Una passkey es una credencial de inicio de sesión sin contraseña y resistente al phishing, basada en los estándares FIDO2 y WebAuthn. En lugar de escribir una contraseña que puede ser robada, adivinada o reutilizada, el usuario confirma su identidad con una huella dactilar, un escaneo facial o el PIN del dispositivo, mientras el par de claves criptográficas subyacente hace el resto. La clave privada nunca sale del dispositivo, por lo que no existe una base de datos de contraseñas que los atacantes puedan robar ni un secreto compartido que pueda ser suplantado por correo o una página de inicio de sesión falsa.
¿Por qué importa esto para las empresas justo ahora? Porque las passkeys pasaron de ser una comodidad para el consumidor a convertirse en un control de identidad empresarial central. Según la investigación 2026 de la FIDO Alliance, el 68% de las organizaciones ya implementaron o están implementando activamente passkeys para el inicio de sesión de empleados, y el 82% afirma que la autenticación totalmente sin contraseña es su meta final para la fuerza laboral. Apple, Google y Microsoft integraron soporte nativo de passkeys en sus plataformas, y las Pautas de Identidad Digital actualizadas del NIST ahora reconocen las passkeys sincronizadas como un método de autenticación resistente al phishing. Para los CIO y directores de TI, esto significa que las passkeys ya no son una tecnología experimental: son un reemplazo predominante de la contraseña y una pieza fundamental de cualquier estrategia moderna de zero trust.
¿En qué se diferencian las passkeys de la autenticación de dos factores tradicional? El MFA tradicional sigue partiendo de un secreto compartido, la contraseña, que puede ser suplantado, adivinado o filtrado, y simplemente agrega un segundo paso sobre esa base. Una passkey elimina por completo el secreto compartido. No hay nada que un atacante pueda robar de una brecha en un servidor ni nada que un empleado deba escribir en una página de inicio de sesión falsa, porque la autenticación ocurre mediante criptografía de clave pública vinculada al sitio o la aplicación específica que la solicita.
A pesar de años de capacitación en concientización sobre seguridad, las credenciales comprometidas siguen siendo la principal causa de brechas empresariales. Las contraseñas son suplantadas, reutilizadas entre cuentas personales y laborales, filtradas en brechas de terceros o evadidas por completo mediante ingeniería social y ataques de vishing asistidos por deepfakes. La autenticación multifactor ayuda, pero los códigos SMS y las notificaciones push aún pueden ser interceptados o aprobados accidentalmente por un empleado fatigado, una técnica conocida como fatiga de MFA.
El resultado es un panorama de amenazas donde los atacantes no necesitan romper el cifrado: simplemente inician sesión con las credenciales de otra persona. Esta es precisamente la brecha que los servicios de SOC gestionado y detección de amenazas de HIT están diseñados para cerrar, monitoreando la actividad de identidad y acceso las 24 horas para detectar inicios de sesión anómalos antes de que se conviertan en incidentes graves. Pero la detección por sí sola no es suficiente. Las empresas necesitan eliminar la contraseña de la ecuación siempre que sea posible, porque una credencial que no puede ser suplantada ni reutilizada no puede ser el punto de entrada para un operador de ransomware o un grupo de extorsión de datos.
¿Por qué las empresas deben actuar ahora y no después? Porque la misma investigación de 2026 muestra que los atacantes se mueven más rápido que nunca, con miles de nuevas vulnerabilidades divulgadas cada semana y bandas de ransomware que cada vez prefieren más el robo de datos sobre el cifrado, ya que los datos robados por sí solos son suficiente palanca para la extorsión. Cada cuenta basada en credenciales, desde el correo hasta la VPN y las aplicaciones de negocio, es un posible punto de entrada.
Implementar passkeys en una empresa mediana o grande es un proyecto por fases, no un simple interruptor que se activa de golpe. Las implementaciones exitosas suelen seguir una secuencia similar. Primero, el proveedor de identidad, ya sea Microsoft Entra ID, Okta u otra plataforma, se configura para aceptar credenciales FIDO2/WebAuthn junto con los métodos de autenticación existentes, de modo que nada se interrumpa para los usuarios durante el proceso. Segundo, los equipos de TI habilitan los autenticadores de plataforma ya integrados en los dispositivos de los empleados, como Windows Hello, Touch ID o Face ID, lo que permite que la mayoría del personal registre una passkey en segundos sin hardware adicional.
Tercero, los roles de mayor riesgo, como finanzas, administradores de TI y ejecutivos, reciben prioridad para el uso de llaves de seguridad físicas, lo que brinda una capa adicional de garantía para las cuentas que los atacantes buscan primero. Cuarto, se identifican las aplicaciones heredadas que aún no admiten FIDO2 y se les asigna una estrategia puente, a menudo mediante la capa de federación del proveedor de identidad, de modo que la cobertura sin contraseña se expanda sin dejar vacíos. Durante todo este proceso, la conectividad y la infraestructura subyacentes confiables son fundamentales: la verificación de identidad ocurre en tiempo real, por lo que la red y los sistemas sobre los que corre deben ser confiables, que es exactamente donde los servicios gestionados de TI de HIT respaldan a los equipos de TI empresariales durante la implementación y después.
Finalmente, la mayoría de las organizaciones ejecutan un grupo piloto, típicamente el personal de TI y seguridad, antes de expandirse a toda la compañía, y acompañan la implementación con una comunicación clara a los empleados que explique por qué ocurre el cambio y cómo funciona el registro. Un despliegue bien ejecutado normalmente toma algunos meses en una empresa mediana, no porque la tecnología sea complicada, sino porque la gestión del cambio, el mapeo de aplicaciones heredadas y la preparación de la mesa de ayuda deben avanzar de forma coordinada.
El argumento de negocio para las passkeys va mucho más allá de la seguridad. Las mesas de ayuda dedican habitualmente una parte significativa de su volumen de tickets a restablecer contraseñas, un costo totalmente evitable una vez que los empleados se autentican con una huella o el PIN del dispositivo en lugar de una cadena de caracteres que olvidan cada pocos meses. El inicio de sesión también es más rápido: un toque biométrico toma uno o dos segundos, frente a escribir, y a menudo reescribir, una contraseña compleja más un código de un solo uso.
En cuanto al riesgo, la autenticación resistente al phishing reduce directamente la exposición de la empresa a brechas basadas en credenciales, que siguen siendo el método de acceso inicial más costoso y común que utilizan los atacantes, según la inteligencia de amenazas de 2026. Esto importa aún más dado cómo la actividad de identidad y acceso se cruza cada vez más con los servicios de zero trust y detección gestionada en los que confían las empresas para detectar movimientos laterales a tiempo. Los equipos de cumplimiento también se benefician: las passkeys se alinean con las pautas del NIST sobre autenticación resistente al phishing y facilitan demostrar controles de acceso sólidos durante las auditorías.
Existe además una dimensión cultural y de talento que es fácil pasar por alto. Los empleados esperan cada vez más la misma experiencia de inicio de sesión sin fricción en el trabajo que ya usan en sus dispositivos personales, ya sea desbloquear un teléfono con la mirada o una huella. Obligar al personal a memorizar y rotar contraseñas complejas en un número creciente de aplicaciones empresariales genera una fricción real y, paradójicamente, fomenta las mismas conductas, como reutilizar contraseñas o anotarlas, que socavan la seguridad.
HIT Communications lleva más de 30 años ayudando a empresas en América Latina, Estados Unidos y Europa a construir entornos de TI y comunicaciones resilientes y seguros. A medida que las passkeys y la autenticación sin contraseña pasan de la etapa piloto a la producción, la práctica de ciberseguridad de HIT, que incluye monitoreo de SOC 24/7, correlación de SIEM y detección y respuesta gestionadas, brinda a las empresas la visibilidad necesaria para implementar una estrategia de identidad zero trust con confianza.
Dado que la autenticación sin contraseña depende de que los proveedores de identidad, la postura de los dispositivos y la conectividad confiable funcionen juntos, el equipo de servicios gestionados de TI e infraestructura en la nube de HIT puede respaldar el entorno subyacente del que depende su despliegue de passkeys, desde la gestión de dispositivos hasta el respaldo y la recuperación de los propios sistemas de identidad. Ya sea que una organización apenas comience a evaluar la autenticación FIDO2 o esté a mitad de un despliegue por fases, los ingenieros de HIT pueden evaluar la arquitectura de identidad actual, identificar aplicaciones heredadas que necesitan un plan puente y ayudar a diseñar una secuencia de implementación que minimice la interrupción para los usuarios finales.
Las contraseñas construyeron internet, pero nunca fueron diseñadas para resistir los kits de phishing, los bots de relleno de credenciales y la ingeniería social asistida por deepfakes de hoy. Las passkeys cierran esa brecha con una credencial criptográfica que no puede ser suplantada, reutilizada ni filtrada en una brecha de base de datos, y 2026 es el año en que la adopción empresarial pasa de programas piloto a un despliegue generalizado.
Las organizaciones que actúen primero dedicarán menos tiempo a lidiar con tickets de mesa de ayuda relacionados con contraseñas e investigaciones de brechas, y más tiempo enfocadas en el crecimiento. Si su empresa está lista para evaluar una estrategia de autenticación sin contraseña, o busca un socio que evalúe su postura actual de identidad y seguridad, contacte a HIT Communications para iniciar la conversación.

Descubre cómo podemos transformar tu empresa. ¡Habla con uno de nuestros expertos ahora!
Contáctanos