FIDO obligó a Apple a romper su propia "cárcel de claves"

Apple presentó una novedad importante que podría eliminar el principal obstáculo para la adopción masiva de la autenticación sin contraseñas: la imposibilidad de transferir fácilmente las claves passkey entre diferentes sistemas. En la conferencia WWDC, la compañía anunció una función de importación y exportación de claves digitales que estará disponible en futuras versiones de iOS, macOS, iPadOS y visionOS.

El problema era que anteriormente las claves passkey creadas en un dispositivo —por ejemplo, en un Mac— quedaban prácticamente “encerradas” dentro del ecosistema de Apple. Sí, se sincronizaban entre los dispositivos del usuario a través de iCloud, pero transferirlas, por ejemplo, a Windows o a un gestor de contraseñas de terceros (incluso instalado en el mismo Mac), era imposible. Esta limitación generaba muchas quejas, tanto de usuarios como de expertos en seguridad.

Ese carácter cerrado generaba temores de que las grandes empresas tecnológicas simplemente estuvieran utilizando las passkey para reforzar la dependencia de sus plataformas. Además, si un dispositivo con las claves se perdía o destruía, recuperar el acceso a cuentas importantes se volvía complicado. Especialmente en los casos donde no existía una copia de seguridad de las claves.

Ahora Apple afirma que los propietarios de dispositivos no solo podrán mover sus claves digitales entre aplicaciones y sistemas operativos, sino que además lo harán de forma segura. Según se muestra en el video de demostración, el proceso de transferencia de datos se realizará directamente entre aplicaciones compatibles y estará acompañado de autenticación local —por ejemplo, mediante Face ID. Además, no se generarán archivos intermedios como CSV o JSON, como ocurría antes, lo que elimina el riesgo de fugas de datos durante la transferencia.

Este sistema de transferencia fue creado con la participación de miembros de la alianza FIDO —una organización internacional responsable de los estándares de autenticación segura. El nuevo mecanismo no solo admite passkey, sino también contraseñas y códigos de verificación, unificando el formato y las reglas de intercambio entre plataformas.

El problema de la compatibilidad ha estado en la agenda de la alianza FIDO desde hace tiempo, una organización que cuenta con más de 100 empresas, desde desarrolladores de aplicaciones hasta fabricantes de sistemas operativos. Entre los que están trabajando actualmente en la compatibilidad con la nueva función se encuentran Dashlane, 1Password, Bitwarden, Devolutions, NordPass y Okta. Según Android Authority, Google también está trabajando en desarrollos similares: el gestor de contraseñas de la compañía ya incluye herramientas básicas de importación y exportación, aunque aún no en una forma conveniente.

La principal razón por la que la industria quiere dejar atrás las contraseñas es su vulnerabilidad y el alto costo de mantenimiento. Las contraseñas seguras son difíciles de recordar, a menudo se reutilizan y terminan filtrándose en la darknet durante grandes fugas de datos. Además, el phishing y los ataques automatizados hace tiempo que aprendieron a interceptarlas.

A diferencia de las contraseñas, las claves passkey se basan en principios de criptografía asimétrica y en FIDO2: al registrarse en un sitio web, se crea un par de claves —una privada y una pública. La clave privada permanece en el dispositivo del usuario y nunca se transfiere, mientras que la pública se guarda en el servidor. Cuando es necesario iniciar sesión en una cuenta, el servidor envía al dispositivo un “desafío” único que solo se puede resolver con la clave privada. Esto elimina la posibilidad de interceptación, phishing o reutilización de datos robados.

Sin embargo, en la práctica, el uso de passkey hasta ahora se ha visto obstaculizado precisamente por su incomodidad. Muchas aplicaciones y plataformas funcionaban como “islas” separadas, sin permitir al usuario moverse libremente entre ellas. La nueva iniciativa de Apple, aprobada por los miembros de FIDO, es un paso importante hacia un sistema más flexible, abierto y seguro, en el que los datos realmente pertenezcan al usuario y no a la plataforma.