Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 892

Passkey

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Passkey?

PasskeyCredencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico.

Una passkey es una credencial de clave pública creada y almacenada por un autenticador (smartphone, llave de seguridad o llavero de plataforma) y registrada ante el servicio. Se apoya en dos estándares: la API WebAuthn del W3C (el Nivel 1 pasó a Recomendación el 4 de marzo de 2019, el Nivel 2 el 8 de abril de 2021, y el Nivel 3 está en borrador) y el protocolo CTAP2 de la FIDO Alliance entre cliente y autenticador, comercializados juntos como FIDO2. Para iniciar sesión, el usuario desbloquea el autenticador con biometría o un PIN; el dispositivo firma con la clave privada un desafío de un solo uso enviado por el servidor, y este verifica la firma con la clave pública registrada.

Como la clave privada nunca abandona el elemento seguro y la aserción queda ligada criptográficamente al origen del servicio (el rpId), las passkeys neutralizan la reutilización de contraseñas, el phishing, la repetición y la mayoría de los kits adversary-in-the-middle como Evilginx: el origen firmado no coincide con el dominio del atacante. Apple introdujo las passkeys de consumo en la WWDC 2022; Google las hizo opción predeterminada en 2023 y Microsoft siguió para cuentas de consumo en 2024. Las passkeys sincronizadas (iCloud Keychain, Google Password Manager, 1Password) se recuperan entre dispositivos, mientras que las ligadas al dispositivo en llaves como YubiKey ofrecen la mayor garantía para uso corporativo. El riesgo residual se centra en los mecanismos de recuperación de cuenta y la confianza depositada en los proveedores de sincronización.

flowchart TD
  subgraph R[Registro]
    A[Usuario] -->|desbloqueo biometria/PIN| B[El autenticador genera el par de claves]
    B -->|clave publica + ID de credencial| C[El servicio almacena la clave publica]
  end
  subgraph V[Autenticacion]
    D[El servidor envia un desafio aleatorio] --> E[El autenticador firma el desafio<br/>con la clave privada, ligada al rpId]
    E -->|asercion firmada| F{Firma valida<br/>y origen coincide?}
    F -->|Si| G[Acceso concedido]
    F -->|No| H[Rechazado - phishing/replay bloqueado]
  end

Ejemplos

  1. 01

    Iniciar sesión en Google con la passkey almacenada en iCloud Keychain de un iPhone.

  2. 02

    Una passkey corporativa en una YubiKey usada para autenticarse en Microsoft Entra ID.

Preguntas frecuentes

¿Qué es Passkey?

Credencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Passkey?

Credencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico.

¿Cómo defenderse de Passkey?

Las defensas contra Passkey combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Passkey?

Nombres alternativos comunes: Passkey FIDO, Credencial sincronizada.

Términos relacionados

Véase también