Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints.Líder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • IA para la seguridad
      A la vanguardia en soluciones de seguridad impulsadas por IA
    • Protección de la IA
      Acelere la adopción de IA con herramientas, aplicaciones y agentes de IA seguros.
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • AI Data Pipelines
      Canalización de datos de seguridad para AI SIEM y optimización de datos
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Protección de la IA
    • Prompt Security
      Proteger las herramientas de IA en toda la empresa
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, preparación ante brechas & evaluaciones de compromiso.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    • SentinelOne for Google Cloud
      Seguridad unificada y autónoma que brinda a los defensores una ventaja a escala global.
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for ¿Qué es una passkey? Fundamentos de la autenticación moderna
Cybersecurity 101/Seguridad de la identidad/Passkey

¿Qué es una passkey? Fundamentos de la autenticación moderna

Las passkeys utilizan pares de claves criptográficas para reemplazar contraseñas, eliminando el phishing y el robo de credenciales. Descubra cómo funcionan y las mejores prácticas de implementación.

CS-101_Identity.svg
Tabla de contenidos
¿Qué es una passkey?
Relación de las passkeys con la ciberseguridad
Passkeys vs. Contraseñas
Componentes principales de las passkeys
Cómo funcionan las passkeys
Principales beneficios de las passkeys
Soporte de plataformas y adopción de passkeys en la industria
Desafíos y limitaciones de las passkeys
Errores comunes en la implementación de passkeys
Prácticas recomendadas para passkeys
Puntos clave

Entradas relacionadas

  • ¿Qué es LDAP Injection? Cómo funciona y cómo detenerlo
  • ¿Qué es la autenticación rota? Causas, impacto y prevención
  • ¿Qué es el bypass de autenticación? Técnicas y ejemplos
  • Passkey vs. Security Key: Diferencias y cómo elegir
Autor: SentinelOne | Revisor: Jeremy Goldstein
Actualizado: April 9, 2026

¿Qué es una passkey?

Un atacante suplanta la contraseña de un empleado, elude la autenticación de dos factores por SMS y se mueve lateralmente por su red. Según el informe DBIR de Verizon, el 88% de las brechas en patrones de ataque basados en credenciales involucraron credenciales robadas, mientras que el phishing se utilizó en el 57% de los incidentes de ingeniería social.

Las passkeys eliminan toda esta ruta de ataque. Utilizan autenticación criptográfica sin contraseñas, donde las claves privadas nunca salen de los dispositivos de los usuarios, haciendo que el robo de credenciales sea funcionalmente imposible.

Una passkey se basa en la criptografía de clave pública. Su dispositivo genera un par de claves único: la clave privada permanece en su dispositivo en almacenamiento protegido por hardware como un Trusted Platform Module o Secure Enclave, y la clave pública se envía al proveedor del servicio. Durante la autenticación, el servicio envía un desafío que su dispositivo firma con la clave privada. Ninguna contraseña cruza la red. Esto elimina los ataques de phishing, credential stuffing y reutilización de contraseñas porque las claves privadas nunca salen de los dispositivos y no se transmiten secretos reutilizables.

Las passkeys implementan el estándar FIDO2 (WebAuthn + CTAP), garantizando seguridad consistente en plataformas, navegadores y servicios. Las passkeys vinculadas a dispositivos almacenan las claves privadas en módulos de seguridad de hardware para el mayor nivel de garantía. Las passkeys sincronizadas cifran y sincronizan las claves en ecosistemas de plataformas para una mayor accesibilidad.

Comprender cómo las passkeys difieren de las contraseñas que reemplazan deja clara la mejora en seguridad.

What is a Passkey - Featured Image | SentinelOne

Relación de las passkeys con la ciberseguridad

Las passkeys detienen el phishing a nivel criptográfico. Cuando los atacantes lanzan campañas de phishing contra sus usuarios, la vinculación de origen a través del protocolo WebAuthn impide la autenticación en dominios falsificados. Incluso si un usuario hace clic en un enlace de phishing e intenta iniciar sesión, la credencial no puede completar el flujo de autenticación porque la vinculación criptográfica al dominio legítimo lo bloquea.

Las claves privadas almacenadas en módulos de seguridad de hardware no pueden ser extraídas mediante ataques de software. Las brechas de bases de datos no pueden exponer credenciales reutilizables, y el credential stuffing falla porque las passkeys son únicas por servicio.

Incidentes del mundo real muestran por qué esto es importante. En septiembre de 2023, MGM Resorts sufrió un ataque de ingeniería social donde los atacantes se hicieron pasar por un empleado ante el servicio de soporte de TI, obteniendo credenciales que llevaron al despliegue de  ransomware con un costo estimado de  100 millones de dólares en pérdidas. En 2022, un importante proveedor de identidad experimentó un incidente de robo de credenciales a través de un contratista externo comprometido, afectando a cientos de clientes.

Las cuentas protegidas con passkeys eliminan el robo de credenciales como método de acceso inicial, eliminando el vector de ataque detrás de la mayoría de estas brechas. La fortaleza de esa protección proviene de un conjunto específico de componentes técnicos que trabajan en conjunto.

Passkeys vs. Contraseñas

Las contraseñas son secretos compartidos. Usted las crea, las transmite a un servidor y el servidor almacena una copia hasheada. Cada paso en esa cadena es vulnerable: los usuarios eligen contraseñas débiles, las reutilizan en varios servicios y caen en páginas de phishing que las capturan en tiempo real. Incluso las bases de datos de contraseñas hasheadas pueden ser vulneradas y descifradas fuera de línea.

Las passkeys funcionan de manera diferente en todos los niveles. Su dispositivo genera un par de claves criptográficas, y la clave privada nunca sale del dispositivo. El servidor almacena solo la clave pública, que es inútil para un atacante sin la mitad privada correspondiente. La autenticación ocurre mediante un desafío firmado, por lo que nada reutilizable cruza la red.

Las diferencias prácticas son significativas. Las contraseñas requieren que los usuarios recuerden cadenas complejas y las cambien periódicamente, lo que genera fricción que conduce a la reutilización y a elecciones débiles. Las passkeys solo requieren un escaneo biométrico o PIN del dispositivo para desbloquear, sin necesidad de memorización. Los restablecimientos de contraseñas representan entre  20-50% de las llamadas al soporte de TI en las empresas; las passkeys eliminan esa categoría por completo.

Desde el punto de vista de la seguridad, las contraseñas siguen siendo vulnerables al phishing, ataques de fuerza bruta, credential stuffing y brechas de bases de datos. Las passkeys son resistentes a los cuatro:

  • Phishing — La vinculación de dominio impide que las credenciales se utilicen en sitios falsificados
  • Fuerza bruta y credential stuffing — No existen contraseñas que adivinar o reutilizar
  • Brechas de bases de datos — Los servidores almacenan solo claves públicas, que son inútiles sin la mitad privada
  • Reutilización de credenciales — La unicidad por servicio significa que comprometer una cuenta no permite acceder a otras

Donde las contraseñas proporcionan un solo factor de autenticación (algo que sabe), las passkeys combinan dos: algo que tiene (el dispositivo que almacena la clave privada) y algo que es (verificación biométrica), ofreciendo autenticación multifactor integrada en un solo paso.

Estas diferencias se traducen directamente en resultados de seguridad medibles cuando las passkeys enfrentan escenarios de ataque del mundo real.

Componentes principales de las passkeys

La autenticación con passkeys se basa en cinco componentes técnicos que crean autenticación resistente al phishing:

  • Pares de claves criptográficas forman la base. Cada passkey consiste en una clave pública y una clave privada matemáticamente relacionadas. La clave pública reside en el servidor del proveedor de servicios; la clave privada permanece en el dispositivo del usuario en almacenamiento protegido por hardware.
  • Autenticadores generan y almacenan passkeys. Los autenticadores de plataforma se integran en los dispositivos mediante TPM, Secure Enclave o Trusted Execution Environments (TEE), manteniendo las claves privadas vinculadas a hardware específico. Los autenticadores portátiles incluyen llaves de seguridad USB y tokens Bluetooth. Ambos implementan las especificaciones CTAP y WebAuthn para vinculación de dominio, resistencia al phishing y prueba criptográfica de posesión.
  • API WebAuthn permite que las aplicaciones web y los navegadores interactúen con los autenticadores. Este estándar W3C define cómo se ejecutan el registro y la autenticación, asegurando una implementación consistente en todas las plataformas.
  • Relying party se refiere al servicio que implementa la autenticación con passkey, generando desafíos, validando respuestas y manteniendo el registro de claves públicas.
  • Verificación del usuario confirma que el usuario legítimo controla el autenticador mediante autenticación biométrica, PIN del dispositivo o patrón. La verificación ocurre localmente; los datos biométricos nunca salen del dispositivo.

Estos componentes trabajan juntos a través de dos procesos principales: registro y autenticación.

Cómo funcionan las passkeys

Ambos procesos se basan en un desafío-respuesta criptográfico que elimina la transmisión de credenciales por completo.

Proceso de registro

Durante el registro, el relying party envía los requisitos al navegador del usuario, que invoca WebAuthn. El autenticador genera un par de claves único vinculado a ese dominio. Esta vinculación de origen previene la reutilización de credenciales y el phishing.

La clave privada se almacena en memoria protegida por hardware. En implementaciones vinculadas a dispositivos, esto significa módulos de seguridad de hardware, TPM, Secure Enclave o chips de llaves de seguridad. En implementaciones sincronizadas, significa almacenamiento en la nube cifrado sin capacidad de exportación. El autenticador devuelve la clave pública y los metadatos de la credencial al relying party. El registro se completa en segundos, ofreciendo una experiencia de inicio de sesión sin contraseña y sin creación de contraseñas.

Proceso de autenticación

Cuando el usuario se autentica, el relying party genera un desafío aleatorio y lo envía junto con el ID de la credencial. Tras la verificación del usuario mediante escaneo biométrico, ingreso de PIN o desbloqueo del dispositivo, el autenticador firma el desafío con la clave privada.

El desafío firmado se devuelve al relying party para su validación. Si la firma coincide, la autenticación se completa. Los desafíos expiran en minutos y no pueden ser reutilizados.

Escenarios de autenticación entre dispositivos

Las passkeys sincronizadas cifran las claves privadas en llaveros en la nube (iCloud Keychain o Google Password Manager) para acceso multidispositivo dentro del mismo ecosistema. Ofrecen acceso conveniente pero soporte de atestación limitado, lo que significa que las organizaciones no siempre pueden verificar criptográficamente el hardware de seguridad exacto en uso. Las passkeys vinculadas a dispositivos requieren el autenticador físico para cada inicio de sesión, proporcionando mayor garantía mediante capacidades completas de atestación que permiten a las organizaciones verificar el modelo exacto de llave de seguridad o módulo de seguridad de hardware involucrado.

Para las empresas, la elección entre credenciales sincronizadas y vinculadas a dispositivos depende de la tolerancia al riesgo. Entornos de alta seguridad como cuentas administrativas privilegiadas se benefician de implementaciones vinculadas a dispositivos, mientras que las opciones sincronizadas funcionan bien para la autenticación general de la fuerza laboral donde la conveniencia impulsa la adopción.

Con la mecánica cubierta, la siguiente pregunta es qué aportan las passkeys a su organización.

Principales beneficios de las passkeys

Las passkeys ofrecen cuatro categorías de mejora medible sobre la autenticación basada en contraseñas, abarcando seguridad, operaciones y cumplimiento.

  1. Resistencia al phishing mediante criptografía: La autenticación basada en contraseñas con códigos SMS sigue siendo vulnerable al phishing en tiempo real donde los atacantes intermedian solicitudes a través de sitios falsificados. Las passkeys eliminan esto mediante la vinculación de dominio. La API WebAuthn verifica el dominio de destino antes de la autenticación, haciendo que el proceso falle cuando los dominios no coinciden. Los códigos SMS, notificaciones push y TOTP siguen siendo vulnerables a ataques man-in-the-middle, SIM swapping y fatiga de notificaciones push. Las credenciales criptográficas no lo son.
  2. Prevención del robo de credenciales: Sus claves privadas nunca salen de los dispositivos de los usuarios. Las brechas en servidores no pueden exponer credenciales reutilizables porque los servidores almacenan solo claves públicas. El malware infostealer no puede extraer claves de módulos de seguridad de hardware, incluso con acceso a nivel de kernel. Las passkeys abordan las  técnicas de recolección de credenciales en las que más confían los atacantes.
  3. Ganancias en eficiencia operativa: El despliegue de passkeys reduce las solicitudes de restablecimiento de contraseñas porque los usuarios no pueden olvidar credenciales criptográficas. La implementación FIDO del USDA, por ejemplo, permitió que aproximadamente 40,000 usuarios adoptaran la autenticación sin contraseña, eliminando toda una categoría de tickets de soporte. Las plataformas de seguridad de identidad como Singularity Identity de SentinelOne complementan la prevención de passkeys con respuesta autónoma ante amenazas basadas en credenciales que apuntan a la infraestructura de autenticación.
  4. Cumplimiento y alineación con niveles de garantía: Las passkeys se alinean con los requisitos NIST SP 800-63 AAL3 para autenticación multifactor resistente al phishing. CISA designa las passkeys FIDO/WebAuthn como el  estándar de oro para MFA porque proporcionan credenciales vinculadas a dominio que no pueden usarse en sitios falsificados. Como se mencionó antes, la gran mayoría de las brechas basadas en credenciales involucran credenciales robadas, una categoría que las passkeys eliminan por completo.

La criptografía de clave pública también proporciona propiedades de seguridad auditables que las políticas de contraseñas no pueden igualar: prueba criptográfica de autenticación específica de dominio, cero secretos compartidos en la red y generación de claves con raíz en hardware. Estas propiedades ofrecen evidencia verificable durante auditorías y simplifican la documentación de cumplimiento en marcos como SOC 2, HIPAA y PCI DSS.

Estos beneficios de seguridad y operativos han impulsado una rápida adopción en plataformas e industrias.

Soporte de plataformas y adopción de passkeys en la industria

Apple, Google y  Microsoft admiten passkeys de forma nativa en sus sistemas operativos y navegadores, brindando a las organizaciones cobertura multiplataforma para la mayoría de los entornos de dispositivos empresariales:

  • Apple integra passkeys a través de iCloud Keychain en iOS, iPadOS y macOS
  • Google las admite mediante Google Password Manager en Android y Chrome
  • Microsoft habilita la autenticación con passkey a través de Windows Hello y Entra ID

Más allá de los proveedores de plataformas, servicios de consumo y empresariales importantes han adoptado el inicio de sesión con passkey. Amazon, PayPal, GitHub, Shopify y eBay admiten passkeys para la autenticación de clientes. El Directorio de Passkeys de la FIDO Alliance rastrea la creciente adopción en sectores bancarios, de salud y gubernamentales. Según la FIDO Alliance, el 53% de las personas han habilitado passkeys en al menos una cuenta.

Para los equipos de seguridad empresarial, esta tendencia de adopción significa que la autenticación sin contraseña ya no es una consideración futura. Proveedores de identidad como Microsoft Entra ID, Okta y Ping Identity ofrecen integración nativa FIDO2/WebAuthn, haciendo viable el despliegue organizacional hoy en día.

Sin embargo, el creciente soporte de plataformas no elimina la complejidad del despliegue.

Desafíos y limitaciones de las passkeys

El despliegue empresarial de passkeys enfrenta cuatro obstáculos principales que requieren planificación e inversión para abordarlos.

  1. Restricciones de integración con sistemas heredados: Las aplicaciones heredadas que no pueden integrarse con servicios de autenticación modernos representan la principal barrera de despliegue. Muchas organizaciones dependen de sistemas híbridos que combinan contraseñas y credenciales criptográficas debido a limitaciones heredadas, creando complejidad operativa al mantener múltiples componentes de infraestructura de autenticación al mismo tiempo. Las aplicaciones mainframe, sistemas de control industrial y dispositivos embebidos a menudo carecen de los recursos para implementar protocolos WebAuthn. Debe decidir entre mantener islas de autenticación por contraseña, invertir en gateways de autenticación o aceptar que ciertos sistemas quedarán fuera de la cobertura de passkeys. Planificar estas brechas desde el principio previene puntos ciegos de seguridad durante el despliegue.
  2. Inconsistencias en la implementación multiplataforma: Las implementaciones varían entre plataformas y navegadores a pesar de la estandarización de WebAuthn. Las passkeys sincronizadas solo funcionan dentro de un mismo ecosistema de plataforma: las claves privadas sincronizadas mediante iCloud Keychain no pueden accederse desde dispositivos Android usando Google Password Manager, y viceversa. Estas inconsistencias crean flujos de autenticación impredecibles que complican el despliegue empresarial.
  3. Complejidad en la recuperación de cuentas: La pérdida de dispositivos o fallos de hardware generan escenarios de bloqueo de cuentas que requieren mecanismos de recuperación robustos. Los usuarios suelen temer perder el acceso, y ese temor se convierte en una barrera psicológica para la adopción. Las organizaciones que tratan la recuperación como un aspecto secundario ven mayores volúmenes de tickets de soporte y menores tasas de adopción, por lo que el diseño de mecanismos de recuperación debe ser una prioridad durante la planificación.
  4. Gestión del cambio organizacional: Los usuarios pueden resistirse a flujos de autenticación desconocidos, especialmente si no comprenden los beneficios de seguridad. El personal de soporte necesita capacitación en resolución de problemas, procedimientos de recuperación y comportamiento específico de la plataforma antes del despliegue. La colaboración interfuncional entre UX, desarrollo y equipos de producto aborda las barreras de adopción de manera más efectiva que tratar las passkeys como iniciativas puramente técnicas.

Conocer estos desafíos le ayuda a evitar los errores de despliegue más comunes.

Errores comunes en la implementación de passkeys

Incluso los despliegues de passkeys bien planificados pueden fallar cuando los equipos pasan por alto la experiencia del usuario, el manejo de errores y la seguridad de los métodos alternativos. Estos cuatro errores son los más frecuentes.

  • Omitir la educación del usuario antes del despliegue: Anunciar el despliegue sin abordar las inquietudes de los usuarios conduce a confusión y resistencia. Los usuarios se enfrentan a mensajes de autenticación desconocidos sin contexto, y muchos recurren a solicitar restablecimientos de contraseña o contactar al soporte. La educación debe explicar los escenarios de pérdida de dispositivos y los procedimientos de recuperación desde el principio, con flujos de trabajo específicos para iOS, Android y Windows.
  • Uso de mensajes de error genéricos: Los flujos de autenticación que muestran "Algo salió mal" en lugar de orientación accionable erosionan la confianza del usuario. Mensajes específicos como "Esta credencial pertenece a otra cuenta" o "La política de su dispositivo requiere una actualización" guían a los usuarios hacia la resolución y mantienen la confianza durante escenarios de fallo.
  • Pruebas de recuperación insuficientes: Desplegar passkeys sin pruebas exhaustivas de recuperación deja a los usuarios expuestos a bloqueos. Los usuarios pierden dispositivos sin previo aviso, los autenticadores de respaldo pueden fallar y la sincronización en la nube puede experimentar interrupciones. Pruebe los procedimientos de recuperación ante escenarios reales de fallo con instrucciones paso a paso y orientación visual.
  • Mantener métodos alternativos de autenticación inseguros: Las implementaciones que recurren a métodos de un solo factor débiles (correo electrónico o SMS OTP únicamente) mantienen la vulnerabilidad a los mismos ataques que las passkeys están diseñadas para detener. Diseñe los métodos alternativos con requisitos multifactor y haga que los flujos de recuperación sean deliberadamente menos convenientes que la autenticación principal para desalentar el uso rutinario de métodos alternativos, preservando el acceso de emergencia.

Seguir prácticas recomendadas comprobadas le ayuda a evitar estos errores y construir un despliegue resiliente.

Prácticas recomendadas para passkeys

Los despliegues empresariales exitosos comparten patrones comunes en la secuencia de despliegue, segmentación de usuarios, diseño de recuperación e integración de plataformas.

Implemente una estrategia de despliegue escalonado

Despliegue en etapas progresivas. Comience estableciendo una base de autenticación multifactor con autenticadores basados en aplicaciones, desarrollando la capacidad organizacional antes de introducir passkeys. Luego, introduzca passkeys con MFA resistente al phishing para aplicaciones sensibles, manteniendo la autenticación por contraseña como método alternativo durante la transición.

A medida que la adopción madura, formalice los procesos de ciclo de vida y recuperación:

  • Desbloqueo remoto de dispositivos y emisión de credenciales
  • Procedimientos de revocación con trazabilidad completa para cumplimiento
  • Gestión centralizada de credenciales en toda la organización
  • La autenticación basada en contraseñas se limita solo a emergencias

Cada etapa debe incluir criterios de éxito claros antes de avanzar a la siguiente fase.

Apunte primero a los grupos de usuarios de alto riesgo

Despliegue primero a usuarios privilegiados, administradores de TI y ejecutivos. Estos objetivos de alto valor enfrentan los mayores riesgos de robo de credenciales, con el  DBIR de Verizon mostrando que el 57% de los incidentes de ingeniería social involucran phishing y que el phishing se utiliza como método de acceso inicial en el 16% de todas las brechas. Proteja primero las aplicaciones críticas para el negocio, incluyendo correo electrónico, VPN, sistemas de RRHH y herramientas financieras, antes que los servicios menos sensibles.

Construya una infraestructura de recuperación robusta

Implemente múltiples mecanismos de recuperación sin crear puertas traseras de contraseñas. Requiera que los usuarios registren llaves de seguridad de hardware de respaldo junto con autenticadores de plataforma principales para que la pérdida de un dispositivo no cause un bloqueo total.

La recuperación administrativa debe verificar la identidad a través de múltiples canales: revisión de identificación con foto, confirmación del gerente y validación de preguntas de seguridad. Las passkeys sincronizadas en la nube proporcionan recuperación automática cuando los usuarios inician sesión en dispositivos de reemplazo con la misma cuenta de plataforma. Reserve las passkeys vinculadas a dispositivos para accesos privilegiados que requieran autenticación atestada por hardware.

Integre con plataformas de identidad

Conéctese con plataformas de identidad empresarial como Microsoft Entra ID utilizando políticas de acceso condicional. La autenticación basada en riesgos puede exigir verificación con passkey resistente al phishing para condiciones de riesgo elevado, permitiendo autenticación simplificada en escenarios de bajo riesgo. La integración con plataformas de identidad también proporciona trazabilidad centralizada que correlaciona la autenticación con passkey con el acceso a aplicaciones y el comportamiento del usuario.

Establezca procesos de mejora continua

Realice un seguimiento de métricas de adopción: tasas de registro, tasas de éxito de autenticación, frecuencia de recuperación y escaladas al soporte. Itere los flujos de autenticación en función de datos operativos y comentarios de usuarios a medida que evoluciona el soporte de plataformas y la madurez organizacional.

Las passkeys refuerzan su perímetro de autenticación, pero los atacantes no se detienen en el robo de credenciales.

Reduzca el riesgo de identidad en toda su organización

Detecte y responda a los ataques en tiempo real con soluciones integrales para Active Directory y Entra ID.

Demostración

Puntos clave

Las passkeys eliminan el robo de credenciales y el phishing mediante autenticación criptográfica donde las claves privadas nunca salen de los dispositivos de los usuarios. Ninguna contraseña cruza la red, eliminando el método de acceso inicial más común que los atacantes explotan. El despliegue empresarial requiere una implementación por fases comenzando con usuarios de alto riesgo y aplicaciones críticas para el negocio, con una planificación deliberada en torno a limitaciones de sistemas heredados, inconsistencias multiplataforma y barreras de adopción de usuarios.

Omitir la educación del usuario, usar mensajes de error genéricos y mantener métodos alternativos de autenticación débiles pueden socavar las ganancias de seguridad de las passkeys si no se abordan. Las plataformas de seguridad de identidad complementan la prevención con passkeys al detectar ataques que apuntan a la infraestructura de autenticación más allá de la capa de credenciales, incluyendo el compromiso de Active Directory, la escalada de privilegios y el movimiento lateral.

Preguntas frecuentes

Una passkey es una credencial criptográfica sin contraseña que reemplaza las contraseñas utilizando criptografía de clave pública. Tu dispositivo genera un par de claves único: la clave privada permanece en el almacenamiento protegido por hardware en tu dispositivo, y la clave pública se envía al proveedor del servicio. 

La autenticación se realiza mediante un desafío-respuesta criptográfico, por lo que ninguna contraseña ni secreto reutilizable cruza la red.

No. Las passkeys utilizan criptografía asimétrica donde las claves privadas permanecen en módulos de seguridad de hardware en su dispositivo y nunca se transmiten por la red. 

Los intentos de phishing fallan porque las passkeys verifican criptográficamente el dominio de destino antes de la autenticación, evitando su uso en sitios suplantados.

La recuperación depende de su arquitectura. Las passkeys sincronizadas y cifradas en llaveros en la nube permanecen accesibles desde cualquier dispositivo conectado a su cuenta de la plataforma. 

Las passkeys vinculadas al dispositivo requieren autenticadores de respaldo inscritos durante el registro. Las organizaciones deben implementar múltiples mecanismos de recuperación para evitar el bloqueo total de la cuenta.

Las passkeys sincronizadas funcionan en dispositivos dentro del mismo ecosistema de plataforma (Apple, Google, Microsoft). La autenticación entre plataformas requiere el registro de passkeys por ecosistema o llaves de seguridad de hardware que implementen los estándares FIDO2.

Sí. Las passkeys se alinean con los requisitos de NIST SP 800-63B AAL3 para autenticación multifactor resistente al phishing. Las passkeys vinculadas al dispositivo con atestación de hardware cumplen los requisitos más altos de garantía de autenticación para sistemas federales. CISA designa las passkeys FIDO/WebAuthn como el estándar de oro para MFA.

Las passkeys implementan los estándares FIDO2/WebAuthn compatibles con plataformas empresariales de identidad, incluido Microsoft Entra ID. Las políticas de acceso condicional aplican la autenticación basada en passkey según señales de riesgo. 

La implementación requiere estrategias por fases que aborden la compatibilidad con sistemas heredados, mecanismos de recuperación y gestión del cambio.

Descubre más sobre Seguridad de la identidad

Autenticación multifactor adaptativa: Guía completaSeguridad de la identidad

Autenticación multifactor adaptativa: Guía completa

El MFA adaptativo ajusta la fortaleza de la autenticación según la evaluación de riesgos en tiempo real, supervisando continuamente las sesiones para detener ataques de robo de tokens que eluden el MFA tradicional.

Seguir leyendo
¿Qué es MFA resistente al phishing? Seguridad modernaSeguridad de la identidad

¿Qué es MFA resistente al phishing? Seguridad moderna

MFA resistente al phishing utiliza vinculación criptográfica de dominios para detener el robo de credenciales. Descubra cómo funcionan los métodos basados en FIDO2 y PKI y por qué CISA los considera el estándar de oro.

Seguir leyendo
Seguridad del proveedor de identidad (IDP): qué es y por qué importaSeguridad de la identidad

Seguridad del proveedor de identidad (IDP): qué es y por qué importa

Aprenda cómo los sistemas de detección de intrusiones y la autenticación FIDO2 detienen los ataques a IdP dirigidos a su infraestructura.

Seguir leyendo
¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migraciónSeguridad de la identidad

¿Qué es NTLM? Riesgos de seguridad de NTLM en Windows y guía de migración

NTLM es un protocolo de autenticación de Windows con vulnerabilidades críticas. Conozca los ataques Pass-the-Hash, riesgos de relay y migración antes de octubre de 2026.

Seguir leyendo
¿Está listo para revolucionar sus operaciones de seguridad?

¿Está listo para revolucionar sus operaciones de seguridad?

Descubra cómo SentinelOne AI SIEM puede transformar su SOC en una central autónoma. Póngase en contacto con nosotros hoy mismo para obtener una demostración personalizada y ver el futuro de la seguridad en acción.

Solicitar una demostración
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2026 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso

Español