Existe una paradoja inquietante en la seguridad digital moderna: el método que usamos para proteger nuestras cuentas más sensibles —correos, bancos, redes sociales— es, en sí mismo, uno de los mayores vectores de ataque que existen. La contraseña, ese conjunto de letras, números y símbolos que memorizamos con esfuerzo y olvidamos con facilidad, está en franca extinción. No por capricho de la industria tecnológica, sino porque la evidencia lo exige. Y la alternativa ya está aquí: las passkeys, o llaves de acceso, una tecnología que promete terminar de una vez con esta pesadilla.
El problema que ignoramos cada día
Los números son brutales. Según el Informe de Verizon sobre Investigaciones de Filtraciones de Datos 2024, el 81% de las brechas de seguridad siguen estando relacionadas con contraseñas débiles o robadas. No es un dato menor: implica que ocho de cada diez incidentes que comprometen información personal o corporativa tienen su origen en algo tan básico como una clave mal elegida o interceptada. Y mientras tanto, Microsoft afirma estar bloqueando 7.000 ataques a contraseñas por segundo, una cifra que casi duplicó el año anterior.
El problema no es solo el descuido del usuario. La arquitectura misma de las contraseñas es defectuosa desde su origen. Cuando una persona crea una cuenta en un sitio web, esa plataforma debe almacenar su clave en un servidor. Y cada año, millones de contraseñas se filtran de bases de datos mal protegidas, sin que el usuario haya hecho nada malo. Como señala PCWorld, «si un sitio web es hackeado —algo demasiado común hoy en día— tu información de credenciales puede ser descifrada o reutilizada por terceros» .
A esto se suma la inteligencia artificial, que ha cambiado radicalmente las reglas del juego. Los modelos de aprendizaje profundo pueden predecir patrones comunes de contraseñas con velocidad brutal, y las GPU de bajo costo disponibles en la nube han democratizado el descifrado masivo de claves. Una contraseña como «123456» puede ser crackeada en menos de un segundo. Pero incluso combinaciones más elaboradas, con mayúsculas, números y símbolos, están dejando de ser suficientes frente a estas herramientas.
La ingeniería social: el ataque que ninguna clave resiste

Más allá de la fuerza bruta, los ciberdelincuentes han perfeccionado el arte del engaño. El phishing —enviar un correo o mensaje falso que simula ser una entidad confiable para robar credenciales— representa hoy la técnica más utilizada para comprometer cuentas. El 50% de los usuarios de internet recibe al menos un correo de phishing al día, y el 97% no logra identificarlo a tiempo. Una contraseña, por más robusta que sea, es completamente inútil si el propio usuario la entrega voluntariamente a un sitio malicioso disfrazado de legítimo.
Y aquí está una de las diferencias más importantes con las llaves de acceso: las passkeys son phishing-resistant por diseño. No funcionan en sitios web falsos. No pueden ser capturadas ni reutilizadas fuera del dominio específico para el que fueron creadas . Esto no es una mejora marginal; es un cambio de paradigma.
Cómo funciona una llave de acceso
Las passkeys son el resultado de años de trabajo conjunto entre Apple, Google, Microsoft y la alianza de estándares abiertos FIDO Alliance. Su funcionamiento se basa en la criptografía asimétrica, un sistema que genera dos claves vinculadas entre sí: una pública y una privada.
Cuando un usuario crea una passkey en un servicio, se generan ambas claves de forma simultánea. La clave pública se comparte con el sitio web o la aplicación. La clave privada, en cambio, nunca abandona el dispositivo del usuario —un teléfono, una computadora o incluso una llave de seguridad física como un YubiKey— y está protegida por autenticación biométrica: huella dactilar, reconocimiento facial o PIN .
Al iniciar sesión, el proceso es así: el sitio web envía una solicitud al dispositivo del usuario, quien debe autorizar el acceso mediante biometría. El dispositivo genera entonces una firma digital con la clave privada y la envía al servidor. El servidor usa esa firma para verificar que coincide con la clave pública registrada. Si todo cuadra, el acceso es concedido . En ningún momento se transmite una contraseña. En ningún momento existe algo que pueda ser interceptado y reutilizado.
Un futuro sin contraseñas que ya comenzó
La industria tecnológica no está apostando tímidamente por esta transición: está acelerando a todo ritmo. Microsoft anunció planes concretos para eliminar las contraseñas de mil millones de usuarios, declarando que «la era de las contraseñas está llegando a su fin». Google ya ha protegido más de 400 millones de cuentas con passkeys. Servicios cotidianos como Amazon, Apple, PayPal y decenas de aplicaciones móviles ya soportan esta tecnología.
Para el usuario común, la adopción es más sencilla de lo que parece. PCWorld recomienda comenzar por los servicios que se usan con más frecuencia y los que manejan información sensible: Google, Apple, Microsoft, bancos y tiendas en línea . La experiencia práctica también mejora notablemente: iniciar sesión con una passkey es hasta 50% más rápido que hacerlo con una contraseña tradicional, incluso con autorrelleno activado.
La única precaución real es el almacenamiento local: si una passkey se guarda únicamente en un dispositivo y este se pierde, existe el riesgo de quedar bloqueado. La solución es simple: sincronizarlas a través de servicios en la nube como iCloud Keychain o Google Password Manager, o mantener un segundo dispositivo de respaldo .
El veredicto: cambiar no es una opción, es una necesidad
La pregunta ya no es si las contraseñas van a desaparecer, sino cuándo. La IA hace que descifrarlas sea cada vez más barato y rápido. El phishing las convierte en inútiles ante el engaño humano. Las filtraciones masivas exponen incluso las mejor custodiadas. Mientras tanto, las passkeys eliminan todos esos vectores de ataque de un solo golpe, sin pedirle al usuario que memorice nada, que actualice nada ni que sufra por nada.
Esperar al próximo «Día Mundial de la Contraseña» para hacer el cambio es, sencillamente, un lujo que ya no podemos darnos .