Durante décadas, la contraseña ha sido nuestro escudo digital. Sin embargo, en la era de los pagos instantáneos y la interconexión, este método se ha convertido en el eslabón más débil de la seguridad. La solución está aquí, y se llama Passkey (o Llave de Acceso).
Desde Evertec, analizamos esta tendencia que promete transformar la autenticación en el ecosistema financiero.
1. ¿Qué es una Passkey y cómo funciona?
Una Passkey es una credencial digital criptográfica que permite al usuario iniciar sesión en sitios web y aplicaciones sin la necesidad de escribir una contraseña.
Las Passkeys representan la implementación del estándar FIDO (Fast IDentity Online), respaldado por gigantes tecnológicos como Apple, Google y Microsoft, que busca reemplazar definitivamente la autenticación basada en contraseñas por algo más seguro y amigable.
El Funcionamiento clave: criptografía asimétrica
A diferencia de las contraseñas (que se almacenan y se pueden filtrar), una Passkey utiliza un par de claves criptográficas:
- Clave pública: Es almacenada por el sitio web o servicio (por ejemplo, el portal de tu banco o una fintech). Esta clave es segura, pública y no puede usarse para iniciar sesión.
- Clave privada: Se almacena de forma segura en el dispositivo del usuario (teléfono, tablet o PC) y está protegida por la biometría del dispositivo (huella dactilar, Face ID o PIN). Nunca se comparte con el servidor.
Al iniciar sesión, el servicio envía un desafío al dispositivo. El dispositivo lo firma con la clave privada y el servidor lo verifica con la clave pública. ¡La contraseña nunca viaja por la red!
2. Por qué Passkeys prometen superar sistemas anteriores
La superioridad de las Passkeys reside en solucionar los tres grandes problemas de la seguridad tradicional: la usabilidad, el fraude y la complejidad.
A. Protección avanzada contra Phishing
El phishing (robo de credenciales a través de sitios falsos) es la principal causa de brechas de seguridad.
- Contraseñas: Son vulnerables a múltiples riesgos: pueden ser robadas, adivinadas o introducidas en sitios falsos, entre otros métodos. Por ello, es fundamental reforzar su seguridad con prácticas como autenticación multifactor y gestores de contraseñas.
- Passkeys: Están vinculadas criptográficamente al servicio web de la empresa donde deseas iniciar sesión. Si un usuario intenta usar su Passkey en un sitio de phishing que no pertenece a ese servicio, simplemente no funcionará. Esto hace que los intentos de phishing sean ineficaces.
B. Adiós a las contraseñas olvidadas y débiles
Las Passkeys eliminan la fatiga de la contraseña:
- Simplificación: No hay nada que recordar, te auténticas con tu huella o rostro.
- Seguridad: Las claves criptográficas son mucho más robustas que cualquier combinación de letras y números que un humano pueda recordar.
C. Autenticación Multifactor (MFA) integrada de forma NATIVA
Mientras que el MFA tradicional suele requerir un segundo paso como un código enviado por SMS, susceptible a ser interceptado u obtenido mediante ingeniería social, la Passkey integra en un solo paso la prueba de posesión del dispositivo y la prueba de identidad (biometría), de forma automática. Es MFA nativo, sin fricción para el usuario y con mayor seguridad frente a ataques.
3. El Impacto de Evertec en el ecosistema
La adopción masiva de Passkeys no solo mejorará la seguridad del consumidor, sino que también tendrá un impacto profundo en la infraestructura de pagos:
- Mayor confianza en E-commerce: Al reducir el fraude por phishing, las tasas de conversión en transacciones digitales aumentarán.
- Integración fluida: Estamos atentos a la evolución de estos estándares para asegurar que sus plataformas de procesamiento emisor y adquirente estén listas para la autenticación Passkey, garantizando que el onboarding de clientes y las transacciones sigan siendo fluidas y seguras.
- Simplificación para Fintechs: Las fintechs que trabajan con nosotros podrán adoptar esta tecnología más rápido, ofreciendo una experiencia de usuario de clase mundial.
Conclusión
Las Passkeys no son solo una mejora, son un cambio de paradigma impulsado por la industria. Reemplazar la contraseña por la criptografía asimétrica y la biometría es un paso decisivo hacia un ecosistema de pagos verdaderamente seguro y sin fricciones.
