Una mañana despiertas y te das cuenta de que ya no puedes seguir viajando en ese coche viejo que te llevó por años: gasta demasiado, suena raro y ya no inspira confianza. La transición de una autenticación basada en contraseñas a un sistema de passkeys sigue el mismo sentimiento de alivio y vértigo: es una actualización que mejora la experiencia y reduce muchos riesgos, pero exige planificación y algunas inversiones en infraestructura y procesos.
Las contraseñas han sido la forma dominante de autenticación durante décadas, pero los números muestran sus límites. El último informe de violaciones de datos de Verizon indica que una proporción muy elevada de incidentes involucra credenciales comprometidas, y las prácticas comunes como la reutilización de contraseñas multiplican las superficies de ataque. Consultar fuentes como el Verizon DBIR 2023 ayuda a entender por qué el cambio es urgente.
Los passkeys son la versión moderna de las llaves criptográficas: en lugar de memorizar secretos, el dispositivo del usuario genera un par de claves criptográficas, manteniendo la privada en el equipo y registrando la pública en el servicio. Cuando el usuario inicia sesión, el servicio lanza un reto que el dispositivo firma con la clave privada; el servidor verifica esa firma y concede acceso. Así se elimina el vector clásico de robo de credenciales porque la clave privada nunca abandona el dispositivo.
Esta forma de autenticar descansa en estándares abiertos como FIDO2 y WebAuthn, y su madurez ha impulsado una adopción rápida: organizaciones e ides tecnológicas ya han reportado miles de millones de cuentas compatibles con passkeys. Para ver datos de adopción y el impulso del ecosistema, el trabajo de la FIDO Alliance es un buen punto de partida. Además, las guías de identidad digital de NIST ofrecen el marco para clasificar garantías (AAL2/AAL3) y detallan cómo encajan los autenticadores sincronizables en un programa de identidad: NIST SP 800-63.
Para organizaciones certificadas bajo ISO/IEC 27001, la introducción de passkeys no es sólo una decisión técnica, sino una adaptación del sistema de gestión de seguridad. La norma es un mapa que obliga a documentar y justificar los controles, los tratamientos de riesgo y los procedimientos operativos. En particular, las secciones de control de acceso, gestión de información de autenticación y autenticación segura deben reflejar cómo los passkeys cumplen o superan los objetivos de control existentes. Consultar la página oficial de ISO sobre la norma ayuda a mantener el enfoque correcto: ISO/IEC 27001 — ISO.
La migración exige un análisis de riesgos explícito. Al documentar el tratamiento del riesgo hay que mostrar qué amenazas se eliminan —como el phishing tradicional, el relleno de credenciales o ataques por fuerza bruta— y qué nuevos riesgos aparecen, por ejemplo la pérdida de dispositivos, dependencias de proveedores para passkeys sincronizables o escenarios de recuperación complejos. Los auditores querrán ver procedimientos claros para la recuperación de cuentas, re-inscripción de claves tras incidentes y controles de acceso a los datos de autenticación.
Es importante no romantizar la solución: los passkeys elevan la seguridad, pero no la convierten en invulnerable. Existen vectores que aprovechan fallos de implementación o ingeniería social —por ejemplo intentos de degradación que fuerzan la vuelta a contraseñas, o ataques sobre flujos OAuth y códigos de dispositivo— y por eso conviene apoyarse en guías prácticas sobre buenas implementaciones; el proyecto OWASP ofrece recursos útiles sobre patrones de autenticación y riesgos asociados: OWASP Authentication Cheat Sheet.
Desde el punto de vista operativo, los beneficios pueden ser reales y cuantificables. Empresas tecnológicas que han impulsado el uso de passkeys reportan reducción de intentos de acceso con credenciales robadas, mejora en la tasa de éxito de inicio de sesión y una menor carga para los equipos de soporte. Microsoft, por ejemplo, ha detallado su estrategia para empujar los passkeys como método por defecto y los motivos operativos detrás de ese movimiento: Microsoft Security Blog. Además, análisis del ecosistema muestran que la adopción mejora la experiencia para el usuario y aligera costes asociados a los reinicios de contraseña.
En términos de cumplimiento, pasarse a passkeys puede ayudar a atender múltiples marcos regulatorios y de auditoría. La autenticación resistente al phishing y categorizada en niveles de garantía por NIST encaja con requerimientos de PCI DSS sobre autenticación multifactor, reduce la exposición de datos personales en el contexto de GDPR y facilita evidencias para auditorías SOC 2, siempre que la implementación incluya registros, controles de acceso y procesos de recuperación bien definidos. Para referencias sobre marcos específicos, es útil consultar las páginas oficiales de cada estándar, como la del PCI Security Standards Council o la información sobre GDPR.
La realidad operacional suele exigir una transición gradual. Rara vez un entorno empresarial puede abandonar las contraseñas de forma inmediata: aplicaciones legadas, proveedores externos y usuarios que no tienen hardware moderno crean un periodo mixto. Durante ese tiempo hay que documentar políticas que expliquen qué sistemas requieren passkeys, cuáles toleran métodos heredados y cómo se aplica el principio de menor privilegio para evitar huecos de seguridad. La trazabilidad es clave: mantener registros claros de registros de passkeys, cambios y uso facilita la investigación de incidentes y la demostración de controles ante auditores.
Otro aspecto crítico es la recuperación de cuentas. Si un usuario pierde su dispositivo y no hay respaldo de passkeys, la organización debe tener procesos seguros para reestablecer el acceso sin reintroducir vectores de ataque. Las alternativas van desde códigos de recuperación y respaldos cifrados en la nube hasta procedimientos manuales de verificación de identidad; cada una con sus implicaciones de riesgo y costos operativos que deben quedar descritos en la documentación del SGSI.
Para que la migración funcione, las plataformas empresariales y las soluciones de gestión de credenciales deben ofrecer soporte sólido para WebAuthn, permitir políticas flexibles por grupos de usuarios, manejar verificaciones por correo para recuperación cuando proceda y generar registros de auditoría que muestren inscripciones y autenticaciones. La combinación de passkeys con controles adicionales —gestión de sesiones, requisitos de seguridad del dispositivo y monitorización de patrones— mantiene la defensa en profundidad que exige una organización madura.
¿Por dónde empezar? Una ruta práctica y coherente con ISO/IEC 27001 es priorizar por riesgo: empezar por las cuentas con más privilegios y datos sensibles, documentar el razonamiento que llevó a esa priorización y validar los cambios con análisis de riesgo y pruebas de recuperación. Complementar la implementación con formación al personal reduce fricciones y ayuda a detectar intentos de ingeniería social que intenten explotar la transición.
Al final, pasarse a passkeys no es un lujo: es una modernización necesaria para muchas empresas que buscan reducir exposición y costes operativos sin renunciar a la experiencia del usuario. No es la panacea, pero sí una palanca potente para mejorar la postura de seguridad si se acompaña de gestión del cambio, documentación rigurosa y controles técnicos adecuados. Para las organizaciones sujetas a auditorías ISO/IEC 27001, el éxito no llegará solo por desplegar tecnología: llegará cuando la implementación quede reflejada en el sistema de gestión, el tratamiento de riesgos y los procedimientos operativos.
Si quieres profundizar más sobre adopción de passkeys y estudios de caso, las notas de la FIDO Alliance sobre crecimiento de adopción y análisis del sector son lectura recomendable: FIDO Alliance — Passkey Adoption. Para entender mejor el impacto de las credenciales comprometidas en incidentes de seguridad, revisa el informe de Verizon: Verizon DBIR 2023. Y si tu objetivo es alinear la migración con buenas prácticas de identidad, la guía de NIST es una referencia esencial: NIST SP 800-63.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...