La transición hacia un modelo sin contraseñas avanza con mayor velocidad a partir de la implementación de claves de acceso por parte de compañías tecnológicas como Google, Apple y Microsoft. Estos sistemas de autenticación, impulsados por la Alianza FIDO, buscan establecer un nuevo estándar de seguridad digital basado en la criptografía de clave pública, dejando atrás el esquema tradicional de "secretos compartidos".
Las claves de acceso permiten a los usuarios iniciar sesión sin recordar contraseñas, accediendo a sus cuentas desde un dispositivo previamente verificado, como un teléfono o portátil. Su funcionamiento se basa en la generación de un par de claves: una pública, visible para el servicio, y otra privada, almacenada en el dispositivo del usuario.
"Las claves de acceso están diseñadas para reemplazar por completo las contraseñas y las formas obsoletas de autenticación de dos factores", declaró Andrew Shikiar, director ejecutivo y CEO de FIDO Alliance, en entrevista con WIRED. Añadió que esta tecnología representa un avance excepcional en ciberseguridad, al ser "más fácil de usar que los métodos anteriores, y también más segura".
En dispositivos que utilizan Android, iOS, Windows o macOS, los usuarios pueden acceder a servicios compatibles a través de esta tecnología. Por ejemplo, al iniciar sesión en una cuenta de Google, es posible utilizar un teléfono móvil como clave de acceso, sin necesidad de ingresar una contraseña o nombre de usuario.
A diferencia de las contraseñas, que pueden ser filtradas o descifradas, las claves de acceso autentican al usuario directamente en el dispositivo mediante datos biométricos o un PIN local. La validación ocurre en el dispositivo, sin que se envíen credenciales reutilizables por la red. Este sistema hace frente a amenazas como el phishing, los ataques de diccionario y la exposición de contraseñas en texto plano.
Los principales sistemas operativos ya cuentan con soporte nativo. Android 9, iOS 16, macOS 13 Ventura y Windows 10/11 versión 23H2 permiten crear y almacenar claves de acceso. Además, los navegadores basados en Chromium, como Google Chrome, Brave, Opera y Vivaldi, las admiten, al igual que Mozilla Firefox desde su versión 122.
Para la gestión de claves de acceso, los usuarios pueden recurrir a plataformas integradas como el Administrador de Contraseñas de Google, el llavero de iCloud, o configurar Windows Hello en equipos con sistema operativo de Microsoft. También es posible optar por gestores de contraseñas de terceros como 1Password, NordPass, Bitwarden y Dashlane, que permiten sincronizar claves entre distintos dispositivos y sistemas operativos.
La autenticación con claves de acceso incluye capas de seguridad equivalentes a la autenticación multifactor (MFA), aunque el proceso ocurre de forma automática y sin necesidad de ingresar códigos adicionales. "El servicio emite un desafío criptográfico que solo se puede responder con la clave privada de tu dispositivo, verificada con algo que tienes (como tu teléfono o portátil) y, a menudo, con algo que eres (como un dato biométrico)", explicó Shikiar.
Numerosas aplicaciones y servicios ya integran soporte para este sistema. Entre los más destacados se encuentran Microsoft, Adobe, Amazon, Google, Apple, así como Facebook e Instagram, que incorporaron compatibilidad en junio de 2025. Según recopilaciones de plataformas como 1Password y la organización 2factorauth, alojada en GitHub, la lista de servicios compatibles continúa en expansión.
El proceso para adoptar claves de acceso requiere habilitar funciones específicas según el sistema operativo. En Windows, es necesario activar Windows Hello desde la aplicación de configuración. En macOS e iOS, las claves se almacenan en el llavero de iCloud, vinculado a la cuenta de Apple con autenticación de dos factores. En Android, por defecto se utiliza el Administrador de Contraseñas de Google, aunque versiones posteriores permiten guardar claves en gestores externos.
La consolidación de este sistema forma parte de una transformación tecnológica que busca reducir la exposición a vulnerabilidades comunes. Si bien las claves de acceso mejoran la protección del punto de entrada, Shikiar aclara que "las organizaciones aún necesitan reforzar todo el proceso de identidad, desde la incorporación y la recuperación hasta la gestión de sesiones". (NotiPress)
