HayCanal.com

Las passkeys y la biometría cuestionan más que nunca la vigencia de las contraseñas

Las passkeys y la biometría cuestionan más que nunca la vigencia de las contraseñas

Hace bastantes años que se viene hablando de las contraseñas como un sistema de seguridad de la identidad obsoleto, que acabará desapareciendo, dada su vulnerabilidad.

Sin embargo, seguimos viéndonos obligados a utilizarlas en múltiples entornos informáticos y digitales. Ahora, no obstante, un nuevo informe revela un declive de aquellos métodos de determinación de la identidad empresarial, frente a un auge de la combinación de passkeys y biometría.

Sophos, líder mundial en soluciones de seguridad innovadoras para combatir los ciberataques, advierte que las campañas de phishing son hoy procesos automatizados, personalizados e impulsados por inteligencia artificial que explotan el comportamiento humano antes que las vulnerabilidades técnicas.

Según el informe Sophos Active Adversary Report 2026, el 67% de los incidentes analizados en 2025 tuvieron su origen en ataques relacionados con la identidad. Las credenciales comprometidas, por sí solas, fueron la causa principal en el 42% de los casos -por segundo año consecutivo-, mientras que los atacantes son capaces de alcanzar el Active Directory corporativo en apenas 3,4 horas tras el acceso inicial. El modelo de seguridad basado en contraseñas ha quedado estructuralmente obsoleto.

Credenciales comprometidas, ataques de fuerza bruta, phishing y otras tácticas aprovechan debilidades que no pueden resolverse únicamente con parches. Las organizaciones deben adoptar un enfoque proactivo en la seguridad de la identidad”, apunta Álvaro Fernández, Director de Ventas en Sophos Iberia.

Passkeys: criptografía en lugar de secretos compartidos

Las passkeys redefinen el modelo de confianza en la autenticación. Cuando un usuario se registra, su dispositivo genera un par de claves criptográficas: una privada, almacenada de forma segura en el propio dispositivo, y una pública compartida con el servicio.

Al iniciar sesión, el dispositivo firma la solicitud con la clave privada y el servicio verifica la firma con la pública. No se teclea, transmite ni expone ninguna credencial. Esta arquitectura debería convertirse en una prioridad estratégica, ya que ofrece la defensa más sólida disponible hoy frente al phishing y al robo de identidades. Desde el lanzamiento del soporte de passkeys en Sophos Central, más del 20% de todas las autenticaciones en la plataforma utilizan ya claves de acceso.

Biometría y deepfakes: el nuevo frente de la autenticación

La biometría no reemplaza a la criptografía, sino que actúa como mecanismo seguro y cómodo para desbloquear la clave privada almacenada en el dispositivo del usuario, generalmente mediante huella dactilar o reconocimiento facial.

Esta combinación ofrece una autenticación más robusta y sencilla, con beneficios operativos directos: la reducción de restablecimientos de contraseñas y bloqueos de cuentas libera recursos de los equipos de soporte. Sin embargo, a medida que la autenticación biométrica se generaliza, los atacantes evolucionan con ella: los ataques de presentación basados en deepfakes -que utilizan fotos, vídeos o contenido multimedia sintético- son cada vez más sofisticados, por lo que los sistemas modernos responden con técnicas de detección de vida (liveness detection) activa y pasiva para diferenciar entre usuarios reales y suplantaciones.

Privacidad y cumplimiento normativo, desde el diseño

El 59% de los incidentes investigados por Sophos en 2025 carecía de MFA o la tenía mal configurada; un dato que muestra cómo la seguridad de la identidad sigue siendo una asignatura pendiente en la mayoría de organizaciones. El uso de datos biométricos exige además garantías sólidas de privacidad: a diferencia de una contraseña, un identificador biométrico no puede cambiarse si se ve comprometido. Las implementaciones actuales resuelven esto almacenando únicamente plantillas cifradas o representaciones matemáticas -nunca datos biométricos en bruto-, y en muchas arquitecturas esos datos no salen jamás del dispositivo del usuario, facilitando el cumplimiento del RGPD.

La autenticación ha dejado de ser un control técnico para convertirse en una prioridad estratégica de seguridad. La identidad es hoy la principal superficie de ataque, y las organizaciones que no adapten su arquitectura de identidad adoptando passkeys y autenticación resistente al phishing estarán asumiendo un mayor riesgo”, concluye Fernández.

Tecnología Ciberseguridad Vulnerabilidades Inteligencia Artificial Biometría Automatización Phishing Privacidad

Otras noticias de interés

Noticias que marcan tendencia en el sector IT

1. Microsoft presenta sus iniciativas para Aragón

2. Exclusive Networks aúna esfuerzos con Fortinet para la formación y certificación del canal

3. Kaspersky presenta sus resultados económicos correspondientes a 2025

4. TrendAI presenta su estrategia de ciberseguridad para la era de la inteligencia artificial

5. El canal para la inversión en inteligencia artificial

Últimas Noticias

1. Elementos tecnológicos de la nueva interpretación de la Defensa 5.0

2. Las passkeys y la biometría cuestionan más que nunca la vigencia de las contraseñas

3. Liferay lanza un nuevo sistema de gestión de contenidos digitales

4. Konica Minolta celebró su Convención Nacional de Distribuidores en Valencia

5. Opentix digitaliza con éxito dbGest mediante Sage Despachos

Nombramientos