El fin de las contraseñas: ¿Qué sigue después de password123

Seamos honestos: todos hemos estado ahí. Intentas entrar a tu cuenta de banco, el sistema te rechaza la contraseña, pruebas con las otras tres variaciones que usas en todo, ninguna funciona, terminas haciendo "olvidé mi contraseña" por décima vez este mes, te llega un correo con un enlace que expira en 15 minutos, cambias la contraseña, y dos semanas después el ciclo se repite.

Las contraseñas son un desastre. Lo sabemos, lo sufrimos, y seguimos usándolas porque durante décadas no hubo alternativa real. Pero eso está cambiando. Passkeys, biometría, tokens de seguridad, autenticación multifactor... el arsenal de tecnologías que prometen enterrar para siempre a "Juanito123" está aquí. La pregunta es si realmente funcionará o si estamos simplemente cambiando un dolor de cabeza por otro.

Por qué las contraseñas ya no sirven

El problema fundamental con las contraseñas es que están diseñadas para un mundo que ya no existe. Cuando se inventaron en los años 60, tenías una cuenta, quizás dos. Hoy el usuario promedio tiene más de 100 cuentas online. Nadie puede recordar 100 contraseñas diferentes, todas complejas, todas únicas.

Entonces la gente hace lo obvio: reutiliza la misma contraseña en todas partes, o usa variaciones mínimas. "Password123" para el correo, "Password1234" para la banca, "Password12345" para Netflix. Y cuando un sitio les hackea y roban su base de datos —lo cual pasa constantemente— tu contraseña queda expuesta en la dark web junto con millones de otras.

Los números son brutales. Según el Data Breach Investigations Report de Verizon para 2025, el 81% de las brechas de seguridad involucran contraseñas robadas o débiles. Y de todas las contraseñas comprometidas que analizan, solo el 3% cumplía requisitos mínimos de complejidad. No es que la gente sea estúpida, es que el sistema es imposible de usar correctamente a escala humana.

Y eso sin contar el phishing. ¿Cuántas veces has recibido un correo que parece legítimo pidiéndote que "verifiques tu cuenta"? La página se ve idéntica a la real, introduces tu contraseña, y acabas de entregarle tus credenciales a un estafador. Cada año caen millones de personas en esto. Porque las contraseñas son algo que puedes entregar, algo que puede ser robado.

Microsoft bloquea 7,000 ataques a contraseñas por segundo. Sí, por segundo. El año pasado bloqueaban la mitad. La cosa está empeorando, no mejorando.

 

Enter passkeys: La tecnología que lo cambia todo (en teoría)

Los passkeys son básicamente una forma de autenticarte sin usar contraseñas. En lugar de escribir "Perro2024!", tu dispositivo y el servidor intercambian claves criptográficas que demuestran que eres tú. Suena complicado, pero en la práctica es tan simple como desbloquear tu celular con la huella o Face ID.

Funciona así: cuando creas una cuenta en un sitio compatible, tu dispositivo genera dos claves matemáticas. Una es pública y se queda en el servidor. La otra es privada y nunca sale de tu teléfono o computadora. Cuando quieres entrar, el servidor te manda un desafío criptográfico, tu dispositivo lo resuelve usando la clave privada, y listo. Acceso concedido.

La belleza de esto es que la clave privada nunca viaja por internet. No puede ser interceptada, no puede ser robada en una brecha de datos, y no puede ser entregada accidentalmente en un sitio de phishing. Si intentas usar tu passkey en un sitio falso, simplemente no funciona porque la clave está vinculada específicamente al dominio legítimo.

Y la experiencia del usuario es increíblemente fluida. En lugar de teclear contraseñas complejas, solo desbloqueas tu dispositivo. Google reporta que sus passkeys son 40% más rápidas que las contraseñas. TikTok dice que sus usuarios inician sesión hasta 17 veces más rápido. Microsoft afirma que los usuarios tienen tres veces más éxito al entrar con passkeys que con contraseñas porque no hay nada que olvidar o teclear mal.

La tecnología existe desde hace tiempo —los estándares fueron desarrollados por la FIDO Alliance— pero la adopción masiva comenzó en serio cuando Apple, Google y Microsoft se pusieron de acuerdo en 2022 para implementarla en todos sus sistemas operativos. Que esos tres gigantes coincidan en algo es casi un milagro, lo cual da idea de lo roto que está el sistema actual.

Para 2026, más de mil millones de personas ya han activado al menos un passkey. Google reporta más de 800 millones de cuentas usándolos. Amazon alcanzó 175 millones de usuarios en su primer año. Servicios como WhatsApp, Uber, eBay, y cientos de otros ya los soportan. Los bancos están empezando a adoptarlos porque reducen fraude dramáticamente.

Pero... y siempre hay un pero

Aquí es donde la teoría choca con la realidad. Porque los passkeys, a pesar de toda su promesa tecnológica, tienen problemas serios de implementación. Y no son problemas técnicos menores, son obstáculos que están frenando la adopción masiva.

El primer problema es la fragmentación de ecosistemas. Apple, Google y Microsoft acordaron soportar passkeys, pero cada uno lo hizo a su manera, empujando hacia su propia solución de sincronización. Si creas un passkey en Chrome en tu computadora Windows, no puedes usarlo en tu iPhone. Si lo configuras en Safari en tu Mac, está atado a ese navegador. La solución oficial —escanear códigos QR entre dispositivos— es torpe y no siempre funciona.

Es irónico. Los passkeys se vendieron como un estándar universal, pero terminaron siendo otra batalla territorial entre las grandes tecnológicas. Apple quiere que uses iCloud Keychain, Google empuja Google Password Manager, Microsoft prefiere que uses Windows Hello. Todos funcionan bien... dentro de su propio jardín amurallado.

El segundo problema es que los passkeys no reemplazan las contraseñas, solo las complementan. Todos los servicios que ofrecen passkeys también mantienen contraseñas como método de respaldo. ¿Por qué? Porque si pierdes tu dispositivo, o si este se daña, o si simplemente necesitas entrar desde una computadora pública, necesitas una forma alternativa de acceso. Y esa forma alternativa sigue siendo... una contraseña.

Entonces en lugar de eliminar el problema, ahora tienes dos sistemas corriendo en paralelo. Y como los métodos de respaldo siguen siendo vulnerables (SMS que pueden ser interceptados, correos que pueden ser hackeados), el sistema sigue teniendo los mismos huecos de seguridad de antes.

El tercer problema es la curva de aprendizaje. Para usuarios que llevan décadas usando contraseñas, cambiar a un sistema completamente diferente es confuso. ¿Dónde se guardan mis passkeys? ¿Qué pasa si cambio de teléfono? ¿Cómo los recupero? Los mensajes de error varían entre servicios porque no hay estándares claros de UX. Y cuando algo sale mal —y con tecnología nueva, siempre sale algo mal— el usuario promedio no sabe qué hacer.

Hay hilos enteros en GitHub de gente que no puede registrarse porque "el espacio para passkeys está lleno". Hay usuarios que reportan problemas al sincronizar entre dispositivos. Otros dicen que la experiencia con códigos QR es frustrantemente inconsistente.

Y el cuarto problema, quizás el más insidioso, es que los passkeys crean dependencia. Una vez que adoptas passkeys de un proveedor específico, cambiar a otro se vuelve complicado. Tienes que volver a registrarte en cada servicio, crear nuevos passkeys, reconfigurar todo desde cero. Es otra forma de lock-in, otra manera de que las grandes tecnológicas te aten a su ecosistema.

La promesa incumplida

Andrew Shikiar, CEO de FIDO Alliance, predijo que para 2025 habría 20 mil millones de cuentas con passkeys. La cifra real está en 15 mil millones. Es un número impresionante, pero sigue siendo un 25% menos de lo proyectado. Y más importante: la mayoría de esas cuentas todavía usan contraseñas como método principal, con passkeys como opción alternativa.

Ars Technica publicó un análisis demoledor a principios de 2025 titulado básicamente "los passkeys iban a ser el futuro, pero seguimos atrapados en el pasado". La tecnología es sólida, pero la implementación es un desastre. Los gigantes tecnológicos convirtieron lo que debería ser un estándar simple en una guerra por control de usuario.

Sectores que se esperaba que adoptaran passkeys rápidamente —aerolíneas, cadenas hoteleras— siguen usando contraseñas tradicionales. Shikiar expresó decepción pública por esto. Y es que tiene sentido: implementar una nueva tecnología de autenticación en sistemas que tienen décadas de antigüedad es caro, complejo, y arriesgado. ¿Para qué cambiar si lo viejo sigue funcionando... más o menos?

Biometría: Conveniente pero no perfecta

Mientras tanto, la biometría —huellas digitales, reconocimiento facial, escaneo de iris— se ha convertido en el método de autenticación por defecto en la mayoría de los dispositivos modernos. Y funciona bien para desbloquear tu teléfono o aprobar un pago. Pero tiene sus propios problemas.

Primero, la privacidad. Tu huella digital o tu cara son datos biométricos que no puedes cambiar. Si alguien hackea una base de datos con tus datos biométricos, no es como resetear una contraseña. Esos datos son tuyos para siempre. Algunos sistemas almacenan los datos biométricos localmente en el dispositivo (como Face ID de Apple), otros los envían a servidores. La diferencia importa.

Segundo, la biometría no es infalible. Los sistemas de reconocimiento facial pueden ser engañados con fotografías de alta calidad o máscaras impresas en 3D. Los lectores de huellas tienen tasas de error. Y si tienes las manos mojadas, guantes, o simplemente un corte en el dedo, de repente tu método "infalible" de autenticación deja de funcionar.

Tercero, hay contextos donde la biometría es inapropiada. ¿Quieres que tu jefe pueda obligarte a desbloquear tu teléfono personal con tu cara? ¿Confías en que aeropuertos o fronteras que usan reconocimiento facial manejen tus datos responsablemente? Hay implicaciones de derechos humanos que apenas estamos empezando a explorar.

Tokens físicos: La solución old school que sigue funcionando

Otra alternativa son las llaves de seguridad físicas —pequeños dispositivos USB o NFC que usas para autenticarte. Google las usa internamente desde hace años y reporta cero brechas de seguridad exitosas vía phishing desde que las implementó.

El problema es obvio: son físicas. Puedes perderlas, olvidarlas en casa, que te las roben. Y si solo tienes una, quedarte sin acceso a todas tus cuentas. La solución es tener varias de respaldo, pero entonces estamos de vuelta al problema de gestionar múltiples credenciales.

Para usuarios técnicos o empresas con altos requisitos de seguridad, los tokens físicos son excelentes. Para el usuario promedio que solo quiere revisar su correo, son demasiado engorrosos.

Autenticación multifactor: El compromiso actual

Por ahora, el consenso de la industria es que la autenticación multifactor (MFA) es el camino. Combinas dos o más de estos elementos: algo que sabes (contraseña), algo que tienes (teléfono, token), algo que eres (biometría).

Entras a tu banco con contraseña, te mandan un código al celular, lo introduces, y listo. O usas contraseña más huella digital. O passkey más PIN. La idea es que incluso si un factor es comprometido, los otros mantienen la cuenta segura.

Funciona. Reduce dramáticamente el riesgo de acceso no autorizado. Pero también añade fricción. Cada paso extra es una oportunidad para que el usuario se frustre y abandone el proceso. Por eso muchos servicios hacen MFA opcional en lugar de obligatoria, lo cual derrota parcialmente el propósito.

Y algunos métodos de segundo factor son vulnerables. Los SMS pueden ser interceptados con ataques de SIM swapping. Los códigos enviados por correo pueden ser comprometidos si tu email ya está hackeado. Aplicaciones de autenticación como Google Authenticator son más seguras, pero requieren configuración y muchos usuarios no se molestan.

¿Entonces qué sigue realmente?

La verdad incómoda es que no hay una solución mágica en el horizonte inmediato. Las contraseñas van a seguir existiendo durante años, probablemente décadas, aunque cada vez más relegadas a método de respaldo.

Los passkeys eventualmente se convertirán en el estándar, pero solo cuando las grandes tecnológicas decidan cooperar realmente en lugar de competir. Necesitamos portabilidad real entre ecosistemas. Necesitamos gestores de contraseñas que sincronicen passkeys entre plataformas sin importar quién los fabrica. Y necesitamos experiencias de usuario que no requieran un título en informática para entender.

La biometría seguirá mejorando. Los sensores serán más precisos, los algoritmos más sofisticados, las medidas de privacidad más robustas. Pero nunca será una solución universal porque hay contextos donde simplemente no es apropiada.

Lo más probable es que vivamos en un mundo híbrido. Passkeys para la mayoría de los accesos cotidianos. Biometría como método principal de desbloqueo de dispositivos. Tokens físicos para cuentas de alto valor o sensibilidad extrema. Contraseñas como última red de seguridad cuando todo lo demás falla.

Y mientras tanto, necesitas un gestor de contraseñas. Es 2026 y seguimos necesitando gestores de contraseñas porque el futuro sin contraseñas todavía está... en el futuro.

Lo que puedes hacer ahora

Si quieres adelantarte al cambio, aquí está lo práctico:

Activa passkeys en los servicios que ya los soportan. Google, Apple, Microsoft, Amazon, bancos grandes. La mayoría ya tienen la opción. Es más seguro que contraseñas y eventualmente será el estándar.

Usa un gestor de contraseñas confiable. 1Password, Bitwarden, el que prefieras. Genera contraseñas únicas para cada sitio, las almacena seguras, y sincroniza entre dispositivos. Muchos ya están empezando a soportar passkeys también.

Activa autenticación de dos factores donde sea posible. Preferiblemente con una app autenticadora, no SMS. Es la mejor protección que tienes hoy contra acceso no autorizado.

No reutilices contraseñas. Jamás. Ni siquiera variaciones. Si un sitio es hackeado, todos los sitios donde usaste esa contraseña quedan comprometidos.

Mantén actualizado tu sistema operativo y navegador. Las vulnerabilidades de seguridad se parchean constantemente. Un sistema desactualizado es una invitación a problemas.

El futuro llegará cuando llegue. Mientras tanto, la seguridad es responsabilidad de cada usuario con las herramientas disponibles hoy.

La muerte anunciada que tarda en llegar

Las contraseñas están condenadas. Todo el mundo lo sabe, incluidos quienes las defienden. Son un sistema de los años 60 intentando proteger un mundo de 2026. No funciona, nunca funcionó realmente bien, y cada año que pasa el problema empeora.

Pero la transición hacia algo mejor está siendo más lenta y complicada de lo que nadie anticipó. Porque cambiar infraestructura fundamental de internet no es como instalar una app. Requiere coordinación masiva entre empresas que compiten entre sí, adaptación de millones de sistemas legados, y convencer a billones de usuarios que adopten nuevos hábitos.

Los passkeys son probablemente la mejor apuesta a largo plazo. La tecnología es sólida, la seguridad es superior, y la experiencia de usuario puede ser excelente cuando se implementa bien. Pero "cuando se implementa bien" es la frase clave ahí.

Mientras las grandes tecnológicas sigan priorizando control de ecosistema sobre interoperabilidad real, mientras los servicios mantengan contraseñas como respaldo indefinidamente, mientras los usuarios sigan confundidos sobre cómo funciona todo esto, la muerte de las contraseñas seguirá siendo anunciada pero nunca consumada.

Quizás en cinco años, o diez, finalmente podamos decir adiós definitivo a "password123". Por ahora, ese futuro sigue estando justo fuera de alcance, visible pero no tangible. Y todos seguimos reseteando contraseñas olvidadas mientras esperamos.

 

Francisco Barcala. 

Actor. Director. Escritor. Acting Coach.

Instagram: @culturageneralconBarcala

Facebook: http://facebook.com/culturageneralparatodos

Blog: http://culturageneralconbarcala.blogspot.com