Passkeys: cómo proteger tus cuentas mejor que con contraseñas

El robo de cuentas a grandes creadores de contenido en YouTube puso en evidencia una vulnerabilidad que muchos ignoraban: las cookies de sesión. A partir de ese problema, surgió una solución criptográfica llamada passkeys que promete cambiar la forma en que nos autenticamos en línea. Entender cómo funciona esta tecnología es clave para blindar tus cuentas y mantener tu información segura.

¿Por qué las cookies son una puerta abierta para los hackers?

Influenciadores con todas las verificaciones de seguridad activas perdieron el control de sus canales de YouTube. El equipo de Google se preguntó cómo era posible si estos usuarios cumplían todos los requisitos de protección [0:15]. La respuesta estaba en las cookies de sesión, esos pequeños archivos que nadie quiere borrar porque significaría volver a configurar todo desde cero.

Una cookie funciona como una credencial de oficina: le dice al sistema "ya pasé antes, déjame entrar". Si alguien obtiene ese archivo —porque regalaste un equipo viejo, alguien accedió a tu computadora o simplemente lo copió—, puede hacerse pasar por ti sin necesidad de tu contraseña [0:35].

¿Qué papel juega el Google prompt en este riesgo?

Cuando tienes activada la opción de Google prompt, el sistema permite saltar la autenticación adicional si considera que ya te verificaste previamente. Esto significa que con una sola cookie robada, un atacante puede causar un daño enorme [0:50]. Las medidas de recuperación y seguridad que se configuran deben estar diseñadas para resistir precisamente este tipo de ataque.

¿Qué son los passkeys y cómo funcionan?

Ante la evidencia de que las cookies permitían el robo de canales completos, se desarrolló una función criptográfica donde la contraseña se divide en dos mitades: tú te quedas con una parte y el servicio conserva la otra [1:06]. Nadie posee la clave completa por sí solo.

• Sustituyen a las contraseñas tradicionales.
• Son más seguros que una contraseña convencional.
• Funcionan mediante un reto matemático: el servicio lanza una operación y, si tu dispositivo la responde correctamente, se concede el acceso [1:18].

Este mecanismo elimina el riesgo de que alguien intercepte tu contraseña completa, porque simplemente no existe en un solo lugar.

¿Dónde conviene guardar tu passkey?

El lugar donde almacenas tu passkey importa tanto como el propio mecanismo de seguridad. Si lo guardas dentro de Google Drive, un hackeo a tu cuenta de Google expondría también esa configuración, dando al atacante aún más control [1:28].

La recomendación es utilizar un administrador de contraseñas externo como 1Password u otro servicio independiente [1:38]. La ventaja es clara:

• No dependes de un solo dispositivo.
• Si pierdes, regalas o te roban tu equipo, puedes acceder al administrador desde cualquier otro lugar.
• Puedes invocar tu passkey y decir: "aquí está mi credencial, déjame pasar" [1:48].

¿Por qué centralizar tu seguridad en un administrador de contraseñas?

Más allá de los passkeys, tener un solo programa donde se concentre toda la información de seguridad aporta orden y tranquilidad [1:58]. En lugar de recordar decenas de credenciales dispersas, un administrador te permite:

• Gestionar contraseñas, passkeys y métodos de autenticación desde un punto único.
• Reducir el riesgo de olvidar o perder accesos críticos.
• Reaccionar rápidamente ante cualquier incidente de seguridad.

La combinación de passkeys con un administrador externo crea una capa de protección robusta que no depende de un solo ecosistema ni de un solo dispositivo. Si conoces algún caso de un creador de contenido que haya sufrido un hackeo importante, comparte en los comentarios qué sucedió y si logró recuperar sus cuentas.