Sincronización segura de passkeys en Microsoft Password Manager

PCHardwarePro » Windows » Sincronización segura de passkeys en Microsoft Password Manager

Las passkeys y su sincronización segura en Microsoft Password Manager dentro de Edge y Windows se han convertido en una de las grandes apuestas de Microsoft para dejar atrás las contraseñas de toda la vida. Ya no se trata solo de comodidad: es una cuestión de reducir al mínimo robos de credenciales, ataques de phishing y todo el caos asociado a las contraseñas débiles o reutilizadas.

Con la llegada del soporte nativo de passkeys en Microsoft Edge (versión 142) y el Administrador de contraseñas de Microsoft, por fin se cierra parte de la brecha con otros grandes del sector. Ahora puedes crear, guardar y sincronizar claves de acceso entre equipos con Windows usando tu cuenta personal de Microsoft, apoyándote en Windows Hello, biometría y PIN, sin necesidad de recordar ni teclear contraseñas en cada inicio de sesión.

Qué es una passkey y por qué es más segura que una contraseña

Una passkey es, básicamente, una clave criptográfica que sustituye a las contraseñas tradicionales. En lugar de una cadena de caracteres que tienes que inventar, recordar y proteger, se genera un par de claves criptográficas: una pública, que se guarda en el servidor del servicio online, y otra privada, que se almacena de forma segura en tu dispositivo y nunca sale de él.

Esta tecnología se apoya en la criptografía de clave pública/privada y en los estándares FIDO2 y WebAuthn, impulsados por la FIDO Alliance, de la que Microsoft es miembro fundador. Los protocolos FIDO han sido diseñados precisamente para ofrecer autenticación fuerte, resistente al phishing y con foco en la privacidad, evitando que los proveedores de servicios puedan rastrear al usuario entre distintas webs o apps.

Cuando creas una cuenta con passkeys, tu dispositivo genera el par de claves. La clave pública se envía al servicio online (por ejemplo, una web compatible), mientras que la clave privada queda almacenada en un componente seguro del dispositivo: Secure Enclave en Apple, TPM (Trusted Platform Module) en Windows y Android o Samsung Knox en determinados móviles Galaxy. Es como tener una caja fuerte criptográfica separada del procesador principal.

Al iniciar sesión, el servicio lanza un desafío que tu dispositivo firma con la clave privada vinculada a ese dominio. Esa firma se envía de vuelta y el servidor la valida con la clave pública. El detalle importante: la clave privada nunca se transmite, y la firma incluye información contextual (por ejemplo, basada en el tiempo) que expira rápidamente, por lo que no se puede reutilizar aunque alguien intercepte el tráfico.

En la práctica, el usuario solo ve que el sistema le pide usar el mecanismo de desbloqueo del dispositivo (huella, reconocimiento facial, PIN, etc.). No hay que escribir nada, ni memorizar contraseñas complicadas, ni preocuparse de si otro servicio ha sufrido una brecha de datos, porque los servidores no guardan secretos reutilizables, solo claves públicas.

Ventajas de las passkeys frente a las contraseñas clásicas

Las passkeys tienen una serie de puntos fuertes que las convierten en un salto cualitativo respecto a las contraseñas. No solo mejoran la seguridad, también simplifican muchísimo la experiencia de uso en el día a día.

Para empezar, cada clave de acceso es única para cada web o aplicación. No se reutilizan como las contraseñas que solemos replicar en varios servicios. Esto elimina uno de los grandes agujeros: que al filtrarse una base de datos en un sitio, los atacantes prueben esos mismos credenciales en otros (los famosos ataques de relleno de credenciales).

Además, las passkeys son intrínsecamente fuertes y no dependen de tu memoria. No tienes que preocuparte por si son suficientemente largas o complejas, o si contienen mayúsculas, símbolos y demás. Se generan con criptografía de alta entropía, no se pueden adivinar y no se basan en datos personales tipo fechas de nacimiento o nombres de mascotas.

Otro beneficio clave es que las passkeys son resistentes al phishing. Aunque intentes iniciar sesión en una web falsa que imita a la original, el navegador y el sistema operativo solo presentarán la passkey al dominio correcto para el que fue creada. La clave privada no se “activa” para dominios no coincidentes, así que la web maliciosa se queda sin nada que robar.

Por último, hablamos de una autenticación multifactor integrada en un solo paso: algo que tienes (el dispositivo), algo que eres (biometría) o algo que sabes (PIN del dispositivo). Eso permite prescindir en muchos casos de códigos SMS, apps de autenticación o e-mails de verificación, reduciendo fricción sin bajar el listón de seguridad, más bien al contrario.

Passkeys, sincronización y ecosistemas: Apple, Google y Microsoft

La adopción de passkeys no se limita a Microsoft. Apple, Google y Microsoft han incorporado esta tecnología a sus ecosistemas, permitiendo que la experiencia de inicio de sesión sin contraseñas sea cada vez más común y natural para los usuarios.

En el caso de Apple, las passkeys se pueden usar en iPhone y iPad con iOS 16 o posterior, así como en Mac con macOS Ventura 13 o superior. Las claves privadas se sincronizan de forma cifrada a través de iCloud, de forma que las tengas disponibles en todos tus dispositivos Apple vinculados a la misma cuenta.

En Android, los dispositivos con Android 9 (Pie) o superior soportan passkeys gestionadas por Google Password Manager, que se encarga de sincronizarlas entre móviles, tablets y otros dispositivos Android conectados a la misma cuenta de Google. El desbloqueo se realiza mediante biometría o PIN del propio dispositivo.

En Windows, el papel protagonista lo tiene Windows Hello, que actúa como autenticador de plataforma. Permite crear y utilizar passkeys en Windows 10 y Windows 11, apoyándose en reconocimiento facial, huella dactilar o PIN para desbloquear la clave privada almacenada en el TPM.

Además, esta tecnología ya ha sido reconocida por el NIST (Instituto Nacional de Estándares y Tecnología) en sus guías SP 800-63B, incluyendo las passkeys sincronizadas como un mecanismo sólido y resistente al phishing. Este respaldo es clave para su adopción en sectores regulados como banca, sanidad o administraciones públicas, donde los requisitos de cumplimiento son muy estrictos.

Cómo funcionan las passkeys en Microsoft Edge y Microsoft Password Manager

Microsoft ha dado un paso importante integrando las passkeys directamente en Microsoft Edge y en el Administrador de contraseñas de Microsoft. Desde la versión 142 de Edge para Windows, el gestor de contraseñas del navegador ya admite el almacenamiento y sincronización de claves de acceso, aprovechando tu cuenta personal de Microsoft (MSA) como ancla principal.

Cuando visitas una web o app compatible con passkeys usando Edge, el navegador te puede proponer crear una passkey y guardarla en Microsoft Password Manager. A partir de ahí, para futuras sesiones ya no necesitarás teclear la contraseña: bastará con usar la biometría o el PIN de tu dispositivo Windows mediante Windows Hello.

La clave de acceso se respalda de forma cifrada en tu cuenta de Microsoft en la nube. Esto permite que se sincronice entre distintos equipos Windows en los que inicies sesión con la misma cuenta y tengas Edge 142 o superior. Para usar la passkey en un nuevo dispositivo, deberás demostrar que eres tú, por ejemplo introduciendo el PIN del propio Password Manager.

Es importante destacar que, por ahora, la integración está limitada a Windows. Las passkeys almacenadas en Microsoft Password Manager se sincronizan entre PCs con Windows 10/11, pero no se extienden todavía a otras plataformas como macOS o Android a través de Edge de forma equivalente. Microsoft ha anunciado su intención de llevar este soporte más allá de Windows en el futuro, pero a día de hoy esa extensión completa todavía está en camino.

En paralelo, Microsoft aprovecha capacidades como Azure Confidential Ledger para registrar intentos de desbloqueo, cambios de PIN y operaciones sensibles relacionadas con passkeys. De esta forma se incrementa la trazabilidad y se dificulta que un atacante pueda manipular el sistema sin dejar rastro auditable.

Ediciones de Windows, licencias y requisitos para usar passkeys

Para beneficiarte del ecosistema de passkeys en Windows es importante entender qué ediciones y licencias dan soporte a esta funcionalidad. Microsoft especifica que las siguientes ediciones de Windows admiten passkeys: Windows Pro, Windows Enterprise, Windows Pro Education/SE y Windows Education.

En cuanto a licenciamiento, los derechos de uso de passkeys se conceden mediante licencias como Windows Pro/Pro Education/SE, Windows Enterprise E3, Windows Enterprise E5, Windows Education A3 y Windows Education A5. En entornos corporativos, esto suele venir gestionado por el departamento de TI, pero conviene tenerlo claro cuando se planifica un despliegue amplio.

Desde el punto de vista práctico, si eres usuario final lo que necesitas es un dispositivo con Windows 10 u 11, Microsoft Edge actualizado (versión 142 o posterior) y una cuenta personal de Microsoft en la que iniciar sesión. Si además tu equipo incorpora cámara compatible con Windows Hello, lector de huellas o un PIN bien configurado, podrás aprovechar al máximo la experiencia.

La propia Microsoft lleva años trabajando en autenticación sin contraseña, y este movimiento en Edge y Windows no surge de la nada: se apoya en años de trabajo con FIDO Alliance y en la evolución de estándares como FIDO2 y WebAuthn, además de en la integración de Windows Hello como autenticador de plataforma dentro del sistema operativo.

Configuración y gestión avanzada de passkeys en Windows

Windows incorpora una sección específica para gestionar opciones avanzadas de clave de paso. Desde la aplicación Configuración, puedes ir a Cuentas > Teclas de paso > Opciones avanzadas y decidir qué servicios de passkeys quieres tener activos en el dispositivo.

En este apartado, puedes habilitar o deshabilitar los distintos proveedores de claves de paso disponibles: por ejemplo, activar la opción de guardar passkeys localmente en el propio dispositivo Windows, o permitir la integración con gestores de claves de paso de terceros que se integren como proveedores compatibles.

Esto te da flexibilidad para combinar passkeys locales y passkeys sincronizadas mediante la cuenta en la nube. Si priorizas la portabilidad, te interesará tener activada la sincronización a través de tu cuenta de Microsoft; si, en cambio, para ciertos entornos quieres limitar que las claves salgan del equipo, puedes apoyarte en claves ligadas solo al dispositivo.

En escenarios más avanzados, especialmente en organizaciones, esta configuración se suele gestionar mediante políticas centralizadas (GPO, MDM y CSPs de configuración), de modo que el usuario final se encuentre una experiencia ya definida por el departamento de seguridad o sistemas.

Passkeys entre dispositivos y Bluetooth en entornos corporativos

Las passkeys no solo se usan en el mismo equipo donde se crearon. Existen escenarios de autenticación entre dispositivos donde, por ejemplo, usas tu móvil como autenticador para iniciar sesión en un PC, sin mover físicamente la clave privada de un lado a otro.

Para estos casos, tanto el dispositivo Windows como el dispositivo móvil deben tener Bluetooth habilitado y conexión a Internet. El canal Bluetooth se utiliza para establecer una comunicación segura entre ambos dispositivos y autorizar el inicio de sesión, pero la clave privada sigue sin copiarse ni transferirse: permanece en el dispositivo autenticador.

En muchas empresas el uso de Bluetooth está muy restringido por motivos de seguridad, lo que puede cortar de raíz estos casos de uso de passkeys entre dispositivos. Para resolverlo, Microsoft permite abrir una pequeña excepción: se puede permitir el emparejamiento Bluetooth exclusivamente con autenticadores FIDO2 habilitados para passkeys.

Esto se hace recurriendo al CSP de directiva de Bluetooth y al CSP de directiva de instalación de dispositivos. Por ejemplo, se puede aplicar un script de PowerShell (ejecutado a través de PsExec con permisos de sistema) que cree instancias en el espacio de nombres WMI MDM para configurar:

• Política de Bluetooth: desactivar modos descubribles, publicidad, preemparejamiento y conexiones proximales, pero permitiendo servicios específicos identificados por GUID relacionados con autenticadores FIDO2.
• Política de instalación de dispositivos: bloquear la instalación de determinados dispositivos Bluetooth (por ejemplo, ciertas interfaces de red BTHPAN) mediante listas de IDs denegados, incluyendo opciones para que la restricción sea retroactiva.

Con esta combinación de políticas, una organización puede limitar el uso de Bluetooth al mínimo imprescindible y, a la vez, permitir que sus empleados se beneficien de la autenticación con passkeys entre dispositivos autorizados, manteniendo el control sobre qué hardware puede conectarse.

Tipos de passkeys: multidispositivo vs. ligadas a un dispositivo

No todas las passkeys funcionan igual. Podemos distinguir, a grandes rasgos, entre passkeys multidispositivo (sincronizadas) y passkeys vinculadas a un único dispositivo. Ambas se apoyan en la misma base tecnológica, pero responden a necesidades de seguridad y flexibilidad distintas.

Las passkeys multidispositivo son las que, por defecto, vas a usar como usuario particular en ecosistemas como iCloud, Google o Microsoft. Se sincronizan cifradas entre todos tus dispositivos conectados a la misma cuenta, de modo que puedes iniciar sesión en tus servicios desde el móvil, la tablet o el portátil sin tener que recrear claves en cada equipo.

En cambio, las passkeys ligadas a un dispositivo (a menudo asociadas a autenticadores FIDO2 físicos o a claves almacenadas solo en un equipo) no se pueden copiar ni sincronizar a otros terminales. Esto añade una capa extra de seguridad muy valorada en entornos empresariales con políticas férreas de protección de datos, donde se quiere tener un control total sobre dónde residen las claves privadas.

En el contexto de Microsoft y Windows, puedes combinar estos enfoques: usar passkeys sincronizadas con tu cuenta de Microsoft para el día a día, y reservar claves ligadas a hardware específico o tokens de seguridad físicos para accesos de alto riesgo o cuentas administrativas críticas.

Esta flexibilidad encaja bien con las necesidades actuales, en las que un mismo usuario suele combinar entornos personales y profesionales, y donde no todo se puede resolver con una única política homogénea de autenticación.

Quién está usando ya passkeys y en qué servicios

La lista de servicios que ya admiten passkeys crece sin parar. Los principales fabricantes de navegadores han incorporado soporte: Google Chrome (desde la versión 109), Apple Safari (desde la 16), Microsoft Edge (desde la 109, con integración de gestor en 142) y Mozilla Firefox, que va añadiendo compatibilidad aunque de forma más gradual.

En cuanto a servicios online, encontramos passkeys en plataformas de desarrollo como GitHub y Bitbucket, servicios de almacenamiento como Dropbox, gigantes del comercio electrónico (Amazon, Walmart, Best Buy, Target, Shopify, Kayak) y redes sociales como X (antes Twitter), LinkedIn o TikTok.

También están entrando con fuerza en servicios financieros y fintech: Coinbase, Robinhood, Stripe, PayPal o Affirm ya ofrecen opciones basadas en passkeys, lo que ayuda a reducir el fraude por robo de credenciales en cuentas económicas especialmente sensibles.

Este ritmo de adopción se ve impulsado por la disponibilidad de herramientas para desarrolladores: proveedores de identidad que ofrecen soporte de passkeys listo para integrar, librerías como SimpleWebAuthn o WebAuthn4J para gestionar la parte criptográfica del lado servidor, y SDKs de Apple o Google Identity Services que facilitan la implementación en apps móviles.

Plataformas especializadas como OwnID aportan además soluciones llave en mano con APIs, SDKs, analítica y opciones de personalización, de forma que los equipos de desarrollo no tengan que reinventar la rueda y puedan centrarse más en la experiencia de usuario que en la infraestructura de autenticación.

Ventajas, desventajas y retos de adopción de las passkeys

A nivel de usuario, las passkeys aportan una mezcla de comodidad y seguridad muy difícil de igualar por las contraseñas. No tienes que recordar nada, se reduce el número de pasos al iniciar sesión y, a la vez, te blindas ante muchos tipos de ataque que explotan la debilidad humana a la hora de elegir y gestionar contraseñas.

Desde el lado del desarrollador o del proveedor de servicios, las passkeys ayudan a reducir costes de soporte (recuperación de contraseñas, 2FA por SMS, etc.), simplifican el cumplimiento normativo al no almacenar credenciales sensibles y refuerzan las tasas de conversión al reducir el abandono en registros e inicios de sesión.

Sin embargo, no todo son rosas. Todavía hay limitaciones en la adopción: muchos servicios no soportan passkeys o lo hacen de forma parcial, y una parte de la base de usuarios sigue sin entender del todo qué son ni cómo usarlas. Esto obliga a mantener vías alternativas como contraseñas o códigos de un solo uso.

Otro punto delicado es la recuperación en caso de pérdida de todos los dispositivos. Si dependes de un único ecosistema y no has configurado dispositivos de respaldo, códigos de recuperación o métodos alternativos, puedes quedarte sin acceso. Por eso las plataformas que implementan passkeys suelen ofrecer mecanismos de recuperación bien pensados y recomiendan configurar varios dispositivos de confianza.

También existe la cuestión de la dependencia de ecosistemas concretos: iCloud, Google Password Manager, Microsoft Password Manager, etc. Para algunos usuarios, esto puede percibirse como una forma de “encierro” en una plataforma, aunque en la práctica la estandarización FIDO2/WebAuthn permite un grado razonable de interoperabilidad técnica entre navegadores y sistemas.

Pese a estos retos, la tendencia está bastante clara: los estándares evolucionan, la experiencia de usuario mejora y la presión por reducir los fraudes y brechas de seguridad empuja hacia la adopción generalizada de passkeys como la forma por defecto de autenticarse en la web.

En conjunto, la sincronización segura de passkeys en Microsoft Password Manager, el soporte de Edge y la integración con Windows Hello marcan un punto de inflexión en el ecosistema de Microsoft: las contraseñas tradicionales siguen ahí como respaldo, pero el camino ya está trazado hacia un modelo en el que la autenticación sin contraseña, basada en criptografía y biometría, sea la norma y no la excepción.