Las passkeys han llegado a Android para jubilar poco a poco las contraseñas, y no es una moda pasajera: Google, Microsoft, Apple y un montón de servicios grandes ya las están usando o recomendando. Si te suenan a algo raro o demasiado técnico, tranquilo, porque en realidad están pensadas justo para lo contrario: que iniciar sesión sea más sencillo y mucho más seguro.
En esta guía vas a aprender qué son exactamente las passkeys, por qué protegen mejor tus cuentas que las contraseñas, cómo configurarlas y usarlas en Android, cómo combinarlas con el Administrador de credenciales de Google y qué precauciones tener para no quedarte tirado si pierdes el móvil. También verás cómo se usan en otros sistemas y servicios para que tengas una visión completa.
Qué son las passkeys y por qué interesan tanto
Una passkey es, en pocas palabras, una llave digital única que sirve para iniciar sesión en una app o web concreta sin escribir contraseña. Por debajo usan criptografía de clave pública (el estándar WebAuthn/FIDO2), pero tú solo verás que te pide el lector de huellas, el desbloqueo facial o el PIN del móvil.
Cuando creas una passkey, tu dispositivo genera un par de claves: una privada que se queda guardada en el móvil y otra pública que se envía al servidor. El servidor nunca guarda tu clave privada, así que aunque haya una filtración masiva de datos, lo que se robaría no serviría para suplantarte (si quieres profundizar en cómo gestionar passkeys, hay guías específicas).
Otra característica clave es que cada passkey está vinculada a un solo servicio y a un dominio concreto. No hay forma de reutilizarla en otra web, ni tú ni un atacante. Eso elimina de un plumazo el típico problema de usar la misma contraseña en todos lados.
Además, las passkeys están diseñadas para ser resistentes al phishing. El navegador y el sistema operativo comprueban que se está hablando con el dominio correcto antes de dejar usar la llave. Si un sitio falso intenta hacerse pasar por el original, la passkey simplemente no funciona.
En ecosistemas como Google o Apple, las passkeys se sincronizan mediante la nube asociada a tu cuenta (Cuenta de Google, iCloud, etc.). Eso permite que puedas iniciar sesión desde diferentes dispositivos sin ir registrando todo a mano en cada uno como ocurre con muchas contraseñas en gestores tradicionales.
Ventajas frente a las contraseñas de toda la vida
La primera gran diferencia es que con passkeys dejas de memorizar contraseñas y patrones raros. Tu método de desbloqueo del dispositivo (huella, cara, PIN o patrón) pasa a ser la forma de confirmar que tú eres quien intenta entrar en la cuenta; si prefieres usar un gestor, aquí tienes una lista de gestores de contraseñas recomendados.
Desde el punto de vista de seguridad, las contraseñas sufren filtraciones, ataques de fuerza bruta, reutilización y phishing. Una passkey no se puede adivinar ni forzar con intentos masivos, porque no es un texto que viaje al servidor, sino el resultado de una operación criptográfica firmada con tu clave privada.
También desaparece el típico problema de “me han engañado en un correo y he puesto la contraseña en una web falsa”, ya que la passkey únicamente responde ante el dominio auténtico. El propio protocolo evita que firme nada para un sitio que no coincida con el que se registró originalmente.
En cuanto a comodidad, el cambio es considerable: para iniciar sesión normalmente bastará con un toque sobre “Usar passkey” y luego tu biometría. Nada de escribir contraseñas largas en el móvil, ni de buscar códigos SMS, ni de copiar códigos de aplicaciones de verificación cada dos por tres.
Por último, a nivel de mantenimiento, se acabaron los reseteos constantes de “¿Has olvidado tu contraseña?”. Sigues pudiendo tener métodos de recuperación, pero el acceso diario es mucho más directo y con menos fricción.
Requisitos para usar passkeys de forma segura en Android
En Android, las llaves de acceso se integran de forma nativa a través del Administrador de contraseñas de Google y la API de Credential Manager. Para que todo funcione bien, conviene revisar algunos puntos básicos en tu teléfono.
Lo primero es la versión del sistema. Aunque Android puede trabajar con passkeys desde la versión 9, la experiencia realmente pulida —incluida la integración con distintos gestores y la selección unificada de métodos de acceso— llega con Android 14 y versiones posteriores.
También necesitas tener Google Play Services y tu navegador actualizados. Chrome 108 o superior ya ofrece soporte de base para passkeys, y las versiones más recientes mejoran la interfaz y añaden extras como la creación automática de llaves tras iniciar sesión con contraseña.
Otro requisito importante es contar con un método de bloqueo de pantalla seguro activo: PIN, patrón, contraseña o biometría. Si el móvil no está protegido, Android no permitirá usar passkeys, precisamente para evitar que cualquiera pueda acceder a tus cuentas.
Por último, conviene ajustar la sección de autocompletar de Google. Al activar “Autocompletar con Google” y las opciones de contraseñas y llaves de acceso, el sistema podrá sugerirte tanto contraseñas guardadas como passkeys y accesos federados (como “Acceder con Google”) desde un mismo panel.
Cómo crear y configurar passkeys en Android paso a paso
En Android hay dos piezas clave para trabajar con llaves de acceso: el bloqueo de pantalla del dispositivo y el Administrador de credenciales. Una vez estén listos, la mayoría del trabajo se hace directamente desde la web o app de cada servicio.
El primer paso es asegurarte de que tienes configurado un bloqueo de pantalla robusto. Ve a la sección de Seguridad en Ajustes, entra en “Bloqueo de pantalla” y elige PIN, patrón o contraseña, añadiendo huella o reconocimiento facial si tu móvil lo permite; si quieres más protección ante pérdidas o robos, revisa cómo configurar el bloqueo de pantalla robusto.
Después, en Ajustes de Android, entra en el apartado de Google y busca “Autocompletar con Google” o “Contraseñas, llaves de acceso y cuentas”. Activa la opción de que Google gestione contraseñas y passkeys para que la API de Credential Manager pueda unificar todo; si prefieres usar otro software, consulta qué gestor de contraseñas es más seguro.
A partir de ahí, cuando entres en un sitio o servicio compatible (por ejemplo, Google, Microsoft, TikTok, Amazon, PayPal, WhatsApp, etc.) y vayas a su zona de seguridad, verás alguna opción tipo “Crear llave de acceso”, “Crear passkey” o “Claves de paso”. El funcionamiento es muy similar en todas las plataformas.
El flujo suele ser así: introduces tu usuario, autenticas con el método que tengas activo (por ejemplo, contraseña y verificación en dos pasos) y el servicio te ofrece crear una passkey asociada a ese dispositivo. Android mostrará un cuadro del Administrador de credenciales para que confirmes y, en cuanto pongas tu huella, rostro o PIN, la llave quedará guardada.
Ejemplo: usar passkeys con tu cuenta de Google en Android
Google es uno de los casos más completos para ver cómo funcionan estas llaves en Android, tanto para iniciar sesión sin contraseña como para gestionar varios dispositivos y llaves de seguridad hardware compatibles con FIDO2.
Antes de nada, revisa si cumples los requisitos de Google: Android 9 o superior, navegador actualizado (Chrome 109 o más), bloqueo de pantalla activado y, si quieres usar el móvil como llave para un ordenador, Bluetooth encendido en ambos dispositivos. Si te interesa el proceso de usar el teléfono como llave para un PC, aquí explicamos cómo usar el móvil como llave de seguridad.
Para crear una passkey en el propio móvil, entra en myaccount.google.com/signinoptions/passkeys, inicia sesión si te lo pide y pulsa en “Crear llave de acceso”. El sistema exigirá que desbloquees el dispositivo para finalizar el proceso.
Si quieres, también puedes crear una passkey sobre una llave de seguridad física FIDO2 (como una YubiKey o una llave Titan). En la misma página, elige “Usar otro dispositivo”, conecta la llave USB o NFC cuando se indique y valida con el PIN o el sensor de huella de esa llave.
Una vez que tengas creada al menos una passkey en tu cuenta de Google, la próxima vez que accedas desde un dispositivo compatible, el sistema te propondrá usar directamente la llave de acceso en vez de la contraseña. En Android, suele bastar con tocar tu cuenta en la pantalla de selección y confirmar con la biometría.
Cómo iniciar sesión con passkeys en Android y en otros dispositivos
Cuando entras en una app o web en Android que admite llaves de acceso, el Administrador de credenciales te muestra una lista de cuentas disponibles para ese servicio, combinando contraseñas, passkeys y accesos federados.
Si solo tienes una cuenta guardada, en Android 15 el acceso puede ser prácticamente instantáneo: eliges la cuenta y validas con tu bloqueo de pantalla. En Android 14 y versiones anteriores suele aparecer primero una ventana con el correo o usuario para que confirmes.
Si usas varias cuentas para el mismo servicio, verás todas en la lista. En ese caso, elige la cuenta adecuada y luego valida con la biometría. Si el sitio ofrece tanto password como passkey, Android intentará recomendarte la llave de acceso como opción preferente.
En caso de que tu cuenta no salga en el listado o quieras usar otro método, siempre puedes tocar “Más opciones”, “Opciones de inicio de sesión” o similar. Ahí se muestran las alternativas: introducir contraseña manual, usar un acceso con Google, etc.
Un detalle importante es cómo funciona el inicio de sesión cruzado: si quieres entrar en tu cuenta de Google en un ordenador usando la passkey del móvil, en la pantalla de login del PC eliges “Usar tu llave de acceso” o “Probar otra manera” y seleccionas la opción del teléfono, que mostrará un código QR que tendrás que escanear con la cámara del móvil y validar con biometría.
Experiencia unificada con el Administrador de credenciales de Android
Credential Manager (Administrador de credenciales) es la capa de Android que reúne llaves de acceso, contraseñas y accesos federados en una sola interfaz. En vez de llenar la pantalla de botones “Accede con X” o “Inicia sesión con Y”, el sistema muestra un único selector inteligente.
En Android 14 y posteriores, el Administrador de credenciales es compatible con distintos gestores de contraseñas habilitados en el dispositivo, incluido el de Google. Android se encarga de recopilar credenciales de todos ellos y presentarlas ordenadas por uso más reciente.
Si para la misma cuenta tienes una contraseña y una passkey guardadas en diferentes gestores, el sistema priorizará la llave de acceso por ser el método más seguro y cómodo, aunque te dará la opción de usar la contraseña desde “Más opciones”.
La idea es que no tengas que recordar si guardaste la credencial en Google Password Manager, en un gestor de terceros o en la solución del fabricante: el diálogo de Android las centraliza y te deja elegir sin volverte loco saltando entre apps.
Al diseñar una app o web, Google recomienda usar este enfoque unificado: invocar al Administrador de credenciales y no poner un botón separado para cada método de inicio, evitando confusiones y mejorando la adopción de passkeys.
Crear passkeys en el momento adecuado: alta, recuperación y gestión
Uno de los factores clave para que la gente use passkeys es mostrar la opción en el momento oportuno y con mensajes claros. No basta con esconderla en un rincón de la configuración y esperar que alguien la descubra.
Durante el alta de una cuenta nueva, los usuarios ya están pensando en cómo van a entrar después, así que es un momento perfecto para proponer la creación de una llave de acceso como opción principal. Eso sí, siempre dejando a mano una alternativa basada en contraseña para quien la prefiera.
También tiene mucho sentido ofrecer la creación de passkeys cuando alguien acaba de sufrir el engorro de restablecer su contraseña. En ese instante la persona es más consciente de lo molestos que son los olvidos y más receptiva a soluciones que prometen olvidarse de contraseñas.
En las cuentas que ya existen desde hace tiempo, es buena idea añadir una sección clara en el menú de seguridad o de perfil para gestionar llaves de acceso. Desde ahí se deberían poder crear nuevas, ver las existentes y borrar las que ya no hagan falta.
Los textos que acompañan estos flujos conviene que sean cortos, directos y enfocados en beneficios (más rápido, más seguro, sin contraseñas), usando lenguaje cotidiano y evitando entrar a saco en tecnicismos criptográficos. Si alguien quiere detalles técnicos, siempre se puede enlazar a un artículo más avanzado.
Cómo explicar passkeys a usuarios no técnicos
Aunque “llaves de acceso” o “passkeys” es el término estándar acordado por la industria, no conviene que todo el diseño gire en torno a la palabra, porque todavía es nueva para la mayoría de la gente y puede sonar rara.
Lo que mejor funciona es centrar el mensaje en la experiencia: “inicia sesión con tu huella, cara o PIN sin escribir contraseñas”. Ahí ya estás contando al usuario qué va a pasar, sin necesidad de describir todo el mecanismo que hay detrás.
Es recomendable mencionar el término “llave de acceso” en algún punto del texto o del botón, tipo “Crear una llave de acceso”, para que el usuario lo vaya asociando y entienda que este nombre aparecerá en otras pantallas del sistema o de Google.
Cuando expliques el almacenamiento, es más natural hablar de “guardar una llave de acceso en ” que de conceptos enrevesados. Y al terminar el proceso, mostrar un mensaje claro tipo “Tu llave de acceso se ha creado correctamente” aumenta la confianza.
Por coherencia con Android y con la API de Credential Manager, es mejor no inventar etiquetas de botón alternativas. Usar “Crear una llave de acceso” ayuda a que la persona no se despiste al ver textos distintos en cada paso del flujo.
Gestión y borrado de passkeys en Android y otros sistemas
Las passkeys no son visibles como una contraseña de texto, pero sí se pueden revisar y manejar desde la configuración de seguridad de cada plataforma o desde el gestor donde las almacenes.
En Android, la ubicación exacta del menú varía un poco según la capa del fabricante, pero normalmente verás algo parecido a “Contraseñas, llaves de acceso y cuentas” o “Administrador de contraseñas”. En dispositivos Samsung, la parte de biometría y llaves suele estar asociada a Samsung Pass.
iOS te deja ver y gestionar tus llaves en Ajustes → Contraseñas (y en iOS 18 se separa en una app Contraseñas propia). En macOS Sequoia y posteriores también aparece esta app, mientras que en versiones previas está dentro de la configuración del sistema.
Windows ha añadido un apartado de “Llaves de acceso” dentro de Configuración → Cuentas, y si usas el administrador de contraseñas de Google, puedes consultar y gestionar las llaves guardadas desde la web del gestor, igual que haces con las contraseñas.
Siempre deberías tener la opción de borrar una llave de acceso asociada a tu cuenta cuando dejes de usar un dispositivo o si has creado la llave por error en un móvil compartido. Aunque a veces también haya que eliminarla del gestor de contraseñas correspondiente, en cuanto se borra de uno de los lados, deja de servir para iniciar sesión.
Passkeys y autenticación multifactor: SMS, apps y claves de paso
Las passkeys actúan en la práctica como un método de autenticación multifactor integrado en una sola acción, porque combinan algo que tienes (el dispositivo), algo que sabes (PIN) y algo que eres (huella o rostro), según cómo lo tengas configurado.
Eso las hace más robustas frente al phishing que los códigos por SMS o las claves temporales de muchos sistemas de verificación en dos pasos, que sí puedes teclear en una web falsa si te engañan con un correo malicioso.
En entornos corporativos o educativos, como cuentas gestionadas con Microsoft 365 o Google Workspace, las passkeys pueden funcionar como segundo factor, opción de recuperación o mecanismo para confirmar acciones sensibles, aunque el administrador puede limitar el inicio de sesión solo con llave de acceso.
Microsoft, por ejemplo, permite configurar claves de paso vinculadas al dispositivo desde la app Microsoft Authenticator. Estas claves no se sincronizan por la nube, lo que añade seguridad extra pero implica que, si pierdes el móvil, tendrás que configurar nuevas claves en otro dispositivo.
La recomendación general es no depender de un único móvil: si tienes más de un dispositivo personal, crea una clave de paso en cada uno. Así, si pierdes uno, no te quedas completamente bloqueado y puedes seguir accediendo mientras reconfiguras todo.
Compatibilidad actual de passkeys con plataformas y servicios
A día de hoy, las passkeys ya están soportadas por los grandes sistemas operativos: Android, iOS/iPadOS, Windows 10/11, macOS Ventura en adelante y ChromeOS, junto con los navegadores más usados como Chrome, Edge, Safari y, con ciertas limitaciones, Firefox.
En el terreno de los servicios, la lista crece sin parar: Google (incluido YouTube), Microsoft y Xbox, Meta con Facebook y WhatsApp, Apple con iCloud y plataformas como X/Twitter, LinkedIn, TikTok, Discord, Amazon, PayPal, Yahoo, GitHub o Adobe ya admiten llaves de acceso; si quieres ver cómo funcionan las passkeys en WhatsApp, hay guías específicas.
Todavía hay nombres grandes que no se han sumado o solo lo han hecho de forma parcial, como algunos portales de compras, servicios de música o herramientas de IA. En ellos seguirás tirando de contraseñas y, en el mejor de los casos, de autenticación en dos pasos clásica.
Si trabajas con varios sistemas operativos y navegadores, es posible que notes diferencias en la experiencia: no todos los sitios han pulido igual su interfaz de passkeys y algunos siguen priorizando la contraseña aunque ya tengan soporte técnico para llaves de acceso.
Para quienes mezclan Android, Windows, macOS, Linux y distintos navegadores, una buena solución es usar un gestor de contraseñas de terceros que soporte passkeys en todas esas plataformas. Así tienes una capa de sincronización independiente de Apple, Google o Microsoft.
Riesgos, límites y buenas prácticas al usar passkeys
Aunque las passkeys mejoran muchísimo la seguridad frente a contraseñas tradicionales, no son una bala de plata perfecta. Hay algunos riesgos y límites que conviene tener muy presentes al configurarlas.
El más obvio es que cualquiera que pueda desbloquear tu dispositivo puede usar tus llaves de acceso. Si compartes ordenador o tablet con más gente en casa, o si tu PIN del móvil es ridículamente sencillo, esa persona podría entrar en tus cuentas sin necesidad de saber ninguna contraseña.
Otro problema importante aparece si todas tus passkeys están en un único dispositivo y este se rompe, se pierde o te lo roban. Si además has desactivado casi todas las vías de recuperación basadas en contraseña o correo alternativo, la recuperación de acceso puede ser lenta o, en algunos servicios, muy complicada.
También hay que recordar que muchas webs, incluso tras activar passkeys, mantienen el inicio de sesión por contraseña activo. Eso significa que, si tu clave vieja era débil o la reutilizabas, un atacante seguiría pudiendo entrar por ahí si consigue esa contraseña por alguna vía.
Por todo ello, vale la pena mantener algunos principios básicos: bloqueo de pantalla fuerte, dispositivos siempre actualizados, al menos un método de recuperación alternativo y, si es posible, más de un dispositivo con passkeys configuradas para tus cuentas importantes. Además, considera usar apps antirrobo para reducir riesgos si un móvil se pierde o te lo roban.
El panorama de autenticación está cambiando rápido y las passkeys se están consolidando como la opción más sensata para equilibrar comodidad y seguridad. Entender bien cómo funcionan en Android, cómo se integran con el Administrador de credenciales y qué papel juegan junto a contraseñas, SMS y apps de verificación te permite aprovechar sus ventajas sin llevarte sustos cuando pierdas un móvil o cambies de dispositivo, usando un sistema más resistente a ataques y bastante más cómodo para tu día a día digital.
