La contraseña ya cedió: las passkeys tomaron ventaja
Durante años nos dijeron que bastaba con elegir una contraseña “fuerte” y recordarla bien. El problema es que la vida digital real nunca funcionó así. Entre banca, correo, compras, trabajo y salud, la mayoría termina reciclando claves. En 2025, investigadores que analizaron 19 mil millones de credenciales filtradas encontraron que apenas 6% eran únicas; el otro 94% correspondía a contraseñas reutilizadas, recicladas o apenas modificadas, según un análisis de DeepStrike con datos de SpyCloud.
La cifra que vuelve obsoleta la discusión
Ese 94% explica por qué el debate ya no debería centrarse en si la contraseña “todavía sirve”. El punto es otro: hoy es una pieza que los atacantes explotan a escala industrial. El DBIR 2025 de Verizon halló que las credenciales robadas fueron el vector de acceso inicial en 22% de las brechas revisadas. Además, los ataques de credential stuffing, en los que se prueban combinaciones robadas de usuario y contraseña en miles de sitios, representan 19% de los intentos de autenticación que reciben los proveedores de inicio de sesión único en un día normal. En las peores jornadas, la cifra sube a 44%.
Para América Latina, esto tiene una lectura inmediata. La región convive con altos niveles de fraude digital, phishing bancario, robo de cuentas de mensajería y estafas que se apoyan en la confianza cotidiana. No se trata sólo de proteger un perfil individual. Cuando una cuenta cae, también se comprometen contactos, equipos de trabajo y circuitos familiares. La seguridad digital, en este contexto, es un asunto colectivo.
Por qué las passkeys funcionan mejor
Las passkeys, o claves de acceso, parten de una lógica distinta. El Passkey Index 2025 de FIDO Alliance, construido con datos de Amazon, Google, Microsoft, PayPal, Target y TikTok, reporta una tasa de éxito de autenticación de 98% para passkeys frente a 32% para contraseñas. No es una mejora marginal. Es una señal de que el mecanismo antiguo ya quedó atrás.
Su funcionamiento también ayuda a entender la diferencia. En lugar de compartir un secreto que pueda ser robado, el sistema genera un par de claves criptográficas para cada cuenta. Una permanece en tu dispositivo y la otra en el servicio. Cuando inicias sesión, tu equipo demuestra que posee la clave privada, normalmente con huella, reconocimiento facial o PIN local. Es decir, no hay una contraseña que pueda interceptarse, adivinarse o reutilizarse en otro sitio.
La experiencia, además, es más fluida. Según un análisis de Microsoft sobre adopción de passkeys, iniciar sesión con este método es tres veces más rápido que escribir una contraseña y ocho veces más rápido que usar contraseña más autenticación multifactor tradicional. TikTok duplicó su tasa de éxito de login y Zoho registró accesos seis veces más veloces.
La transición ya no es teoría
Google, Apple y Microsoft no están esperando a que el público pida el cambio con entusiasmo. Lo están diseñando desde la interfaz. Google ya supera los 800 millones de cuentas con passkeys y reporta una tasa 99,9% menor de compromisos para esos usuarios, de acuerdo con la recopilación de DeepStrike. Amazon incorporó 175 millones de usuarios en su primer año. Microsoft registra casi un millón de nuevas passkeys al día y, desde mayo de 2025, las convirtió en el método predeterminado para todas las cuentas nuevas, decisión que disparó 120% el uso de esta forma de autenticación.
Apple cerró una barrera importante en septiembre de 2025, cuando iOS 26 introdujo la portabilidad de credenciales mediante el estándar Credential Exchange. Eso resolvió uno de los últimos temores del usuario común: quedar atrapado en el ecosistema de un solo proveedor. A finales de 2025, 69% de los usuarios ya tenía al menos una passkey, frente a un awareness de 39% apenas dos años antes, según FIDO Alliance. Gartner proyecta que serán el método principal de autenticación en 2027.
El gestor de contraseñas ya no alcanza por sí solo
Los gestores de contraseñas siguen siendo valiosos. Resuelven el problema de memoria y ayudan a usar claves distintas. Sin embargo, no corrigen la vulnerabilidad central: la contraseña sigue existiendo como secreto compartido. Si un atacante la roba, puede reutilizarla.
El informe de Verizon señala que el malware infostealer capturó 548 millones de contraseñas y 17 mil millones de cookies de sesión sólo en 2024. Entre dispositivos comprometidos, apenas 49% de las contraseñas de un mismo usuario eran realmente distintas entre servicios, incluso con gestor. Además, el secuestro de sesión permite saltarse la autenticación multifactor, porque el atacante roba el cookie que acredita una sesión ya abierta, como explica un reporte sobre credenciales comprometidas.
Lo prudente es cambiar antes del próximo golpe
La transición no está empezando: ya está en marcha. Conviene activar passkeys primero en correo, banca, billeteras digitales y cuentas desde las que se puede resetear todo lo demás. El gestor de contraseñas todavía tiene un papel, pero distinto: cubrir los sitios que siguen anclados al modelo viejo y almacenar passkeys cuando exista compatibilidad. También vale la pena activar biometría en el teléfono y la laptop, porque ahí ocurre la verificación local. Y, sobre todo, conviene revisar las contraseñas repetidas que hoy abren demasiadas puertas.
La reutilización masiva no describe un fracaso moral del usuario. Describe un diseño que depende de que millones de personas recuerden docenas de secretos distintos y nunca se equivoquen. Las passkeys parten de una premisa más realista: quitar del proceso la parte que los atacantes explotan mejor. En una región donde el fraude digital se multiplica, ese cambio no es un lujo técnico. Es una forma de cuidado compartido.
Fuentes y Referencias
Conoce nuestros estándares editoriales →
