¿Qué son las passkeys y por qué importan?
Las passkeys, también conocidas como llaves de acceso sin contraseña, son credenciales criptográficas generadas en el dispositivo del usuario y vinculadas al sitio web o aplicación correspondiente. A diferencia de las contraseñas tradicionales, no requieren que el usuario recuerde una cadena de texto; se pueden activar mediante reconocimiento facial, huellas dactilares o una llave física de seguridad. Esta capa adicional de biometría y la ausencia de información que pueda ser escrita o capturada hacen que las passkeys sean mucho más resistentes a ataques de phishing y a robos masivos de bases de datos.
El proyecto "whyNoPasskeys" que pone el foco en los rezagados
El investigador de seguridad Scott Helme lanzó whynopasskeys.com, un sitio que enumera a las compañías que aún no ofrecen esta tecnología a sus usuarios. Helme explicó que una lista pública funciona como un fuerte motivador: "Nadie quiere verse mencionado en una lista de escándalos de seguridad". La herramienta clasifica a una de cada cuatro aplicaciones de gran relevancia que siguen confiando únicamente en contraseñas.
Gigantes que ya apoyan la transición
Empresas como Apple, Google y Microsoft aparecen en la parte positiva del ranking, pues sus ecosistemas permiten a los usuarios registrar passkeys de forma nativa y sincronizar la información entre dispositivos. Estas plataformas impulsan la adopción masiva al integrar la funcionalidad directamente en los navegadores y sistemas operativos.
Los rezagados más visibles
Entre los nombres que aparecen en la lista destacan Instagram, Netflix y Spotify. En el caso de Instagram, la opción está disponible únicamente si la cuenta está vinculada a un perfil de Facebook que ya haya activado una passkey, lo que crea una barrera adicional para la mayoría de los usuarios. Tanto Netflix como Spotify no ofrecen, hasta la fecha, ninguna alternativa basada en passkeys, lo que obliga a sus millones de suscriptores a seguir confiando en contraseñas vulnerables.
¿Por qué las empresas siguen sin adoptarlas?
Algunas de las razones citadas incluyen la complejidad percibida para integrar la infraestructura, la falta de presión regulatoria y la incertidumbre sobre la experiencia del usuario. Sin embargo, la tendencia global indica que la presión de los consumidores y la evidencia de ataques de gran escala están acelerando la necesidad de migrar a métodos sin contraseña.
El llamado a la acción
Helme invita a los desarrolladores y responsables de producto a revisar sus flujos de autenticación y considerar la implementación de passkeys como una medida preventiva esencial. La lista no solo sirve para avergonzar, sino también para educar al mercado sobre la urgencia de adoptar estándares más seguros.