Cuando vimos la llegada de las passkeys hace un par de años hubo cierta confusión. La premisa era cambiar texto memorizado por una verificación biométrica. En la práctica no sabíamos cómo iba a implementarse exactamente.
En este tiempo, muchos servicios las han adoptado. Y he aprovechado para forzarme a usarlas siempre que un servicio las integrase para saber cuál es su estado del arte.
Es agridulce.
Al principio parecían estupendas. Configurar una passkey en mi iPhone para acceder a PayPal, por ejemplo, fue instantáneo. Con Face ID, como para verificar cualquier pago o acceso sensible. Transmitía seguridad y prometía dejar de depender de memorizar o gestionar contraseñas. Parecía el futuro.
Sin embargo, pronto surgieron los problemas. Cuando estuve catando la Surface Pro 11 me vi en un callejón sin salida: la passkey estaba encerrada en mi ecosistema Apple. Fue frustrante.
Naturalmente pude acceder usando mi contraseña habitual, pero no esperaba encontrar un agujero tan temprano en mi experiencia full passkeys: la conveniencia multiplataforma se evaporó.
La fragmentación entre plataformas es evidente. Google, Apple y Microsoft han implementado las mismas passkeys, sí, pero de forma dispar. El resultado: jardines amurallados. No hay interoperabilidad real. Cada gigante parece más interesado en retener a sus usuarios en su ecosistema que en proporcionar una solución realmente universal.
Los desarrolladores tampoco lo tienen fácil. Resulta que hacer una correcta implementación de las passkeys es bastante complicado, según contaba DHH. Se quejan de que la documentación es confusa y de que todavía no hay una implementación perfecta. El resultado: experiencias inconsistentes o bugs.
Para el usuario promedio, las passkeys pueden ser...
- Muy convenientes, ya que es el tipo de usuario que no usa un gestor de contraseñas...
- ...pero también confusas. El concepto de claves públicas y privadas no es intuitivo.
La mayoría de la gente lleva décadas asociando los inicios de sesión a tener algo que recordar. En su cabeza, en un postit o en 1Password. Con las passkeys esto se convierte en intangible. Y si pierdes el acceso a tu dispositivo principal, recuperar las cuentas puede ser una pesadilla. No hay un proceso de recuperación estandarizado, el problema se cronifica.
Las llaves de seguridad físicas son una solución aparentemente compatible, pero su capacidad de almacenamiento es muy limitada y la experiencia de uso tampoco es homogénea.
Un aspecto positivo que reconozco a las passkeys es su resistencia al phishing. Es virtualmente imposible que un atacante pueda robar nuestra passkey mediante una web falsa. Por otro lado, la recuperación de cuentas y la herencia digital lo tienen un poco más complicado con esta herramienta.
Mi veredicto, tras unos meses usando passkeys siempre que tuviese la opción, es mixto. Por un lado, tienen potencial y virtudes inherentes, pero creo que no están listas para ser un reemplazo completo de las contraseñas. La tecnología necesita madurar y las implementaciones deben estandarizarse.
Puedo entender que Spotify y Apple Music no se hablen entre sí para dificultar la migración entre ellas, pero no puedo entender que Google, Apple y Microsoft no pongan facilidades reales para usar passkeys desde cualquier dispositivo en cualquier momento.
Un gestor de contraseñas sigue siendo una solución mucho mejor, más fiable y más rápida, y es lo que sigo usando y sigo recomendando.
El futuro sin contraseñas que prometen las passkeys sigue siendo incierto. La idea es prometedora, la ejecución necesita mejorar. Sobre todo con una mayor colaboración entre las grandes tecnológicas mediante un enfoque centrado en el usuario. Hasta entonces, las passkeys siguen lejos de ser la panacea.
En Xataka | Cuidado con el WiFi de los aviones: hay estafadores que crean redes falsas en los vuelos
Imagen destacada | Google
Ver 8 comentarios