Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Cómo funcionan las passkeys? Guía del flujo de autenticación
Cybersecurity 101/Seguridad de la identidad/¿Cómo funciona una passkey?

¿Cómo funcionan las passkeys? Guía del flujo de autenticación

¿Cómo funciona una passkey? Utiliza criptografía de clave pública FIDO2 para hacer imposible el robo de credenciales. Conozca el flujo de autenticación, las plataformas y las prácticas de implementación.

CS-101_Identity.svg
Tabla de contenidos
¿Qué es una passkey?
Relación de las passkeys con la ciberseguridad
Passkeys vs. Contraseñas
Componentes clave de la autenticación con passkey
Cómo funciona la autenticación con passkey
Registro: creación de una passkey
Autenticación: iniciar sesión con una passkey
Sincronización multiplataforma
Qué servicios y plataformas admiten passkeys
Desafíos en la implementación de passkeys
Mejores prácticas para la implementación empresarial de passkeys
Impulsores de cumplimiento y regulación para la autenticación con passkey
Refuerza la autenticación con passkey con SentinelOne
Puntos clave

Entradas relacionadas

  • ¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migración
  • Contraseña vs Passkey: Diferencias clave y comparación de seguridad
  • ¿Cómo solucionar el error de manipulación de tokens de autenticación?
  • ¿Cómo prevenir el robo de identidad?
Autor: SentinelOne | Revisor: Arijeet Ghatak
Actualizado: March 16, 2026

¿Qué es una passkey?

Las credenciales robadas abrieron la puerta en el 22% de las brechas confirmadas, según el informe Verizon DBIR 2024. El robo de credenciales, especialmente a través de malware infostealer y campañas de phishing, sigue siendo el eslabón débil en la autenticación tradicional basada en contraseñas. Ese patrón se observa en incidentes reales:

  • MGM Resorts (2023): Los atacantes utilizaron una llamada de ingeniería social para obtener credenciales y finalmente interrumpieron las operaciones de hoteles y casinos; MGM informó un impacto de 100 millones de dólares en el EBITDAR ajustado de la propiedad en el trimestre y 10 millones en costos únicos (MGM Resorts 8-K filing).
  • Colonial Pipeline (2021): El DOJ indicó que el incidente se originó a partir de una cuenta comprometida utilizada para acceso remoto, lo que provocó una importante interrupción en el suministro de combustible en la costa este de EE. UU. (DOJ press release).
  • Twilio (2022): Una campaña de phishing capturó credenciales de empleados, permitiendo el acceso a sistemas internos y afectando a clientes aguas abajo (Twilio incident report).

Las passkeys eliminan este modo de fallo mediante autenticación criptográfica vinculada a dominios específicos, haciendo que el robo y reutilización de credenciales sea arquitectónicamente imposible.

Una passkey es una credencial de autenticación criptográfica basada en el protocolo FIDO2. En lugar de un secreto compartido como una contraseña que almacenan tanto tu dispositivo como un servidor, una passkey utiliza criptografía de clave pública-privada asimétrica criptografía. Tu dispositivo genera y almacena una clave privada dentro de hardware seguro, como un Trusted Platform Module (TPM) o enclave seguro. La clave pública correspondiente se envía al servidor. Durante el inicio de sesión, el servidor emite un desafío criptográfico, tu dispositivo lo firma con la clave privada y el servidor verifica la firma usando la clave pública.

La clave privada nunca sale de tu dispositivo. El servidor nunca almacena un secreto reutilizable. No hay nada que se pueda suplantar, reutilizar ni robar de una base de datos comprometida.

Ese diseño tiene implicaciones directas sobre cómo las organizaciones se defienden contra los vectores de ataque más comunes dirigidos a la infraestructura de identidad.

How Do Passkeys Work - Featured Image | SentinelOne

Relación de las passkeys con la ciberseguridad

Las passkeys abordan la categoría dominante de acceso inicial en brechas empresariales: el compromiso de credenciales. El informe Verizon DBIR encontró que las credenciales comprometidas estuvieron involucradas en el 42% de las brechas en general (Verizon 2024 DBIR). Los métodos tradicionales de MFA como códigos SMS y TOTP siguen siendo vulnerables al phishing en tiempo real, donde los atacantes retransmiten los códigos a servicios legítimos antes de que expiren. Las passkeys utilizan vinculación criptográfica de dominio, lo que significa que la credencial solo funciona en el dominio de origen legítimo. Incluso si un usuario interactúa con una página de phishing, la passkey no puede autenticarse contra un dominio suplantado. Para repasar cómo funcionan estos ataques, revisa la guía de ataques de phishing de SentinelOne.

Para los equipos de seguridad que gestionan la infraestructura de identidad, las passkeys cambian la postura defensiva de reducir la probabilidad de robo de credenciales a hacerlo arquitectónicamente imposible. La  visión general de seguridad de identidad de SentinelOne puede ayudarte a mapear el endurecimiento de la autenticación al área más amplia de riesgo de identidad.

Ese contexto permite una comparación directa entre lo que reemplazan las passkeys y lo que ofrecen.

Passkeys vs. Contraseñas

La siguiente tabla resume las diferencias clave entre passkeys y contraseñas en las dimensiones de seguridad y operación que más importan a los defensores.

DimensiónContraseñasPasskeys
Modelo de autenticaciónSecreto compartido almacenado en cliente y servidorPar de claves asimétricas: clave privada en el dispositivo, clave pública en el servidor
Riesgo de phishingAlto: los usuarios pueden ingresar credenciales en dominios falsificadosEliminado: la vinculación criptográfica de dominio impide el uso en orígenes ilegítimos
Exposición ante brecha de servidorLos hashes de contraseñas pueden ser exfiltrados y descifrados fuera de líneaLas claves públicas son inútiles sin la clave privada correspondiente
Reutilización de credencialesComún: el 52% de los adultos reutiliza contraseñas en varias cuentas (Google/Harris Poll)Imposible: cada passkey es única para un solo dominio y cuenta
Requisito de MFASe requiere factor separado (SMS, TOTP, push)Integrado: posesión (dispositivo) más inherencia (biometría) o conocimiento (PIN) en un solo paso
Tasa de éxito de inicio de sesión~63% en promedio con métodos tradicionales93% para inicios de sesión con passkey (FIDO Alliance Passkey Index)
Velocidad de inicio de sesión31,2 segundos en promedio con MFA8,5 segundos en promedio, una reducción del 73% (FIDO Alliance Passkey Index)
Carga en mesa de ayudaLos restablecimientos de contraseñas son uno de los principales impulsores de costos de soporte TILos adoptantes de passkeys reportan un 81% menos de llamadas a mesa de ayuda relacionadas con inicio de sesión (FIDO Alliance Passkey Index)
Modelo de recuperaciónRestablecimiento por correo electrónico o SMS (reintroduce canales susceptibles a phishing)Credenciales sincronizadas mediante gestores de plataforma o passkeys de respaldo pre-registradas

Esa comparación entre passkey y contraseña explica por qué la industria avanza rápidamente. La siguiente sección desglosa los componentes que hacen posible la autenticación con passkey.

Componentes clave de la autenticación con passkey

La autenticación con passkey utiliza una pila en capas de protocolos, hardware y servicios de plataforma que protege tus credenciales en cada etapa. Cada componente cumple un rol específico para mantener las credenciales resistentes al phishing y vinculadas criptográficamente.

  1. Pila de protocolos FIDO2: FIDO2 es el marco general que comprende dos especificaciones principales. WebAuthn, definida por la especificación W3C Web Authentication, es la API orientada al navegador que las partes confiables utilizan para crear y verificar credenciales de clave pública mediante llamadas JavaScript. CTAP (Client to Authenticator Protocol) gestiona la comunicación entre la plataforma cliente y el hardware autenticador a través de USB, NFC o Bluetooth Low Energy (BLE). Juntos, WebAuthn y CTAP conectan tu aplicación, navegador y el hardware seguro que protege tu clave privada.
  2. Tipos de autenticadores: Las especificaciones de autenticadores de FIDO Alliance definen dos categorías. Los autenticadores de plataforma (integrados) se integran directamente en el hardware del dispositivo y almacenan claves privadas en enclaves seguros o TPMs. Los autenticadores roaming (multiplataforma) son dispositivos de hardware externos que operan entre sistemas mediante USB, NFC o BLE y ofrecen el mayor aislamiento porque las claves privadas permanecen dentro de un elemento seguro dedicado. La elección del autenticador determina tu nivel de garantía, plan de recuperación y experiencia de usuario.
  3. Capa de hardware seguro: La seguridad de cada passkey depende del autenticador que protege la clave privada. Las llaves de seguridad de hardware ofrecen la mayor protección mediante elementos seguros dedicados diseñados para resistir ataques de extracción físicos y lógicos.
  4. Atestación: Durante el registro de credenciales, la atestación permite verificar que una passkey fue creada en un modelo de autenticador aprobado (identificado por su AAGUID) que cumple con tus requisitos de seguridad, como almacenamiento de claves respaldado por hardware o certificación FIPS 140-2.

Estas cuatro capas, la pila de protocolos FIDO2, tipos de autenticadores, hardware seguro y atestación, trabajan juntas en cada interacción con passkey. La siguiente sección explica cómo se combinan durante el registro e inicio de sesión.

Cómo funciona la autenticación con passkey

El ciclo de vida de la passkey tiene dos ceremonias: registro (creación de la credencial) y autenticación (demostrar que la posees). Ambas siguen un modelo de desafío-respuesta usando criptografía de clave pública.

Registro: creación de una passkey

  1. El servidor genera un desafío. Cuando inicias la configuración de la passkey, el servidor genera un desafío criptográficamente aleatorio junto con parámetros de registro: el identificador del RP, información del usuario, algoritmos soportados (típicamente ES256) y requisitos del autenticador.
  2. Tu dispositivo crea un par de claves. El cliente llama a credentials. create(challenge). Tu autenticador genera un nuevo par de claves pública-privada dentro del hardware seguro. La clave privada nunca sale de este límite protegido.
  3. La respuesta se envía firmada. Tu dispositivo envía la clave pública, un ID de credencial y el desafío firmado al servidor. La especificación W3C garantiza que el origen completo esté firmado criptográficamente en el objeto de atestación, vinculando la credencial al dominio legítimo.
  4. El servidor verifica y almacena. El servidor confirma el desafío firmado, valida el origen, verifica la atestación (para implementaciones empresariales) y almacena la clave pública y el ID de credencial asociados a tu cuenta.

En este punto, el servidor tiene tu clave pública y el ID de credencial, pero nunca ha visto tu clave privada. Esa asimetría es lo que hace que cada inicio de sesión posterior sea resistente al phishing.

Autenticación: iniciar sesión con una passkey

  1. El servidor emite un nuevo desafío. Cada intento de inicio de sesión produce un nuevo desafío criptográficamente aleatorio, evitando ataques de repetición.
  2. Tu dispositivo firma el desafío. El cliente llama a credentials.get(challenge). Tu autenticador solicita verificación del usuario (escaneo biométrico o PIN del dispositivo), recupera la clave privada, incrementa el contador de firmas y firma los datos del autenticador y el hash de los datos del cliente.
  3. El servidor verifica la firma. Usando tu clave pública almacenada, el servidor verifica la firma, demostrando criptográficamente que posees la clave privada sin que nunca salga de tu dispositivo.

El tráfico interceptado no contiene nada reutilizable porque cada sesión utiliza un desafío único. La clave privada permanece bloqueada en el hardware. Tus datos biométricos nunca llegan al servidor; la verificación ocurre completamente en el dispositivo.

Ambas ceremonias asumen que la passkey reside en el dispositivo que usas en ese momento. En la práctica, los usuarios trabajan en varios dispositivos, lo que plantea la cuestión de cómo se trasladan las passkeys entre ellos.

Sincronización multiplataforma

Las passkeys pueden estar vinculadas al dispositivo o sincronizadas en tu ecosistema de dispositivos.

  • Passkeys sincronizadas se replican mediante gestores de credenciales de la plataforma usando cifrado de extremo a extremo. Según la documentación de iCloud Keychain de Apple, Apple no puede leer el contenido del llavero incluso si la cuenta en la nube se ve comprometida. Sin embargo, NIST SP 800-63B requiere claves privadas no exportables para el cumplimiento AAL3, un requisito que las passkeys sincronizadas no cumplen porque las claves privadas deben salir del dispositivo original para la sincronización.
  • Passkeys vinculadas al dispositivo nunca salen del hardware autenticador y cumplen los requisitos más estrictos, incluido NIST SP 800-63B AAL3. Las passkeys sincronizadas aún califican como autenticadores AAL2 para autenticación resistente al phishing bajo directrices federales.

Una vez que comprendes la decisión entre passkeys vinculadas al dispositivo o sincronizadas, puedes evaluar dónde ya se admiten las passkeys y hacia dónde se dirige la adopción.

Qué servicios y plataformas admiten passkeys

Más de 15 mil millones de cuentas en línea ya admiten autenticación con passkey, y el 48% de los 100 principales sitios web ofrecen passkeys como opción de inicio de sesión (FIDO Alliance). La adopción abarca plataformas de consumo, herramientas empresariales y servicios financieros.

  • Sistemas operativos y navegadores: Apple (iOS, macOS, Safari), Google (Android, Chrome) y Microsoft (Windows, Edge) han integrado completamente el soporte para passkeys. Más del 95% de los dispositivos iOS y Android están listos para passkeys, y Windows está ampliando el soporte de passkeys sincronizadas a través de Windows Hello (Biometric Update). La autenticación entre dispositivos funciona mediante CTAP sobre Bluetooth Low Energy (BLE), permitiendo autenticarte en un portátil usando una passkey almacenada en un teléfono cercano.
  • Plataformas de consumo: Google ha habilitado passkeys para más de 800 millones de cuentas y reporta inicios de sesión cuatro veces más exitosos que con contraseñas. Amazon superó los 175 millones de clientes con passkeys habilitadas. TikTok alcanzó una tasa de éxito del 97% en autenticación con passkeys. Otros servicios de consumo importantes que admiten passkeys incluyen PayPal, eBay, GitHub y Target (FIDO Alliance Passkey Index).
  • Herramientas empresariales y de trabajo: La adopción empresarial está acelerándose. Datos de HID y FIDO Alliance indican que aproximadamente el 87% de las empresas han implementado o están implementando passkeys. Plataformas como Okta, HubSpot y Cisco Duo han lanzado soporte para passkeys, con HubSpot reportando una mejora del 25% en la tasa de éxito de inicio de sesión y logins 4 veces más rápidos en comparación con contraseñas y autenticación de dos factores (Dashlane Passkey Report).
  • Servicios financieros y gobierno: Bancos como American Express, Bank of America y Wells Fargo han comenzado a implementar soporte para passkeys. El exchange de criptomonedas Gemini se convirtió en una de las primeras plataformas importantes en exigir passkeys para todos los usuarios. En el sector público, el servicio MyGov de Australia ha puesto passkeys a disposición de casi 30 millones de personas, y la Unión Europea lanzó su marco Digital Identity Wallet con passkeys como componente central.

El amplio soporte de plataformas significa que la mayoría de las organizaciones pueden comenzar a probar passkeys hoy. Eso no significa que la implementación sea sin fricciones, y la siguiente sección cubre los desafíos operativos que debes planificar.

Desafíos en la implementación de passkeys

Las passkeys resuelven el problema del robo de credenciales, pero introducen desafíos operativos que debes planificar antes de la implementación.

  • El dilema de la seguridad en la recuperación: Si un usuario pierde su único dispositivo con una passkey vinculada al dispositivo y no tiene respaldo registrado, la cuenta se vuelve irrecuperable sin mecanismos alternativos. Los flujos de recuperación tradicionales mediante correo electrónico o SMS reintroducen las mismas vulnerabilidades que las passkeys buscan eliminar.
  • Compatibilidad con sistemas heredados: Las aplicaciones antiguas suelen carecer de soporte FIDO2/WebAuthn. Según el documento de passkeys empresariales de FIDO Alliance, los entornos federados pueden implementar passkeys a nivel del IdP, permitiendo soporte aguas abajo sin modificaciones individuales. Los entornos no federados deben implementar FIDO en cada aplicación individualmente o migrar primero a un modelo federado.
  • Barreras organizacionales y multiplataforma: Aunque los beneficios de seguridad son sólidos, la implementación de passkeys puede estancarse por recursos, propiedad y cambios de procesos. El comportamiento de las passkeys también varía entre plataformas y navegadores, con diferentes flujos de registro y sincronización que complican la capacitación y aumentan la carga de soporte durante el despliegue.

Ninguno de estos desafíos es un bloqueo, pero cada uno requiere una decisión deliberada durante la planificación en lugar de una corrección posterior al lanzamiento. Las siguientes mejores prácticas abordan directamente la recuperación, compatibilidad y fricción en el despliegue.

Mejores prácticas para la implementación empresarial de passkeys

Un despliegue exitoso de passkeys requiere planificación arquitectónica, políticas escalonadas y ejecución por fases.

  • Establece una estrategia de credenciales en dos niveles: Separa tu base de usuarios por perfil de riesgo y requisitos de nivel de garantía. Las cuentas privilegiadas (administradores, finanzas, acceso regulado) que requieren cumplimiento AAL3 deben usar passkeys vinculadas al dispositivo o llaves de seguridad de hardware con claves privadas no exportables. Los usuarios generales pueden usar passkeys sincronizadas (cumpliendo requisitos AAL2 resistentes al phishing) para mejorar la usabilidad y la recuperación respaldada por la plataforma a través de sus gestores de credenciales de dispositivo.
  • Despliega en tres fases: Implementa un despliegue estructurado: comienza con un piloto de 50 a 100 usuarios en aplicaciones de alto valor (correo electrónico, VPN, sistemas de RRHH) para establecer procesos de ciclo de vida y recuperación. Escala a más aplicaciones y segmentos de usuarios mientras formalizas los flujos de aprovisionamiento, revocación y auditoría. Finalmente, haz de las passkeys el método de autenticación predeterminado y mueve el uso de contraseñas a solo emergencias.
  • Federar antes de desplegar: Si tu arquitectura de autenticación no está centralizada mediante un Proveedor de Identidad, resuelve eso primero. Los entornos federados que implementan passkeys a nivel de IdP pueden soportar aplicaciones aguas abajo sin modificaciones individuales. Los entornos no federados enfrentan un camino más intensivo en recursos, requiriendo soporte de passkeys en cada aplicación individualmente.
  • Diseña recuperación resistente al phishing: Elimina gradualmente la recuperación por SMS y correo electrónico en favor de mecanismos de recuperación temporizados y passkeys de respaldo. Los tokens de recuperación deben tener ventanas de expiración de 5 a 15 minutos, vincularse a sesiones de origen y permitir un solo uso. Las passkeys de respaldo registradas en dispositivos secundarios ofrecen la mejor alternativa porque mantienen las propiedades criptográficas de la autenticación primaria.
  • Requiere atestación para registros empresariales: Implementa filtrado de atestación basado en AAGUID para asegurar que solo modelos de autenticadores aprobados puedan registrar credenciales. Esto evita que los usuarios registren passkeys en autenticadores que no cumplen tus requisitos de seguridad de hardware.
  • Invierte en capacitación dirigida: Los programas de capacitación deben cubrir el registro de passkeys en diferentes tipos de dispositivos, procedimientos de recuperación por pérdida de dispositivos, uso de autenticación alternativa y la justificación de seguridad detrás de los cambios de política. Las inconsistencias multiplataforma hacen que la capacitación práctica sea más efectiva que la documentación sola.
  • Implementa registros de auditoría desde el primer día: Rastrea cada evento de registro, intento de autenticación, acción de recuperación y revocación de credenciales en tu SIEM. Integra eventos del ciclo de vida de passkeys para mantener trazabilidad de auditoría que respalde los objetivos de control ISO 27001 y los requisitos de seguridad de acceso lógico SOC 2 CC6. Las guías de SIEM y XDR de SentinelOne pueden ayudarte a alinear la telemetría de identidad con señales de endpoint y nube.

Estos cimientos operativos te preparan para traducir las passkeys en controles listos para auditoría, donde entran en juego las expectativas de cumplimiento y reguladores.

Impulsores de cumplimiento y regulación para la autenticación con passkey

La presión regulatoria está acelerando la adopción de passkeys. CISA insta a todas las empresas a implementar MFA resistente al phishing para correo electrónico, VPNs y sistemas críticos. CISA y NIST también han publicado un informe interinstitucional preliminar sobre la protección de tokens de autenticación contra manipulación, robo y ataques de repetición. NIST SP 800-63B establece que AAL2 requiere una opción resistente al phishing, mientras que AAL3 exige un autenticador resistente al phishing con clave privada no exportable.

Para alinear las passkeys con auditorías, normalmente necesitas demostrar tres cosas:

  • Mapeo de controles: Documenta cómo las passkeys cumplen o superan los objetivos de control de acceso existentes (por ejemplo, requisitos de control de acceso del Anexo A de ISO 27001).
  • Evaluación de riesgos: Identifica los riesgos que introduces (pérdida de dispositivo, dependencia de proveedor, complejidad de recuperación, ataques de degradación) y tus controles compensatorios.
  • Evidencia y cumplimiento: Mantén documentación de implementación, demuestra la aplicación de políticas y conserva registros de auditoría de eventos de autenticación y recuperación.

Empaquetar estos elementos te permite posicionar las passkeys como una mejora de seguridad y un conjunto de controles aptos para auditoría. Sin embargo, la autenticación es solo una capa de la superficie de ataque de identidad, y las herramientas que implementes alrededor de las passkeys determinan la rapidez con la que detectas y respondes cuando las amenazas van más allá del inicio de sesión.

Refuerza la autenticación con passkey con SentinelOne

Las passkeys eliminan los ataques basados en credenciales en la capa de autenticación, pero la seguridad de identidad va más allá del inicio de sesión. El robo de tokens de sesión, el movimiento lateral y la persistencia basada en identidad operan después de la autenticación. Singularity Identity correlaciona la actividad de endpoint e identidad para una detección basada en contexto y una respuesta más rápida cuando las passkeys son solo parte de la historia. Refuerza Active Directory y proveedores de identidad en la nube como SecureAuth, Ping, Duo, Entra ID y Okta, despliega técnicas de engaño para atrapar intrusos temprano y detecta robo de credenciales y escalamiento de privilegios en tiempo real.

Purple AI acelera la investigación de alertas relacionadas con identidad traduciendo consultas en lenguaje natural en búsquedas entre dominios. Las organizaciones que usan Purple AI reportan hasta un 55% de remediación de amenazas más rápida y una reducción del 40-50% en el tiempo de investigación (IDC research).

SentinelOne generó un 88% menos de alertas que la mediana de todos los proveedores en las evaluaciones independientes MITRE ATT&CK 2024 (MITRE ATT&CK Evaluations results), ayudando a tu equipo a dedicar tiempo a incidentes reales en lugar de al volumen de alertas.

Cuando centralizas la telemetría de passkey, endpoint e identidad, Singularity AI SIEM te ofrece un solo lugar para almacenar eventos de seguridad normalizados para una búsqueda y análisis forense más rápidos. El  hub de ciberseguridad 101 de SentinelOne proporciona conceptos de apoyo para manuales internos. Solicita una demostración de SentinelOne para ver cómo la telemetría de identidad, endpoint y nube se integran en una sola plataforma.

Reduzca el riesgo de identidad en toda su organización

Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.

Demostración

Puntos clave

En esencia, ¿qué es una passkey? Es una credencial criptográfica que reemplaza los secretos compartidos por criptografía asimétrica, eliminando el riesgo de robo de credenciales detrás del 22% de las brechas (Verizon 2024 DBIR). La implementación empresarial requiere una estrategia de credenciales en dos niveles: passkeys vinculadas al dispositivo para cuentas privilegiadas con cumplimiento AAL3 y passkeys sincronizadas para la fuerza laboral general. 

Construye flujos de recuperación resistentes al phishing, federar tu arquitectura de autenticación y despliega por fases. Los mandatos regulatorios de CISA y NIST están acelerando la adopción.

Preguntas frecuentes

Una passkey es una credencial de autenticación criptográfica basada en el protocolo FIDO2 que reemplaza las contraseñas mediante criptografía de clave pública-privada asimétrica. Su dispositivo genera y almacena una clave privada dentro de hardware seguro, mientras que la clave pública se envía al servidor. 

Durante el inicio de sesión, el servidor emite un desafío, su dispositivo lo firma con la clave privada y el servidor verifica la firma. La clave privada nunca sale de su dispositivo, lo que hace que el robo de credenciales y el phishing sean arquitectónicamente imposibles.

La diferencia entre passkey y contraseña radica en la arquitectura. Una contraseña es un secreto compartido almacenado tanto en su dispositivo como en el servidor. Si el servidor se ve comprometido, la contraseña queda expuesta. Una passkey utiliza criptografía asimétrica: su clave privada permanece en el hardware del dispositivo y el servidor solo almacena la clave pública. 

Incluso una vulneración completa del servidor no expone una credencial utilizable. Las passkeys también se vinculan criptográficamente al dominio legítimo, haciendo imposible el phishing.

Las passkeys son resistentes al phishing porque WebAuthn firma datos que incluyen el origen legítimo del sitio web (el ID de la parte confiable y la vinculación de origen). Si accede a un dominio similar, el navegador y el autenticador no liberarán una aserción válida para ese origen, por lo que el inicio de sesión falla incluso si lo aprueba. 

Si un atacante intercepta el tráfico, solo obtiene una respuesta de desafío firmada de un solo uso vinculada a esa sesión. No puede reutilizarla porque el desafío es único

Con las claves de acceso sincronizadas, tus credenciales se replican en todo tu ecosistema de dispositivos a través de servicios como iCloud Keychain, lo que permite la recuperación si pierdes un dispositivo. Con las claves de acceso vinculadas al dispositivo, tu clave privada nunca sale del dispositivo original, por lo que necesitas una clave de acceso de respaldo pre-registrada en un dispositivo separado o una llave de hardware. 

Los entornos empresariales deben implementar flujos de recuperación administrativa con tokens de tiempo limitado y verificación de identidad en lugar de depender de la recuperación por correo electrónico o SMS.

Las passkeys sincronizadas cumplen con los requisitos NIST AAL2 y califican como autenticadores resistentes al phishing. Las passkeys vinculadas a dispositivos en llaves de seguridad de hardware cumplen con los requisitos NIST AAL3. 

Las organizaciones deben realizar evaluaciones de riesgos que vinculen los controles de passkey con sus marcos de cumplimiento específicos, incluyendo SOC 2 Common Criteria 6 y los objetivos de control de acceso de ISO 27001, con el registro de auditoría adecuado y procedimientos documentados.

Cada plataforma principal proporciona su propio gestor de credenciales para almacenar passkeys. Las passkeys sincronizadas se replican dentro de un ecosistema mediante cifrado de extremo a extremo. La autenticación entre dispositivos utiliza CTAP sobre Bluetooth Low Energy (BLE), lo que permite autenticarse en un portátil usando una passkey almacenada en un teléfono cercano. 

El soporte de navegador para WebAuthn está ampliamente disponible, por lo que los despliegues suelen centrarse más en la formación de usuarios y el diseño de recuperación que en la habilitación del navegador.

Descubre más sobre Seguridad de la identidad

Mejores prácticas de seguridad para el acceso remoto: Guía completaSeguridad de la identidad

Mejores prácticas de seguridad para el acceso remoto: Guía completa

Guía práctica de seguridad para el acceso remoto que abarca el fortalecimiento de VPN, SSH y RDP; implementación de zero trust; y monitoreo de sesiones para detener ataques basados en credenciales.

Seguir leyendo
¿Qué es la autenticación sin contraseña? Fundamentos explicadosSeguridad de la identidad

¿Qué es la autenticación sin contraseña? Fundamentos explicados

La autenticación sin contraseña utiliza claves criptográficas FIDO2 en lugar de contraseñas. Conozca los tipos, beneficios, desafíos y mejores prácticas de implementación empresarial.

Seguir leyendo
¿Qué es el RBAC (control de acceso basado en roles)?Seguridad de la identidad

¿Qué es el RBAC (control de acceso basado en roles)?

El control de acceso basado en roles (RBAC) mejora la seguridad al limitar el acceso. Descubra cómo implementar el RBAC de forma eficaz en su organización.

Seguir leyendo
¿Qué es la gestión de la seguridad de la identidad (ISPM)?Seguridad de la identidad

¿Qué es la gestión de la seguridad de la identidad (ISPM)?

La gestión de la postura de seguridad de la identidad (ISPM) ayuda a hacer frente a las crecientes amenazas cibernéticas relacionadas con la identidad mediante la gestión eficaz de las identidades digitales. Descubra cómo la ISPM refuerza la postura de seguridad.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español