Cada vez que iniciamos sesión en una cuenta o desbloqueamos un dispositivo, se nos exige demostrar que estamos autorizados para acceder a él. Históricamente, esa prueba ha adoptado la forma de una contraseña: una cadena secreta que necesitamos memorizar o almacenar en un gestor de contraseñas.
Una Llave de acceso se diferencia de una contraseña en que vincula el acceso a algo que posees físicamente —un token criptográfico almacenado en tu teléfono, portátil o llave de seguridad— junto con un factor biométrico, como una huella digital o un escaneo facial.
Una forma habitual de describir la diferencia es:
- Contraseña = algo que sabes
- Llave de acceso = algo que tienes + quien eres
Aunque ambos métodos te dan acceso, la forma en que logran ese objetivo es distinta y puede afectar significativamente a la seguridad y la usabilidad.
¿Qué es una Llave de acceso?
Una Llave de acceso es como una contraseña que vive en tu dispositivo y que las cuentas en las que inicias sesión pueden verificar mediante criptografía. Las Llaves de acceso se basan en el estándar FIDO2 (definido por la FIDO Alliance(ventana nueva)) y la API WebAuthn.
Así funciona:
Cuando se crea una Llave de acceso, tu gestor de contraseñas genera un par de claves criptográficas: una clave pública y una clave privada.
- La clave pública se comparte con el servicio en el que te estás registrando.
- La clave privada permanece en tu gestor de contraseñas o dispositivo y nunca sale de él.
Durante un intento de inicio de sesión, el servicio emite un desafío aleatorio. Tu dispositivo utiliza la clave privada de tu dispositivo para firmar ese desafío, produciendo una respuesta que solo la clave privada correspondiente podría generar. Luego, el servicio verifica la firma con la clave pública almacenada previamente, lo que confirma que eres el titular legítimo de la cuenta.
Como la clave privada nunca sale de tu dispositivo, un sitio de suplantación no puede engañarte para que la entregues, lo que hace que las Llaves de acceso sean intrínsecamente resistentes a la suplantación.
Lee más sobre las Llaves de acceso
Comparativa de seguridad: Llave de acceso frente a contraseña
Que uses una contraseña o una Llave de acceso depende de varios factores. No todos los sitios web ofrecen Llaves de acceso como opción. Pero en los sitios web que sí lo hacen, hay varias razones para plantearte el cambio.
Las Llaves de acceso se consideran más seguras que las contraseñas porque la clave secreta nunca sale de tu dispositivo. Aunque alguien te engañe con un sitio falso, robe tráfico de red o intente un ataque de fuerza bruta, no podrá obtener la clave privada: se guarda dentro de tu teléfono, ordenador o una llave de seguridad física. Siempre que protejas el dispositivo con un PIN, huella digital u otra forma de autenticación de dos factores (2FA) y dispongas de un método de recuperación fiable, una Llave de acceso te proporciona una configuración de seguridad más sólida y más resistente a la suplantación que una contraseña normal.
| Función | Llaves de acceso | Contraseñas |
| Método de autenticación | Criptografía de clave pública (clave privada almacenada en el dispositivo) | Cadena secreta memorizada por el usuario |
| Resistencia a la suplantación | Alta | Baja |
| Opciones de recuperación | Copia de seguridad del dispositivo, flujo de recuperación de la cuenta | Restablecimiento por correo electrónico, preguntas de seguridad |
| Experiencia de usuario | Biometría o PIN | Escritura o relleno automático |
| Compatibilidad | En crecimiento | Soporte universal |
| Vulnerabilidad por reutilización | Siempre única para cada sitio | Problema común |
Usabilidad y experiencia de usuario de la Llave de acceso
Además de las ventajas de seguridad de usar una Llave de acceso, hay otros beneficios:
- Las Llaves de acceso hacen que iniciar sesión sea más rápido porque el flujo de autenticación se reduce a un solo toque o una sola mirada, lo que elimina la fricción de ingresar contraseñas manualmente o restablecer contraseñas olvidadas.
- Muchos gestores de contraseñas pueden sincronizar de forma segura las Llaves de acceso entre tus dispositivos. Como resultado, una Llave de acceso creada en un smartphone puede usarse en un portátil, una tableta u otro teléfono sin necesidad de un nuevo registro. Proton Pass funciona en cualquier plataforma o dispositivo, por lo que puedes usar Llaves de acceso en cualquier sitio web que las admita.
Inconvenientes y casos límite de la Llave de acceso
Aunque las Llaves de acceso ofrecen una gran seguridad y una experiencia de inicio de sesión sin fricción, no son una solución milagrosa. Sigue habiendo algunas situaciones en las que usar una Llave de acceso puede plantear dificultades.
Pérdida y recuperación del dispositivo
Si el dispositivo en el que está almacenada tu Llave de acceso se pierde, te lo roban o se daña, tendrás que depender de mecanismos de copia de seguridad para recuperar el acceso. Recuperar una Llave de acceso suele requerir un dispositivo secundario o una Frase de recuperación, así que, si no tienes un flujo de recuperación bien diseñado, corres el riesgo de perder el acceso a tus cuentas.
Lagunas de adopción
Algunos sitios web y aplicaciones no han implementado los estándares WebAuthn/FIDO2 que hacen posibles las Llaves de acceso. Incluso entre los que sí lo han hecho, el soporte para Llaves de acceso puede estar limitado a determinados ecosistemas o sistemas operativos.
Limitaciones del hardware antiguo
Los dispositivos heredados, como smartphones antiguos, portátiles sin sensores biométricos o navegadores que carecen de soporte para WebAuthn, no pueden generar ni almacenar Llaves de acceso.
¿Cuándo sigo necesitando una contraseña?
Además de tener una contraseña configurada como respaldo, hay algunas situaciones en las que una contraseña tradicional es necesaria como método principal de acceso.
1. Sitios sin soporte para Llave de acceso
Hasta que la adopción de la Llave de acceso esté generalizada, puede que sigas necesitando recurrir a contraseñas para algunos sitios. En este caso, puedes configurar métodos 2FA, como un OTP, para aumentar la seguridad.
2. Escenarios de ordenadores públicos o compartidos
Si no estás usando tu propio dispositivo, ingresar una contraseña (idealmente combinada con 2FA) permite un acceso temporal sin dejar credenciales persistentes.
3. Políticas organizativas y requisitos de cumplimiento
Las normativas de la empresa, incluidos los estándares gubernamentales o financieros, pueden exigir configuraciones multifactor que sigan incluyendo un componente de contraseña, o imponer una rotación periódica de contraseñas con fines de auditoría. Además, las soluciones corporativas de inicio de sesión único (SSO) a veces integran las Llaves de acceso solo como un factor opcional, mientras que las contraseñas siguen siendo la credencial principal.
Cómo adoptar las Llaves de acceso
Pasarte a las Llaves de acceso es relativamente sencillo.
- Activa el soporte para Llave de acceso en tu sistema operativo
- Descarga un gestor de contraseñas
- Elige un gestor de contraseñas que admita el almacenamiento de Llaves de acceso, como Proton Pass.
- Añade Llaves de acceso a tu gestor de contraseñas
- Importa Llaves de acceso existentes o crea otras nuevas directamente desde la aplicación.
- Registra Llaves de acceso en servicios compatibles
- Cuando te registres o inicies sesión en un sitio que ofrezca “Iniciar sesión con Llave de acceso”, selecciona esa opción.
- Configura un método de recuperación
- Activa un dispositivo secundario para almacenar una copia de la Llave de acceso y toma nota de cualquier Frase de recuperación que proporcione el servicio.
Preguntas frecuentes
¿Puedo usar una Llave de acceso si no tengo un gestor de contraseñas?
Sí, puedes. La mayoría de los sistemas operativos modernos almacenan Llaves de acceso localmente (iCloud Keychain en dispositivos Apple, Google Password Manager en Android y Windows Hello en Windows). Un gestor de contraseñas específico puede simplificar la sincronización entre dispositivos y proporcionar una capa adicional de copia de seguridad, pero no es obligatorio para usar Llaves de acceso.
¿Puedo usar Llaves de acceso en dispositivos antiguos?
Las Llaves de acceso requieren que el sistema operativo y el navegador tengan soporte para los estándares WebAuthn/FIDO2. Las plataformas modernas (iOS 15+, Android 14+, versiones recientes de macOS, Windows 10 1903+ y versiones actualizadas de Chrome/Edge/Firefox/Safari) funcionan de inmediato. Los teléfonos antiguos, los navegadores heredados o los dispositivos anteriores a iOS 15/Android 13 carecen de ese soporte, por lo que no podrías usar una Llave de acceso en esos dispositivos.
¿Cuál es la diferencia entre una Llave de acceso y un token físico?
Una Llave de acceso es una credencial almacenada en un dispositivo o en un gestor de contraseñas y sincronizada de forma segura entre tus dispositivos. Un token físico (por ejemplo, una YubiKey) es una llave de hardware independiente que necesitas insertar en tu dispositivo. Un token físico no almacena la clave privada en el dispositivo host, lo que ofrece aislamiento, pero requiere que lleves el token contigo y administres las copias de seguridad. Ambas opciones proporcionan autenticación sin contraseña y resistente a la suplantación, pero las Llaves de acceso priorizan la comodidad y la sincronización, mientras que los tokens físicos priorizan el aislamiento del hardware.
¿Puedo usar una Llave de acceso en mi PC con Windows?
Sí, las versiones modernas de Windows 10/11 admiten Llaves de acceso a través de Windows Hello. Después de activar “Inicio de sesión sin contraseña” en Ajustes, puedes registrarte y autenticarte con una huella digital, reconocimiento facial o un PIN que desbloquea la clave privada almacenada en el módulo de plataforma segura (TPM). Un TPM es un pequeño chip resistente a manipulaciones integrado en la mayoría de los PC modernos, portátiles y algunas tabletas. Su finalidad es proporcionar una raíz de confianza de hardware para operaciones críticas de seguridad.
¿Qué pasa si pierdo mi teléfono?
Si tu teléfono contiene la única copia de una Llave de acceso, necesitarás un método de copia de seguridad configurado de antemano para recuperar el acceso. Normalmente, se trata de otro dispositivo, un gestor de contraseñas o una Frase de recuperación proporcionada por el servicio. Sin una copia de seguridad, tendrás que seguir el flujo de recuperación de cuenta del servicio.
