¿Qué es Google Passkey? Una nueva forma de decir adiós a las contraseñas tradicionales.

Permítanme comenzar con un hecho doloroso: la mayoría de las personas tienen problemas con la forma en que gestionan sus contraseñas.

O bien todas las cuentas usan la misma contraseña (lo cual es práctico, pero si roban una, se pierden todas), o la contraseña es demasiado complicada para recordarla (y entonces sigues haciendo clic en "olvidé mi contraseña"), o hay una verificación en dos pasos, pero tienes que sacar el teléfono e ingresar el código de verificación cada vez que inicias sesión (tan molesto que dan ganas de destrozar el teléfono).

Google Passkey, que la compañía ha estado promocionando intensamente desde 2023, pretende solucionar todos estos problemas de una vez por todas. No hace falta recordar contraseñas ni introducir códigos de verificación; basta con escanear la huella dactilar o el rostro para iniciar sesión.

¿Suena a película de ciencia ficción? En realidad, no es tan descabellado. Sigue leyendo.

¿Qué es exactamente una clave de acceso?

En pocas palabras: Passkey consiste simplemente en usar tu huella dactilar, reconocimiento facial o bloqueo de pantalla en lugar de una contraseña .

¿Cómo desbloqueas tu teléfono? ¿Con la huella dactilar o el reconocimiento facial, verdad? Passkey funciona con la misma lógica, solo que no se usa para desbloquear el teléfono, sino para iniciar sesión en tu cuenta de Google (y cada vez más en otros sitios web).

En concreto, después de configurar una clave de acceso para tu cuenta de Google, la próxima vez que inicies sesión:

1. Abre la página de inicio de sesión de Google e introduce tu dirección de correo electrónico.
2. El sistema muestra un mensaje solicitándote que verifiques tu identidad.
3. Pulsas el sensor de huellas dactilares / echas un vistazo a la cámara / introduces la contraseña de bloqueo de pantalla de tu teléfono.
4. Listo, entré directamente.

No había ningún campo para introducir la contraseña, ni código de verificación por SMS, ni mensaje de "Abre la aplicación Google Authenticator". Todo el proceso duró dos o tres segundos.

Los principios fundamentales (puedes saltarte esta parte si no quieres leer los detalles técnicos).

Passkey se basa en un estándar técnico llamado FIDO2/WebAuthn . No se trata de una tecnología propietaria desarrollada por Google, sino de un estándar abierto establecido por la Alianza FIDO, con la participación de gigantes como Apple, Microsoft y Google.

El principio simplificado es el siguiente:

Cuando creas una clave de acceso, tu dispositivo (teléfono o computadora) genera un par de claves:

• La clave privada reside localmente en su dispositivo y nunca se envía a ningún otro lugar.
• Clave pública : enviada a los servidores de Google para su almacenamiento.

Al iniciar sesión, los servidores de Google envían un "reto" a tu dispositivo. Tu dispositivo lo firma con su clave privada y lo devuelve. Google verifica la firma con su clave pública. Si la verificación es exitosa, puedes iniciar sesión.

Lo fundamental es que tu clave privada nunca sale de tu dispositivo . Los servidores de Google solo tienen la clave pública. Incluso si Google sufriera un ataque informático (aunque la probabilidad es extremadamente baja), el atacante no tendría ninguna utilidad para la clave pública, ya que no se puede usar para iniciar sesión.

Esto es completamente diferente de las contraseñas tradicionales. Las contraseñas tradicionales se basan en la premisa de que "tú conoces un secreto, y el servidor también lo conoce", lo que significa que un hacker puede iniciar sesión siempre que obtenga el secreto de cualquiera de los dos extremos. Las claves de acceso, por otro lado, se basan en la premisa de que "solo tu dispositivo conoce el secreto, no el servidor", eliminando así la posibilidad de filtración de contraseñas desde su origen.

¿Qué ventajas ofrece frente a la criptografía tradicional?

Sin miedo a los ataques de pesca

La mayor vulnerabilidad de seguridad de las contraseñas tradicionales no son los ataques de fuerza bruta, sino el phishing. Los estafadores crean una página de inicio de sesión falsa de Google; una vez que ingresas tu contraseña, esta queda en sus manos.

Passkey no funciona así. Tu dispositivo verifica el nombre de dominio real del sitio web durante la autenticación. Si el nombre de dominio del sitio web falso no coincide con el real accounts.google.com , el dispositivo rechazará la verificación. Ni siquiera necesitas distinguir entre sitios reales y falsos: el dispositivo lo hace por ti.

No tememos las filtraciones de contraseñas.

Porque no hay contraseña. El servidor no almacena ninguna credencial que pueda usarse para iniciar sesión directamente. ¿Fuga de datos? Da igual; la clave pública es pública, así que no les sirve de nada.

No tememos los ataques de relleno de credenciales.

La técnica conocida como "relleno de credenciales" consiste en que los hackers obtienen nombres de usuario y contraseñas filtrados de un sitio web y los prueban en otros. Dado que muchas personas usan las mismas contraseñas, esta táctica suele funcionar. Sin embargo, una Passkey está vinculada a un sitio web específico, y cada sitio web tiene un par de claves único, por lo que no existe el "relleno de credenciales" con una Passkey.

La experiencia de inicio de sesión es mucho mejor.

No hace falta recordar contraseñas, ni introducir códigos de verificación, ni esperar mensajes SMS. Basta con pulsar el botón de huella dactilar y listo. La verdad es que, una vez que te acostumbras, volver a introducir contraseñas resulta increíblemente primitivo.

Cómo configurar una clave de acceso para tu cuenta de Google.

El proceso de configuración es muy sencillo y se puede realizar en cinco minutos.

Configúralo en tu teléfono

1. Abre myaccount.google.com en tu navegador.
2. Inicia sesión en tu cuenta de Google.
3. Acceda a la página de "Seguridad" .
4. Busque "Contraseñas y claves de seguridad" .
5. Haz clic en "Crear clave".
6. Siga las instrucciones para verificar su huella dactilar o reconocimiento facial.
7. Finalizar

Si ya has iniciado sesión en tu cuenta de Google en tu teléfono Android, es posible que el sistema haya creado automáticamente una clave de acceso; puedes consultarla en la configuración.

Configuración en su computadora

1. Abre el navegador Chrome y visita myaccount.google.com
2. De forma similar, vaya a "Seguridad" → "Claves y claves de seguridad".
3. Haz clic para crear
4. Si tu ordenador es compatible con el reconocimiento de huellas dactilares (como Touch ID en un MacBook), puedes verificar tu identidad directamente con tu huella dactilar.
5. Si tu ordenador no dispone de autenticación biométrica, puedes crear una escaneando un código QR con tu teléfono móvil.

Se puede configurar en varios dispositivos.

Una cuenta de Google puede vincularse a varias claves de acceso. Se recomienda configurar una en cada uno de tus dispositivos de uso frecuente: en tu teléfono, en tu ordenador y en tu tableta. De esta forma, podrás iniciar sesión rápidamente independientemente del dispositivo que uses.

Preguntas frecuentes

¿Qué debo hacer si pierdo mi teléfono?

Esta es la mayor preocupación de todos. La respuesta es: No se asuste .

Primero, aunque alguien encuentre tu teléfono, no podrá usar tu clave de acceso porque aún necesita tu huella digital o reconocimiento facial para acceder. Segundo, tu contraseña original de la cuenta de Google y la verificación en dos pasos no se han eliminado; la clave de acceso es un método de inicio de sesión adicional, no un reemplazo. Incluso si pierdes tu teléfono, aún puedes iniciar sesión con tu contraseña; solo ve a Configuración y elimina la clave de acceso del dispositivo perdido.

Además, si usas un iPhone, la clave de acceso se sincronizará con tus otros dispositivos Apple mediante el Llavero de iCloud. Los dispositivos Android se sincronizan mediante el Administrador de contraseñas de Google. Así que, aunque pierdas un dispositivo, la clave de acceso seguirá estando disponible en los demás.

¿Se puede utilizar la clave de acceso en diferentes dispositivos?

Sí, puedes. Si creaste una clave de acceso en tu teléfono, puedes seleccionar "Usar otro dispositivo" al iniciar sesión en tu computadora, escanear el código QR que aparece en la pantalla con tu teléfono y verificar tu identidad. No es lo más práctico, pero es perfectamente aceptable para un uso ocasional.

Si configuro una clave de acceso, ¿puedo seguir utilizando mi contraseña original?

Sí. Actualmente, la clave de acceso y la contraseña coexisten. Configurar una clave de acceso no eliminará tu contraseña, y siempre podrás volver a iniciar sesión con contraseña. La política actual de Google es sugerirte que uses la clave de acceso, pero no es obligatorio.

¿Qué dispositivos son compatibles con esto?

• iPhone — iOS 16 y versiones posteriores
• Android — Android 9 o superior (se recomienda Android 14 o superior para una mejor experiencia)
• Mac — macOS Ventura y versiones posteriores
• Windows — Windows 10 y versiones posteriores (a través de Windows Hello)
• Navegadores : Chrome 109+, Safari 16+, Edge 109+

Si tu dispositivo es antiguo, es posible que no sea compatible. Sin embargo, los dispositivos comprados después de 2023 generalmente deberían ser compatibles.

Además de Google, ¿qué otros sitios web son compatibles con Passkey?

La lista sigue creciendo. Actualmente, las empresas compatibles incluyen: Apple, Microsoft, GitHub, PayPal, Amazon, eBay, WhatsApp, TikTok, Uber, Shopify, Adobe, Nintendo… y la lista continúa expandiéndose. Puedes consultar la lista completa de empresas compatibles passkeys.directory .

¿Reemplazará Passkey por completo a Password?

No sucederá a corto plazo, pero es muy probable que ocurra a largo plazo.

Actualmente, Passkey todavía presenta varios problemas prácticos:

• Falta de conocimiento por parte de los usuarios : mucha gente simplemente no sabe que esto existe.
• Dependencia del dispositivo : requiere un dispositivo compatible para su uso, lo que dificulta su utilización en ordenadores públicos.
• El ecosistema aún está en desarrollo ; la sincronización entre plataformas (como de iPhone a Windows) todavía no es lo suficientemente fluida.
• Soporte incompleto para sitios web : muchos sitios web pequeños y medianos aún no se han integrado.

Pero la tendencia es clara. En 2024, Google anunció que el uso de Passkey había superado la verificación tradicional en dos pasos. Apple y Microsoft también lo están impulsando con fuerza dentro de sus respectivos ecosistemas. La Alianza FIDO trabaja para resolver el problema de la sincronización entre plataformas.

En un plazo de tres a cinco años, es posible que ya no se le pida que establezca una contraseña al registrar una nueva cuenta; simplemente podrá crear una clave de acceso.

Recomendación: Empiece a usarlo ahora.

No es necesario esperar a que Passkeys se popularice por completo para empezar a usarlo. Puedes añadir uno a tu cuenta de Google ahora mismo y experimentar la comodidad de iniciar sesión sin contraseña.

Sugerencias de funcionamiento:

1. Primero, crea una clave de acceso en tu dispositivo más utilizado y familiarízate con el proceso de inicio de sesión.
2. No elimine su contraseña original ni la verificación en dos pasos ; utilice la clave de acceso como método adicional de inicio de sesión rápido.
3. Configúralo en 2 o 3 dispositivos de uso frecuente para evitar un único punto de fallo.
4. Comprueba si tus otras cuentas de uso frecuente (Apple ID, GitHub, Amazon, etc.) también son compatibles con Passkey; de ser así, configúralas también.

Las contraseñas existen desde hace décadas; es hora de un cambio. Las claves de acceso no son tecnología futurista; ya se utilizan. Dado que son más seguras y prácticas, no hay razón para no probarlas.