En los últimos años la seguridad de nuestras cuentas online se ha vuelto un auténtico quebradero de cabeza: contraseñas filtradas, ataques de phishing por todas partes y usuarios reutilizando la misma clave en medio Internet. En este contexto, era cuestión de tiempo que surgiera un sistema pensado para jubilar a las contraseñas de una vez: las passkeys.
Las passkeys en Android y en el resto de plataformas llegan como un método de inicio de sesión más sencillo, rápido y muy difícil de hackear, porque combinan criptografía avanzada con cosas que ya usas a diario, como la huella dactilar, el reconocimiento facial o el PIN de tu móvil. Si te da pereza memorizar claves imposibles o estás harto de los códigos por SMS, este sistema te va a sonar a música celestial.
Qué es exactamente una passkey y por qué todos hablan de ellas
Una passkey, o llave de acceso, es una credencial digital basada en criptografía de clave pública y privada que sustituye a las contraseñas clásicas. No es una palabra que tengas que recordar, ni una combinación de números: es una clave criptográfica que tu dispositivo genera y guarda por ti.
Cuando creas una passkey, Android (o el sistema que uses) genera dos claves diferentes pero matemáticamente relacionadas: una clave pública, que se guarda en el servidor del servicio (Google, tu banco, una red social, etc.), y una clave privada, que se queda protegida en tu dispositivo y nunca sale de ahí.
El matiz importante es que la parte secreta de esa pareja de claves jamás se envía por Internet, ni se escribe en ningún formulario, ni se almacena en un servidor remoto. Todo el proceso de autenticación se firma en el propio móvil, tablet u ordenador, que solo comparte una prueba criptográfica de que eres tú, validada con la clave pública.
Además, las passkeys están diseñadas según los estándares FIDO2 y WebAuthn, impulsados por la FIDO Alliance y el W3C, que son los mismos que llevan años detrás de las llaves de seguridad físicas. Esto significa compatibilidad multi‑plataforma y un nivel de seguridad muy por encima de las contraseñas.
En la práctica, para ti una passkey es simplemente “iniciar sesión con tu huella, tu cara o tu PIN”, sin escribir contraseñas ni andar copiando códigos de una app de autenticación.
Cómo funcionan las passkeys paso a paso
Por debajo del capó, las passkeys usan criptografía asimétrica. Traducido al lenguaje llano: hay una clave que se puede compartir (pública) y otra que se protege con celo (privada). Solo si encajan, el sistema te deja entrar.
Cuando configuras una passkey en un servicio compatible, tu dispositivo genera el par de claves pública/privada y envía solo la pública al servidor. La clave privada se guarda en un entorno seguro del dispositivo, como el Trusted Platform Module (TPM) en Android, seguridad en las claves criptográficas de Android, el Secure Enclave en Apple o funcionalidades como Samsung Knox, aislados del resto del sistema.
A la hora de iniciar sesión, el servicio te lanza un “desafío” aleatorio que tu dispositivo debe firmar con la clave privada. Para poder usar esa clave privada, primero tienes que desbloquear el móvil con tu método habitual: huella, reconocimiento facial, patrón o PIN.
Cuando completas ese gesto, Android firma el desafío con tu clave privada y envía la firma al servidor, que la comprueba usando la clave pública que ya tenía guardada. Si coincide, se confirma que eres tú y se te permite acceder, sin que tu clave privada haya salido del teléfono.
Además, las passkeys están ligadas al dominio o app concreta para la que se crearon. Es decir, tu llave de acceso para “accounts.google.com” no funcionará en un dominio falso tipo “account-google.com”, lo que las hace resistentes al phishing.
Passkeys en Android: requisitos, sincronización y ecosistema
En Android, las passkeys están integradas en el propio sistema operativo y se gestionan a través de Google Password Manager y otros gestores de contraseñas para Android como si fueran contraseñas, pero con seguridad reforzada. Si tu móvil tiene Android 9 o superior, ya puedes empezar a utilizarlas en servicios compatibles.
Cuando creas una passkey en tu cuenta de Google o en otra web que lo permita, la clave privada se almacena en el dispositivo dentro del hardware seguro, mientras que la clave pública va al servidor del servicio. Android se encarga de que todo esto ocurra sin que tengas que tocar nada técnico.
Otra ventaja importante es que, si usas tu cuenta de Google en varios dispositivos, las passkeys pueden sincronizarse de forma cifrada entre ellos a través de la nube. Eso significa que puedes iniciar sesión en tu cuenta de Google desde el móvil, la tablet o el portátil sin crear una llave distinta en cada aparato.
Cuando inicias sesión en un ordenador, puedes usar la passkey creada en tu móvil escaneando un código QR que te muestra el navegador. El móvil se comunica con el ordenador (por ejemplo, mediante Bluetooth) y completa el proceso, siempre que desbloquees el dispositivo con tu método habitual.
Google, además, ofrece la opción de “Saltar contraseña cuando sea posible”. Si la activas, al identificarte en tu cuenta el sistema te propondrá directamente usar una passkey antes que pedirte la clave clásica.
Quién está usando ya passkeys y en qué dispositivos funcionan
Las passkeys no son una promesa futurista: grandes empresas y servicios de todo tipo ya las han incorporado como opción de inicio de sesión, especialmente para cuentas personales.
En el lado de los sistemas operativos, Apple, Google y Microsoft han integrado passkeys en sus ecosistemas. En iOS y macOS se guardan en el llavero de iCloud, en Android se manejan con el gestor de contraseñas de Google y en Windows se apoyan en Windows Hello.
A nivel de navegadores, las versiones modernas de Chrome, Safari, Edge y Firefox (aunque en este último con soporte más limitado) permiten usar passkeys tanto en escritorio como en móviles, siempre que el sistema operativo cumpla los requisitos mínimos.
En el mundo de los servicios online, ya hay gigantes como Google, GitHub, Dropbox, PayPal, Amazon, algunas fintech, redes sociales y comercios electrónicos que ofrecen crear llaves de acceso para sus cuentas. De hecho, Facebook incorpora las passkeys y la lista crece cada pocos meses.
Incluso en entornos más cerrados, como universidades o empresas, se están desplegando passkeys vinculadas al dispositivo con apps como Microsoft Authenticator, que permiten iniciar sesión en portales corporativos desde el móvil sin usar contraseñas, manteniendo políticas muy estrictas de seguridad.
Tipos de passkeys: sincronizadas y ligadas al dispositivo
Dentro del mundo de las passkeys podemos distinguir dos grandes familias según cómo se gestionan y qué se permite hacer con ellas: las multidispositivo (o sincronizadas) y las vinculadas a un único aparato.
Las passkeys multidispositivo son las que se sincronizan de forma cifrada entre todos tus móviles, tablets y ordenadores personales a través de tu cuenta en la nube (Google, Apple o Microsoft, según el ecosistema). Son ideales para usuarios particulares porque facilitan mucho la vida.
Con este modelo, si creas una passkey en tu móvil Android, podrás usarla también en tu tablet o en tu portátil sin tener que volver a registrar nuevas llaves una por una. Basta con que estés identificado con la misma cuenta y que el servicio sea compatible.
Por otro lado, están las passkeys ligadas al dispositivo, también conocidas como device-bound. En este caso, la clave de acceso queda anclada a un único móvil o a una llave de seguridad física y no se exporta ni se replica en la nube.
Este enfoque es muy popular en entornos corporativos, porque evita que las credenciales de trabajo se copien alegremente a dispositivos personales. Si pierdes el móvil, pierdes también esa passkey, pero la empresa puede forzar nuevos métodos de acceso de manera controlada.
Ventajas de las passkeys frente a las contraseñas
Si miramos la experiencia del usuario, las passkeys aportan dos beneficios claros: más seguridad y mucha más comodidad. Y lo hacen sin obligarte a cambiar la forma en la que desbloqueas el móvil.
En seguridad, el salto es enorme: las passkeys son resistentes al phishing por diseño. Como cada llave solo funciona para un dominio o app concreta, aunque caigas en un enlace malicioso el sistema no permitirá usar la passkey en esa web falsa.
Además, al estar basadas en criptografía de clave pública/privada, no existe una “contraseña” que pueda filtrarse desde la base de datos de un servicio. El atacante, en el mejor de los casos, obtendría la clave pública, que por sí sola no sirve para acceder a tu cuenta.
Desde el punto de vista de la usabilidad, te olvidas de inventar, recordar y cambiar contraseñas. Para iniciar sesión basta con que uses la huella, la cara o el PIN que ya utilizas para desbloquear el dispositivo, lo que reduce muchísimo los abandonos en los formularios de registro e inicio.
Otro punto importante es que las passkeys integran de facto la autenticación multifactor (MFA) en un solo gesto. Estás usando algo que tienes (el dispositivo) y algo que eres o sabes (biometría o PIN) sin tener que introducir códigos adicionales ni mirar SMS.
Inconvenientes y limitaciones actuales de las passkeys
Por muy atractivas que suenen, las passkeys todavía no son perfectas ni están en todos los rincones de Internet. Hay algunos factores que conviene tener en cuenta antes de lanzarse a lo loco.
El primer obstáculo es que la adopción aún es parcial: muchos servicios importantes ya las soportan, pero ni mucho menos todos. Durante bastante tiempo tocará convivir con contraseñas, códigos y llaves de acceso en paralelo.
Otro punto delicado es la recuperación de cuentas cuando pierdes todos tus dispositivos. Si solo tenías passkeys sincronizadas en el móvil y la tablet y te roban ambas, según el servicio puede ser más o menos complicado volver a entrar sin métodos de respaldo.
Además, depender de ecosistemas concretos como iCloud, Google Password Manager o el llavero de Microsoft puede limitar a quienes intentan mantenerse fuera de esos servicios o usan sistemas mixtos.
También existe una pequeña curva de aprendizaje para usuarios menos técnicos, que de entrada pueden confundirse con el nombre, los mensajes del navegador o la idea de “iniciar sesión con el móvil”. Eso sí, una vez se usa un par de veces, la dinámica suele resultar más intuitiva que la de las contraseñas.
Passkeys frente a contraseñas tradicionales, 2FA y MFA
Las contraseñas llevan décadas siendo el eslabón más débil de la seguridad online: se repiten en varios sitios, se eligen mal, se apuntan en notas visibles y se caen continuamente en filtraciones masivas.
Por mucho que se recomiende usar gestores de contraseñas, activar 2FA con apps de código o llaves físicas, la realidad es que la mayoría de la gente no lo hace o se cansa de tantos pasos. Ahí es donde las passkeys intentan simplificar sin bajar el listón de seguridad.
Si comparamos, cada passkey es intrínsecamente fuerte por diseño: no hay que preocuparse de si tiene mayúsculas, números o símbolos. No se puede adivinar por diccionario ni se basa en datos personales.
Frente a los códigos 2FA por SMS o email, las passkeys no dependen de redes móviles, ni se pueden interceptar con tanta facilidad, ni obligan a ir saltando entre aplicaciones. Todo ocurre en el propio dispositivo y en cuestión de segundos.
En realidad, una passkey ya incorpora una especie de “MFA invisible”, porque combina algo que posees (el dispositivo donde vive la clave privada) y algo que usas para desbloquearlo (biometría o PIN), pero sin meter capas engorrosas para el usuario.
Cómo crear y usar passkeys en una cuenta de Google desde Android
Si quieres empezar a probarlas, Google es uno de los mejores sitios donde estrenar las passkeys en Android, porque el soporte está muy pulido y se integra en todos sus servicios.
Para activar una llave de acceso en tu cuenta de Google, solo tienes que acceder a los ajustes de tu cuenta y entrar en el apartado de seguridad. Allí verás la opción de “Llaves de acceso” o “Passkeys”, desde donde podrás crear una nueva.
El asistente te pedirá que confirmes tu identidad con tu contraseña actual y que elijas el dispositivo en el que quieres generar la passkey. Si lo haces desde el propio móvil, el sistema usará tu método de desbloqueo (huella, cara o PIN) para terminar el proceso.
A partir de ese momento, cada vez que vayas a entrar en tu cuenta de Google en ese dispositivo, podrás iniciar sesión usando la passkey en lugar de escribir la contraseña. En muchas ocasiones, el navegador te sugerirá directamente usar la llave.
Si pierdes o dejas de usar ese móvil, es recomendable entrar en tu cuenta de Google desde otro dispositivo y borrar las llaves asociadas al teléfono perdido. Así te aseguras de que nadie que conozca tu PIN o pueda usar la biometría tenga un acceso directo a la cuenta.
Passkeys en entornos corporativos y educativos
Aunque solemos hablar de passkeys pensando en cuentas personales, las organizaciones también se están subiendo al carro porque les ofrece una forma muy potente de proteger accesos sensibles.
En empresas o universidades que usan Microsoft 365 o Azure AD, por ejemplo, es habitual configurar claves de paso mediante la app Microsoft Authenticator. Estas passkeys suelen ser device-bound, es decir, ligadas solo al teléfono donde se crean.
Esto implica que, si se pierde el móvil, la clave de paso no se sincroniza a otro dispositivo, lo que a priori parece una molestia, pero refuerza la seguridad al máximo. El usuario puede volver a configurar otra passkey usando métodos alternativos de verificación, como sistemas estatales de identidad digital o códigos temporales.
Una práctica recomendable en estos casos es tener más de un dispositivo con passkey configurada (por ejemplo, un móvil y una tablet de trabajo), de forma que si uno falla sigas teniendo una vía de acceso sin bloquearte.
Desde la consola de seguridad, los administradores pueden revisar y revocar las passkeys asociadas a cada cuenta, igual que se hace hoy con los métodos MFA clásicos. Eso permite retirar llaves de acceso de dispositivos que ya no se usan o que se han extraviado.
Qué pasa si pierdo el móvil o ya no quiero usar una passkey
Una de las preguntas más habituales es qué ocurre con tus passkeys si pierdes el dispositivo donde estaban guardadas o te lo roban. La respuesta depende del tipo de passkey y de cada servicio.
En el caso de las llaves de acceso sincronizadas a través de Google, Apple o Microsoft, su idea es que puedas restaurarlas al iniciar sesión en un nuevo dispositivo con tu cuenta principal, siempre que tengas métodos de recuperación activos (contraseña, códigos, 2FA, etc.).
Si la passkey estaba ligada a un único dispositivo (como algunas implementaciones en Authenticator), no se trasladará automáticamente y tendrás que crear una nueva cuando recuperes el acceso a tu cuenta por otros medios.
En cualquier caso, es importante que, si has perdido un móvil, inicies sesión desde otro dispositivo y elimines las llaves de acceso asociadas a ese teléfono desde la configuración de seguridad del servicio afectado.
Por último, si simplemente no te convence el sistema o prefieres seguir con contraseñas, en la mayoría de plataformas puedes desactivar la opción de priorizar passkeys y volver a que sea la clave clásica el método principal de inicio, dejando las llaves de acceso solo como segundo factor.
Las passkeys han llegado para resolver muchos de los problemas que arrastran las contraseñas desde hace años, mezclando criptografía robusta, autenticación biométrica y una experiencia de uso muy simple. Aunque todavía conviven con las claves de toda la vida y no todos los servicios las soportan, su adopción por parte de Google, Apple, Microsoft y grandes plataformas web indica claramente hacia dónde va el futuro del inicio de sesión, y Android se ha convertido en uno de los mejores terrenos de juego para empezar a utilizarlas a diario sin complicarse la vida.
