Google advierte a 2 mil millones de usuarios: el fin de la era de las contraseñas. Protege el mundo con "passkeys".

Google advierte a 2 mil millones de usuarios: el fin de la era de las contraseñas. Protege el mundo con "passkeys".

2025年06月22日 14:39

Índice

  1. ¿Qué es una clave de acceso? - Diferencias fundamentales con las contraseñas

  2. La realidad revelada por el incidente de fuga de 16 mil millones de datos

  3. La estrategia de Google de "clave de acceso por defecto"

  4. Explicación técnica: El funcionamiento de FIDO2/WebAuthn

  5. Situación de implementación mundial: Movimientos de Apple, Microsoft y sitios principales

  6. Perspectiva del usuario: Procedimientos de configuración y solución de problemas

  7. Para empresas y desarrolladores: Mejores prácticas de implementación y operación

  8. Privacidad y seguridad de la información biométrica

  9. Desafíos globales y despliegue en países en desarrollo

  10. Conclusión: El futuro después de las contraseñas


1. ¿Qué es una clave de acceso? - Diferencias fundamentales con las contraseñas

Una clave de acceso es una credencial de autenticación asimétrica que utiliza criptografía de clave pública, donde el usuario mantiene una clave privada y el servidor una clave pública. Debido a que la clave privada no se filtra fuera del dispositivo, es resistente a ataques de phishing y repetición.

Además, permite firmar con métodos de desbloqueo nativos del sistema operativo como huellas dactilares, reconocimiento facial o PIN, eliminando la carga de memoria y mejorando la experiencia de usuario. Según Google, la velocidad de inicio de sesión mejora aproximadamente un 40% en comparación con las contraseñas.blog.google



2. La realidad revelada por el incidente de fuga de 16 mil millones de datos

En junio de 2025, una investigación de Cybernews reveló que 30 conjuntos de datos masivos fueron expuestos, sumando un total de 16 mil millones de IDs y contraseñas en el mercado negro. Incluían credenciales reutilizadas en múltiples servicios como Google, Apple y Meta, y los expertos advierten que "se han filtrado dos credenciales de autenticación por cada ser humano".cbsnews.comm.economictimes.com



3. La estrategia de Google de "clave de acceso por defecto"

Desde octubre de 2023, Google ha establecido las claves de acceso como predeterminadas para cuentas personales, y para junio de 2025, planea expandir el alcance de 200 millones a 2 mil millones de usuarios. "Omitir la contraseña cuando sea posible" estará activado por defecto y será utilizable en servicios como Gmail, YouTube y Maps.

Google ha definido "las claves de acceso como la primera autenticación, y las contraseñas como legado".blog.googlefidoalliance.org



4. Explicación técnica: Cómo funciona FIDO2/WebAuthn

  • FIDO2: Intercambio de criptografía de clave pública entre el cliente (dispositivo compatible con CTAP2) y la plataforma (navegador).

  • WebAuthn API: Estándar de navegador invocado con JavaScript. Envía la clave pública al servidor durante el registro y devuelve la firma del desafío durante la autenticación.

  • Multifactor vs Multietapa: Las claves de paso combinan "posesión + biometría" en un solo paso de MFA.



5. Estado de adopción global: Movimientos de Apple, Microsoft y sitios principales

Apple se integra con iCloud Keychain a partir de iOS 17, Microsoft ofrece Windows Hello como autenticador FIDO2. eBay, Uber y WhatsApp completarán la compatibilidad con claves de paso para 2025. Los portales gubernamentales y las instituciones financieras de varios países también están realizando pruebas piloto.



6. Perspectiva del usuario: Procedimientos de configuración y solución de problemas

  1. Cuenta de Google → Seguridad → Claves de paso para generar.

  2. Sincronización automática en Android 14 y iOS 17 o posteriores.

  3. Para dispositivos antiguos, use una llave de seguridad FIDO (USB/NFC) como respaldo.

  4. Durante el cambio de dispositivo, transfiera de manera segura con iCloud o Google Password Manager.

  5. En caso de error, verifique la configuración de WebAuthn del navegador y el registro de autenticación biométrica del sistema operativo.



7. Para empresas y desarrolladores: Mejores prácticas de implementación y operación

  • Tener en cuenta el borrador de WebAuthn Level 3 y hacer obligatorio resident key.

  • Utilizar la API de aprovisionamiento para permitir la recuperación si el usuario pierde el dispositivo.

  • Diseñar una transición gradual como "solo claves de paso" o "claves de paso + OTP".

  • Incorporar "webauthn-signature-counter" en la auditoría de registros para detectar claves reutilizadas.



8. Privacidad y seguridad de la información biométrica

Las claves de paso no envían los datos biométricos en sí al servidor. El sistema operativo realiza la coincidencia localmente y solo devuelve un indicador de éxito o fracaso, por lo que las huellas dactilares o imágenes faciales no permanecen en la nube.Está diseñado para cumplir fácilmente con las regulaciones de protección de datos personales (GDPR, CCPA, Ley de Protección de Información Personal enmendada).



9. Desafíos globales y despliegue en países en desarrollo

En muchos casos, los dispositivos Android Go económicos y las PC públicas no están equipados con sensores biométricos. En estos casos, es necesario utilizar una combinación de PIN y llave de seguridad o recurrir a un OTP por SMS. Se informa que la Alianza FIDO planea publicar la especificación “Passkey Lite” en 2025 (implementación ligera para dispositivos de bajo rendimiento).



10. Conclusión: El futuro después de las contraseñas

  • Corto plazo: Los principales servicios web requerirán el uso de claves de acceso, y las contraseñas serán un medio de respaldo.

  • Mediano plazo: Los dispositivos con módulos de seguridad de hardware (TPM) se estandarizarán.

  • Largo plazo: Evolución hacia una infraestructura de autenticación "autosoberana" combinada con Identidades Descentralizadas (DID).


    La advertencia de Google marca el fin de una práctica centrada en contraseñas que ha durado 30 años. Es el momento de que todos los usuarios de internet del mundo actúen.


Lista de artículos de referencia

  • CBS News「16 billion login credentials from Google and other sites leaked online」(2025-06-20) cbsnews.com

  • The Economic Times「How to secure your Google account after the 16 billion passwords leaked」(2025-06-20) m.economictimes.com

  • Google Official Blog「Passwordless by default: Make the switch to passkeys」(2023-10-10) blog.google

  • MSN/FIDO Alliance「Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords」(2025-06-17) fidoalliance.org

← Volver a la lista de artículos