Glosario

¿Qué es una passkey (clave de acceso)? Inicio de sesión sin contraseña y sin nada que robar

Una passkey (clave de acceso) es un inicio de sesión sin secreto compartido: tu dispositivo firma con una clave privada y el servidor solo guarda la pública. Una fuga no se aprovecha y no funciona en sitios falsos (resistente al phishing).

Publicado 2026-06-28 Actualizado 2026-06-28 4 min de lectura

«Deja de usar contraseñas que se pueden robar»: eso es lo que ofrece una passkey. Aquí tienes cómo funciona y en qué se diferencia de contraseñas y códigos SMS (sin pasos de ataque).

Cómo funciona: el secreto nunca sale del dispositivo

Una passkey se basa en la criptografía de clave pública (el estándar FIDO2 / WebAuthn). En el registro, tu dispositivo crea un par de claves y entrega al servidor solo la clave pública. Al iniciar sesión, simplemente firmas el «desafío» del servidor con la clave privada de tu dispositivo y la devuelves. La clave privada nunca sale del almacenamiento seguro de tu dispositivo.

Contraseña

tú y el servidor compartís un secreto. se roba si el servidor sufre una fuga o si la escribes en un sitio falso

Passkey

la clave privada permanece solo en el dispositivo. el servidor guarda la clave pública = inútil si se filtra

Una contraseña es un secreto compartido: se puede robar. Una passkey mantiene el secreto en el dispositivo: no hay nada que robar.

«El servidor solo tiene la clave pública» es lo que importa. Una clave pública, por definición, se puede publicar sin problema, así que aunque la base de datos se filtre, no sirve por sí sola para iniciar sesión (la premisa opuesta al almacenamiento de contraseñas → qué es el hashing).

En qué se diferencia de contraseña + SMS

Contraseña + código SMS

El secreto compartido (contraseña) puede filtrarse / encadenarse por reutilización
La escribes en un sitio falso y el código también se retransmite
Tiende a depender de «yo sé detectar el sitio falso»

Passkey

Sin secreto compartido = ninguna cadena que robar
La firma está ligada al dominio = no se completa en un sitio falso
Bloquea el sitio falso por diseño, aunque el usuario no lo note

El phishing con atacante en el medio (AiTM) retransmite el código correcto junto con todo lo demás, aunque lo introduzcas con cuidado (→ qué es el phishing). Como la firma de una passkey está ligada al dominio, esa vía queda cerrada por principio.

La visión de este sitio: no tienes que reemplazarlo todo de golpe

Las passkeys son potentes, pero hoy no necesitas pasar por completo a un esquema sin contraseña en todas tus cuentas. Nuestra postura: migra primero las cuentas importantes. Añade passkeys a las cuentas «llave del reino» —correo, nube, el baúl de tu gestor de contraseñas— y configura la recuperación (regístralas en varios dispositivos, conserva un respaldo). Para los servicios donde siga habiendo contraseña, protégelos con un gestor de contraseñas y MFA resistente al phishing, y pásate a passkeys a medida que cada servicio lo admita.

Sigue leyendo

Aprende: cómo elegir un gestor de contraseñas (también gestiona el almacenamiento y la sincronización de passkeys)
Doble factor: elegir MFA correctamente (qué significa resistencia al phishing)
Cómo funciona: cómo almacenar contraseñas con seguridad / Glosario: qué es el phishing

FAQ

Q¿En qué se diferencia una passkey de una contraseña?

Una contraseña es una cadena secreta que compartes con el servidor, así que cualquiera que la obtenga puede usarla. Una passkey no tiene secreto compartido. Tu dispositivo firma con una clave privada que conserva, y el servidor solo guarda la clave pública correspondiente. No hay ninguna cadena que robar, y aunque el servidor sufra una brecha, la clave pública por sí sola no sirve para iniciar sesión: esa es la diferencia fundamental.

Q¿Por qué una passkey resiste el phishing?

La firma de una passkey está ligada a qué sitio (dominio) corresponde. Si un sitio falso intenta hacerte iniciar sesión, el dominio no coincide, así que la firma simplemente no se completa. Aunque el usuario nunca note el sitio falso, no funcionará por diseño, a diferencia de una contraseña + código SMS, que un atacante en el medio (adversary-in-the-middle) puede retransmitir por completo.

QSi pierdo mi dispositivo, ¿me quedo fuera?

En la mayoría de los casos las passkeys se respaldan mediante la sincronización en la nube de tu sistema operativo o gestor de contraseñas y funcionan en otros dispositivos (passkeys sincronizadas). También es más seguro registrar passkeys en varios dispositivos o llaves y configurar un método de recuperación. Evita vincularla a un único dispositivo sin vía de recuperación.