que un único dispositivo perdido nunca te deje bloqueado.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestor con 2FA y passkeys integrados → NordPassGuarda TOTP y passkeys · cifrado XChaCha20 · caja fuerte de conocimiento cero · plan gratis→En resumen
¿Son seguras las passkeys? Sí — y frente al phishing, el credential stuffing, la reutilización y las filtraciones de bases de datos, son más seguras que cualquier contraseña que pudieras elegir. Los riesgos que quedan no son criptográficos; son sobre tu dispositivo y tu recuperación: bloquea tu dispositivo, sincroniza tus passkeys a través de una cuenta protegida y recuperable, y mantén un inicio de sesión de respaldo para las cuentas que importan. Haz eso y las passkeys no solo son seguras — son el inicio de sesión cotidiano más seguro disponible en 2026.
Guía editorial basada en el modelo documentado de passkey FIDO2/WebAuthn (clave privada en el dispositivo, verificación por clave pública, vinculación al dominio) y las prácticas estándar de seguridad de cuentas. Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliado sin coste adicional para ti.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Blinda tus cuentas → NordPassContraseñas fuertes y únicas · escáner de filtraciones · plan gratis→Preguntas frecuentes
¿Son realmente seguras las passkeys?
Sí — frente a las amenazas que se apoderan de la mayoría de las cuentas, las passkeys son más seguras que las contraseñas. Una passkey es un par de claves criptográficas: la clave privada se queda en tu dispositivo y nunca se envía al sitio, que solo guarda una clave pública. No hay secreto compartido que robar por phishing, ni base de datos de contraseñas que filtrar, ni nada reutilizable que inyectar en otros inicios de sesión. Los riesgos que quedan no son de la criptografía sino de la logística: perder el dispositivo, confiar en dónde se sincronizan las passkeys y la recuperación de la cuenta. Todo eso es manejable y mucho menor que los riesgos de las contraseñas que sustituyen.
¿Se puede hackear o robar una passkey?
La clave privada de una passkey no se te puede robar por phishing como una contraseña, porque nunca sale de tu dispositivo y está ligada al dominio exacto del sitio: una página de inicio de sesión falsa no puede activarla. Tampoco hay un secreto del lado del servidor que robar en una filtración; un sitio hackeado solo filtra claves públicas inútiles. La superficie de ataque realista es un dispositivo totalmente comprometido con malware ya activo, o alguien con tu teléfono desbloqueado y su PIN. Una buena seguridad del dispositivo (biometría, un PIN no trivial, sistema actualizado) cierra casi toda esa brecha.
¿Qué pasa con mis passkeys si pierdo el teléfono?
Depende de dónde estén. La mayoría de las passkeys se sincronizan a través de un proveedor — iCloud Keychain de Apple, Google Password Manager o un gestor de contraseñas multiplataforma — así que iniciar sesión en esa cuenta en un dispositivo nuevo las restaura. Si una passkey está ligada al dispositivo y no sincronizada, perder el dispositivo puede significar perder esa passkey, por eso cada cuenta debería tener también un método de inicio de sesión de respaldo o códigos de recuperación. Guardar las passkeys en un gestor multiplataforma y recuperable evita quedarte bloqueado por un único dispositivo perdido o roto.
¿Es una passkey más segura que una contraseña con 2FA?
En la mayoría de los casos, sí. Una contraseña más un código por SMS o app son dos secretos que aún tecleas o apruebas, y ambos pueden robarse por phishing en una página falsa convincente — y los códigos SMS están expuestos a ataques de SIM-swap. Una passkey resiste el phishing por diseño: solo funciona en el dominio real y no transmite nada reutilizable. Combina de hecho algo que tienes (tu dispositivo) y algo que eres (tu biometría) en un solo paso, por eso los equipos de seguridad ven la passkey como una forma más fuerte de autenticación multifactor, no un atajo más débil.
¿Es seguro guardar passkeys en un gestor de contraseñas?
Sí, y suele ser la opción más segura en la práctica. Un gestor de confianza guarda tus passkeys en una caja fuerte de conocimiento cero y cifrada de extremo a extremo, las sincroniza en todos tus dispositivos y les da un hogar único y recuperable en lugar de dejarlas dispersas o atadas a un solo ecosistema. Protege esa caja fuerte con una contraseña maestra fuerte y única y 2FA, y obtienes la resistencia al phishing de las passkeys más una ruta clara de recuperación si pierdes un dispositivo.
