Las contrasenas ya perdieron. El problema es que sigues usandolas

Tecleas tu contrasena, fallas en un caracter, vuelves a intentarlo, esperas el correo de recuperacion y terminas creando otra clave casi igual a la anterior. Durante anos, esa friccion se sintio normal. El problema es que lo normal, en seguridad digital, puede ser exactamente lo que ya no funciona.

Segun una investigacion de Cybernews, los vertidos mas recientes de credenciales dejaron circular 19 mil millones de contrasenas en internet. Al analizarlas, los investigadores encontraron que 94% estan reutilizadas o duplicadas en varias cuentas. Solo 6% son unicas. Dicho de otro modo: no estamos frente a una debilidad puntual, sino ante una arquitectura que sigue viva por costumbre.

Los datos ya no dejan mucho espacio para la nostalgia

Google puso a prueba alrededor de 100 millones de intentos de autenticacion y el resultado fue dificil de ignorar. Segun el blog de seguridad de Google, las passkeys lograron una tasa de exito de 63,8%, mientras que las contrasenas apenas alcanzaron 13,8%. No es una mejora marginal. Es un cambio de orden de magnitud.

La velocidad cuenta una historia similar. En ese mismo analisis, iniciar sesion con passkeys tomo 14,9 segundos en promedio; con contrasena, 30,4 segundos. Y fuera de Google el contraste es incluso mayor. En el State of Passkeys, TikTok reporta que sus usuarios entran 17 veces mas rapido con passkeys. Amazon habla de inicios de sesion 6 veces mas rapidos. Microsoft, ademas, eleva la comparacion a un terreno aun mas contundente: 98% de exito con passkeys frente a 32% con contrasenas.

Si todavia escribes tus credenciales a mano, el problema no es solo la lentitud. Es que sigues apostando por el metodo que mas falla justo cuando deberia darte certeza.

Por que seguimos defendiendo un sistema roto

La pregunta interesante no es por que las passkeys son mejores. Eso, a estas alturas, ya esta bastante documentado. La pregunta es por que tanta gente continua postergando el cambio. Una parte de la respuesta tiene que ver con memoria muscular. Llevamos decadas escribiendo contrasenas y aceptando esa friccion como si fuera el precio natural de estar en linea.

Tambien influye la invisibilidad del dano. Cuando 16 mil millones de credenciales se filtraron a inicios de 2025 en 30 bases de datos distintas, la mayoria de las personas ni siquiera supo si estaba afectada. El golpe no suele llegar como escena dramatica, sino como cadena silenciosa: una clave robada en una plataforma abre la puerta a otra, y luego a otra mas. Lo que parecia una molestia menor termina convertido en atajo caro para las empresas y para los usuarios, como muestra este analisis sobre los atajos de ciberseguridad que salen caros.

Con 94% de reutilizacion, las matematicas dejan poco margen para el optimismo. Una sola filtracion puede comprometer decenas de accesos.

Lo que cambia cuando dejas de compartir un secreto

Una passkey no es una contrasena mejorada. Es un par de claves criptograficas guardado en tu dispositivo, ya sea el telefono, la laptop o una llave fisica de seguridad. Cuando te autenticas, el equipo demuestra que posee la clave privada sin enviarla por la red. La aprobacion ocurre con biometria o con el PIN del propio dispositivo.

Ese detalle tecnico cambia casi toda la superficie de ataque. Ya no existe un secreto reutilizable que pueda copiarse, interceptarse o volver a probarse en otros servicios. Una pagina de phishing no puede capturar una credencial equivalente a la que hoy roba una contrasena. Y una base de datos comprometida deja de ser un deposito de secretos listos para circular.

Lo relevante aqui es que la seguridad mejora al mismo tiempo que la experiencia se simplifica. Miras el telefono, confirmas con tu huella o tu rostro, y entras. Lo que antes exigia recordar, escribir, fallar y restablecer se reduce a un gesto. No es magia: es mejor diseno.

La adopcion ya dejo de ser una promesa

A veces se habla de passkeys como si fueran una tecnologia interesante, pero todavia prematura. Los numeros dicen otra cosa. Segun la FIDO Alliance, mas de 15 mil millones de cuentas en linea ya pueden usarlas. Google reporta 800 millones de cuentas con passkeys y mas de 2,5 mil millones de inicios de sesion de ese tipo. Amazon supero 175 millones de usuarios en un ano. Microsoft registra cerca de un millon de nuevas passkeys al dia.

No se trata solo de volumen. En el State of Passkeys, CVS Health afirma que redujo 98% el fraude por toma de cuentas moviles despues de desplegarlas. Mercoin, filial de Mercari, reporta cero incidentes de phishing desde que implemento passkeys en 2023.

Eso ya no suena a experimento. Suena a reemplazo de infraestructura a gran escala.

Esperar tambien es una decision

Cada mes que retrasas el cambio, tus credenciales siguen almacenadas en bases de datos junto con miles de millones de otras, como explica este texto sobre por que tantos ataques empiezan con un acceso robado. Los ataques de credential stuffing suman 193 mil millones de intentos al ano. En ese contexto, reutilizar una contrasena no es una imprudencia abstracta, sino una forma de multiplicar el dano posible.

La parte mas llamativa es que cambiar ya no exige una gran inversion de tiempo. Configurar passkeys en cuentas de Google, Apple o Microsoft toma menos de dos minutos. Servicios como Amazon, GitHub y PayPal tambien las admiten. La tecnologia que viene a reemplazar las contrasenas no esta por llegar. Ya esta aqui, respaldada por miles de millones de cuentas habilitadas y por un dato que pesa: no se han registrado ataques de phishing exitosos contra inicios de sesion protegidos con passkeys. La pregunta, entonces, no es si conviene migrar. Es cuanto tiempo mas quieres seguir confiando en una clave reutilizada antes de que te cueste algo que ya no puedas recuperar.