El National Cyber Security Centre (NCSC) del Reino Unido, el organismo de ciberseguridad dependiente de GCHQ, ha formalizado este 24 de abril un cambio en su doctrina oficial: recomienda usar passkeys en lugar de contraseñas siempre que sea posible. Jonathan Ellison, director de resiliencia nacional del NCSC, describe la decisión como «revisar décadas de práctica de seguridad» para señalar ahora las passkeys como la opción más segura disponible. Liv McMahon lo cubre en BBC News. El organismo lleva años alertando contra el uso de contraseñas triviales como «123456» o nombres de mascotas, y contra la reutilización de la misma contraseña en múltiples sitios. En un contexto donde las brechas de datos siguen creciendo, la declaración es una señal regulatoria fuerte dirigida tanto a ciudadanos como a empresas británicas.
La definición técnica que maneja el NCSC es precisa: una passkey es una pieza de información digital vinculada a la cuenta del usuario, única para cada sitio o app, y basada en criptografía de clave pública. En lugar de memorizar una combinación de letras, números y símbolos, el dispositivo genera un par criptográfico: una parte se queda en el dispositivo del usuario (Face ID, Touch ID, PIN) y la otra en el servidor del servicio. Cuando el usuario inicia sesión, no intercambia secreto alguno; solo confirma que ha completado la comprobación biométrica o el PIN. Daniel Card, del BCS Chartered Institute for IT, lo explica con una metáfora útil: «en lugar de crear y recordar un secreto compartido, como una contraseña, tu dispositivo genera un par de claves seguras: una parte se queda en tu dispositivo y la otra se sitúa en el servicio al que te conectas».
Lo que dice el NCSC y por qué importa ahora
El matiz crítico es que el NCSC no recomendaba el cambio hasta hoy. Según el propio organismo, hasta ahora había «dificultades de implementación» como la adopción lenta y el soporte irregular. El cambio de postura refleja que esas barreras están desapareciendo: Apple, Google, X, Microsoft, PayPal, WhatsApp, GitHub, Amazon y muchos otros ya soportan passkeys, y según la FIDO Alliance la tecnología está respaldada por todos los principales sistemas operativos, navegadores y proveedores de terceros. El gobierno británico las ha adoptado en sus servicios digitales durante el año pasado, lo que Niall McConachie, director regional de Yubico, interpreta como «no es una tendencia de nicho». Las passkeys ya tienen años de recorrido en el ecosistema tecnológico, con implementaciones masivas en Google y Apple desde 2023 y adopción creciente en Facebook, Microsoft y todos los grandes servicios consumer, pero 2026 es el año en el que por primera vez un organismo regulador nacional las recomienda por defecto.
Cómo funcionan y qué las hace resistentes al phishing
El mecanismo se apoya en algo que ya está en tu dispositivo: los sensores biométricos (Face ID, Touch ID, Face Unlock) o el PIN de desbloqueo. Cuando la web te pide iniciar sesión, el dispositivo realiza la verificación biométrica localmente y firma la solicitud con la clave privada que nunca sale de él. McConachie lo resume con la fortaleza técnica clave: «estas claves de seguridad físicas son totalmente resistentes a intentos de phishing y no pueden ser interceptadas ni robadas por atacantes remotos». Esto es especialmente relevante frente a la autenticación por SMS, vulnerable al SIM swapping (duplicado fraudulento de tarjeta SIM) y al phishing en tiempo real (el atacante pide el código al usuario y lo usa al instante).
La resistencia al phishing viene de otro detalle técnico: cada passkey está vinculada criptográficamente al dominio del sitio donde se registró. Si un atacante crea una web falsa que imita tu banco, tu dispositivo simplemente no presentará la passkey, porque el dominio no coincide. Con una contraseña tradicional, el usuario puede ser engañado para introducirla en el sitio falso. Con passkey, la comprobación técnica se interpone antes de que el error humano sea posible.
El «no es una bala de plata» que Daniel Card repite
Card insiste en que las passkeys «no son la bala de plata», y el NCSC lo refleja con honestidad. Los puntos débiles reales son dos. Primero, perder el dispositivo o el acceso a él puede complicar la configuración. Si toda la vida digital depende de un móvil y ese móvil se pierde sin copia de seguridad sincronizada en la nube del sistema, recuperar acceso puede ser laborioso. Segundo, no todos los servicios soportan passkeys aún. Muchas webs siguen funcionando solo con contraseñas tradicionales, y en esos casos el NCSC sigue recomendando gestores de contraseñas y autenticación multifactor. Para cubrir el hueco que las passkeys todavía no pueden llenar, el uso de un gestor de contraseñas decente como Bitwarden o 1Password sigue siendo la recomendación práctica número uno en seguridad digital cotidiana.
El paso completo de contraseñas a passkeys no ocurrirá en un año ni en cinco. Es una migración progresiva donde cada servicio que añade soporte elimina una fricción. La recomendación del NCSC acelera ese paso desde el lado regulatorio: las empresas británicas que no soporten passkeys a medio plazo pueden enfrentarse a presión institucional, tanto por parte de clientes como de reguladores sectoriales. La guía específica de seguridad en cuentas Google, por ejemplo, coloca las passkeys como método principal y una YubiKey como respaldo físico, un patrón de configuración sólido que se va extendiendo a otros ecosistemas.
Mi valoración
La importancia del anuncio está menos en lo técnico y más en lo institucional. El NCSC es probablemente la agencia de ciberseguridad más respetada del mundo angloparlante después de NSA/CISA; su doctrina la adoptan de hecho gobiernos aliados, grandes empresas y organismos internacionales. Cuando el NCSC firma que es hora de abandonar las contraseñas, se convierte en cobertura regulatoria para cualquier CISO que lleve años queriendo migrar a passkeys y encontrándose resistencia del consejo. La pregunta ya no es «¿es seguro?»; la respuesta oficial es sí. La pregunta pasa a ser «¿por qué seguimos con contraseñas?», que es una conversación mucho más incómoda internamente. Para el usuario común, la recomendación práctica es simple: allí donde el servicio ofrezca passkey, actívala y configúrala. Google, Apple, Microsoft, Amazon, PayPal, WhatsApp, GitHub, Facebook, todas las grandes plataformas ya las soportan. La ventaja en seguridad es real (resistencia al phishing, imposibilidad de fugas por brecha en el servidor porque la clave privada no sale nunca del dispositivo) y la ventaja en usabilidad también es real (no recordar contraseñas, no escribirlas, autenticarte con un toque). El único riesgo serio es el de perder el dispositivo sin copia de seguridad, y para eso la configuración correcta incluye un método de recuperación (llave física como YubiKey, passkey en múltiples dispositivos, backup en la nube del ecosistema). La tentación de quedarse con las contraseñas porque «funcionan» ignora la realidad documentada: las credenciales comprometidas siguen siendo la causa de la mayoría de brechas significativas. Si existe una herramienta técnica que elimina esa clase de ataque de raíz, la resistencia al cambio es la decisión que hay que justificar, no el cambio mismo. El NCSC lo dice. La pregunta es cuánto tarda el resto del mundo en leer el memo.
Preguntas frecuentes
¿Puedo usar una passkey en varios dispositivos? Sí, en la mayoría de ecosistemas. Apple sincroniza passkeys vía iCloud Keychain, Google vía Google Password Manager, Microsoft vía Windows Hello con sincronización entre dispositivos. Además, gestores como 1Password o Bitwarden permiten almacenarlas y compartirlas entre plataformas.
¿Qué pasa si pierdo el móvil? Si tienes la passkey sincronizada con la nube del ecosistema (iCloud, Google, Microsoft) o guardada en un gestor, recuperas acceso al instalar sesión en un dispositivo nuevo. Si no hay sincronización y era la única copia, hay que recurrir a los métodos de recuperación del servicio (email de respaldo, número de teléfono, preguntas de seguridad), igual que con una contraseña perdida.
¿Siguen sirviendo las contraseñas? Sí, en los servicios que no soportan passkeys todavía. El NCSC no pide desactivar contraseñas donde siguen siendo la única opción; pide sustituirlas por passkeys donde el servicio las ofrezca.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario