Passwords y Passkeys

By /

Presentación del Tema

La autenticación de usuarios constituye uno de los pilares fundamentales de la seguridad en los sistemas de información. Tradicionalmente, este proceso se ha basado en el uso de contraseñas (passwords), es decir, cadenas de caracteres que el usuario conoce y debe introducir para validar su identidad. Sin embargo, la creciente sofisticación de los ataques informáticos ha puesto en evidencia las limitaciones de este modelo.

En este contexto emergen las passkeys (claves de acceso criptográficas), una alternativa moderna que busca resolver las debilidades estructurales de las contraseñas. No obstante, su funcionamiento suele generar confusión debido a su base criptográfica. El material proporcionado propone una analogía clara —similar a un sistema de tickets y documentos de identidad— que permite comprender este nuevo paradigma sin recurrir a explicaciones matemáticas complejas.

Desde la perspectiva de las Tecnologías de la Información (TI), resulta imprescindible analizar no solo su funcionamiento técnico, sino también sus implicancias en la gestión de la seguridad, la experiencia del usuario y la administración de identidades digitales dentro de las organizaciones.

Desarrollo

1. Contraseñas (Passwords): características y limitaciones

Las contraseñas son un mecanismo de autenticación basado en el conocimiento (something you know). Su funcionamiento es simple: el usuario introduce una cadena secreta que el sistema compara con un valor almacenado.

Principales debilidades:

  • Reutilización: los usuarios tienden a usar la misma contraseña en múltiples sistemas.
  • Vulnerabilidad al phishing: pueden ser robadas mediante sitios falsos.
  • Almacenamiento centralizado: si una base de datos es comprometida, múltiples credenciales quedan expuestas.
  • Dependencia del comportamiento humano: errores, descuidos o malas prácticas afectan la seguridad.

Desde la gestión de TI, esto implica altos costos en:

  • recuperación de cuentas,
  • políticas de rotación,
  • implementación de doble factor (Two-Factor Authentication – 2FA).

2. Passkeys: definición y funcionamiento

Una passkey es un mecanismo de autenticación basado en criptografía asimétrica (asymmetric cryptography), que utiliza un par de claves:

  • Clave pública (Public Key): almacenada en el servidor.
  • Clave privada (Private Key): almacenada en el dispositivo del usuario.

Este modelo se conoce como autenticación basada en posesión (something you have).

Según el material analizado , puede entenderse mediante una analogía:

  • El ticket de vuelo representa la clave pública.
  • El documento de identidad representa la clave privada.
  • El acceso solo es posible si ambos coinciden y pertenecen al mismo titular.

Características clave:

  • No se transmiten secretos reutilizables.
  • La autenticación se realiza mediante firma criptográfica.
  • Está vinculada a un dominio específico (protección contra phishing).
  • No es transferible ni reutilizable.

3. Ventajas desde la perspectiva de TI

a. Mayor seguridad estructural

  • Eliminan el riesgo de robo masivo de contraseñas.
  • No pueden ser reutilizadas en otros servicios.
  • Resisten ataques de phishing, ya que funcionan solo en el dominio original.

b. Reducción de la carga operativa

  • Disminuyen los procesos de recuperación de cuentas.
  • Reducen la necesidad de políticas complejas de contraseñas.

c. Mejora de la experiencia del usuario (UX)

  • Autenticación mediante biometría (huella, rostro) o PIN local.
  • Eliminación de la necesidad de recordar múltiples credenciales.

4. Limitaciones y desafíos

A pesar de sus ventajas, las passkeys presentan desafíos relevantes:

a. Portabilidad limitada

  • Dependencia del ecosistema (Apple, Google, Microsoft).
  • Dificultad para migrar entre gestores de contraseñas.

b. Gestión distribuida

  • El usuario puede no saber dónde está almacenada la passkey.
  • Falta de visibilidad para los administradores.

c. Dependencia del dispositivo

  • Pérdida del dispositivo puede implicar pérdida de acceso.
  • Necesidad de mecanismos de recuperación seguros.

5. Riesgos asociados a implementaciones incorrectas

El material destaca un punto crítico :

La seguridad de una passkey es tan fuerte como su método de recuperación más débil.

Ejemplo:

  • Si un sistema permite recuperar acceso mediante contraseña, se anula la ventaja de la passkey.

Implicancia para TI:

  • Se debe diseñar una arquitectura de autenticación coherente.
  • Evitar mecanismos de fallback inseguros.

6. Buenas prácticas en entornos organizacionales

Desde la gestión de sistemas de información, se recomienda:

  • Implementar múltiples passkeys por usuario (redundancia).
  • Utilizar dispositivos físicos (hardware security keys).
  • Mantener registro centralizado de ubicación de credenciales.
  • Reemplazar contraseñas de recuperación por códigos seguros (recovery codes).
  • Capacitar a usuarios en el uso y gestión de credenciales.

7. Comparación sintética

CaracterísticaPasswordsPasskeys
TipoConocimientoPosesión
ReutilizaciónAltaNula
Vulnerabilidad phishingAltaMuy baja
AlmacenamientoCentralizadoDistribuido
Experiencia de usuarioBajaAlta
Complejidad técnicaBajaAlta

Conclusión

Las passkeys representan un cambio significativo en el paradigma de autenticación dentro de los sistemas de información. Su adopción responde a la necesidad de superar las limitaciones estructurales de las contraseñas, especialmente en un contexto de creciente exposición a amenazas digitales.

Sin embargo, su implementación no debe evaluarse únicamente desde una perspectiva técnica. Desde la administración de tecnologías de la información, es fundamental considerar aspectos organizacionales, operativos y de experiencia del usuario. La seguridad no depende exclusivamente del algoritmo, sino del ecosistema completo en el que se inserta.

En consecuencia, las passkeys son efectivamente más seguras que las contraseñas en términos estructurales, pero su eficacia real dependerá de la correcta gestión de identidades, la eliminación de mecanismos débiles de recuperación y la capacitación adecuada de los usuarios. La transición hacia este modelo exige una mirada estratégica y sistémica, propia de la gestión profesional de TI.

Preguntas de autoevaluación

  1. ¿Cuál es la diferencia fundamental entre autenticación basada en conocimiento y en posesión?
  2. ¿Por qué las passkeys son resistentes a ataques de phishing?
  3. ¿Qué rol cumple la criptografía asimétrica en el funcionamiento de las passkeys?
  4. ¿Cuáles son los principales riesgos de implementar passkeys sin eliminar mecanismos de recuperación débiles?
  5. Desde la perspectiva de TI, ¿qué desafíos organizacionales implica la adopción de passkeys?
Scroll to Top