El Ecosistema Startup > Blog > Actualidad Startup > Passkeys: Por qué NO usarlas para cifrar datos de usuarios
Ilustración conceptual que muestra los riesgos de usar passkeys para cifrado de datos, destacando la seguridad digital y protección de usuarios en startups.

Passkeys: Por qué NO usarlas para cifrar datos de usuarios

por

El problema crítico de confundir autenticación con cifrado

En el ecosistema tecnológico actual, las passkeys se han posicionado como una de las soluciones más prometedoras para eliminar las contraseñas tradicionales. Sin embargo, Tim Cappalli, experto en identidad y seguridad, lanza una advertencia contundente: usar passkeys para cifrar datos de usuarios es una práctica peligrosa que puede derivar en pérdida irreversible de información crítica.

Las passkeys fueron diseñadas exclusivamente como credenciales resistentes a phishing para autenticación, no para cifrado de datos. Mezclar ambos propósitos representa un riesgo arquitectónico fundamental que muchos desarrolladores y startups están pasando por alto en sus implementaciones.

Qué son las passkeys y por qué existen

Las passkeys son credenciales criptográficas basadas en el estándar WebAuthn que permiten a los usuarios autenticarse sin contraseñas. Funcionan mediante un par de claves: una privada (almacenada de forma segura en el dispositivo del usuario) y una pública (registrada en el servidor).

Su propósito es claro y específico:

  • Eliminar vulnerabilidades asociadas a contraseñas débiles o reutilizadas
  • Proteger contra ataques de phishing y credential stuffing
  • Simplificar la experiencia de autenticación del usuario
  • Mejorar la seguridad mediante autenticación de dos factores inherente

Lo que las passkeys NO fueron diseñadas para hacer es servir como mecanismo de cifrado de datos de usuario. Esta distinción es crucial.

Los riesgos de usar passkeys para cifrado

Cuando los desarrolladores utilizan passkeys (o la extensión PRF – Pseudo-Random Function de WebAuthn) para cifrar datos de usuarios, crean varios escenarios de riesgo:

Pérdida irreversible de datos

Si un usuario pierde acceso a su passkey (dispositivo robado, dañado o extraviado), los datos cifrados con esa clave se vuelven irrecuperables. A diferencia de las contraseñas tradicionales que pueden restablecerse, no existe un mecanismo de recuperación cuando la clave de cifrado desaparece.

Problemas de sincronización entre dispositivos

Las passkeys pueden sincronizarse entre dispositivos del mismo ecosistema (por ejemplo, dispositivos Apple vía iCloud Keychain o Google vía Password Manager). Sin embargo, cuando se usan para cifrado, la falta de sincronización inmediata puede generar inconsistencias: datos cifrados en un dispositivo pueden no ser accesibles desde otro.

Cambios de plataforma o gestor de credenciales

Un usuario que migra de iOS a Android, o que decide cambiar de gestor de credenciales, puede encontrarse en la situación de haber perdido permanentemente acceso a todos sus datos cifrados. Esto crea una dependencia vendor lock-in inaceptable.

Rotación de credenciales imposible

Las mejores prácticas de seguridad recomiendan poder rotar claves de cifrado periódicamente. Cuando las passkeys se usan para cifrar datos, esta rotación se vuelve extremadamente compleja o directamente imposible sin re-cifrar todos los datos del usuario.

Casos reales y ejemplos de implementación incorrecta

Aunque el artículo de Cappalli no menciona empresas específicas por nombre, señala que varios servicios emergentes han comenzado a implementar la extensión PRF de WebAuthn para cifrado de extremo a extremo, sin considerar las implicaciones para el usuario final.

Los escenarios problemáticos incluyen:

  • Gestores de contraseñas que cifran la bóveda completa usando passkeys
  • Aplicaciones de mensajería que usan passkeys para cifrado de conversaciones
  • Servicios de almacenamiento en la nube que implementan cifrado basado en passkeys
  • Aplicaciones financieras que protegen datos sensibles mediante esta técnica

En todos estos casos, el riesgo de pérdida de datos supera significativamente los beneficios percibidos de seguridad.

Recomendaciones para desarrolladores y founders

Para los equipos técnicos de startups que están considerando implementar passkeys, Cappalli y la comunidad de seguridad ofrecen las siguientes directrices:

Para desarrolladores de aplicaciones

  • Usa passkeys exclusivamente para autenticación: Mantén la separación de responsabilidades clara
  • Implementa sistemas de cifrado independientes: Utiliza claves de cifrado separadas que puedan ser respaldadas y recuperadas
  • Ofrece múltiples opciones de recuperación: Códigos de recuperación, preguntas de seguridad alternativas, verificación por correo
  • Educa a tus usuarios: Comunica claramente qué sucede si pierden acceso a su passkey

Para gestores de credenciales

  • No promuevan PRF para cifrado como característica principal
  • Implementen mecanismos de backup robustos que no dependan de una única passkey
  • Proporcionen exportación de datos antes de que el usuario pierda acceso
  • Documenten claramente los riesgos en la interfaz de usuario

Alternativas correctas para cifrado de datos

Si tu startup necesita implementar cifrado de extremo a extremo, considera:

  • Derivación de claves basada en contraseña (PBKDF2, Argon2) con opciones de recuperación
  • Claves de cifrado separadas generadas aleatoriamente y respaldadas de forma segura
  • Esquemas de secret sharing (Shamir’s Secret Sharing) para recuperación distribuida
  • Hardware Security Modules (HSM) para servicios enterprise
  • Cifrado a nivel de aplicación con gestión de claves independiente de la autenticación

El futuro de las passkeys y las mejores prácticas

Las passkeys representan un avance genuino en seguridad de autenticación y su adopción debe continuar. FIDO Alliance, W3C y los principales proveedores tecnológicos (Apple, Google, Microsoft) están invirtiendo significativamente en este estándar.

Sin embargo, la industria debe ser clara sobre los límites de esta tecnología. El hecho de que algo sea técnicamente posible (como usar PRF para cifrado) no significa que sea una buena práctica de ingeniería.

Para los founders técnicos, la lección es clara: la seguridad efectiva requiere diseño cuidadoso, no solo adopción de tecnologías de moda. Antes de implementar cualquier solución de seguridad, pregúntate:

  • ¿Qué sucede si el usuario pierde su dispositivo?
  • ¿Puede el usuario recuperar sus datos en cualquier escenario razonable?
  • ¿Estamos creando dependencia de un único punto de falla?
  • ¿La experiencia de usuario considera todos los escenarios edge case?

Conclusión

La advertencia de Tim Cappalli es un recordatorio necesario para el ecosistema startup: la innovación en seguridad debe equilibrarse con pragmatismo y consideración del usuario final. Las passkeys son una herramienta excelente para autenticación sin contraseñas, pero usarlas para cifrado de datos es una receta para desastres de experiencia de usuario y pérdida de información.

Para los founders que construyen productos tecnológicos, especialmente en sectores regulados o con datos sensibles, implementar las herramientas correctas para cada propósito no es solo una decisión técnica: es una responsabilidad hacia tus usuarios. La pérdida irreversible de datos puede destruir la confianza en tu producto más rápido que cualquier competidor.

Mantén las passkeys para lo que fueron diseñadas: autenticación resistente a phishing. Para cifrado, utiliza sistemas diseñados específicamente para ese propósito, con mecanismos robustos de recuperación y backup.

¿Implementando seguridad en tu startup? Conecta con founders que han enfrentado estos desafíos técnicos y comparten sus aprendizajes en nuestra comunidad.

Únete gratis ahora

Fuentes

  1. https://blog.timcappalli.me/p/passkeys-prf-warning/ (fuente original)
  2. https://webauthn.guide/ (referencia técnica)
  3. https://fidoalliance.org/passkeys/ (especificaciones FIDO)
  4. https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API (documentación MDN)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

Artículos relacionados:

Contraseñas generadas por IA mostrando vulnerabilidades en seguridad informática para startups en un entorno tecnológico moderno.Contraseñas de IA: Por qué no son seguras para tu startup Smartphone con WhatsApp mostrando activación de claves biométricas para copias de seguridad cifradas en la nube, destacando ciberseguridad y privacidad.WhatsApp añade protección con claves de paso a copias de seguridad cifradas iPhone y iPad certificados por NATO para manejo seguro de datos clasificados en entornos empresariales y startups.iPhone y iPad certificados por OTAN para datos clasificados Visualización de cifrado de datos en reposo con DuckDB usando AES-GCM para mejorar la seguridad en plataformas SaaS, en paleta naranja y negro.Cifrado de datos en reposo en DuckDB: seguridad para SaaS Fundador de startup tech monitoreando amenazas de ciberseguridad y spyware Intellexa Predator en un entorno digital oscuro y tecnológico.Spyware Intellexa Predator: Ciberseguridad para Startups

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly