Saltar al contenido principal
Seguridad Web
10 de febrero de 2026
6 min de lectura

Autenticación: Más allá de las contraseñas

Passkeys, OAuth, 2FA y otras formas de proteger tus cuentas sin volverte loco

¿Cuántas contraseñas tienes? Si eres como la mayoría, probablemente demasiadas. Y si eres honesto, seguramente reutilizas algunas porque es imposible recordar 50 contraseñas diferentes.

El problema es que las contraseñas son un sistema roto. Son incómodas para los usuarios y relativamente fáciles de robar para los atacantes. Por eso el mundo tecnológico está buscando alternativas, y 2026 podría ser el punto de inflexión.

El problema con las contraseñas

Las contraseñas tienen varios problemas fundamentales:

Son vulnerables al phishing: Un atacante te envía un email que parece de tu banco, haces clic en el enlace, introduces tu contraseña... y ya está. El atacante tiene tus credenciales.

Se reutilizan: Cuando te piden crear una contraseña "segura" con mayúsculas, números y símbolos, ¿qué haces? Usas la misma que en otros sitios, o una variación menor. Y si un sitio es hackeado, todas tus cuentas con esa contraseña están en riesgo.

Se olvidan: La gente olvida contraseñas constantemente. Esto genera frustración, pérdida de acceso a cuentas y sobrecarga para los servicios de soporte.

Son predecibles: A pesar de los requisitos, las contraseñas más comunes siguen siendo "123456" y "password". Los humanos somos predecibles.

La autenticación de dos factores (2FA): un parche necesario

Para compensar las debilidades de las contraseñas, surgió la autenticación de dos factores: además de algo que sabes (la contraseña), necesitas algo que tienes (tu móvil, normalmente).

El método más común es el SMS con un código. Introduces tu contraseña, te llega un código al móvil, lo escribes, y ya estás dentro.

Pero el 2FA por SMS también tiene problemas:

  • Los mensajes pueden ser interceptados
  • Tu número puede ser clonado (SIM swapping)
  • Es incómodo y añade fricción


    • Por eso muchos expertos recomiendan usar apps de autenticación (como Google Authenticator o Authy) en lugar de SMS. Son más seguras, aunque menos cómodas.

    Passkeys: el futuro sin contraseñas

    Aquí es donde entran los passkeys. Impulsados por Apple, Google, Microsoft y la Alianza FIDO, los passkeys son un sistema de autenticación que elimina la necesidad de contraseñas.

    ¿Cómo funcionan?

    En lugar de recordar una contraseña, tu dispositivo genera un par de claves criptográficas: una pública (que se comparte con el servicio) y una privada (que nunca sale de tu dispositivo).

    Cuando quieres iniciar sesión:

  • 1El servicio envía un desafío a tu dispositivo
  • 2Tu dispositivo lo firma con la clave privada
  • 3El servicio verifica la firma con la clave pública
  • 4Si coincide, estás dentro


    • Para ti, el proceso es simple: desbloqueas con tu huella, tu cara o el PIN de tu dispositivo, igual que lo desbloqueas normalmente. No hay nada que recordar ni que escribir.

    ¿Por qué son más seguros?

    Inmunes al phishing: Como la clave privada nunca sale de tu dispositivo, no puedes "dársela" a un atacante aunque quisieras. El passkey solo funciona con el sitio legítimo para el que fue creado.

    Únicos para cada sitio: Cada servicio tiene su propio passkey. No hay reutilización posible.

    Protegidos por biometría: Para usarlos necesitas tu huella, tu cara o tu PIN. Un atacante necesitaría acceso físico a tu dispositivo Y tu biometría.

    La adopción está creciendo

    A finales de 2025, casi el 70% de los usuarios tenían al menos un passkey configurado. Y las regulaciones están acelerando el cambio:

  • Los Emiratos Árabes Unidos exigen que las entidades financieras eliminen los códigos SMS para marzo de 2026
  • India tiene fecha límite en abril de 2026
  • Filipinas en junio de 2026
  • La EU Digital Identity Wallet llegará a finales de 2026

    • OAuth: cuando inicias sesión con Google o Facebook

    Probablemente lo has usado cientos de veces: "Iniciar sesión con Google", "Continuar con Facebook", "Entrar con Apple".

    OAuth es un protocolo que permite a un servicio verificar tu identidad a través de otro servicio en el que ya estás autenticado. En lugar de crear una nueva cuenta con usuario y contraseña, delegas la autenticación a Google, Apple, etc.

    Ventajas

  • Menos contraseñas que recordar
  • Los grandes proveedores suelen tener buena seguridad
  • Puedes revocar el acceso fácilmente desde tu cuenta de Google/Apple/etc.

    • Riesgos

  • Si tu cuenta de Google es comprometida, todas las cuentas vinculadas están en riesgo
  • Existe el "consent phishing": atacantes que te engañan para que conectes apps maliciosas a tu cuenta
  • Dependes de un tercero para acceder a tus servicios


    • OAuth3, la nueva versión del protocolo, promete resolver algunas de estas limitaciones con mejores garantías criptográficas.

    CAPTCHA: molesto pero necesario

    Esos puzzles de "selecciona todas las imágenes con semáforos" tienen un propósito: distinguir humanos de bots.

    Los bots automatizados pueden probar miles de contraseñas por segundo, crear cuentas falsas o inundar formularios. El CAPTCHA añade una barrera que los humanos superamos fácilmente pero que complica la vida a los bots.

    El problema es que también complica nuestra vida. Por eso han evolucionado hacia sistemas más sutiles como Cloudflare Turnstile, que verifican si eres humano analizando tu comportamiento sin necesidad de resolver puzzles.

    Recomendaciones prácticas

    Para usuarios

  • 1Activa los passkeys donde estén disponibles (Google, Apple, Microsoft ya los soportan)
  • 2Usa un gestor de contraseñas para las cuentas que todavía requieran contraseñas
  • 3Activa 2FA en todas las cuentas importantes, preferiblemente con app de autenticación, no SMS
  • 4No reutilices contraseñas nunca, especialmente en servicios críticos (banco, email principal)

    • Para desarrolladores y negocios

  • 1Implementa passkeys como opción de autenticación
  • 2Ofrece 2FA y fomenta su uso
  • 3Evalúa OAuth cuidadosamente: es cómodo, pero dependes de terceros
  • 4Usa CAPTCHA o alternativas para proteger formularios de bots
  • 5Prepárate para las regulaciones que vienen (especialmente si operas en Europa o con clientes europeos)

    • El futuro: hacia un mundo sin contraseñas

    Las contraseñas tienen los días contados, aunque la transición será gradual. Los passkeys ofrecen una alternativa más segura y más cómoda a la vez, algo poco habitual en seguridad.

    Si todavía no has probado los passkeys, te animo a hacerlo. La próxima vez que un servicio te ofrezca la opción, acéptala. Una vez que te acostumbras, no querrás volver a escribir contraseñas.

    El futuro de la autenticación es sin contraseñas. Y ese futuro está más cerca de lo que crees.

    Etiquetas

    #seguridad#passkeys#autenticación#contraseñas#2FA

    ¿Te ha resultado útil?

    Explora más artículos en el tablón

    Volver al tablón