Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Contraseña vs Passkey: Diferencias clave y comparación de seguridad
Cybersecurity 101/Seguridad de la identidad/Contraseña vs Passkey

Contraseña vs Passkey: Diferencias clave y comparación de seguridad

Contraseña vs Passkey: Las contraseñas utilizan secretos compartidos vulnerables a phishing y brechas, mientras que los passkeys emplean criptografía FIDO2, manteniendo las claves privadas seguras en tu dispositivo.

CS-101_Identity.svg
Tabla de contenidos
¿Qué son las contraseñas y las passkeys?
Relación entre contraseñas, passkeys y la ciberseguridad
Contraseña vs Passkey de un vistazo
Vulnerabilidades de seguridad: vectores de ataque a contraseñas
Arquitectura criptográfica de las passkeys
Experiencia de usuario: inicio de sesión con contraseña vs passkey
Soporte de plataforma y ecosistema
Limitaciones y compensaciones de las passkeys
Despliegue empresarial de contraseñas vs passkeys
Cumplimiento y alineación con Zero Trust
Conclusiones clave

Entradas relacionadas

  • ¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migración
  • ¿Cómo solucionar el error de manipulación de tokens de autenticación?
  • Mejores prácticas de seguridad para el acceso remoto: Guía completa
  • ¿Qué es la autenticación sin contraseña? Fundamentos explicados
Autor: SentinelOne | Revisor: Jeremy Goldstein
Actualizado: April 9, 2026

¿Qué son las contraseñas y las passkeys?

Considere este escenario: a las 2:14 AM, su analista SOC revisa los registros de autenticación y observa cientos de intentos fallidos de inicio de sesión en la última hora. A las 2:31 AM, uno tiene éxito utilizando credenciales robadas de una brecha anterior, y su stack de seguridad nunca lo detectó.

Esta es la diferencia fundamental entre contraseñas y passkeys. Las contraseñas operan bajo un modelo de secreto compartido donde la misma credencial existe tanto en su dispositivo como en el servidor. Cuando los atacantes vulneran ese servidor o hacen phishing de esa credencial, tienen todo lo necesario para autenticarse. Las passkeys eliminan esta vulnerabilidad mediante criptografía asimétrica. Las claves privadas nunca salen de su dispositivo, y las claves públicas almacenadas en los servidores son criptográficamente inútiles para los atacantes.

Según el DBIR 2025 que analiza 22,052 incidentes de seguridad, el 88% de las brechas involucraron credenciales robadas. Las contraseñas crean una vulnerabilidad sistémica independientemente de los requisitos de complejidad, políticas de rotación o capacitación de usuarios.

Las passkeys implementan la arquitectura del protocolo FIDO2 a través de dos estándares complementarios: la especificación W3C Web Authentication (WebAuthn) para la gestión de credenciales en navegadores y plataformas, y el FIDO Alliance CTAP2 (Client to Authenticator Protocol) para la comunicación entre aplicaciones y autenticadores. Juntos, estos protocolos reemplazan la transmisión de contraseñas por autenticación criptográfica de desafío-respuesta vinculada a dominios específicos.

Cuando registra una passkey, su autenticador genera un par de claves pública-privada único para esa cuenta específica. La clave privada permanece protegida en el módulo de seguridad de hardware o enclave seguro de su dispositivo y nunca se transmite por la red. Solo la clave pública se registra en el servidor. Durante la autenticación, el servidor envía un desafío criptográfico que su dispositivo firma con la clave privada, demostrando su posesión sin exponer nunca la clave en sí.

Estas diferencias arquitectónicas determinan directamente qué ataques tienen éxito y cuáles fracasan contra su infraestructura.

Relación entre contraseñas, passkeys y la ciberseguridad

Las passkeys abordan las debilidades de autenticación que impulsan la mayoría de las brechas. La Publicación Especial 800-63B de NIST exige autenticación resistente al phishing para AAL2 y la hace obligatoria para AAL3, y CISA CPG 2.0 recomienda explícitamente las passkeys como método resistente al phishing. Las contraseñas no pueden cumplir ninguno de estos requisitos, sin importar su longitud, complejidad o frecuencia de rotación.

Los datos lo demuestran. Según la investigación DBIR 2025, los ataques de credential stuffing representaron el 44% de todo el tráfico de autenticación en días pico de ataque, y el 80% de las cuentas comprometidas tenían exposición previa de credenciales en otros servicios. El ransomware apareció en el 44% de las brechas, siendo la reutilización de contraseñas el punto inicial de acceso. El ataque a Colonial Pipeline en 2021 ilustra esto claramente; los atacantes usaron una sola contraseña de VPN comprometida para acceder a la red, resultando en pagos de rescate por $4.4 millones según divulgaciones del DOJ.

Las passkeys eliminan estas rutas de ataque. Según la FIDO Alliance, el diseño de las passkeys hace que las credenciales sean resistentes al phishing, credential stuffing y brechas de datos a gran escala porque las claves públicas almacenadas en los servidores no tienen valor de autenticación sin las claves privadas en los dispositivos de los usuarios.

Antes de examinar en detalle vectores de ataque específicos, la siguiente tabla muestra cómo se comparan contraseñas y passkeys en los aspectos que más importan a los equipos de seguridad.

Contraseña vs Passkey de un vistazo

Las diferencias entre contraseñas y passkeys abarcan arquitectura de seguridad, experiencia de usuario, preparación para el cumplimiento y soporte del ecosistema. Esta comparación se basa en investigaciones de FIDO Alliance, estándares NIST y datos de Verizon DBIR para cuantificar cada dimensión.

CaracterísticaContraseñaPasskey
Modelo de autenticaciónSecreto compartido (el servidor almacena la credencial)Criptografía asimétrica (el servidor almacena solo la clave pública)
Resistencia al phishingNinguna; las credenciales se transmiten a cualquier dominioLa vinculación criptográfica al dominio bloquea sitios de phishing
Riesgo de credential stuffingAlto; las credenciales reutilizadas funcionan en varios serviciosNinguno; cada credencial es única por servicio
Tasa de éxito de inicio de sesión63% en promedio (FIDO Alliance Passkey Index)93% en promedio (FIDO Alliance Passkey Index)
Velocidad de inicio de sesión~27.5 segundos en promedio~13.6 segundos en promedio (FIDO Alliance Passkey Index)
Acción requerida del usuarioRecordar y escribir la contraseña, luego completar MFAEscaneo biométrico o PIN del dispositivo
Impacto de una brecha en el servidorContraseñas hasheadas expuestas a ataques offlineLas claves públicas son inútiles criptográficamente sin las privadas
Método de recuperaciónRestablecimiento de contraseña por correo electrónicoPasskeys sincronizadas, autenticadores de respaldo o recuperación por administrador
Cumplimiento (NIST AAL2/AAL3)No cumple requisitos de resistencia al phishingCumple requisitos de resistencia al phishing
Soporte de plataformaUniversalEcosistemas Apple, Google, Microsoft; 48% de los 100 sitios principales

Las siguientes secciones examinan cada una de estas dimensiones en profundidad, comenzando por las vulnerabilidades específicas de las contraseñas que las passkeys están diseñadas para eliminar.

Vulnerabilidades de seguridad: vectores de ataque a contraseñas

Las contraseñas crean cuatro debilidades principales que afectan directamente su postura de seguridad: vulnerabilidad al phishing, exposición a credential stuffing, interceptación man-in-the-middle y el impacto de brechas en bases de datos. NIST SP 800-63B confirma que la arquitectura criptográfica asimétrica de FIDO2/WebAuthn permite autenticación resistente al phishing que las contraseñas no pueden lograr, sin importar los requisitos de complejidad.

  • Los ataques de phishing siguen siendo efectivos contra la autenticación basada en contraseñas. Según la investigación resumida en el DBIR 2025 de Verizon, los usuarios continúan haciendo clic en ejercicios simulados de phishing incluso después de sesiones de capacitación. Cuando los usuarios ingresan contraseñas en dominios controlados por atacantes, esas credenciales se transmiten en claro a los adversarios, quienes las prueban inmediatamente en sus servicios reales. La brecha de MGM Resorts en 2023 lo demuestra claramente; los atacantes usaron ingeniería social para eludir MFA, resultando en aproximadamente $100 millones en daños según informes de la SEC.
  • El credential stuffing explota la reutilización de contraseñas a gran escala. El Data Breach Investigations Report 2025 de Verizon confirma que el 80% de las cuentas comprometidas tenían exposición previa de credenciales en otros servicios. Los usuarios suelen reutilizar credenciales en servicios de consumo, plataformas profesionales y aplicaciones empresariales. Cuando cualquier servicio de consumo sufre una brecha, los atacantes prueban inmediatamente esas credenciales en los endpoints de autenticación empresariales.
  • Los ataques man-in-the-middle interceptan la transmisión de contraseñas. MITM posicionan a los atacantes entre usuarios y servidores, usando técnicas como certificados SSL falsos para interceptar datos en tránsito. La autenticación basada en contraseñas requiere transmitir un secreto que prueba la identidad, y esa transmisión crea vulnerabilidad independientemente del cifrado de transporte.
  • Las brechas de datos exponen contraseñas almacenadas a pesar del hashing. Su base de datos de autenticación contiene hashes de contraseñas, no contraseñas en texto claro. Esta protección retrasa el compromiso de credenciales pero no lo previene. Los atacantes con acceso a la base de datos ejecutan ataques de fuerza bruta offline contra los hashes sin activar políticas de bloqueo de cuentas o limitación de intentos. Cuando su base de datos es vulnerada, cada contraseña requiere restablecimiento inmediato en toda su base de usuarios.

Las passkeys eliminan estas vulnerabilidades mediante una arquitectura criptográfica que hace ineficaz el robo de credenciales.

Arquitectura criptográfica de las passkeys

Las garantías de seguridad que ofrecen las passkeys se deben a cómo funciona la criptografía subyacente. A diferencia de las contraseñas, que dependen del secreto de un valor compartido, las passkeys utilizan criptografía de clave pública donde la prueba de autenticación y el secreto de autenticación son objetos fundamentalmente diferentes.

Durante la autenticación, su servidor envía un desafío criptográfico al autenticador del usuario a través de la API WebAuthn. El autenticador firma este desafío usando la clave privada almacenada en el dispositivo, y la aserción firmada regresa a su servidor a través del navegador. Su servidor verifica la firma digital usando la clave pública registrada previamente. Este proceso de desafío-respuesta prueba que el usuario posee la clave privada sin exponerla nunca.

La vinculación al dominio proporciona resistencia al phishing. WebAuthn vincula criptográficamente la autenticación al dominio de origen específico donde se realizó el registro. Cuando los usuarios visitan sitios de phishing que imitan su dominio, la implementación de WebAuthn en el navegador bloquea que las respuestas de autenticación lleguen al origen incorrecto. Esta protección opera a nivel de protocolo, no depende del juicio del usuario. Los sitios de phishing no pueden recibir respuestas de autenticación válidas para su dominio, incluso si los usuarios son completamente engañados por la similitud visual.

Los algoritmos criptográficos cumplen con las especificaciones NIST para implementaciones gubernamentales y empresariales. Los algoritmos soportados incluyen:

  • Variantes de ECDSA, RSA y EdDSA para operaciones de firma
  • FIPS 202 (SHA-3) para hashing
  • SP 800-108 para derivación de claves
  • SP 800-90a para generación de números aleatorios

Estos están definidos en la Lista de Criptografía Permitida de FIDO Authenticator, que hace referencia explícita a los estándares NIST. Las credenciales descubribles basadas en esta arquitectura permiten autenticación sin contraseña donde los usuarios no necesitan recordar nombres de usuario, y la integración de autocompletado del navegador agiliza la experiencia de inicio de sesión.

Esta base criptográfica se traduce en diferencias tangibles en cómo se perciben contraseñas y passkeys en el uso diario.

Experiencia de usuario: inicio de sesión con contraseña vs passkey

La autenticación por contraseña requiere que los usuarios recuerden credenciales únicas para cada servicio, las escriban correctamente y completen pasos adicionales de MFA como ingresar códigos SMS o aprobar notificaciones push. Este proceso de varios pasos genera fricción medible. Según el FIDO Alliance Passkey Index, los inicios de sesión con contraseña tienen una tasa de éxito promedio del 63%, lo que significa que más de uno de cada tres intentos falla por credenciales olvidadas, errores tipográficos o tokens MFA expirados.

La autenticación con passkey reduce el inicio de sesión a un solo paso. Los usuarios se autentican mediante biometría (Face ID, huella digital o Windows Hello) o un PIN del dispositivo. La investigación del FIDO Alliance World Passkey Day encontró que las passkeys logran una tasa de éxito del 93% y un promedio de 13.6 segundos por inicio de sesión, frente a 27.5 segundos para las contraseñas. No hay nada que recordar, nada que escribir y nada que interceptar. Los datos biométricos permanecen en el dispositivo y nunca se transmiten al servidor, preservando tanto la seguridad como la privacidad.

Para las organizaciones, esta mejora en la experiencia de usuario se traduce directamente en ahorros operativos. Los participantes del FIDO Alliance Passkey Index reportaron una reducción del 81% en llamadas al help desk relacionadas con inicios de sesión tras la implementación de passkeys, eliminando uno de los mayores costos recurrentes en soporte TI.

Estos beneficios de UX dependen de dónde se encuentren realmente sus usuarios y aplicaciones, lo que pone en foco la preparación de plataformas y ecosistemas.

Soporte de plataforma y ecosistema

El soporte para passkeys ha alcanzado una amplia disponibilidad en las principales plataformas:

  • Apple sincroniza passkeys a través de iCloud Keychain en dispositivos iOS, iPadOS y macOS usando cifrado de extremo a extremo.
  • Google gestiona passkeys mediante Google Password Manager en Android 9+ y Chrome, sincronizando en todos los dispositivos conectados a la misma cuenta de Google.
  • Microsoft integra passkeys a través de Windows Hello en Windows 10+ con soporte en Edge y cuentas Microsoft.

Según la FIDO Alliance, el 48% de los 100 sitios web más importantes del mundo ya soportan autenticación con passkey, más del doble que en 2022.

La autenticación multiplataforma funciona mediante transferencia por código QR y proximidad Bluetooth, permitiendo a los usuarios autenticarse en un portátil usando una passkey almacenada en su teléfono. Gestores de contraseñas de terceros como 1Password y Bitwarden ya soportan almacenamiento y sincronización de passkeys, reduciendo la dependencia de un solo ecosistema. El Credential Exchange Protocol (CXP) de FIDO Alliance también está madurando para permitir la transferencia segura de passkeys entre proveedores, abordando preocupaciones de vendor lock-in.

El soporte de navegadores es completo. Safari, Chrome, Edge y Firefox implementan la API WebAuthn requerida para la autenticación con passkey. Esto significa que sus aplicaciones web pueden soportar passkeys sin código específico para cada navegador.

A pesar de este amplio soporte de plataforma, las passkeys introducen compensaciones que las organizaciones deben planificar antes de comprometerse con un despliegue.

Limitaciones y compensaciones de las passkeys

Ninguna tecnología de autenticación está exenta de fricción, y comprender estas limitaciones le ayuda a construir una estrategia de despliegue realista.

  1. La dependencia del ecosistema sigue siendo una preocupación. Las passkeys sincronizadas actualmente están ligadas a gestores de credenciales específicos de cada plataforma. Un empleado que usa Apple iCloud Keychain no puede acceder directamente a esas passkeys desde un dispositivo Android. Aunque la autenticación por código QR y los gestores de contraseñas de terceros ofrecen soluciones, la portabilidad entre ecosistemas aún está madurando. El Credential Exchange Protocol de FIDO Alliance busca resolver esto, pero la interoperabilidad total aún no es estándar.
  2. Las cuentas compartidas y de servicio generan complicaciones. Las passkeys se vinculan a dispositivos y biometría individuales, lo que dificulta su uso en cuentas de equipo compartidas, cuentas de servicio o terminales tipo kiosco donde varios usuarios se autentican en el mismo dispositivo. Las organizaciones suelen abordar esto manteniendo la autenticación por contraseña para cuentas compartidas mientras despliegan passkeys para el acceso individual de usuarios.
  3. La recuperación sin contraseñas requiere nuevos flujos de trabajo. Cuando un usuario pierde todos sus dispositivos y no tiene autenticador de respaldo registrado, la recuperación de cuenta se vuelve más compleja que un simple restablecimiento de contraseña. Las organizaciones necesitan procedimientos de recuperación bien probados, incluyendo recuperación asistida por administrador y verificación de identidad fuera de banda.
  4. No todos los servicios soportan passkeys aún. A pesar de la creciente adopción, muchas aplicaciones heredadas, herramientas internas y productos SaaS de terceros aún carecen de soporte WebAuthn. Su organización probablemente mantendrá autenticación híbrida, con passkeys protegiendo los proveedores de identidad principales y contraseñas persistiendo para sistemas no soportados durante la migración.

Estas limitaciones determinan cómo las empresas abordan el despliegue de passkeys en la práctica, y los datos muestran que la mayoría avanza a pesar de la complejidad.

Despliegue empresarial de contraseñas vs passkeys

Según la FIDO Alliance Enterprise Deployment Survey de 400 ejecutivos de Reino Unido y EE.UU. de empresas con más de 500 empleados, el 87% de las organizaciones han desplegado o están implementando activamente autenticación con passkey para el acceso de empleados. Muchas adoptan enfoques por fases, abordando la integración de infraestructura antes del despliegue universal. Las organizaciones documentaron una reducción del 26% en el uso de contraseñas tras la implementación de passkeys, demostrando que la adopción parcial ofrece mejoras de seguridad medibles mientras se resuelve la compatibilidad con sistemas heredados.

Su plataforma de identidad necesita soporte para la API WebAuthn y capacidades de gestión del ciclo de vida de passkeys. La mayoría de los proveedores de identidad modernos ya soportan autenticación con passkey a través de WebAuthn. La integración ocurre en su capa de Identity Provider (IdP), donde los usuarios se autentican con passkeys antes de que se emitan aserciones SAML o tokens OIDC a aplicaciones federadas. Las plataformas de seguridad como SentinelOne Singularity Platform deben integrarse con su IdP para mantener visibilidad sobre los eventos de autenticación, correlacionando inicios de sesión con passkey con actividad en endpoints y análisis de comportamiento de usuarios.

Sus políticas de gestión de dispositivos móviles (MDM) y gestión unificada de endpoints (UEM) también requieren actualizaciones para soportar autenticadores de passkey y atestación de dispositivos. La compatibilidad con aplicaciones heredadas representa la principal barrera de despliegue. Necesita un inventario completo de aplicaciones para mapear qué sistemas soportan passkeys y cuáles requieren soluciones gateway o autenticación por contraseña durante la migración.

La adopción por parte de los usuarios impulsa los resultados de seguridad. El Thales/FIDO Alliance State of Passkey Deployment Report para 2024 identifica la educación del usuario como un desafío principal de despliegue. Documenta confusión de los usuarios sobre conceptos de passkey, especialmente la sincronización entre dispositivos, y resistencia a cambiar hábitos establecidos. Las organizaciones que no impulsan la adopción corren el riesgo de mantener las mismas vulnerabilidades y costos incluso después de implementar passkeys.

Más allá del despliegue operativo, la adopción de passkeys también debe cumplir con los marcos de cumplimiento y arquitecturas Zero Trust que rigen la postura de seguridad empresarial.

Cumplimiento y alineación con Zero Trust

Las passkeys cumplen los requisitos de autenticación resistente al phishing que las contraseñas no pueden satisfacer. La Publicación Especial 800-63B de NIST define niveles de garantía de autenticación donde AAL2 exige explícitamente ofrecer opciones resistentes al phishing y AAL3 las exige de forma exclusiva. Si utiliza solo contraseñas, no puede cumplir estos requisitos, sin importar las políticas de complejidad o las capas de autenticación multifactor.

Para despliegues empresariales federales, la guía suplementaria de NIST confirma que las passkeys sincronizadas cumplen los requisitos de AAL2. Las claves de autenticación federales deben almacenarse en infraestructuras de sincronización que hayan logrado el cumplimiento de la Federal Information Security Modernization Act (FISMA). El PCI Security Standards Council también ha publicado las FAQ 1595 y 1596 abordando específicamente las passkeys y la autenticación basada en FIDO2 para el cumplimiento en la industria de tarjetas de pago.

Las passkeys se alinean con los principios centrales de Zero Trust:

  • Las claves privadas nunca salen del dispositivo autenticador, previniendo el robo de credenciales y ataques de repetición.
  • La autenticación se vincula criptográficamente a dominios verificados, deteniendo el phishing al validar la parte confiable.
  • Cada sesión requiere prueba criptográfica de posesión del dispositivo en lugar de presentar credenciales almacenadas.

En conjunto, estas propiedades respaldan el mandato de Zero Trust de "nunca confiar, siempre verificar".

Para organizaciones en jurisdicciones GDPR, sanidad o entornos de cumplimiento SOC 2, las passkeys apoyan el cumplimiento mediante la reducción de la exposición de datos personales y autenticación resistente al phishing que cumple con los estándares NIST AAL2/AAL3. Cumplir estos requisitos es solo una parte de la ecuación; la otra es mantener visibilidad en toda su infraestructura de autenticación durante la transición.

Singularidad™ Identidad

Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.

Demostración

Conclusiones clave

Las contraseñas crean una vulnerabilidad sistémica mediante secretos compartidos que los atacantes roban a través de phishing, credential stuffing y brechas de datos. Las passkeys eliminan estos ataques mediante criptografía asimétrica donde las claves privadas nunca salen de los dispositivos de los usuarios. 

Con el 88% de las brechas involucrando credenciales robadas y el 87% de las empresas de EE.UU./Reino Unido con más de 500 empleados desplegando o implementando passkeys, la dirección es clara. NIST y CISA exigen explícitamente autenticación resistente al phishing que las contraseñas no pueden proporcionar, sin importar las políticas de complejidad.

Preguntas frecuentes

Una passkey es una credencial de autenticación resistente al phishing basada en el estándar FIDO2/WebAuthn. Utiliza criptografía asimétrica para generar un par de claves pública-privada único para cada cuenta. La clave privada permanece en su dispositivo y nunca se transmite a los servidores. 

Una contraseña es un secreto compartido almacenado tanto en su dispositivo como en el servidor, lo que la hace vulnerable al phishing, relleno de credenciales y filtraciones de bases de datos. Las passkeys prueban la identidad mediante un desafío-respuesta criptográfico en lugar de transmitir un secreto reutilizable.

Las passkeys utilizan vinculación criptográfica de dominio que hace que las respuestas de autenticación sean válidas solo para el dominio de origen específico donde se realizó el registro. Cuando los usuarios visitan sitios de phishing, la implementación de WebAuthn del navegador bloquea que las respuestas de autenticación lleguen al dominio incorrecto. 

Esta protección opera a nivel de protocolo en lugar de depender de que los usuarios detecten sitios fraudulentos. La FIDO Alliance clasifica formalmente tanto las passkeys sincronizadas como las vinculadas al dispositivo como resistentes al phishing, mientras que las contraseñas permanecen en la categoría vulnerable al phishing junto con SMS OTP, correo electrónico OTP y métodos similares.

Las implementaciones empresariales de claves de acceso utilizan claves de acceso sincronizadas que se replican en los dispositivos conectados a un mismo ecosistema de cuentas, como Apple, Google o Microsoft. Cuando los usuarios pierden un dispositivo, sus claves de acceso siguen estando disponibles en otros dispositivos autenticados. Las organizaciones deben implementar autenticadores de respaldo y flujos de recuperación asistidos por administradores para escenarios en los que los usuarios pierdan el acceso a todos los dispositivos. 

Para el cumplimiento con NIST, los despliegues federales deben almacenar las claves de autenticación en infraestructuras de sincronización compatibles con FISMA, según lo especificado en el suplemento NIST SP 800-63B sobre autenticadores sincronizables.

Las aplicaciones heredadas sin soporte para WebAuthn no pueden aceptar directamente la autenticación con passkey. Las organizaciones implementan passkeys en la capa del Proveedor de Identidad, donde los usuarios se autentican usando passkeys antes de que se emitan aserciones SAML o tokens OIDC a las aplicaciones federadas. 

Esto permite una migración gradual; las aplicaciones modernas se integran directamente con la autenticación por passkey, mientras que las aplicaciones heredadas reciben tokens de federación estándar después de la autenticación IdP basada en passkey.

NIST SP 800-63B exige autenticación resistente a phishing para AAL2 y AAL3, lo cual las contraseñas no pueden cumplir independientemente de su complejidad o políticas de rotación. CISA recomienda los passkeys como autenticación predeterminada para infraestructuras críticas mediante métodos resistentes a phishing. 

PCI DSS v4.x aborda los passkeys en las preguntas frecuentes 1595 y 1596 para el cumplimiento en la industria de tarjetas de pago. Los despliegues federales deben cumplir los requisitos FISMA para el almacenamiento de claves de autenticación en infraestructuras de sincronización compatibles.

Descubre más sobre Seguridad de la identidad

¿Qué es el RBAC (control de acceso basado en roles)?Seguridad de la identidad

¿Qué es el RBAC (control de acceso basado en roles)?

El control de acceso basado en roles (RBAC) mejora la seguridad al limitar el acceso. Descubra cómo implementar el RBAC de forma eficaz en su organización.

Seguir leyendo
¿Qué es la gestión de la seguridad de la identidad (ISPM)?Seguridad de la identidad

¿Qué es la gestión de la seguridad de la identidad (ISPM)?

La gestión de la postura de seguridad de la identidad (ISPM) ayuda a hacer frente a las crecientes amenazas cibernéticas relacionadas con la identidad mediante la gestión eficaz de las identidades digitales. Descubra cómo la ISPM refuerza la postura de seguridad.

Seguir leyendo
LDAP vs. Active Directory: 18 diferencias críticasSeguridad de la identidad

LDAP vs. Active Directory: 18 diferencias críticas

LDAP y Active Directory se utilizan para acceder y gestionar directorios en todos los sistemas, pero difieren en sus funcionalidades. LDAP es un protocolo, mientras que Active Directory es un servicio de directorio.

Seguir leyendo
¿Qué es la arquitectura de confianza cero (ZTA)?Seguridad de la identidad

¿Qué es la arquitectura de confianza cero (ZTA)?

Explore en detalle la arquitectura Zero Trust en esta guía completa, que abarca sus principios, ventajas, retos y mejores prácticas. Comprenda cómo mejora la ciberseguridad en todos los sectores.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español