Las passkeys iban a ser el futuro, pero estamos en 2025 y seguimos atrapados en el pasado
Hace más de dos años vimos la llegada de las passkeys con una promesa clara: resolver un problema tan antiguo como es la inseguridad y la molestia de las contraseñas.
Dos años después de que empezase su despliegue, esa promesa sigue incumplida. Lo remarca Ars Technica en un estupendo análisis que prolonga lo que llevamos tiempo contando.
La tecnología en la que se basan es bastante convincente sobre el papel. Usa criptografía de clave pública-privada para autenticar usuarios. Además, una passkey no puede ser robado y es inmune al phishing. El proceso debía ser tan simple como desbloquear un móvil con la huella. Debería ser el futuro.
Pero la implementación es un desastre.
Apple, Google y Microsoft han convertido lo que debería ser un estándar simple en una batalla por el control del usuario. Cada plataforma empuja hacia su propia solución de sincronización. Las interfaces son inconsistentes. La portabilidad entre plataformas es muy complicada. Y los diálogos de la configuración son confusos y repetitivos.
Un usuario de Windows que configure una passkey en Chrome jamás podrá usarla en su iPhone. Alguien que use Firefox en un Mac verá que su passkey está atado a ese navegador concreto. La solución oficial –escanear códigos QR entre dispositivos– es engorrosa y no del todo confiable.
Y la idea con Passkeys era trascender a las contraseñas, pero de momento solo son una alternativa que convive con ellas. Un extra, no un reemplazo. Los métodos de respaldo siguen siendo menos seguros (un SMS, un correo) y por lo tanto sigue habiendo opciones más vulnerables si alguien quiere atacarnos.
Algunos gestores de contraseñas ya ofrecen una solución parcial gracias a que sincronizan passkeys entre plataformas, pero nuevamente, esto nos encadena aún más a las contraseñas. Y pocos usuarios usan un gestor.
Las passkeys siguen siendo una buena apuesta para un futuro sin contraseñas, pero mientras las grandes tecnológicas sigan anteponiendo su competitividad que se traduce en jardines amurallados, no llegará una experiencia de usuario coherente y simple que convenza de verdad. Tecnológicamente es posible, pero requiere de una voluntad real para implementarla.
Mientras tanto, sigo anteponiendo contraseñas tradicionales, distintas para cada sitio, almacenadas en un gestor y con la autenticación en dos pasos activada allá donde esté disponible. Es lo más práctico. Al menos de momento.
Imagen destacada | Google, Xataka
En Xataka | Los mejores generadores de contraseñas gratis, seguros y fáciles de usar