Passkeys + inteligencia de dispositivos: defensa por capas contra el robo de cuentas
Las passkeys cierran la superficie de ataque del robo de credenciales, pero dejan expuestos la recuperación de cuenta, el enrolamiento y el secuestro de sesión. La inteligencia de dispositivos cubre esas brechas.
Las passkeys (llaves de acceso) son la mejora más significativa a la autenticación de consumo en una década, y el marco con el que la industria las presenta es sutilmente engañoso. El marco es que las passkeys "resuelven" el robo de cuentas. No lo resuelven —eliminan una clase de él, la mayor y más automatizable, y al hacerlo empujan a los atacantes hacia las partes del ciclo de vida de la cuenta que las passkeys estructuralmente no pueden proteger.
Este artículo es para arquitectos de seguridad y equipos de seguridad de producto que despliegan passkeys y quieren un mapa lúcido de lo que las passkeys cubren, lo que dejan expuesto y dónde encaja una capa de inteligencia de dispositivos. La tesis: las passkeys y la inteligencia de dispositivos son complementarias. Las passkeys endurecen la autenticación; la inteligencia de dispositivos asegura todo lo que la rodea.
Qué arreglan realmente las passkeys
Las passkeys arreglan el robo de credenciales eliminando por completo el secreto compartido. No hay contraseña que phishear, ni contraseña que reutilizar entre sitios, ni contraseña esperando en un volcado de filtración a ser inyectada. Eso cierra de un solo movimiento la mayor superficie de ataque del robo de cuentas.
Mecánicamente, una passkey es un par de claves pública-privada creado por sitio usando los estándares WebAuthn y FIDO2. La clave privada nunca abandona el dispositivo del usuario (o su proveedor de credenciales sincronizadas); el sitio almacena solo la clave pública. La autenticación es un desafío-respuesta criptográfico: el sitio envía un desafío, el dispositivo lo firma con la clave privada, el sitio lo verifica con la clave pública. Nada reutilizable cruza el cable.
De ahí se siguen dos propiedades, y son las que importan para el robo de cuentas:
Resistencia al phishing. La passkey está vinculada criptográficamente al origen del sitio. Un usuario que aterriza en un dominio de phishing que imita al original no puede presentar allí su passkey —el navegador no la ofrecerá, porque el origen no coincide. Esto derrota a toda la categoría de proxies de phishing en tiempo real (ataques al estilo Evilginx) que vuelven inútil la MFA de código de un solo uso. La credencial simplemente no puede reenviarse al destino equivocado.
Ningún secreto compartido que robar en masa. No hay una base de datos de contraseñas con hash que exfiltrar, ni lista de credenciales que comprar, ni material para el credential stuffing. La economía de los ataques automatizados de contraseñas depende de que las credenciales robadas sean baratas y reutilizables; las passkeys las vuelven inexistentes.
Para los flujos que una passkey gobierna de verdad —un usuario que inicia sesión en un dispositivo que ya contiene su passkey— esto es casi hermético. Si toda su base de usuarios se autenticara exclusivamente con passkeys en dispositivos que ya poseen, el manual clásico del robo de cuentas estaría muerto.
Ese no es el mundo en el que opera ningún servicio real.
La superficie de ataque que las passkeys no cubren
Las passkeys aseguran el evento de autenticación. El robo de cuentas no se limita al evento de autenticación —apunta a todo el ciclo de vida de la cuenta, y la mayor parte de ese ciclo queda fuera de lo que una passkey gobierna. Importan cuatro brechas.
Recuperación de cuenta. Esta es la grande. Todo servicio necesita una forma de que un usuario que perdió su dispositivo vuelva a entrar. Esa vía de recuperación —enlace por correo, código por SMS, preguntas de seguridad, códigos de respaldo, verificación por soporte— es por definición una manera de autenticarse sin la passkey. Un atacante que no puede derrotar la passkey ataca en su lugar el flujo de recuperación, y los flujos de recuperación suelen ser mucho más débiles que la autenticación primaria que eluden. Un despliegue de passkeys con un respaldo de "restablecer mediante código SMS" tiene una puerta trasera phishable y vulnerable a SIM-swap, por muy fuerte que sea la puerta principal.
Enrolamiento de dispositivos. Añadir una nueva passkey a una cuenta es una acción de modificación de cuenta, y si un atacante puede enrolar la passkey de su propio dispositivo, ahora tiene acceso legítimo permanente. El enrolamiento suele estar protegido por una sesión ya autenticada —lo que significa que hereda las debilidades de lo que sea que estableció esa sesión, incluido el flujo de recuperación anterior. Enrolar-una-nueva-passkey es el equivalente moderno de "añadir una regla de reenvío": silencioso, persistente y fácil de pasar por alto.
Secuestro de sesión. Las passkeys autentican; no reautentican de forma continua. Una vez que un usuario ha iniciado sesión, el token de sesión resultante es una credencial al portador como cualquier otra. Róbelo —mediante malware, una extensión maliciosa, un dispositivo comprometido o un ataque de exfiltración de tokens— y tendrá la sesión autenticada sin tocar jamás la passkey. La fortaleza del login no dice nada sobre la seguridad de la hora que le sigue.
La larga cola de los no inscritos. La adopción de passkeys es real pero parcial. Una fracción significativa de cualquier base de usuarios de consumo no tendrá una passkey: dispositivos antiguos, máquinas compartidas o corporativas, usuarios que descartaron el aviso, usuarios que no lo entienden. Cada una de esas cuentas todavía tiene una vía basada en contraseña o en código, y los atacantes se concentran exactamente en esa vía. Un servicio está solo tan protegido como su método de autenticación disponible más débil, y para la cola de los no inscritos, ese método es el antiguo.
El patrón en las cuatro: la autenticación fuerte no elimina el incentivo de apoderarse de las cuentas, reubica el ataque. Esta es la lección consistente del panorama del robo de cuentas en 2026 —a medida que cada vector se endurece, los atacantes fluyen hacia el siguiente más débil. Las passkeys mueven la pelea del formulario de login al flujo de recuperación, al paso de enrolamiento y a la sesión posterior al login.
Por qué la inteligencia de dispositivos cubre las brechas
La inteligencia de dispositivos cubre las brechas de las passkeys porque opera en un eje distinto: las passkeys preguntan "¿tiene este usuario la clave correcta?", la inteligencia de dispositivos pregunta "¿es este el dispositivo y el contexto que esperamos para esta cuenta, en cada acción?". La segunda pregunta tiene respuesta incluso cuando no hay ninguna passkey en juego —que es exactamente la situación en la recuperación, el enrolamiento y la cola de los no inscritos.
El mecanismo es una identidad de dispositivo persistente: un identificador estable construido a partir de señales de navegador, hardware, red y comportamiento que reconoce un dispositivo recurrente entre sesiones sin depender de una credencial almacenada. (Cómo se construye ese identificador y por qué sobrevive a las cookies borradas se cubre en cómo funciona la huella digital de dispositivos.) Con esa identidad adjunta al historial de una cuenta, cada una de las cuatro brechas obtiene un control que las passkeys no pueden proporcionar.
Recuperación vinculada a dispositivos conocidos. Cuando llega un intento de recuperación, la inteligencia de dispositivos responde a una pregunta que el flujo de recuperación de otro modo no puede: ¿se está iniciando esta recuperación desde un dispositivo que esta cuenta haya usado alguna vez? Una recuperación desde un dispositivo completamente nuevo, en un país nuevo, con una IP de centro de datos, es categóricamente más arriesgada que una recuperación desde la laptop habitual del usuario. Esa señal le permite escalonar el flujo de recuperación —verificación ligera desde un dispositivo conocido, verificación pesada (o una retención) desde uno desconocido— en lugar de aplicar la misma débil comprobación por SMS a todos.
Enrolamiento protegido por la confianza del dispositivo. Una solicitud de enrolar una nueva passkey puede puntuarse frente al historial del dispositivo. Enrolar una passkey desde el dispositivo establecido del usuario es lo esperado. Enrolar una desde un dispositivo que apareció hace minutos, inmediatamente después de un evento de recuperación, desde una red sospechosa, es la firma de una cuenta siendo tomada. La inteligencia de dispositivos hace legible esa solicitud de enrolamiento en lugar de invisible.
Puntuación de sesión continua, posterior al login. Como la identidad de dispositivo se evalúa en cada solicitud, no solo en el login, una sesión que comienza en un dispositivo y continúa en otro —la huella de un token robado siendo reproducido en otro lugar— es detectable. El cambio del contexto de dispositivo o de red a mitad de sesión, alejándose del dispositivo autenticado, es una señal de secuestro que ninguna fortaleza de autenticación de puerta principal puede atrapar. Este es el principio de la verificación de dispositivos de confianza cero: la confianza se evalúa de forma continua, no se concede una sola vez en la puerta.
Cobertura para los no inscritos. Para los usuarios que nunca adoptaron una passkey, la inteligencia de dispositivos es la capa que hace el trabajo —reconociendo su dispositivo conocido y dejando pasar los logins legítimos con poca fricción, mientras marca los intentos de credential stuffing y de dispositivo desconocido que apuntan exactamente a esta población. Los usuarios más expuestos por la adopción parcial de passkeys son a los que la inteligencia de dispositivos protege de forma más directa.
El hilo conductor: las passkeys prueban la posesión de la clave en un momento; la inteligencia de dispositivos establece el contexto de dispositivo y de comportamiento a lo largo de cada momento. Las brechas de la primera son precisamente el dominio de la segunda.
Cómo se combinan las dos capas en la práctica
En un despliegue por capas, las passkeys y la inteligencia de dispositivos corren en paralelo, cada una autoritativa para las decisiones a las que se adapta, alimentando una única imagen de riesgo.
En el login, una passkey, donde exista, es el factor primario fuerte —resistente al phishing, sin secreto compartido. La inteligencia de dispositivos corre a su lado, confirmando en silencio que el dispositivo es conocido y el contexto es normal. Para un login con passkey desde un dispositivo reconocido, esto es invisible: el usuario inicia sesión, nada le solicita nada. La señal de dispositivo solo se consulta cuando discrepa de lo esperado.
En la recuperación y el enrolamiento, donde no se presenta ninguna passkey (ese es el objetivo mismo de estos flujos), la inteligencia de dispositivos se convierte en la entrada de riesgo primaria. El veredicto de las smart signals —dispositivo conocido, reputación de red, consistencia de comportamiento— determina si el flujo avanza con ligereza, escala a una verificación más fuerte o se retiene para revisión. Aquí es donde la verdadera puerta trasera del despliegue de passkeys recibe una cerradura.
Después del login, la inteligencia de dispositivos proporciona evaluación continua. El trabajo de la passkey terminó en la autenticación; la capa de dispositivo vigila la sesión en busca de los cambios de contexto que indican robo de token, y puede forzar la reautenticación cuando la señal de dispositivo se rompe a mitad de sesión.
Para los no inscritos, la inteligencia de dispositivos lleva la carga primaria también en el login, distinguiendo el dispositivo conocido recurrente del intento de credential stuffing, hasta que (y si) el usuario adopta una passkey.
La división del trabajo es limpia porque los dos mecanismos responden a preguntas genuinamente distintas y fallan de maneras genuinamente distintas. Una passkey no puede decirle si el dispositivo que solicita un restablecimiento de contraseña es de fiar; la inteligencia de dispositivos no puede proporcionar prueba criptográfica resistente al phishing de la posesión de la clave. Desplegar una sin la otra deja un agujero predecible —las passkeys por sí solas dejan blandos los flujos de recuperación y de sesión; la inteligencia de dispositivos por sí sola carece de la fortaleza de autenticación criptográfica en la puerta principal.
El encuadre honesto para un despliegue de passkeys
Si está desplegando passkeys, el mensaje interno preciso no es "hemos resuelto el robo de cuentas". Es "hemos eliminado el robo de credenciales como vector de ataque, y ahora necesitamos endurecer los flujos hacia los que se moverán los atacantes". Esos flujos —recuperación, enrolamiento, sesión y la cola de los no inscritos— son donde se concentrará la próxima ronda de intentos de robo de cuentas, precisamente porque la puerta principal se volvió fuerte. Un despliegue de passkeys que no endurece simultáneamente la recuperación está moviendo la cerradura de la puerta a la ventana mientras deja la ventana abierta.
Ese endurecimiento es lo que proporciona una capa de inteligencia de dispositivos, y es por lo que las posturas más fuertes contra el robo de cuentas emparejan las dos. Las passkeys hacen el evento de autenticación casi invencible. La inteligencia de dispositivos hace observable y puntuable el resto del ciclo de vida de la cuenta —las partes a las que un atacante recurre porque el evento de autenticación se volvió invencible.
Tracio aporta la mitad de inteligencia de dispositivos de ese emparejamiento: una identidad de dispositivo persistente que sobrevive a las cookies borradas y a las sesiones nuevas, señales de riesgo de red y de comportamiento, y un veredicto devuelto en menos de 50 ms que se conecta a la recuperación, el enrolamiento y las comprobaciones continuas de sesión. Corre en silencio detrás de los logins con passkey desde dispositivos conocidos y da un paso al frente exactamente donde las passkeys no pueden llegar.
¿Quiere ver cómo la inteligencia de dispositivos cubre los flujos que su despliegue de passkeys deja abiertos?
Inicie su prueba gratuita — 2,500 verificaciones gratis, sin tarjeta de crédito. Solicite una demo para mapear la inteligencia de dispositivos contra su arquitectura de autenticación, recuperación y sesión.