¿Se pueden hackear las Passkeys?
Vincent
Created: June 3, 2025
Updated: June 18, 2025
¿Se pueden hackear las Passkeys?#
Las Passkeys, por diseño, son significativamente más seguras que las contraseñas tradicionales y son mucho más difíciles de hackear debido a su naturaleza criptográfica. Sin embargo, como cualquier tecnología, no son completamente inmunes a ciertas vulnerabilidades.
- Las Passkeys son más seguras que las contraseñas debido a su base criptográfica.
- Las Passkeys eliminan los riesgos asociados con ataques de phishing, man-in-the-middle, fuerza bruta, replay y credential stuffing.
Entendiendo la seguridad de las Passkeys#
Las Passkeys se basan en el estándar WebAuthn y utilizan criptografía de clave pública para autenticar a los usuarios sin depender de contraseñas tradicionales. Esto las hace inherentemente más seguras contra amenazas comunes como el phishing, credential stuffing y los ataques de fuerza bruta. He aquí por qué las passkeys se consideran seguras:
-
Infraestructura de Clave Pública: Las Passkeys utilizan un par de claves pública-privada, donde la clave privada nunca sale del dispositivo del usuario, lo que hace casi imposible que los atacantes la intercepten.
-
Eliminación de Contraseñas: Dado que las passkeys no dependen de secretos compartidos (como contraseñas), eliminan el riesgo de reutilización de credenciales, una vulnerabilidad común en los sistemas basados en contraseñas.
-
Protección contra Phishing: Los ataques de phishing son ineficaces contra las passkeys porque una passkey siempre está vinculada al origen (ID del relying party) para el que fue creada.
-
Sin Credential Stuffing: Las Passkeys son únicas para cada servicio y solo la clave pública se almacena en el servidor. Esto significa que, en caso de que un relying party sea comprometido, no tiene ningún impacto en otros relying parties.
-
Sin Ataques de Fuerza Bruta: Las Passkeys se basan en criptografía asimétrica y no pueden ser adivinadas, lo que las hace inmunes a los ataques de fuerza bruta.
-
Sin Ataques Man-in-the-Middle: Los ataques man-in-the-middle no son factibles con las passkeys porque la clave privada utilizada para la autenticación nunca sale del dispositivo del usuario, asegurando que no se transmita información sensible que pueda ser interceptada o alterada.
-
SIN Ataques Replay: Los ataques replay no son posibles con las passkeys porque cada sesión de autenticación genera un desafío criptográfico único y de un solo uso que no puede ser reutilizado o replicado por un atacante.
Sin embargo, aunque las passkeys ofrecen una seguridad superior, no son completamente inmunes al hacking:
-
Ataques a la Cadena de Suministro: Un dispositivo comprometido a nivel del fabricante podría ser manipulado para filtrar claves criptográficas.
-
Ingeniería Social: Aunque el phishing es menos efectivo, los atacantes aún podrían usar técnicas de ingeniería social para engañar a los usuarios y que creen passkeys para sitios web maliciosos.
-
Robo de Sesión: Las Passkeys hacen que la parte de autenticación sea segura y sencilla para los usuarios. Sin embargo, dependiendo de la implementación del relying party, la sesión aún podría ser robada y utilizada para fines maliciosos.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
