Logo Logo
GitHub Designed by Logto

¿Qué es la autenticación sin contraseña (passwordless authentication)?

La autenticación sin contraseña (passwordless authentication) es un método de autenticación que permite a los usuarios iniciar sesión en sistemas informáticos sin ingresar (o recordar) una contraseña u otro secreto basado en el conocimiento.

Por ejemplo, cuando desbloqueas tu smartphone usando tu huella digital o reconocimiento facial, o cuando recibes un código de un solo uso (OTP) vía SMS para iniciar sesión en tu cuenta de correo electrónico, estos son métodos comunes de autenticación sin contraseña que usamos en nuestra vida diaria.

¿Cuáles son los tipos de autenticación sin contraseña (passwordless authentication)?

Existen varios tipos comunes de autenticación sin contraseña (passwordless authentication) que encontramos en nuestra vida diaria:

Autenticación biométrica

La autenticación biométrica aprovecha nuestras características físicas únicas para la verificación de identidad, principalmente a través del escaneo de huellas digitales, reconocimiento facial y escaneo de iris. Nos encontramos con estos en situaciones cotidianas:

  • Desbloquear tu iPhone con Face ID mientras compras café
  • Iniciar sesión en tu aplicación bancaria con tu huella digital
  • Acceder a instalaciones seguras usando escáneres de iris

Los enlaces mágicos son enlaces especiales de un solo uso entregados a tu correo electrónico, ofreciendo una experiencia de autenticación sin problemas. Los encontrarás en muchos servicios populares:

  • Hacer clic en un enlace de “Iniciar sesión” de Slack en tu correo electrónico
  • La opción de Medium de “Iniciar sesión con correo electrónico” que te envía un enlace de inicio de sesión
  • El sistema de autenticación basado en correo electrónico de Notion

Consulta Enlace mágico (Magic link) para más detalles.

Códigos de un solo uso (OTP)

Los códigos de un solo uso (OTP), generalmente entregados vía SMS o correo electrónico, representan uno de los métodos sin contraseña más extendidos:

  • Recibir un código de 6 dígitos para iniciar sesión en tu cuenta de Google
  • Obtener un código de verificación para transacciones bancarias en línea
  • Usar una aplicación de autenticación como Google Authenticator

Consulta Contraseña de un solo uso (One-time password, OTP) para más detalles.

Claves de acceso (Passkeys)

Las claves de acceso (passkeys) son alternativas seguras basadas en FIDO a las contraseñas tradicionales que utilizan criptografía avanzada para proteger tus cuentas de ataques de phishing. Así es como funcionan:

  • Únicas por servicio: Cuando te registras en un servicio, tu dispositivo crea una clave de acceso única vinculada al dominio específico de ese servicio
  • Basadas en dispositivos: Las claves de acceso generalmente se almacenan en módulos de seguridad de hardware, ya sea integrados en tus dispositivos o como claves de seguridad separadas
  • Pares de claves pública-privada: El dispositivo almacena de forma segura la clave privada mientras comparte la clave pública con el servicio. Estos pares de claves criptográficas son lo que llamamos claves de acceso
  • Seguridad de hardware: Muchas claves de acceso están protegidas por módulos de seguridad de hardware dedicados, lo que las hace extremadamente difíciles de comprometer
  • Sincronización entre dispositivos: Las claves de acceso pueden sincronizarse de forma segura entre dispositivos usando almacenamiento en la nube (por ejemplo, el llavero de iCloud de Apple o el administrador de contraseñas de Google)

Escenarios de uso comunes:

  • Usar una llave de seguridad USB para acceder a tu laptop de trabajo
  • Tocar tu teléfono (como una llave de seguridad) para iniciar sesión en tu cuenta de Google
  • Conectar una llave de seguridad de hardware para acceder a sistemas altamente seguros

Consulta Clave de acceso (Passkey) para más detalles.

¿Por qué usar la autenticación sin contraseña (passwordless authentication)?

Durante décadas, las contraseñas han sido el método predeterminado para la autenticación. Incluso hoy, la mayoría de nuestras cuentas en línea todavía dependen de contraseñas. Sin embargo, este enfoque tradicional enfrenta desafíos crecientes, lo que nos lleva a preguntarnos: ¿por qué deberíamos usar la autenticación sin contraseña (passwordless authentication)?

Las contraseñas no son lo suficientemente seguras

Cuando una empresa experimenta una violación de datos, millones de contraseñas pueden ser expuestas a la vez. Los atacantes pueden explotar fácilmente estas contraseñas a través de herramientas automatizadas, especialmente porque muchos usuarios reutilizan sus contraseñas en diferentes servicios. Por ejemplo, si un atacante obtiene la contraseña de un usuario de un sitio web de juegos comprometido, podría acceder a la cuenta de correo electrónico o bancaria de esa persona usando las mismas credenciales.

Consulta este blog para aprender ¿Cómo se descifran tus contraseñas? .

Las contraseñas son difíciles de usar y gestionar

Piensa en gestionar tus cuentas en línea: tienes docenas de cuentas en diferentes sitios web y servicios, cada una con sus propios requisitos de contraseña. Incluso si intentas usar una contraseña consistente, diferentes políticas de contraseñas te obligan a agregar caracteres especiales, números o hacer otras variaciones. Un sitio web requiere al menos un carácter especial, otro no permite ciertos símbolos, y un tercero exige un mínimo de 12 caracteres.

Cuando intentas iniciar sesión, no puedes recordar qué variación usaste para este sitio en particular. ¿Fue la que tenía el signo de exclamación al final? ¿O la que tenía el símbolo ”@”? Después de varios intentos fallidos, te bloquean y tienes que pasar por otro proceso de restablecimiento de contraseña que consume tiempo.

Este escenario frustrante se repite millones de veces al día en las organizaciones, lo que lleva a restablecimientos de contraseñas constantes, pérdida de tiempo y reducción de la productividad.

La autenticación sin contraseña (passwordless authentication) es más segura que las contraseñas

Imagina en su lugar usar tu huella digital o reconocimiento facial para acceder a todas tus aplicaciones de trabajo. Dado que estos factores biométricos no pueden ser robados o adivinados como las contraseñas, incluso si un atacante viola la base de datos de la empresa, no puede usar esta información para hacerse pasar por los usuarios. Además, los métodos sin contraseña como las claves de seguridad proporcionan protección contra ataques de phishing, ya que verifican tanto al usuario como la autenticidad del sitio web.

La autenticación sin contraseña (passwordless authentication) es fácil de usar

Con la autenticación sin contraseña (passwordless authentication), acceder a tus cuentas se vuelve tan simple como desbloquear tu smartphone.

Por ejemplo, cuando recibes una notificación push en tu teléfono para aprobar un intento de inicio de sesión, puedes autenticarte con solo un toque o una rápida mirada a tu dispositivo. Esta experiencia sin problemas elimina la carga cognitiva de recordar múltiples contraseñas mientras mantiene altos estándares de seguridad.

¿Cómo funciona la autenticación sin contraseña (passwordless authentication)?

La autenticación generalmente se basa en tres tipos de factores:

  • Algo que el usuario sabe: como contraseñas o PINs
  • Algo que el usuario tiene: como dispositivos físicos o tokens
  • Algo que el usuario es: como rasgos biométricos.

La autenticación sin contraseña (passwordless authentication) se aleja del enfoque tradicional de “algo que sabes”, enfocándose en cambio en los otros dos factores.

Cuando se usa “algo que tienes”, el proceso de autenticación generalmente comienza con tu dirección de correo electrónico o número de teléfono. Imagina que estás iniciando sesión en tu cuenta bancaria: en lugar de escribir una contraseña, podrías recibir un código de un solo uso (OTP) vía SMS o correo electrónico. O quizás hayas configurado una aplicación de autenticación en tu teléfono que genera estos códigos automáticamente. Algunos servicios incluso envían notificaciones push a tu teléfono, permitiéndote simplemente tocar “Aprobar” para iniciar sesión. Para necesidades de mayor seguridad, podrías usar una llave de seguridad física que se conecta a tu dispositivo, similar a insertar una llave digital.

El enfoque de “algo que eres” es aún más sencillo y probablemente ya te sea familiar. Cuando desbloqueas tu smartphone con tu huella digital o mirando la pantalla para el reconocimiento facial, estás usando autenticación biométrica. Algunos sistemas también usan reconocimiento de voz, donde decir una frase específica puede verificar tu identidad. Estos factores biométricos son únicos para ti y se procesan de forma segura en tu dispositivo.

¿Cuál es la diferencia entre la autenticación sin contraseña (passwordless authentication) y la autenticación multifactor (MFA)?

La autenticación sin contraseña (passwordless authentication) y Autenticación multifactor (Multi-factor authentication, MFA) a veces se mencionan en contextos similares. Por lo tanto, es necesario definir estos dos términos por separado y entender la diferencia entre ellos:

  • La autenticación sin contraseña (passwordless authentication) reemplaza la autenticación basada en contraseñas con otros factores.
  • MFA se refiere al uso de dos o más factores de autenticación para verificar la identidad de un usuario.

Los “factores” son seriamente los tres diferentes tipos de información de autorización que mencionamos anteriormente. Por ejemplo, si un usuario solo usa una dirección de correo electrónico + OTP durante la autenticación, este es un factor asociado con “algo que el usuario tiene”, y podemos considerar que la autenticación del usuario es sin contraseña.

Las implementaciones comunes de MFA incluyen el uso de un segundo factor de autenticación (sin contraseña) para mejorar una contraseña, pero MFA también puede ser completamente sin contraseña. Por ejemplo, una aplicación podría usar una huella digital como el primer factor de autenticación y dirección de correo electrónico + OTP como el segundo factor de autenticación.

¿Cuál es la diferencia entre la autenticación sin contraseña (passwordless) y el inicio de sesión único (SSO)?

Inicio de sesión único (SSO) (SSO) y la autenticación sin contraseña (passwordless authentication) son dos conceptos distintos en la gestión de identidad:

  • SSO se trata de centralizar la autenticación del usuario, permitiendo a los usuarios acceder a múltiples aplicaciones con un solo inicio de sesión
  • La autenticación sin contraseña (passwordless authentication) se centra en cómo los usuarios prueban su identidad sin usar contraseñas

Aunque sirven para diferentes propósitos, pueden trabajar juntos.

Por ejemplo, un sistema SSO puede usar métodos sin contraseña (como biometría o claves de seguridad) para la autenticación. Esta combinación proporciona tanto la conveniencia del inicio de sesión único como los beneficios de seguridad de la autenticación sin contraseña (passwordless authentication).

Ver también