Si estás cansado de pelearte con contraseñas, las passkeys llegan como agua de mayo: son credenciales modernas que te permiten iniciar sesión con biometría o un PIN sin memorizar nada. La idea es decir adiós a las contraseñas tradicionales y ganar en seguridad y comodidad a partes iguales.
En esta guía vas a entender qué son, por qué son más seguras, cómo activarlas y gestionarlas en los principales sistemas y servicios, y qué hacer si algo se tuerce. Integramos enfoques de Google, Apple, Microsoft, guías prácticas y escenarios reales (incluida su aplicación en organizaciones como Soyio o en entornos con Bluetooth restringido) para que salgas con todo lo necesario.
¿Qué son las passkeys y cómo funcionan?
Una passkey es una credencial digital basada en criptografía de clave pública que sustituye a la típica contraseña. Tu dispositivo genera un par de claves diferente para cada servicio: la clave privada permanece a buen recaudo en tu equipo y la pública se registra en el servidor del sitio.
Cuando te autenticas, el servicio te envía un desafío y tu dispositivo lo firma con la clave privada tras verificarte localmente con Face ID, Touch ID, Windows Hello o un PIN. La clave privada nunca sale del dispositivo, y la validación se produce solo en el dominio legítimo del servicio gracias a WebAuthn, lo que bloquea el phishing por diseño.
Las passkeys pueden residir en varios sitios: en el llavero de iCloud, en el Gestor de contraseñas de Google, en el almacén local de Windows Hello o incluso en una llave de seguridad FIDO2. Según dónde se guarden, pueden sincronizarse entre dispositivos (Apple y Google) o quedarse vinculadas a un único equipo (Windows Hello, en muchos casos).
Por qué son más seguras que las contraseñas
Con contraseñas, el servidor almacena secretos reutilizables y tú debes recordar cadenas complejas; con passkeys, el servidor solo guarda la clave pública y tu dispositivo protege la privada. Esto reduce el impacto de filtraciones y elimina ataques por fuerza bruta y reutilización.
Además, son resistentes al phishing: una passkey solo funciona en el dominio para el que fue creada. Si un atacante intenta engañarte con una web falsa, la autenticación simplemente no se completa. Y al no escribir contraseñas, desaparecen los keyloggers centrados en capturar lo que tecleas y amenazas como el robo de códigos de verificación.
La experiencia también mejora: accedes con un toque, tu rostro, huella o PIN, sin restablecer contraseñas ni esperar SMS. La autenticación es más rápida y ocurre localmente, lo que también ayuda en escenarios con conectividad limitada.
Compatibilidad por plataformas y requisitos
En iOS y iPadOS desde la versión 16, y en macOS, el soporte de passkeys está integrado con el Llavero de iCloud. Solo necesitas tener Face ID o Touch ID configurado y activar el autocompletado para que el sistema sugiera crear y usar passkeys cuando los sitios lo permitan.
En Android, a partir de Android 9 con los Servicios de Google Play actualizados y Chrome 108 o superior, puedes crear y usar passkeys con el Gestor de contraseñas de Google. Activa Autocompletar con Google y configura el bloqueo de pantalla (PIN/biometría) para que todo fluya.
En Windows 10 (1903) y Windows 11, la clave es tener Windows Hello operativo (PIN, huella o rostro). Los navegadores compatibles incluyen Chrome, Edge y Firefox (a partir de determinadas versiones recientes). Windows ofrece, además, una interfaz para gestionar passkeys guardadas desde Windows 11 22H2 con actualizaciones acumulativas concretas.
En cuanto a licencias y ediciones, el soporte de passkeys está disponible en Windows Pro, Enterprise, Pro Education/SE y Education. Los derechos de uso se contemplan en licencias como Enterprise E3/E5 y Education A3/A5, por lo que su despliegue en entornos corporativos es plenamente viable.
Activar tu passkey en Google
Google permite crear una passkey asociada a tu cuenta para iniciar sesión sin contraseña. El camino corto es entrar en tu cuenta de Google y abrir Seguridad, localizar Llaves de acceso y elegir Crear llave de acceso.
El proceso te pedirá verificar tu identidad y, si estás en el móvil, usará la biometría. Si usas el navegador en el ordenador, puedes vincular un móvil escaneando un código QR para confirmar que tú eres quien dice tu navegador que eres, usando tu teléfono como autenticador.
Una vez creada, Google Password Manager sincroniza la passkey con tus dispositivos donde hayas iniciado sesión con tu cuenta. No tendrás que recordar nada ni configurar lo mismo en cada equipo: bastará con autenticarte localmente en el dispositivo que uses.
Crear y usar passkeys en la práctica
Para crear tu primera passkey, visita un sitio compatible (Google, GitHub, Microsoft o sitios de prueba como passkeys.io) y busca la opción de crear una llave de acceso en sus ajustes de seguridad. Sigue las indicaciones del sistema y autentícate con Face ID, Touch ID, Windows Hello o tu PIN.
Al iniciar sesión, la secuencia suele ser: introduces usuario si hace falta, eliges Usar passkey y confirmas con tu método local. Algunos navegadores muestran sugerencias de cuentas con interfaz condicional, de modo que apenas tendrás que tocar una sugerencia para completar todo el proceso.
Si no aparece la opción de passkey, puede ser que el sitio aún no la soporte o que te falte configurar biometría/PIN o actualizar el navegador. Con las versiones recientes de iOS, Android y Windows, y navegadores al día, la experiencia suele ser inmediata.
Dónde se guardan y cómo se sincronizan
Apple sincroniza passkeys con iCloud Keychain entre iPhone, iPad y Mac, e incluso permite usar el llavero en Windows con iCloud para Windows y la extensión correspondiente. Eso facilita usar tus llaves de paso en todo el ecosistema de Apple sin fricción.
Google almacena y sincroniza passkeys con tu cuenta a través del Gestor de contraseñas integrado en Android y en Chrome. En iOS, también puedes usar Chrome como proveedor de autocompletado para acceder a las passkeys de Google en iPhone y iPad.
Windows Hello suele almacenar passkeys de forma local en el dispositivo. Esto implica que esa passkey no viaja entre equipos Windows por defecto, aunque puedes iniciar sesión en un PC usando la passkey de tu móvil escaneando un código QR cuando el sitio lo permita.
También puedes optar por llaves de seguridad FIDO2 para llevar tus credenciales en hardware dedicado. Son útiles en entornos de alta seguridad o cuando prefieres un factor físico portable y desconectado del sistema.
Un apunte práctico: algunos gestores y ecosistemas fomentan el bloqueo en su plataforma. Para evitar depender solo de un proveedor, puedes registrar varias passkeys para un mismo servicio en distintos almacenes cuando el servicio lo permita.
Passkeys en Windows: creación, uso y administración
Al crear una passkey en Windows, el sistema te ofrecerá guardarla localmente (protegida con Windows Hello), usar un móvil cercano (iPhone, iPad o Android) como autenticador o registrarla en una llave FIDO2. Si eliges móvil, normalmente deberás escanear un código QR y tener Bluetooth activo para la autenticación entre dispositivos.
Cuando un sitio o una app soporta passkeys y tienes una guardada localmente en Windows, el inicio de sesión invocará Windows Hello automáticamente. Si prefieres usar una passkey que está en tu teléfono o en una llave FIDO2, selecciona esa opción en el diálogo y completa la autenticación.
Desde Windows 11 22H2 con determinadas actualizaciones, Configuración incluye una sección para ver y eliminar llaves de acceso guardadas. Puedes filtrar por nombre y borrar las que no necesites, lo que simplifica la higiene de credenciales en equipos compartidos o antiguos.
Uso en entornos con Bluetooth restringido
En escenarios corporativos donde se limita o deshabilita Bluetooth, la autenticación entre dispositivos (por ejemplo, usar tu móvil para entrar en el PC) puede verse afectada. Las organizaciones pueden permitir casos de uso muy concretos habilitando únicamente autenticadores FIDO2 por Bluetooth y bloqueando el resto.
Esto se puede lograr con directivas de Bluetooth y de instalación de dispositivos, restringiendo servicios y dispositivos no deseados y dejando pasar solo los necesarios para passkeys. Incluso es posible aplicar estas políticas vía MDM y automatizarlas con scripts, tras probarlas en sesiones elevadas con herramientas de administración remota.
Passkeys con Microsoft Authenticator en el móvil
Para cuentas gestionadas con Microsoft (como en entornos universitarios o de empresa), Microsoft Authenticator puede actuar como proveedor de passkeys en el móvil. Se recomienda Android 14 o iOS 17 y tener la app instalada y actualizada.
El flujo típico: abres Authenticator, agregas tu cuenta profesional o educativa, superas la verificación MFA inicial y eliges Claves de paso como método. Autoriza que Authenticator gestione passkeys en tu dispositivo y completa la configuración guiada en la app.
Luego podrás usar esa passkey para acceder desde el propio móvil o para confirmar accesos en otros dispositivos cercanos mediante Bluetooth. Si pierdes el teléfono, estas passkeys están vinculadas al dispositivo y no se sincronizan mediante la nube en este caso, así que conviene registrar más de un dispositivo.
Si cambias de móvil, podrás eliminar passkeys antiguas entrando en la página de información de seguridad de tu cuenta en Microsoft (mysignins.microsoft.com/security-info). Allí verás en qué tipo de dispositivo reside cada passkey y podrás revocarla para mantener todo bajo control.
Passkeys en Soyio: identidad verificada, consentimientos y firmas
En el ecosistema de Soyio, las passkeys se integran en los módulos de identidad y consentimiento. Durante el proceso de Disclosure, primero verificas tu identidad aportando documento y selfie, otorgas consentimientos y se crea tu identidad verificada.
En ese momento puedes registrar una passkey en tu dispositivo con Face ID, Touch ID, Windows Hello o PIN según la plataforma. A partir de ahí, la passkey se usa para autorizar acciones sensibles sin depender de contraseñas, reduciendo fricción y reforzando la seguridad.
En módulos como AuthRequest, se te pedirá la passkey para operaciones críticas; en Signature, confirmas la firma de documentos; y en Consent, validas cambios de preferencias de privacidad. La passkey garantiza que solo tú puedas realizar esas acciones, de forma rápida y verificable.
Demostración práctica con Chrome y una web de pruebas
Si quieres probar sin riesgos, sitios como passkeys.io permiten registrar y usar passkeys con un correo de prueba. Accede con Chrome, inicia un registro ficticio y elige crear una passkey para ese dominio.
Chrome te mostrará opciones como guardar la passkey en el Gestor de contraseñas de Google o asociarla a Windows Hello si estás en Windows. Puedes registrar varias passkeys para la misma cuenta y probar tanto el inicio de sesión local como el uso de un dispositivo complementario.
Después, al pulsar Iniciar sesión con passkey en ese mismo sitio, selecciona la credencial y autentícate con tu biometría o PIN para entrar. En Windows, encontrarás una sección en Configuración para revisar y eliminar llaves de acceso locales. En algunos flujos de Google, la gestión visible puede variar según la versión y el entorno.
Solución de problemas frecuentes
Si no te aparece la opción de passkey, puede ser que el sitio aún no la haya activado, que tu navegador esté desactualizado o que falte configurar Face ID, Touch ID, Windows Hello o un PIN. Actualizar el navegador y activar la autenticación local suele resolverlo.
Si no consigues iniciar sesión, confirma que tu método local funciona (biometría/PIN) y que la sincronización está activa en iCloud Keychain o Google Password Manager. Prueba desde otro dispositivo con la misma cuenta si tienes passkeys sincronizadas y usa métodos de respaldo en última instancia.
Si perdiste o te robaron el dispositivo donde guardabas passkeys, utiliza otro equipo sincronizado o los códigos de recuperación del servicio, si existen. Contactar con soporte puede ser necesario para recuperar acceso cuando no hay otro método disponible.
¿Funcionan sin internet? La autenticación local sí, porque el desafío se firma en el dispositivo; pero crear nuevas passkeys o sincronizarlas entre equipos requiere conectividad. Ten esto en cuenta si vas a trabajar en movilidad o con baja cobertura.
Buenas prácticas y precauciones
Activa métodos de recuperación y conserva códigos cuando el servicio los ofrezca. Mantén tus dispositivos y navegadores al día para gozar de la mejor compatibilidad y parches de seguridad.
No dependas de un único dispositivo para todo. Registra la passkey en más de un equipo o combina móvil, PC y una llave FIDO2 si tu entorno lo permite, así no te quedarás tirado ante pérdidas o averías.
Comprueba que los servicios que más usas soportan passkeys y dónde guardas cada passkey. Si trabajas con datos críticos, valora usar hardware FIDO2 y políticas de restricción en entornos corporativos para minimizar superficie de ataque.
Passkeys, 2FA y MFA: cómo encajan
Aunque no introduzcas un código de un segundo factor, las passkeys implementan múltiples factores de forma implícita: algo que tienes (tu dispositivo/clave privada) y algo que eres o sabes (biometría o PIN). Por eso pueden reemplazar contraseñas y 2FA tradicionales ofreciendo menos fricción y más seguridad.
Si un servicio aún no permite sustituir por completo la contraseña, la passkey puede actuar como segundo factor robusto. Es un salto de calidad frente a SMS o códigos TOTP, que son más vulnerables a phishing o robo de SIM.
Notas operativas y de producto
En ciertos entornos de trabajo, puede que los propietarios de espacios no puedan activar passkeys para todos los usuarios por ahora. Si necesitas esta función de forma global, remite tus comentarios al proveedor para priorizar su implementación.
En el ecosistema de Windows, recuerda dónde residen tus passkeys: locales con Windows Hello, sincronizadas en Google si las creaste con Chrome o en iCloud si vienes de Apple. Para uso cruzado entre plataformas, un gestor de contraseñas compatible o una llave FIDO2 puede servir como puente.
Si tu organización limita Bluetooth, coordina con TI la aplicación de directivas y listas permitidas para autenticadores FIDO2. Esto posibilita la autenticación entre dispositivos sin abrir la puerta a otros perfiles Bluetooth no deseados.
Las passkeys representan un cambio de era en la autenticación: más cómodas, más seguras y con soporte generalizado en las grandes plataformas. Empieza por crear tu llavero en el móvil o navegador que uses a diario, registra un segundo método y prueba un inicio de sesión real en tus servicios habituales para interiorizar el flujo y ganar confianza. Comparte este tutorial y más usuarios sabrán gestionar su seguridad con funciones Passkeys.