### Guía avanzada para crear, gestionar y proteger passkeys en distintos entornos en 2025
—
#### 1. Introducción
La introducción de los passkeys como mecanismo de autenticación sin contraseña ha supuesto un cambio de paradigma en la seguridad digital. En 2025, la adopción de passkeys se ha acelerado tanto en entornos corporativos como domésticos, dado que permiten autenticar usuarios de forma robusta, minimizando los riesgos inherentes a las contraseñas tradicionales. Sin embargo, su uso seguro y eficiente requiere la comprensión de su ciclo de vida completo: creación, almacenamiento, sincronización y protección en múltiples plataformas.
—
#### 2. Contexto del Incidente o Vulnerabilidad
El auge de los passkeys surge como respuesta a vulnerabilidades recurrentes asociadas a contraseñas: ataques de phishing, reutilización de credenciales, y brechas de datos. Los principales actores tecnológicos —Apple, Google y Microsoft— han implementado soporte nativo para passkeys, basados en los estándares FIDO2/WebAuthn, permitiendo la autenticación multifactorial sin depender de secretos estáticos susceptibles de ser robados o comprometidos.
No obstante, la transición masiva hacia passkeys ha generado nuevos retos: incompatibilidades entre plataformas, exposición de claves privadas en dispositivos comprometidos y problemas de sincronización segura en entornos multiplataforma.
—
#### 3. Detalles Técnicos
**Estándares y Frameworks:**
Los passkeys se basan en la combinación de FIDO2 (Fast IDentity Online 2) y WebAuthn. Cada passkey consiste en un par de claves asimétricas (pública-privada), donde la clave privada reside en el dispositivo del usuario y nunca abandona el entorno seguro (TPM, Secure Enclave, Trusted Platform Module).
**Vectores de Ataque:**
– **Compromiso de dispositivo:** Si un endpoint es infectado con malware avanzado (por ejemplo, mediante técnicas MITRE ATT&CK T1059 o T1546), la clave privada podría ser extraída o utilizada sin consentimiento.
– **Phishing avanzado:** Aunque los passkeys mitigan el phishing tradicional, los atacantes han comenzado a desplegar proxies WebAuthn para realizar ataques Man-in-the-Middle (MITM), intentando interceptar procesos de autenticación.
– **Sincronización insegura:** Los riesgos se incrementan si la sincronización de passkeys entre dispositivos no utiliza canales cifrados de extremo a extremo.
**Indicadores de Compromiso (IoC):**
– Accesos inusuales a almacenes de claves (Keychain, Credential Manager, etc.).
– Análisis de logs que detecten intentos de exportación de claves privadas.
– Integración de frameworks de ataque como Metasploit con módulos específicos para explotar debilidades en implementaciones FIDO2.
**Versiones y plataformas:**
– **Apple iOS/macOS:** Soporte nativo desde iOS 16/macOS Ventura; passkeys sincronizados vía iCloud Keychain.
– **Google Android:** Passkeys gestionados desde Google Password Manager, sincronización vía cuenta Google.
– **Windows:** Windows Hello integra passkeys desde Windows 11 22H2, soportando autenticación biométrica y almacenamiento seguro en TPM.
—
#### 4. Impacto y Riesgos
La incorrecta gestión de passkeys puede exponer tanto a usuarios individuales como a organizaciones a ataques sofisticados. Un estudio de Gartner (2024) estima que para 2025, el 60% de los accesos corporativos sensibles migrarán a esquemas sin contraseña, pero sólo el 35% de las empresas aplicará controles robustos de gestión y auditoría sobre passkeys.
Los riesgos principales incluyen la pérdida de acceso (si el usuario pierde todos los dispositivos sincronizados), la propagación de accesos no autorizados a través de dispositivos sincronizados y el cumplimiento normativo, especialmente bajo la nueva directiva NIS2, que exige autenticación fuerte y trazabilidad.
—
#### 5. Medidas de Mitigación y Recomendaciones
– **Activar sincronización cifrada:** Verificar que la sincronización de passkeys entre dispositivos utilice cifrado de extremo a extremo (E2EE).
– **Gestión de dispositivos confiables:** Mantener inventario actualizado de dispositivos autorizados y revocar inmediatamente los que se pierdan o comprometan.
– **Auditoría de accesos:** Integrar registros de autenticación WebAuthn en SIEMs para monitoreo y detección de actividad anómala.
– **Backup seguro:** Utilizar soluciones de backup que permitan recuperar passkeys en caso de pérdida de dispositivos, pero que no permitan la extracción masiva de claves privadas.
– **Formación y concienciación:** Capacitar a usuarios y administradores sobre la nueva superficie de ataque y las mejores prácticas.
—
#### 6. Opinión de Expertos
Según Elena García, CISO de una multinacional europea, “Los passkeys suponen una mejora significativa en la protección frente al phishing, pero requieren una estrategia de gestión y gobierno sólida, especialmente en empresas con BYOD (Bring Your Own Device) y acceso remoto”.
Por su parte, el analista de amenazas Javier Martín (S21sec) advierte: “Estamos detectando nuevos kits de phishing dirigidos a implementar proxies WebAuthn. El reto ahora no es solo tecnológico, sino de concienciación y respuesta ante incidentes”.
—
#### 7. Implicaciones para Empresas y Usuarios
Para las empresas, la adopción de passkeys implica adaptar políticas de acceso, actualizar procedimientos de onboarding/offboarding y garantizar cumplimiento con GDPR y NIS2. Los usuarios deben familiarizarse con la gestión de passkeys en distintos ecosistemas y estar preparados para recuperar el acceso de forma segura. La interoperabilidad entre plataformas será clave para evitar bloqueos de acceso y garantizar la continuidad operativa.
—
#### 8. Conclusiones
El despliegue masivo de passkeys en 2025 marca un hito en la evolución de la autenticación digital. Aunque mitigan muchos riesgos de las contraseñas, su correcta gestión, almacenamiento y sincronización exigen nuevos controles técnicos y organizativos. La colaboración entre fabricantes, CISOs y usuarios avanzados será esencial para maximizar el potencial de los passkeys y minimizar la exposición a amenazas emergentes.
(Fuente: www.kaspersky.com)