Uso de passkeys: Reino Unido las recomienda sobre las contraseñas

El panorama de la ciberseguridad global ha alcanzado un punto de inflexión histórico este 24 de abril de 2026. En un movimiento que redefine las bases de la identidad digital, el National Cyber Security Centre (NCSC) del Reino Unido ha emitido un informe técnico revolucionario en el que recomienda oficialmente el uso de passkeys como el estándar primordial de seguridad para los consumidores, desplazando por primera vez a las contraseñas tradicionales y a la autenticación de dos factores (2FA) convencional. Este cambio de paradigma no es una simple sugerencia estética; es una respuesta técnica a la sofisticación de las amenazas actuales que han vuelto obsoletos los métodos de protección basados en el conocimiento.

El fin de una era: ¿Por qué el NCSC abandona las contraseñas?

Durante décadas, la recomendación de oro de las agencias de seguridad fue clara: “use contraseñas largas, complejas y únicas, y acompáñelas de un segundo factor”. Sin embargo, el informe de 2026 del NCSC sostiene que incluso la contraseña más robusta, cuando se combina con un SMS o un código de autenticador, sigue siendo vulnerable a ataques de ingeniería social y phishing de interceptación en tiempo real. El problema fundamental reside en la naturaleza de la contraseña como un “secreto compartido”: tanto el usuario como el servidor conocen el dato, lo que crea múltiples puntos de exposición.

El uso de passkeys elimina esta vulnerabilidad estructural al sustituir el conocimiento (algo que tú sabes) por la posesión criptográfica (algo que tú tienes y eres). Según Jonathon Ellison, Director de Resiliencia Nacional del NCSC, las passkeys han demostrado ser “generalmente más seguras” que el combo más fuerte de contraseña y 2FA, debido a que no existe un código o palabra que el usuario pueda revelar inadvertidamente a un atacante.

La arquitectura técnica detrás del uso de passkeys

Para comprender por qué esta tecnología es superior, debemos desglosar su funcionamiento bajo los estándares FIDO2 y WebAuthn. A diferencia de una contraseña, una passkey no es una cadena de caracteres que se envía a un servidor. Se trata de un par de llaves criptográficas: una llave pública y una llave privada.

• La Llave Pública: Se almacena en el servidor del servicio (como Google o PayPal). No tiene valor por sí sola para un atacante, ya que solo sirve para verificar una firma, no para suplantar al usuario.
• La Llave Privada: Reside exclusivamente en el enclave seguro (Secure Enclave o TPM) del dispositivo del usuario (teléfono, tableta o computadora). Nunca sale de ahí y nunca se transmite por la red.
• La Verificación Local: Para activar el uso de la llave privada, el usuario debe desbloquear su dispositivo mediante biometría (huella dactilar, reconocimiento facial) o un PIN local. Esta validación ocurre dentro del hardware del usuario, no en la nube.

Este proceso asegura que, incluso si un servidor sufre una brecha de datos masiva, los atacantes solo obtendrían llaves públicas inútiles, eliminando el riesgo de ataques de relleno de credenciales (credential stuffing) que han plagado la última década.

Resistencia nativa al phishing: El “Origin Binding”

La característica técnica más poderosa que justifica el uso de passkeys es su resistencia inherente al phishing mediante una técnica llamada vinculación de origen (origin binding). En un ataque de phishing tradicional, un usuario es engañado para introducir su contraseña en un sitio web fraudulento que visualmente es idéntico al original. Con el 2FA tradicional, el usuario también podría entregar el código de seis dígitos al sitio falso.

Con las passkeys, esto es matemáticamente imposible. La credencial está vinculada criptográficamente al dominio real para el cual fue creada. Cuando el navegador intenta realizar el intercambio de llaves, verifica el origen del sitio. Si un usuario aterriza en un sitio de phishing (por ejemplo, paypa1.com en lugar de paypal.com), el navegador simplemente no ofrecerá la opción de usar la passkey, ya que no existe una llave privada vinculada a ese dominio fraudulento. Esto neutraliza de raíz los ataques de Adversary-in-the-Middle (AiTM), que son actualmente la mayor amenaza para las cuentas protegidas con MFA convencional.

Adopción masiva en 2026: El caso de Google, PayPal y eBay

El respaldo del NCSC llega en un momento de madurez tecnológica. A diferencia de 2023 o 2024, cuando el soporte era fragmentado, en 2026 el ecosistema está plenamente integrado. Los datos presentados en el informe técnico del 24 de abril son contundentes: más del 50% de los usuarios activos de Google en el Reino Unido ya han registrado una passkey para proteger su identidad digital.

Plataformas líderes han reportado beneficios operativos significativos tras priorizar el uso de passkeys:

1. Google: Ha registrado un aumento del 30% en la tasa de éxito de los inicios de sesión. Las passkeys son hasta 8 veces más rápidas que los métodos que requieren contraseñas y códigos SMS.
2. PayPal y eBay: Ambas plataformas han reportado una reducción drástica en las solicitudes de recuperación de cuenta, ya que el usuario no tiene que “recordar” nada, eliminando el olvido de contraseñas como punto de fricción.
3. Microsoft: Desde que hizo de las passkeys su estándar por defecto en 2025 para cuentas personales, ha observado una disminución notable en los incidentes de compromiso de cuentas por fuerza bruta.

El Reino Unido se posiciona así como el líder global en adopción, sirviendo de modelo para otras regiones, incluyendo América Latina, donde la banca digital está comenzando a implementar estas tecnologías para combatir el fraude por suplantación.

Uso de passkeys vs. 2FA tradicional: Una comparativa técnica

Es común la confusión sobre si una passkey es simplemente “otra forma de MFA”. Técnicamente, las passkeys son autenticación multifactor en un solo paso. Combinan el factor de posesión (el dispositivo físico con la llave privada) y el factor de inherencia (biometría) en un solo flujo criptográfico. Esto contrasta con el 2FA tradicional que añade latencia y pasos manuales.

Diferencias clave:

• Fricción: El 2FA manual requiere cambiar de aplicación o esperar un SMS. El uso de passkeys es instantáneo, activado por el mismo gesto que desbloquea el teléfono.
• Seguridad de canal: Los SMS pueden ser interceptados mediante SIM Swapping. Las passkeys no dependen de la red celular; la prueba de identidad es puramente matemática y local.
• Costo: Para las empresas, el envío de códigos SMS representa un gasto millonario. Las passkeys reducen estos costos operativos a cero.

Desafíos de implementación: Sincronización y recuperación

A pesar de sus ventajas, el uso de passkeys plantea retos que el informe del NCSC aborda con pragmatismo. El principal temor de los usuarios es: “¿Qué pasa si pierdo mi teléfono?”. En 2026, la industria ha resuelto esto mediante passkeys sincronizadas.

Gigantes como Apple, Google y Microsoft, junto con gestores especializados como Bitwarden y 1Password, permiten que las passkeys se sincronicen de forma cifrada de extremo a extremo a través de la nube. Esto significa que si un usuario adquiere un nuevo dispositivo, sus llaves de acceso están listas para usarse tras iniciar sesión en su cuenta de ecosistema. Sin embargo, para usuarios con perfiles de alto riesgo (periodistas, políticos o administradores de sistemas), el NCSC sigue recomendando passkeys bound a hardware (llaves físicas como YubiKeys), que no se sincronizan y ofrecen una capa de aislamiento física infranqueable.

El rol de los gestores de contraseñas en la transición

En este nuevo ecosistema, los gestores de contraseñas han evolucionado para convertirse en gestores de identidades criptográficas. Ya no solo almacenan textos planos, sino que gestionan los desafíos de WebAuthn. El informe técnico destaca que la interoperabilidad entre plataformas ha mejorado drásticamente, permitiendo que un usuario cree una passkey en un iPhone y la use para iniciar sesión en una computadora con Windows mediante un código QR dinámico y una conexión Bluetooth de proximidad segura.

Conclusión: Un futuro digital más resiliente

La declaración del NCSC del 24 de abril de 2026 marca el principio del fin para la era de la “fatiga de contraseñas”. El uso de passkeys no es solo una mejora incremental; es una reconstrucción de la confianza en internet. Al eliminar el factor humano del intercambio de credenciales, estamos cerrando la puerta a la mayoría de los vectores de ataque que los ciberdelincuentes han explotado durante los últimos treinta años.

Para los usuarios, la transición significa simplicidad: un inicio de sesión que simplemente funciona. Para las organizaciones, significa una reducción del riesgo y de los costos de soporte. Como bien concluye el reporte técnico, la seguridad superior no tiene por qué ser compleja; de hecho, en el caso de las passkeys, la seguridad más robusta es, por primera vez, la más fácil de usar.