Parece que Google ha decidido en serio deshacerse de las contraseñas. La empresa promueve activamente passkeys (claves de acceso), un método de inicio de sesión que debería reemplazar las combinaciones habituales de nombre de usuario y contraseña. En teoría suena como un futuro prometedor: nada de quebraderos de cabeza para recordar cadenas complejas, ninguna fuga de bases de contraseñas, solo biometría o confirmación en el teléfono. Pero en la práctica todo, como siempre, no es tan sencillo.
Qué son las passkeys y cómo funcionan
Passkey — no es otra contraseña complicada, sino un par criptográfico de claves. La clave privada se guarda en el dispositivo y nunca lo abandona, mientras que la clave pública la utiliza el servidor para verificar la autenticidad. Esto significa que, incluso en caso de filtración de datos, los atacantes no podrán usar la clave robada: sin su dispositivo, el acceso es imposible.
A diferencia de las contraseñas, que son un secreto compartido y se almacenan cifradas en el servidor, las passkeys te protegen del phishing y de los ataques por fuerza bruta. No existe una secuencia secreta de caracteres que se pueda observar o extraer mediante una página falsa: para autorizarse se necesita tu dispositivo y la confirmación de la acción.
Cómo crear una passkey para una cuenta de Google
Para activar passkey en Google, hay que ir a g.co/passkeys y seguir las instrucciones. El sistema pedirá iniciar sesión en la cuenta y crear una nueva clave, bien vinculada a un dispositivo concreto, bien guardada en un gestor externo. La opción vinculada al dispositivo significa que al iniciar sesión tendrás que confirmar la acción en ese dispositivo, ya sea un teléfono Android o un equipo con Windows Hello.
Se necesita software moderno: Windows 10 o macOS Ventura o superior, Android 9+, iOS 16+, así como versiones recientes de los navegadores Chrome, Safari, Edge o Firefox. Tras crear la clave, se pueden gestionar en la configuración de la cuenta de Google: sección «Seguridad» → «Passkeys y claves de seguridad».
Qué tan seguras son las passkeys
Google afirma que las passkeys son más seguras que las contraseñas. Y en realidad es así: la clave privada siempre permanece en tu dispositivo y no se transmite por la red. No es posible robarla o comprometerla de forma remota. Incluso un ataque de phishing exitoso no dará acceso al atacante, ya que para entrar se requerirá la biometría o la confirmación en el dispositivo registrado.
Las contraseñas, en cambio, son vulnerables: las empresas están obligadas a almacenarlas en servidores, y los usuarios con frecuencia usan la misma contraseña en distintos servicios. Las passkeys cierran ambas brechas, siempre que, claro, no se pierda el dispositivo.
Google Password Manager y sus inconvenientes
Google propone almacenar las passkeys en su Password Manager. Teóricamente es conveniente: todo se sincroniza a través de Chrome o Android, y las claves están disponibles en los dispositivos donde hayas iniciado sesión. Pero en la práctica la protección depende del cifrado local, y si alguien tiene acceso físico al equipo, las claves se pueden extraer. Hacen falta conocimientos, scripts y tiempo para ello, pero el riesgo existe.
Si tu portátil viaja contigo con frecuencia o existe riesgo de robo, conviene considerar una opción más flexible. Por ejemplo, usar un gestor externo como 1Password o Proton Pass, donde las passkeys se asocian no al dispositivo sino a la cuenta del gestor.
¿Conviene usar gestores externos?
La principal ventaja de un gestor externo es la compatibilidad multiplataforma. No importa si cambias de Android a iPhone o de Windows a macOS: tus passkeys permanecerán contigo. Además, las aplicaciones externas permiten exportar y compartir claves, lo que las hace útiles para escenarios laborales y familiares. Google, Apple y Microsoft siguen construyendo sus propios límites, restringiendo el uso de passkeys dentro de sus ecosistemas. Los gestores de contraseñas no imponen ese tipo de restricciones.
Las soluciones externas también evitan la confusión con los dispositivos. Google, por ejemplo, a veces crea automáticamente una passkey en un nuevo smartphone, pero luego resulta imposible usarla debido a incompatibilidades. Con un gestor no hay ese caos: el acceso siempre es posible en cualquier dispositivo con la aplicación instalada y la cuenta confirmada.
Cómo añadir una passkey para servicios externos
El procedimiento es sencillo: primero, el sitio debe admitir el inicio de sesión mediante passkey. Puedes encontrar servicios así en catálogos abiertos (por ejemplo, Hanko o listas comunitarias). Supongamos que es Best Buy. Inicias sesión en el sitio, vas a la configuración de seguridad y eliges la opción «Crear passkey». En ese momento el navegador preguntará dónde guardar la clave: en Google Password Manager o en una aplicación externa.
A partir de ahí todo depende del sitio, pero el principio general es el mismo: la passkey se crea a través de la interfaz del servicio, no a través de Google. Después la clave estará disponible en la lista de datos guardados, junto a las contraseñas habituales.
Qué hacer si se pierde el acceso
La situación más desagradable es perder el dispositivo que tiene la passkey. Para la cuenta de Google hay solución: en la configuración de seguridad se puede eliminar la clave perdida y crear una nueva en otro dispositivo. Para ello debes entrar en la cuenta mediante métodos de respaldo: contraseña, código de verificación o clave de recuperación. Los servicios externos suelen ofrecer los mismos mecanismos: eliminar la clave antigua y generar una nueva.
Lo principal es no olvidar eliminar la passkey del dispositivo perdido, para que no quede «vinculado» a tu cuenta. De lo contrario, si alguien accede al dispositivo podría confirmar el inicio de sesión en tu nombre.
Passkeys y la realidad sin contraseñas
La idea de Google y de otros gigantes tecnológicos es clara: un mundo sin contraseñas parece mucho más seguro y cómodo. Pero en la práctica vemos un sistema fragmentado, donde cada empresa tira el colchón hacia su lado. Apple restringe el uso de iCloud Keychain, Google juega con su propio gestor y Microsoft, por ahora, no ofrece compatibilidad adecuada.
Mientras las empresas discuten, los gestores externos parecen la opción más pragmática. Permiten almacenar passkeys de forma centralizada y usarlas sin atarse a una plataforma concreta. Esto da al usuario la flexibilidad que tanto falta en el ecosistema actual.
La conclusión es simple: las passkeys son un paso adelante respecto a las contraseñas, pero aún queda lejos la prometida «realidad sin contraseñas». Si quieres probar la tecnología ahora mismo, empieza con Google o Apple. Pero si piensas en estabilidad y comodidad a largo plazo, un gestor de contraseñas externo sigue siendo, por ahora, la mejor opción.
