Desaparecen las contraseñas en Gmail y llega el método passkeys: qué es y cómo se usa

Desde su aparición, las contraseñas han sido la llave de acceso a nuestras cuentas en línea. Sin embargo, también se han convertido en un punto débil ya que son robadas, adivinadas o reutilizadas en múltiples plataformas, facilitando ataques de phishing y filtraciones masivas de datos.

Ante esta creciente amenaza, Google ha decidido dar un paso adelante en ciberseguridad con la implementación de passkeys, un sistema de autenticación que promete hacer obsoletas las contraseñas tradicionales.

Este nuevo método, basado en autenticación biométrica y claves criptográficas, busca ofrecer una experiencia de inicio de sesión más segura y sencilla en servicios como Gmail, YouTube y Google Maps.

Qué son las passkeys y por qué Google las está implementando

Las passkeys son un sistema de inicio de sesión sin contraseña basado en tecnología criptográfica avanzada. En lugar de ingresar una clave alfanumérica que puede ser robada o filtrada, el usuario autoriza el acceso mediante su huella digital, reconocimiento facial o PIN de desbloqueo del dispositivo.

Este sistema genera una clave privada en el dispositivo del usuario que se sincroniza de forma segura entre distintos equipos, permitiendo el acceso sin necesidad de recordar contraseñas. De acuerdo con Google, este método reduce el riesgo de phishing, ya que no existe una clave que pueda ser interceptada por ciberdelincuentes.

Las passkeys no son una iniciativa exclusiva de Google. En 2022, la compañía se unió a Apple, Microsoft y la FIDO Alliance para desarrollar este estándar de autenticación. Desde entonces, grandes empresas como eBay, Uber y WhatsApp han comenzado a adoptar esta tecnología como alternativa más segura y eficiente.

Cómo funcionan las passkeys en Google

Cuando un usuario intenta iniciar sesión en su cuenta de Google con una passkey, el sistema solicitará una verificación a través de un dispositivo de confianza. Esto puede ser un teléfono, una tableta o una computadora con identificación biométrica activada.

Por ejemplo, si quieres acceder a Gmail desde una computadora, en lugar de escribir una contraseña, recibirás una solicitud de autenticación en tu teléfono. Con solo escáner tu huella digital o usar reconocimiento facial, podrás ingresar sin necesidad de recordar códigos.

Además, las passkeys se sincronizan entre dispositivos a través de Google Password Manager, iCloud Keychain en Apple o cualquier administrador de contraseñas compatible con la tecnología FIDO2. Esto significa que, si cambias de dispositivo, no perderás el acceso a tus cuentas.

Qué pasará con la verificación en dos pasos

Además de las passkeys, Google está trabajando en un nuevo método de autenticación basado en códigos QR. Hasta ahora, muchos usuarios recibían códigos de verificación por SMS, pero esta opción se ha vuelto vulnerable a ataques como el SIM swapping, donde los delincuentes clonan la tarjeta SIM de la víctima para recibir sus mensajes.

Con el nuevo sistema, al iniciar sesión en un dispositivo desconocido, en lugar de recibir un código por SMS, aparecerá un código QR en la pantalla. El usuario solo deberá escanearlo con su teléfono para verificar su identidad y acceder a la cuenta.

Este método elimina la dependencia de los operadores telefónicos y refuerza la seguridad, evitando que los atacantes intercepten códigos de acceso mediante técnicas de ingeniería social.

¿Las contraseñas desaparecerán por completo?

Christian Brand, responsable de identidad y seguridad en Google, ha declarado que la empresa quiere que las contraseñas sean cada vez menos comunes y eventualmente obsoletas. Sin embargo, el proceso de adopción tomará tiempo, ya que muchos servicios aún dependen de métodos tradicionales de autenticación.

Por ahora, los usuarios pueden seguir usando contraseñas si lo prefieren, pero Google está incentivando la migración hacia passkeys como método principal de acceso, aunque este proceso será paulatino hasta que finalmente elijan al rostro y la huella como método principal de seguridad en la red.