Si llevas años peleándote con las contraseñas, olvidándolas cada dos por tres o sufriendo avisos de filtraciones, te va a sonar a música celestial lo que está pasando ahora mismo en Android. Google ha empezado a mover ficha para que las passkeys sustituyan de una vez a las contraseñas de toda la vida, y lo está haciendo de forma casi silenciosa, integradas en el propio sistema.
Este cambio no es solo un pequeño ajuste técnico: supone que, poco a poco, vas a dejar de escribir, recordar o inventar claves complicadas. En su lugar, entrarás a tus cuentas usando algo que ya utilizas a diario en tu móvil Android: tu huella dactilar, tu cara o un PIN de desbloqueo. Y todo ello con un nivel de seguridad muy superior y con menos dolores de cabeza.
¿Por qué las contraseñas ya no dan la talla?
Durante años, las contraseñas han sido el gran punto débil de la seguridad online: son fáciles de olvidar, fáciles de filtrar y, muchas veces, demasiado simples. Aunque existan reglas para crear contraseñas robustas (mezcla de mayúsculas, minúsculas, números y símbolos), la realidad es que la mayoría de usuarios termina reutilizando la misma clave o variantes mínimas en docenas de sitios.
El resultado de este hábito es devastador: más de 19.000 millones de contraseñas han acabado filtradas y a la venta en foros criminales de la dark web. A esto se suman los ataques de phishing, en los que el usuario introduce su contraseña en una web falsa creyendo que es la original, y los robos masivos de bases de datos con claves almacenadas en texto plano o con cifrados débiles.
Incluso los gestores de contraseñas, que han sido una buena ayuda, tienen su talón de Aquiles: si alguien consigue la contraseña maestra, el atacante tiene acceso a todas las cuentas almacenadas. Por eso los expertos llevan años buscando un sistema que reduzca el papel de la contraseña a la mínima expresión o directamente lo elimine.
¿Qué son realmente las passkeys y en qué se diferencian?
Las passkeys, o llaves de acceso/llaves de paso, son credenciales digitales basadas en criptografía de clave pública que sustituyen al típico combo usuario + contraseña. En lugar de algo que tú recuerdas y escribes, se apoyan en claves matemáticas que se generan y se guardan en tus dispositivos.
Cuando creas una passkey para un servicio (por ejemplo, tu cuenta de Google, WhatsApp o una web compatible), el sistema genera un par de claves criptográficas: una pública y otra privada, relacionadas entre sí. La clave pública se envía al servidor del servicio y se guarda allí, mientras que la clave privada se queda únicamente en tu móvil, ordenador, navegador, gestor de contraseñas o llave de seguridad física.
El matiz clave es que la clave privada nunca sale de tu dispositivo ni viaja por Internet. Cuando inicias sesión, la web o la app envía un desafío al dispositivo que guarda la passkey; tu equipo firma ese desafío con la clave privada y devuelve solo la respuesta firmada. El servidor, que tiene la clave pública, comprueba que esa firma es válida y te deja pasar sin necesidad de que escribas nada.
Todo este mecanismo se apoya en estándares abiertos como FIDO2 y WebAuthn, impulsados por la FIDO Alliance, en la que participan Google, Apple y Microsoft. Gracias a ello, las passkeys son un sistema interoperable: funcionan en Android, Chrome, iOS, macOS, Windows, Safari, Edge, etc., y pueden ser soportadas tanto por sistemas operativos como por navegadores y gestores de contraseñas.
¿Cómo integran las passkeys los móviles Android?
Google ha dado un paso más allá en Android activando una función en Google Play Services que convierte automáticamente las contraseñas guardadas en passkeys cuando las webs o apps son compatibles. Esta funcionalidad se está desplegando en versiones recientes, como la beta de Google Play Services 25.19.31, y aparecerá progresivamente en más dispositivos.
En la práctica, esto significa que, si tenías contraseñas guardadas en el gestor de contraseñas de Google y el servicio al que pertenecen adopta passkeys, Android puede actualizar esas credenciales a llaves de acceso sin que tengas que hacer nada. La opción viene activada por defecto, aunque se puede desactivar desde los ajustes de seguridad del sistema si prefieres seguir tirando de claves tradicionales.
Además, Google ya ofrece en muchas cuentas la posibilidad de seleccionar por defecto la opción “Saltar contraseña cuando sea posible”. Esto hace que, cada vez que un servicio admite passkeys, el sistema intente autenticarse con ellas antes que con la contraseña. En algunos casos, Google también crea automáticamente passkeys asociadas a cada dispositivo Android vinculado a tu cuenta, de modo que cuando entras a tu panel de llaves de acceso puedes encontrar varias que no has generado manualmente.
¿Cómo funciona la autenticación con passkeys en Android?
Desde el punto de vista del usuario, el uso de passkeys en Android es muy sencillo: para iniciar sesión solo necesitas autenticarte en el dispositivo como lo haces para desbloquearlo. Es decir, con tu huella dactilar, reconocimiento facial, patrón de desbloqueo o un PIN local.
Cuando una web o app compatible te pide iniciar sesión, el sistema Android detecta que existe una passkey válida para ese dominio o servicio y lanza el diálogo de autenticación del sistema. En ese momento, te solicita la huella, el rostro o el PIN. Si la comprobación biométrica o local tiene éxito, el dispositivo firma el desafío del servidor con la clave privada y devuelve la respuesta. Todo ello sucede en segundos y sin que tú veas ni una sola contraseña.
Si usas varios dispositivos, Android y el ecosistema de Google pueden sincronizar las passkeys de forma segura a través de tu cuenta, de forma parecida a como se sincronizaban antes las contraseñas. Esto permite que, al cambiar de móvil o añadir una tablet, tus llaves de acceso aparezcan ahí sin que tengas que repetir configuraciones, manteniendo el cifrado y la protección adecuados.
Ventajas de seguridad: adiós al phishing y a las filtraciones masivas
Las passkeys mejoran la seguridad por varios frentes. En primer lugar, no hay una contraseña que puedas teclear en una web falsa. Como la clave privada solo se usa desde tu dispositivo y está vinculada criptográficamente al dominio real del servicio, un intento de phishing clásico no funciona: si entras en una web que parece legítima pero no lo es, la passkey simplemente no se activa.
En segundo lugar, una filtración en el servidor no expone tus credenciales reales, porque los servicios solo almacenan la clave pública. Aunque un atacante robe esa clave, no puede utilizarla para iniciar sesión ni para reconstruir la clave privada. A diferencia de lo que ocurre con las contraseñas, no existe un equivalente a tener el “password” aunque consigan romper la base de datos.
Por otro lado, las passkeys eliminan muchos de los problemas asociados a las contraseñas débiles o reutilizadas. No tienes que pensar claves, no hay patrones predecibles y no hay “123456” o “nombreperro2024” que se puedan adivinar. Cada passkey es una credencial fuerte por diseño, generada por el sistema a partir de claves criptográficas robustas.
Además, las passkeys integran de serie un factor de autenticación adicional: para usarlas necesitas superar el bloqueo biométrico o local del dispositivo. Incluso si alguien roba físicamente tu móvil, seguiría teniendo que pasar el PIN, patrón, huella o cara registrados para usar las passkeys. Y si pierdes un dispositivo, siempre puedes entrar a tu cuenta de Google con tu contraseña clásica y revocar las llaves de acceso asociadas a ese aparato.
Passkeys y la autenticación de doble factor
Hasta ahora, para asegurar más una cuenta se recomendaba activar la autenticación de doble factor (2FA), que suele implicar introducir un código enviado por SMS, llamada, email o una app autenticadora. Esto añade seguridad, pero también fricción: tienes que esperar al mensaje, cambiar de pantalla, copiar el código… y, además, los SMS no son infalibles.
Con las passkeys, el propio proceso de autenticación ya incluye dos factores integrados: algo que tienes (el dispositivo que guarda la clave privada) y algo que eres o sabes (biometría o PIN local). Por eso, en muchos casos, la llave de acceso hace innecesario un 2FA adicional basado en códigos. Sigues teniendo una protección fuerte, pero la experiencia de uso es mucho más rápida y cómoda.
¿Dónde se guardan las passkeys y qué opciones tienes?
Una de las grandes preguntas es dónde se almacenan exactamente estas llaves de acceso. En función del ecosistema y las herramientas que utilices, tienes varias formas de guardar y gestionar tus passkeys, cada una con sus ventajas e inconvenientes.
Gestores de contraseñas y llaveros en la nube
Apple fue de las primeras en integrar passkeys en su Llavero de iCloud, que ahora se gestiona desde la app Contraseñas. Allí se pueden guardar llaves de paso, contraseñas y códigos OTP, sincronizándolos entre iPhone, iPad, Mac e incluso Windows mediante iCloud para Windows. En el mundo Android y Chrome, Google ha seguido una ruta similar con su Gestor de contraseñas.
En el caso de Google, las passkeys se integran en el Gestor de contraseñas de Google, que se usa tanto desde Chrome como desde Android. Eso hace que las llaves de paso creadas desde estos entornos estén disponibles en todos los dispositivos donde hayas iniciado sesión con tu cuenta de Google y tengas la sincronización activada. Para iOS, es necesario instalar Chrome y habilitarlo como proveedor de autorrelleno para poder usar esas passkeys.
También existen gestores de contraseñas de terceros, como 1Password, LastPass, Bitwarden o Proton Pass, que ya han añadido soporte para almacenar y sincronizar passkeys. Son una alternativa interesante si no quieres depender exclusivamente del ecosistema de Apple o de Google, aunque en la práctica muchos usuarios terminan “encerrados” en un almacén concreto porque sus llaves de paso se quedan ligadas a él.
Almacenamiento local en el dispositivo
Otra opción es que las passkeys se guarden de forma local en cada equipo, sin sincronización en la nube. Un ejemplo claro es Windows, que utiliza Windows Hello como almacén local de llaves de paso. En este caso, cada ordenador mantiene sus propias passkeys, y si tienes varios tendrás que crear una llave de acceso en cada uno de ellos para el mismo servicio.
Aun así, todos los navegadores modernos permiten usar passkeys almacenadas en otros dispositivos mediante códigos QR o conexiones cercanas. Por ejemplo, podrías tener todas tus llaves en tu móvil y emplearlas para iniciar sesión en tu PC escaneando un código QR que muestra el navegador. Técnicamente, la clave sigue estando en el móvil; el ordenador solo inicia la solicitud.
Llaves de seguridad por hardware
Por último, están las llaves de seguridad físicas (como las Titan de Google o las clásicas YubiKey), que también pueden almacenar passkeys en un dispositivo dedicado. Estas llaves se conectan al ordenador o móvil (USB, NFC, etc.) y el sistema las usa como origen de la clave privada.
El funcionamiento es simple: conectas la llave física cuando el sistema te lo pide y tocas el sensor o botón. Son especialmente útiles en entornos profesionales o para usuarios muy preocupados por la seguridad, ya que añaden una capa física de control sobre tus credenciales.
¿Cómo se crean y gestionan las passkeys en la práctica?
Crear una passkey suele ser tan sencillo como seguir el asistente del servicio que la ofrece. Por ejemplo, en webs de prueba como passkeys.io, puedes generar una llave de paso desde Chrome, Edge o cualquier navegador compatible para ver cómo funciona el sistema sin arriesgar cuentas reales.
El flujo típico consiste en introducir un correo (real o de prueba), pulsar en crear cuenta o crear passkey y elegir dónde quieres guardar esa llave de acceso. Con Chrome, normalmente se te ofrece el Gestor de contraseñas de Google o, en Windows, la integración con Windows Hello. Una vez eliges, el navegador te pedirá la huella, el PIN o el método que tengas configurado y, tras completarlo, la passkey quedará creada.
Al volver a la misma web, verás la opción de iniciar sesión con una passkey en lugar de introducir contraseña. El navegador mostrará las llaves disponibles para ese dominio, te pedirá autenticarte de nuevo con el método local y, si todo va bien, entrarás sin haber escrito ni una sola clave. Muchas plataformas permiten crear varias passkeys para una misma cuenta, por ejemplo, una asociada al móvil, otra al PC y otra a una llave física.
En cuanto a la gestión, no todos los almacenes permiten lo mismo. Las passkeys del Gestor de contraseñas de Google, por ejemplo, no siempre son visibles o fácilmente editables, mientras que en Windows existe un apartado específico en Configuración > Cuentas > Llaves de acceso para borrar o revisar las creadas. Apple, por su parte, las integra de forma bastante clara en su app Contraseñas.
Impacto en los gestores de contraseñas y en el ecosistema
La llegada de las passkeys plantea un interrogante evidente: ¿qué va a pasar con los gestores de contraseñas clásicos?. Ahora que los sistemas operativos y navegadores integran de forma nativa la gestión de llaves de acceso, parte de las funciones que ofrecían estas apps pasan a estar cubiertas por el propio sistema.
Muchos de estos gestores han reaccionado añadiendo soporte completo a passkeys, intentando convertirse en una capa unificada que gestione credenciales en múltiples ecosistemas. Sin embargo, también es cierto que los grandes actores (Google, Apple, Microsoft) están reforzando sus propios llaveros, lo que puede reducir la necesidad de soluciones externas para el usuario medio.
Por otro lado, algunas empresas utilizan las passkeys como una forma de afianzar a los usuarios dentro de su ecosistema. Si guardas todas tus llaves de paso en el llavero de Apple, por ejemplo, será difícil escapar de depender del iPhone incluso si trabajas en Windows. Lo mismo ocurre con el gestor de Google, que puede empujarte a tener Chrome instalado en todos tus dispositivos.
¿Qué pasa con la privacidad y el control del usuario?
La automatización que ha introducido Google, convirtiendo contraseñas en passkeys sin demasiada intervención manual, plantea algunas dudas razonables. ¿Qué ocurre si prefieres tener más control sobre cuándo y cómo se crean estas llaves? ¿Y si no quieres que el sistema gestione credenciales por ti en segundo plano?
Google ha previsto cierta flexibilidad: puedes desactivar la conversión automática y seguir usando contraseñas clásicas, aunque todo indica que cada vez más servicios empujarán al usuario hacia modelos sin password. También puedes eliminar llaves de acceso asociadas a dispositivos perdidos o que ya no utilizas, revisando el listado desde tu cuenta de Google.
En cualquier caso, desde el punto de vista de la ciberseguridad, la mayoría de expertos coincide en que las passkeys suponen una mejora muy significativa respecto al sistema anterior. Requieren un periodo de adaptación, tanto técnico como cultural, pero el objetivo es que el usuario medio apenas note cambios más allá de que iniciar sesión es mucho más rápido y cómodo.
Compatibilidad, requisitos y futuro inmediato en Android
Para sumarte al uso de passkeys en Android no necesitas un móvil de última generación, pero sí un dispositivo relativamente moderno con Android 9 o superior y los servicios de Google actualizados. La mayoría de terminales en circulación cumple este requisito, así que la barrera de entrada es baja.
En el ámbito del escritorio, basta con tener un navegador compatible (Chrome, Edge, Safari…) y un sistema operativo actualizado. Puedes usar el lector de huellas de tu portátil o incluso vincular tu móvil vía Bluetooth para usarlo como dispositivo autenticador cuando entras desde el PC. Los ecosistemas de Google e iCloud permiten que tus llaves te acompañen entre dispositivos asociados a la misma cuenta.
En paralelo, Google está endureciendo la seguridad en sus servicios en la nube, haciendo que la autenticación multifactor sea obligatoria en muchos entornos profesionales y de desarrolladores. Para el usuario de a pie, el empuje constante a configurar passkeys en Gmail, YouTube o Google Drive va a ser cada vez más visible, hasta el punto de que ignorar las notificaciones dejará de ser una opción cómoda.
El avance no será de un día para otro
Las contraseñas seguirán conviviendo con las passkeys durante un tiempo, sobre todo en servicios financieros, administraciones públicas y plataformas que adoptan tecnologías de forma más lenta. Sin embargo, el rumbo está muy claro: la industria quiere reducir al mínimo la presencia de la contraseña escrita como mecanismo principal de autenticación.
La transición hacia las passkeys en Android y en el resto de plataformas llega en un momento de enorme exposición digital, con miles de millones de contraseñas filtradas y ataques cada vez más sofisticados. Frente a ese panorama, apostar por llaves de acceso ligadas a tu dispositivo, a tu biometría y a estándares abiertos supone un cambio de paradigma que mejora la seguridad sin castigar la comodidad, y todo apunta a que acabaremos viendo las contraseñas clásicas como un vestigio incómodo de otra época. Comparte esta guía para que más usuarios sepan usar Passkeys en Android.
Continúar leyendo...