Durante décadas, la contraseña fue el guardián universal de nuestra vida digital. Hoy, ese guardián tiene 123456 como apellido y lo conoce todo el mundo.
Los números son contundentes: según el Informe de Investigaciones de Brechas de Datos de Verizon 2023, el 74% de todas las brechas de seguridad involucran credenciales robadas, contraseñas débiles o reutilizadas. No es un problema de educación — es un problema de diseño. Las contraseñas son fundamentalmente inseguras porque dependen de que los humanos las recordemos, las mantengamos en secreto y las cambiemos con disciplina. Y los humanos, sencillamente, no somos buenos en eso.
El problema que nadie quiere admitir
Piensa en cuántas contraseñas manejas. El usuario promedio tiene más de 100 cuentas en línea, según un estudio de NordPass. La respuesta natural — y peligrosa — es reutilizarlas. Cuando una base de datos es comprometida, ese domino cae sobre todas tus cuentas que comparten la misma clave.
El phishing agrava el problema. Un sitio falso que imita perfectamente el tuyo puede capturar credenciales en segundos. El usuario ingresa su contraseña convencido de estar en el lugar correcto, y no hay tecnología del lado del cliente que lo detenga. En 2023, el Anti-Phishing Working Group reportó más de 5 millones de ataques de phishing en un solo año — el récord histórico.
El doble factor de autenticación (2FA) mejoró las cosas, pero no las resolvió. Los códigos SMS son interceptables. Las apps de autenticación pueden ser bypasseadas con ataques de ingeniería social en tiempo real. Y la fricción para el usuario sigue siendo alta: contraseña, luego esperar el código, luego ingresarlo antes de que expire.
Qué es exactamente una Passkey
Una Passkey no es una contraseña más difícil. Es un mecanismo de autenticación completamente diferente, construido sobre el estándar WebAuthn del W3C y el protocolo FIDO2, desarrollados por la FIDO Alliance con el respaldo de Google, Apple, Microsoft y docenas de otras organizaciones tecnológicas líderes.
El concepto central es la criptografía de clave pública. Cuando registras un dispositivo, se generan dos claves matemáticamente relacionadas: una privada, que nunca sale de tu dispositivo, y una pública, que el servidor guarda. Al autenticarte, el servidor envía un desafío aleatorio único. Tu dispositivo lo firma con la clave privada, y el servidor verifica esa firma con la clave pública. Sin contraseña. Sin secreto compartido. Sin nada que robar del servidor.
Para el usuario, todo esto ocurre en un gesto: una huella dactilar, un reconocimiento facial, o el PIN del dispositivo. El sistema operativo se encarga del resto.
Por qué es diferente a todo lo anterior
La ventaja que más se subestima es la resistencia al phishing. Cuando tu navegador completa una autenticación con Passkey, verifica criptográficamente que el dominio del sitio coincide exactamente con el dominio donde se registró la credencial. Un sitio de phishing — aunque sea una copia perfecta — no puede engañar al sistema. El navegador simplemente no encuentra una credencial válida para ese dominio falso.
Esto es algo que ni las contraseñas más complejas ni el 2FA pueden garantizar.
Además, dado que la clave privada nunca abandona el dispositivo y nunca se transmite, una brecha en el servidor del servicio no compromete tu credencial. El atacante obtendría solo la clave pública — que por definición es pública y no sirve para autenticarse.
Google reportó que desde que implementó soporte para Passkeys en sus servicios, el tiempo promedio de autenticación se redujo en un 40% comparado con el flujo tradicional de contraseña más 2FA. Menos fricción, más seguridad — una combinación que rara vez se da en tecnología.
La adopción ya es masiva
Lo que hace unos años era territorio de investigadores de seguridad hoy está en el bolsillo de cualquier persona. Apple integró soporte completo de Passkeys en iOS 16 y macOS Ventura en 2022. Google lo habilitó en Android ese mismo año. Microsoft siguió con Windows Hello. En 2024, la FIDO Alliance reportó que más de 13 mil millones de cuentas en todo el mundo ya tienen acceso a autenticación con Passkey.
PayPal, Amazon, GitHub, Adobe, LinkedIn — la lista de servicios que ya lo soportan crece cada semana. El estándar existe, la infraestructura existe, y los dispositivos de tus usuarios ya están listos.
Lo que esto significa para ti como cliente de Tieriun
Hemos implementado autenticación con Passkey directamente en nuestro sistema de acceso. A partir de hoy, puedes vincular tu dispositivo — sea un iPhone, un MacBook, un Android o un PC con Windows — y acceder a tu Control Center™ con verificación biométrica.
El proceso de registro toma menos de 30 segundos. Una vez configurado, el login es instantáneo: tu huella o tu rostro verifican tu identidad, el sistema valida criptográficamente que eres tú, y entras. Sin códigos que esperar, sin vectores de ataque que gestionar.
La implementación que construimos cumple con el estándar WebAuthn Level 2 del W3C. Cada autenticación genera un desafío criptográfico único, verifica el contador de firmas del dispositivo para detectar clonaciones, y valida que el origen de la solicitud corresponda exactamente con nuestro dominio. La clave privada nunca sale de tu dispositivo. Nosotros guardamos únicamente la clave pública — que sin la privada no sirve para nada.
Es el nivel de seguridad que usan las instituciones financieras más exigentes del mundo, disponible ahora en tu Control Center™.
Las contraseñas tuvieron su momento. Fue un momento largo, de casi 60 años, pero llegó a su fin. La pregunta ya no es si deberías adoptar Passkeys — es cuánto tiempo más vas a seguir con el modelo anterior.
Entra al Control Center™, ve a la sección de seguridad, y registra tu dispositivo hoy.
