La seguridad digital entra en una nueva era sin contraseñas

La seguridad digital entra en una nueva era sin contraseñas

Las passkeys son un método de autenticación sin contraseñas basado en claves criptográficas que mejora la seguridad digital. Eliminan el riesgo de robo de credenciales, reducen el fraude y optimizan la experiencia en pagos digitales y servicios financieros al validar la identidad directamente desde el dispositivo del usuario.

Durante décadas, las contraseñas han sido el principal mecanismo de protección en el entorno digital. Han estado presentes en prácticamente todas las etapas de nuestra vida en línea, desde el acceso al correo electrónico hasta las compras, pasando por aplicaciones bancarias y plataformas de servicios. Sin embargo, el avance del fraude, las filtraciones de datos y las técnicas de ingeniería social han puesto en duda la eficacia real de este modelo.

En 2025, investigadores del portal de ciberseguridad Cybernews identificaron más de 19 mil millones de combinaciones de usuarios y contraseñas expuestas en cerca de 30 grandes bases de datos accesibles en internet, que reunían información filtrada a lo largo de distintos incidentes en todo el mundo. El análisis también señala que aproximadamente el 94% de estas contraseñas eran reutilizadas o duplicadas en múltiples servicios, mientras que solo el 6% correspondía a combinaciones únicas, un escenario que amplifica significativamente el impacto de cada filtración.

Estas cifras evidencian cómo el modelo tradicional basado en contraseñas se ha convertido en uno de los principales vectores de riesgo en el entorno digital. Incluso con inversiones en mecanismos de defensa, las credenciales siguen siendo el objetivo preferido en ataques de phishing e ingeniería social. En el sector de pagos, esta vulnerabilidad adquiere una dimensión aún mayor.

En el sistema financiero, la fragilidad de las contraseñas combina el problema tecnológico con un riesgo que impacta directamente la seguridad patrimonial y la confianza de los usuarios.

Brasil registró 10,8 millones de intentos de fraude hasta septiembre de 2025, según el Indicador de Intentos de Fraude de Serasa Experian, con una proyección de más de 14 millones de casos hasta finales del año. Bancos e instituciones financieras son objetivo de 6 de cada 10 intentos de fraude con tarjetas. Esto equivale a un incidente cada 2,2 segundos, cifras que reflejan la escala y la creciente sofisticación de las acciones delictivas.

Ante este escenario, el sector ha buscado mitigar riesgos mediante múltiples capas de protección, como la autenticación multifactor, la biometría y el monitoreo del comportamiento. La tokenización, por ejemplo, ha representado un avance significativo al sustituir información sensible, como el BIN de la tarjeta, por códigos temporales sin valor fuera de su contexto, reduciendo el impacto de las filtraciones en las transacciones.

Sin embargo, aunque estas soluciones fortalecen la protección de datos y pagos, muchas aún dependen de la contraseña como punto inicial de autenticación. Y es precisamente en esta etapa donde reside la fragilidad estructural. La creciente complejidad de las credenciales, con exigencias de combinaciones largas, caracteres especiales y cambios frecuentes, ha incrementado la fricción para el usuario, pero no ha eliminado el riesgo.

A medida que los pagos se vuelven más integrados, instantáneos e invisibles en la experiencia del consumidor, impulsados por Open Finance, billeteras digitales y embedded finance, la dependencia de contraseñas se convierte en un obstáculo tanto para la seguridad como para la experiencia. Es en este contexto donde surgen las passkeys.

Cómo funcionan las passkeys

Las passkeys, o claves de acceso, se basan en un modelo criptográfico que sustituye el uso de contraseñas por un sistema de claves digitales. Cuando un usuario se registra en un servicio, se generan dos claves: una pública, almacenada en los servidores de la empresa, y una privada, protegida en el dispositivo del usuario.

Esta clave privada nunca se comparte y solo puede utilizarse tras una autenticación local, como reconocimiento facial, huella digital u otro mecanismo de seguridad del dispositivo. Esto significa que, incluso en caso de una brecha de seguridad, no existen contraseñas que puedan ser robadas. Sin acceso al dispositivo, el atacante no puede suplantar al usuario.

El consumidor solo necesita confirmar su identidad en su propio dispositivo para acceder a servicios o autorizar pagos de manera rápida y segura. Para el sector de pagos, la adopción de passkeys representa una redefinición del modelo de confianza.

Con una autenticación más robusta, se reducen significativamente los riesgos de secuestro de cuentas, transacciones no autorizadas y fraudes basados en ingeniería social. Al mismo tiempo, la eliminación de contraseñas reduce barreras, mejora la experiencia y contribuye a mejores tasas de conversión.

Además, modelos de autenticación más avanzados refuerzan las estrategias de prevención de fraude y ayudan a las instituciones a cumplir con requisitos regulatorios cada vez más estrictos. En un entorno de pagos instantáneos, Open Finance y servicios financieros embebidos, la identidad digital se convierte en uno de los principales activos del sistema. Y no es posible construir la próxima generación del sector sobre un modelo de autenticación concebido hace décadas.