Google, Apple y Microsoft lo han dicho: las contraseñas tienen que morir. Y en 2026, por primera vez, la alternativa es lo suficientemente buena como para que ocurra. Se llaman passkeys, y si aún no las usas, esto te interesa.
¿Qué es una passkey?
Una passkey es una credencial criptográfica que se almacena en tu dispositivo (móvil, ordenador, llave de seguridad). Cuando te autenticas, tu dispositivo demuestra que posee la clave privada sin enviarla nunca al servidor. No hay contraseña que robar, no hay phishing posible, no hay credenciales que filtrar en un breach.
Funciona con biometría (huella, Face ID) o con el PIN de tu dispositivo. Para el usuario, es más rápido y más fácil que escribir una contraseña. Para el atacante, es un muro infranqueable.
La adopción se ha disparado
GitHub, Amazon, WhatsApp, PayPal, X y cientos de servicios ya soportan passkeys. Google ha reportado que los usuarios que activan passkeys tienen un 40% menos de problemas de acceso a su cuenta. Y el 70% de los que las prueban no vuelven a usar contraseña.
Apple las sincroniza automáticamente con iCloud Keychain. Google con el Password Manager de Android. Windows con Windows Hello. El ecosistema está listo.
¿Y si pierdo mi teléfono?
Esta es la pregunta más común. Las passkeys se sincronizan con tu cuenta de Apple, Google o Microsoft. Si pierdes un dispositivo, accedes desde otro con tu cuenta y recuperas todas tus passkeys. Es más seguro que una contraseña que tienes apuntada en un post-it.
Si desarrollas web, implementa passkeys ya
La Web Authentication API (WebAuthn) está soportada en todos los navegadores modernos. Implementar passkeys en tu aplicación es más sencillo de lo que parece, y bibliotecas como SimpleWebAuthn para Node.js o Webauthn Framework para PHP simplifican el proceso enormemente.
Cada día que tu aplicación depende solo de contraseñas es un día que tus usuarios están más expuestos de lo necesario. Las passkeys no son el futuro: son el presente que la mayoría aún no ha adoptado.
