--- url: 'https://www.corbado.com/es/faq/se-pueden-hackear-las-passkeys' title: '¿Se pueden hackear las Passkeys?' description: 'Descubre si las passkeys pueden ser hackeadas, cuán seguras son y qué las convierte en una alternativa más segura para la autenticación de usuarios. Comprende los riesgos potenciales y las protecciones.' lang: 'es' keywords: 'hacking passkey, passkey hackeada, seguridad passkey, vulnerabilidades passkey' --- # ¿Se pueden hackear las Passkeys? ## ¿Se pueden hackear las Passkeys? Las Passkeys, por diseño, son significativamente más seguras que las contraseñas tradicionales y son mucho más difíciles de hackear debido a su naturaleza criptográfica. Sin embargo, como cualquier tecnología, no son completamente inmunes a ciertas vulnerabilidades. > - **Las Passkeys son más seguras que las contraseñas** debido a su base criptográfica. > - Las Passkeys **eliminan** los riesgos asociados con ataques de **phishing**, > **man-in-the-middle**, **fuerza bruta**, **replay** y **credential stuffing**. --- ### Entendiendo la seguridad de las Passkeys Las Passkeys se basan en el estándar WebAuthn y utilizan [criptografía de clave pública](https://www.corbado.com/es/blog/webauthn-pubkeycredparams-credentialpublickey) para autenticar a los usuarios sin depender de contraseñas tradicionales. Esto las hace inherentemente más seguras contra amenazas comunes como el [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) y los ataques de fuerza bruta. He aquí por qué las passkeys se consideran seguras: - **Infraestructura de Clave Pública:** Las Passkeys utilizan un par de claves pública-privada, donde la clave privada nunca sale del dispositivo del usuario, lo que hace casi imposible que los atacantes la intercepten. - **Eliminación de Contraseñas:** Dado que las passkeys no dependen de secretos compartidos (como contraseñas), eliminan el riesgo de reutilización de credenciales, una vulnerabilidad común en los sistemas basados en contraseñas. - **Protección contra Phishing:** Los ataques de [phishing](https://www.corbado.com/glossary/phishing) son ineficaces contra las passkeys porque una passkey siempre está vinculada al origen (ID del [relying party](https://www.corbado.com/glossary/relying-party)) para el que fue creada. - **Sin Credential Stuffing:** Las Passkeys son únicas para cada servicio y solo la clave pública se almacena en el servidor. Esto significa que, en caso de que un [relying party](https://www.corbado.com/glossary/relying-party) sea comprometido, no tiene ningún impacto en otros relying parties. - **Sin Ataques de Fuerza Bruta:** Las Passkeys se basan en criptografía asimétrica y no pueden ser adivinadas, lo que las hace inmunes a los ataques de fuerza bruta. - **Sin Ataques Man-in-the-Middle:** Los ataques man-in-the-middle no son factibles con las passkeys porque la clave privada utilizada para la [autenticación](https://www.corbado.com/es/glossary/jwks) nunca sale del dispositivo del usuario, asegurando que no se transmita información sensible que pueda ser interceptada o alterada. - **SIN Ataques Replay:** Los ataques replay no son posibles con las passkeys porque cada sesión de [autenticación](https://www.corbado.com/es/glossary/jwks) genera un desafío criptográfico único y de un solo uso que no puede ser reutilizado o replicado por un atacante. Sin embargo, aunque las passkeys ofrecen una [seguridad](https://www.corbado.com/es/blog/como-eliminar-contrasenas-por-completo) superior, no son completamente inmunes al hacking: - **Ataques a la Cadena de Suministro:** Un dispositivo comprometido a nivel del fabricante podría ser manipulado para filtrar claves criptográficas. - **Ingeniería Social:** Aunque el [phishing](https://www.corbado.com/glossary/phishing) es menos efectivo, los atacantes aún podrían usar técnicas de ingeniería social para engañar a los usuarios y que creen passkeys para sitios web maliciosos. - **Robo de Sesión**: Las Passkeys hacen que la parte de [autenticación](https://www.corbado.com/es/glossary/jwks) sea segura y sencilla para los usuarios. Sin embargo, dependiendo de la implementación del [relying party](https://www.corbado.com/glossary/relying-party), la sesión aún podría ser robada y utilizada para fines maliciosos. ---