Los passkeys siguen teniendo problemas

 (fy.blackhats.net.au)
7 puntos por GN⁺ 2025-12-19 | 4 comentarios | Compartir por WhatsApp
  • En 2025, los passkeys siguen arrastrando problemas de experiencia de usuario y dependencia del proveedor, en medio del debate sobre seguridad y comodidad
  • El recién introducido FIDO Credential Exchange permite la movilidad entre proveedores, pero persisten los problemas de fricción y fragmentación entre plataformas
  • Continúan los riesgos de falta de respaldo y bloqueo por parte de administradores de plataforma como Apple, Google y Microsoft, y se señala como problema el diseño de interfaces que limita la elección del usuario
  • La complejidad del concepto de passkey y la comunicación confusa por parte de los servicios reducen la confianza de los usuarios generales
  • Para proteger cuentas críticas, es importante usar un Credential Manager bajo control propio y llaves de hardware como Yubikey

Resumen TL;DR

  • Los passkeys siguen teniendo fallas, y los usuarios deben entenderlas y usarlos de acuerdo con sus propias necesidades
    • Usar solo el Credential Manager del proveedor de plataforma (Apple, Google, Microsoft) implica riesgo de falta de respaldo y bloqueo
    • Se recomienda usar Credential Managers con respaldo, como Bitwarden o Vaultwarden
    • Es necesario sincronizar periódicamente con un Credential Manager externo mediante FIDO Credential Exchange
    • Para cuentas importantes como el correo electrónico, se recomienda usar Yubikey como almacén de passkeys y mantener una contraseña fuerte + TOTP como método complementario
    • Si no se puede acceder al Credential Manager, hay que verificar de antemano la ruta de recuperación

Cambios del último año

  • El cambio principal fue la introducción de la especificación FIDO Credential Exchange
    • Gracias a esto, ahora es posible la movilidad de credenciales entre proveedores de passkeys
  • Sin embargo, la fricción entre plataformas y la desconexión del ecosistema siguen existiendo
    • Los passkeys pueden quedar fragmentados entre distintos dispositivos, y es posible que el usuario no lo note
    • Los passkeys de dispositivos Apple no pueden sincronizarse con dispositivos que no sean Apple, mientras que Google y Microsoft lo permiten en parte
    • Los usuarios de Apple pueden sentir una dependencia aún más fuerte

La complejidad del concepto de passkey

  • Una contraseña puede entenderse de forma intuitiva como “algo que sé”, y el SMS 2FA como “algo que puedo recibir”
  • En cambio, un passkey es un factor de autenticación invisible, que el usuario no puede verificar directamente ni imprimir
  • Es necesario pasar por un proceso de confianza en el Credential Manager, pero los passkeys hacen que se omita ese paso de confianza
  • La barrera de comprensión es tan alta que incluso expertos en seguridad llegan a confundir cómo funcionan los passkeys

Problemas de “liderazgo de pensamiento” y educación del usuario

  • Algunas figuras de la industria sostienen que “aprender a gestionar contraseñas es un fracaso de la industria”,
    pero en la práctica los passkeys también exigen comprender el Credential Manager
  • Los usuarios que prefieren contraseña y TOTP pueden hacerlo no por arrogancia, sino por problemas de usabilidad
  • La idea de que los passkeys funcionan sin educación del usuario es una percepción alejada de la realidad
  • Si un usuario, aun entendiendo suficientemente el sistema, elige otro método en lugar de passkeys, entonces los passkeys han fracasado para ese usuario

La dependencia del proveedor sigue presente

  • Aunque exista FIDO Credential Exchange, la fricción del uso real y el diseño de interfaces que empujan ciertas opciones elevan el costo de cambiar
  • El modal de creación de passkeys de Apple induce por defecto al uso de Apple Keychain,
    mientras que otras opciones (llave de seguridad, Android, etc.) quedan ocultas en “Other Options”
  • La elección del usuario no se recuerda, y cada vez vuelve al valor predeterminado
  • Google Chrome tiene una estructura similar y empuja al usuario a permanecer dentro del ecosistema de la plataforma
  • Esto no es solo un problema de ubicación de almacenamiento, sino que deriva en una dependencia en toda la experiencia de usuario

Pérdida de datos en keychains en la nube

  • Siguen existiendo casos en los que los passkeys desaparecen de Apple Keychain, o en los que no pueden crearse ni usarse en dispositivos Android
  • En algunos casos, ni siquiera restaurando el dispositivo fue posible recuperarlos, y el acceso a la cuenta del usuario quedó completamente bloqueado
  • Estos problemas terminan reduciendo la confianza en los passkeys

Bloqueo de cuentas por parte del proveedor

  • En casos de bloqueo de cuentas de Apple, todos los passkeys desaparecieron en un estado imposible de recuperar
  • Existen casos similares también en Google y Microsoft
  • Una sola acción sobre una cuenta puede implicar el riesgo de destruir todas las credenciales

Comunicación confusa por parte de los servicios de autenticación

  • Algunos servicios explican que “los passkeys envían datos del rostro o de la huella digital”
  • En realidad, los datos biométricos no salen del dispositivo,
    pero los usuarios generales pueden malinterpretarlo como que “el rostro o la huella se envían por internet”
  • Este tipo de explicaciones provoca desconfianza y rechazo hacia los passkeys
  • La interfaz de los proveedores de plataforma tampoco logra corregir esos malentendidos

Servicios de autenticación que limitan la elección del usuario

  • Algunos sitios web todavía solo permiten un único passkey, o bien fuerzan passkeys dependientes de la plataforma mediante la opción authenticatorAttachment
  • Esto bloquea el uso de llaves de seguridad o de Credential Managers que no pertenecen a la plataforma
  • Algunos sitios incluso intentan registrar passkeys automáticamente sin consentimiento previo al iniciar sesión, una práctica también poco ética

Conclusión y recomendaciones

  • La mayoría de los problemas surge de una estructura de gestión de passkeys centrada en los proveedores de plataforma
  • Los usuarios deben reducir el riesgo de bloqueo de cuenta y pérdida de datos, y realizar respaldos periódicos, usando un Credential Manager bajo su propio control
  • Yubikey (firmware 5.7 o superior) puede almacenar hasta 150 passkeys
    • En algunas cuentas, puede reemplazar un Credential Manager de software
  • La cuenta de correo electrónico es clave en la ruta de recuperación,
    por lo que es necesario combinar llave de hardware + contraseña fuerte + TOTP y mantener respaldos offline
  • Plataformas como Apple y Google deben recordar la elección del usuario y
    ofrecer en la interfaz, en igualdad de condiciones, llaves de seguridad y otros proveedores
  • Los desarrolladores deben evitar el filtrado previo del API de WebAuthn y
    proceder con el registro de passkeys solo después de informar claramente al usuario
  • El principio central es garantizar el control del usuario y el consentimiento (consent)

Lecturas relacionadas

4 comentarios

 
roxie 2025-12-19

A mí me gustan las passkeys,,
 
yeobi222 2025-12-19

Si el usuario no entiende la estructura del sistema de seguridad, eso solo aumenta la desconfianza.
Y tampoco se puede decir que la usabilidad en sí sea muy buena.
 
koxel 2025-12-19

Después de borrar una vez el Administrador de contraseñas de Google y perderlo todo, cuando me los volvieron a emitir me pasé a Bitwarden..
 
GN⁺ 2025-12-19
Comentarios en Hacker News

  • El autor sigue malinterpretando las passkeys. Mucha gente cree que si pierde una passkey no hay recuperación posible, pero en realidad es como perder una contraseña. En la mayoría de los servicios se puede hacer un restablecimiento de contraseña por email o SMS. Aun así, cuentas como las de Apple, Google o Facebook tienen procesos de recuperación complejos, así que hay que imprimir los códigos de respaldo y guardarlos en un lugar seguro. Además, hace falta una última contraseña para iniciar sesión en el password manager o un medio externo como una YubiKey

    • Me pregunto si antes de introducir las passkeys ya había problemas de bloqueo de acceso en las cuentas de Apple y Google. Hoy en día las passkeys no se pueden respaldar ni exportar manualmente, y como los ingenieros de seguridad se enfocaron solo en evitar la clonación de claves, miles de millones de personas quedaron expuestas al riesgo de quedar bloqueadas. Este enfoque podría generar riesgos regulatorios
    • Que una passkey pueda restablecerse o no depende de la implementación del proveedor del servicio. También hubo quejas de lugares donde la recuperación solo era posible por teléfono
    • Las cuentas de Apple y Google almacenan la mayoría de las demás contraseñas y passkeys, así que perder una de estas cuentas es un problema mucho más grave
    • Las passkeys existen de forma independiente en cada dispositivo, y no hace falta configurarlas en todos. En otros dispositivos simplemente se puede iniciar sesión con contraseña

  • Me gustaría que mejoraran dos cosas de las passkeys.

    1. Aunque solo haya un dispositivo registrado, la UI muestra opciones innecesarias
    2. Habría sido mejor que desde el principio tuvieran portabilidad y flexibilidad como las llaves SSH. Ahora la dependencia del proveedor es demasiado fuerte
    • En Mac, primero se puede presionar el botón de security key para saltarse el paso de selección
    • No deberían ocultar las opciones, sino mostrarlas en gris e indicar “no hay claves registradas”. Así el usuario puede entender cuál es el problema
    • El sistema de passkeys fue diseñado con el objetivo de ser imposible de phishing, por lo que no permite que el usuario exporte sus credenciales directamente. Al final eso termina en una estructura de vendor lock-in. Por ejemplo, para usar passkeys en Safari es obligatorio iCloud Keychain, así que no se puede usar solo de forma local
    • Para usuarios no muy familiarizados con la tecnología, las passkeys pueden ser una buena opción. Pero habría que ayudarlos a anotar el código de rescate en papel y guardarlo de forma segura

  • Viendo los problemas relacionados con KeePass, da la impresión de que en la industria está aumentando la presión para impedir que el usuario exporte sus claves privadas. Esta tendencia es preocupante
    Issue relacionado en GitHub

    • Yo soy quien comentó en ese issue. Exigir por defecto un respaldo cifrado no impide la exportación; al contrario, hace que el usuario tenga control directo sobre sus claves

  • Mientras los proveedores de servicios sigan forzando cómo se almacenan las passkeys (hardware/software), o sigan obligando a usar MFA como Touch ID, yo seguiré prefiriendo la combinación contraseña + TOTP

    • (1) eso ya es imposible. El servicio no puede forzar cómo se almacena una passkey
    • (2) eso no es MFA, sino algo más cercano a una verificación biométrica de presencia (liveness check). Es simplemente un proceso para demostrar que una persona está iniciando sesión directamente
    • En situaciones de emergencia hace falta un respaldo con ingreso manual. Al final se vuelve a algo parecido a una contraseña

  • Nunca uso passkeys por el hecho de que el proveedor puede bloquear al usuario. El problema es todavía más grande cuando el usuario fallece y sus herederos no pueden acceder

    • Hay casos relacionados: caso de fallo al recuperar Apple ID, discusión en HN
    • Algunos password managers ofrecen una cadena de confianza raíz offline. Por ejemplo, el Emergency Kit de 1Password permite que herederos o familiares accedan mediante un código de recuperación impreso
    • Tanto con contraseñas como con passkeys, si la política del proveedor es la misma, la restricción de acceso también lo será
    • Estaría bien poder convertir este tipo de acuerdo en una figura legal de trust, pero a las empresas no les gustaría
    • La UI con dark patterns que obliga a registrar passkeys es desesperante. Aunque solo lo use con una cuenta de empresa, sigue apareciendo el aviso para registrarlas. Ya uso SSO y 2FA, así que no entiendo por qué además exigen passkeys

  • La UX de las passkeys es un desastre. Ni siquiera sé cuántas tengo activas, y a veces la app de autenticación olvida la passkey. Todo es confuso

  • La combinación Password + TOTP sigue siendo la más práctica. Para moverse entre dispositivos basta con iniciar sesión en Bitwarden. En cambio, con las passkeys no está claro cuál es el proceso de recuperación cuando se pierde un dispositivo. Ni siquiera está claro por qué una passkey configurada en un iPhone funciona también en un escritorio Linux. Parece beneficiar solo a quienes usan una sola plataforma

    • Si registraste varios dispositivos o sincronizaste, sí se puede recuperar; si no, fuera del proceso de recuperación de cuenta no hay otra forma. Al final no mejora nada frente a una contraseña

  • Al final, las passkeys son un diseño excesivamente complejo. Si aceptas el lock-in algunos problemas disminuyen, pero aparecen restricciones nuevas. TOTP es una alternativa realista

    • TOTP es molesto, pero da control al usuario. Por eso hice yo mismo la extensión de Chrome LazyOTP para poder usarlo como autenticación única

  • Las passkeys son una gran solución para la mayoría de los usuarios comunes. Eliminan la complejidad de gestionar contraseñas o reutilizarlas, y además simplifican el inicio de sesión.
    Incluso desde una perspectiva técnica, la experiencia de inicio de sesión rápida y fluida se siente mucho mejor

    • Pero si pierdes o dañas el dispositivo, se bloquea el acceso a todas tus cuentas. Una contraseña en papel no tiene ese problema
    • La mayor ventaja de las passkeys es su capacidad de defensa contra phishing. No puedes enviar credenciales a un dominio incorrecto
    • Aun así, no está claro el proceso de sincronización de claves secretas entre PC y teléfono. Al final parece una estructura totalmente atada al ecosistema de Apple
    • En realidad, todavía no he visto una implementación que funcione de manera perfectamente fluida entre varias plataformas

  • Yo ya había montado con anticipación un sistema de password manager y 2FA, y ahora siento que toda esa inversión de esfuerzo quedó en nada por la presión de migrar a passkeys. No me gusta este entorno tecnológico en el que cuanto más te preparaste con antelación, más sales perjudicado