Llaves de acceso (FIDO2) para Windows y navegadores: cómo dejar atrás las contraseñas sin perder el acceso
Las llaves de acceso ya son, en 2026, una alternativa real y cotidiana a las contraseñas en PCs con Windows. Reducen el riesgo de phishing porque no existe una “cadena secreta” que puedan robar, y el inicio de sesión queda ligado a un dispositivo de confianza más el desbloqueo de pantalla (PIN, huella o rostro). La parte más delicada no es crear llaves de acceso, sino migrar con seguridad: decidir dónde se guardan, preparar la recuperación antes de necesitarla y mantener el acceso a servicios antiguos que todavía exigen contraseñas.
Cómo funcionan las llaves de acceso en la práctica (y por qué bloquean el phishing)
Una llave de acceso es una credencial FIDO2/WebAuthn basada en criptografía de clave pública. Cuando creas una para un sitio web o una app concreta, tu dispositivo genera un par de claves: una privada que permanece protegida en tu lado y una pública que almacena el servicio. Durante el inicio de sesión, el servicio envía un desafío y tu dispositivo lo firma con la clave privada, de modo que el servicio puede verificarte sin que tengas que escribir una contraseña.
Por eso las llaves de acceso son tan resistentes al phishing. Un sitio falso no puede usar tu llave de acceso para entrar en el sitio real, porque WebAuthn vincula el inicio de sesión al dominio auténtico. Aunque alguien te engañe para abrir una página parecida, el proceso no se completa contra el origen incorrecto y no hay una contraseña que puedas “entregar”.
En Windows, el inicio de sesión con llaves de acceso suele gestionarse a través de Windows Hello. Esto significa que lo que haces al iniciar sesión es el mismo gesto que ya usas para desbloquear el PC: un PIN de Windows Hello o biometría si la tienes configurada. En Windows 11, tener Windows Hello configurado (al menos un PIN) es, en la práctica, un requisito para que las llaves de acceso sean realmente cómodas.
Windows Hello, FIDO2 y dónde vive realmente la clave privada
En una configuración típica de Windows 11, Windows Hello actúa como paso de verificación del usuario para las llaves de acceso. Si tienes rostro o huella configurados, verás ese aviso; de lo contrario, Windows recurre al PIN de Hello. Es un comportamiento normal y una razón más para tomarse en serio la calidad del PIN: conviene tratarlo como una medida de seguridad, no como un simple código de comodidad.
En 2026 hay dos “hogares” frecuentes para las llaves de acceso. El primero es un autenticador integrado del dispositivo (tu PC o tu móvil), protegido por hardware seguro y por tu método de desbloqueo. El segundo es un llavero sincronizado (por ejemplo, un almacén de credenciales ligado a una cuenta del proveedor), que puede replicar la llave de acceso a otros dispositivos de confianza tras autenticarte. La diferencia es clara: el almacenamiento solo en dispositivo está más contenido; el sincronizado es más cómodo, pero depende de una buena protección de la cuenta y de una recuperación bien configurada.
Por último, están las llaves de seguridad físicas (a menudo llamadas “llaves FIDO2”). También pueden guardar llaves de acceso y son una excelente opción como respaldo, porque no dependen de un único teléfono. Para muchas personas, el equilibrio ideal es: llaves de acceso en los dispositivos principales para el día a día y una llave física guardada en un lugar seguro como opción de “todavía puedo entrar”.
Pasar de contraseñas en 20–30 minutos (sin romper cuentas antiguas)
Empieza por las cuentas más importantes: correo electrónico, tu gestor de contraseñas (si lo usas), y cuentas principales de Apple/Google/Microsoft, además de banca si lo permite. Son tus “claves raíz”, porque controlan la recuperación y el acceso al resto. Antes de añadir llaves de acceso, asegúrate de que cada cuenta tenga opciones de recuperación al día: un segundo factor, correo de recuperación, teléfono de recuperación y, cuando exista, códigos de recuperación guardados fuera de línea.
Después, habilita llaves de acceso en al menos dos sitios: (1) tu dispositivo principal de uso diario (móvil o PC principal) y (2) una vía de respaldo. Ese respaldo puede ser otro dispositivo que ya tengas (tableta, segundo portátil) o una llave de seguridad física. La idea no es complicarse: es evitar un único punto de fallo.
Por último, no “borres todas las contraseñas” el primer día. Muchos servicios siguen manteniendo contraseñas como alternativa para apps antiguas, dispositivos viejos o flujos de recuperación de cuenta. Una migración sensata es: añadir una llave de acceso, probarla en un segundo dispositivo o navegador, confirmar que la recuperación funciona y, solo entonces, decidir si conservas la contraseña como acceso de emergencia o la eliminas cuando el servicio soporte un uso totalmente sin contraseñas.
Qué hacer con servicios que todavía no admiten llaves de acceso
Con servicios antiguos, el patrón más seguro es mantener una contraseña fuerte y única generada por un gestor de contraseñas y añadir un segundo factor (TOTP, aprobación push o llave física) si está disponible. Las llaves de acceso son excelentes, pero no conviene bajar el nivel de seguridad en los inicios de sesión que aún dependen de contraseñas.
Si un servicio permite “Iniciar sesión con Microsoft/Google/Apple”, úsalo como puente. Si proteges la cuenta de identidad con llaves de acceso, reduces el número de contraseñas independientes que debes mantener. Además, la recuperación suele simplificarse porque concentras el acceso en menos cuentas, pero mejor protegidas.
Cuando un servicio obliga a recuperación por SMS, trátalo como un riesgo y compénsalo: protege tu número con tu operador cuando sea posible, activa alertas de cuenta y guarda códigos de recuperación fuera de línea. El objetivo es que el eslabón más débil sea menos explotable mientras esperas una compatibilidad real con llaves de acceso.
Plan de recuperación: móvil perdido, PC reemplazado y dispositivos compartidos o de trabajo
La historia de fallo más común es predecible: alguien configura llaves de acceso en el móvil, pierde el móvil y descubre que nunca terminó de preparar la recuperación. Para evitarlo, planifica desde el principio el escenario de “pierdo un dispositivo”. Necesitas al menos dos vías independientes para volver a entrar: otro dispositivo de confianza ya conectado o una llave física, además de opciones de recuperación de cuenta que hayas verificado recientemente.
Si tus llaves de acceso se sincronizan mediante una cuenta de proveedor, la recuperación depende de la seguridad de esa cuenta. Esto implica una protección de inicio de sesión sólida (llave de acceso y verificación adicional cuando exista) y un control cuidadoso de los canales de recuperación. Si tu correo de recuperación es débil o tu número se puede secuestrar con facilidad, las llaves de acceso sincronizadas se vuelven más vulnerables por vías indirectas.
En PCs compartidos y equipos corporativos gestionados, las llaves de acceso requieren más reflexión. En general, no conviene guardar llaves de acceso personales en un perfil de Windows compartido. En el entorno laboral, sigue la política de la organización: muchos equipos exigen Windows Hello for Business, cumplimiento del dispositivo o proveedores de credenciales concretos. Si hay dudas, separa claramente los accesos personales y los de trabajo y prioriza llaves físicas cuando necesites un método portátil y compatible con políticas.
Lista rápida para PC de casa vs PC de trabajo (para no quedarte sin acceso)
Para un PC de casa: configura Windows Hello (PIN y biometría si está disponible), asegúrate de que el dispositivo esté cifrado (BitLocker en ediciones compatibles) y mantén actualizadas las opciones de recuperación de tu cuenta de Microsoft/Google/Apple. Añade al menos una llave de acceso para una cuenta principal, pruébala en dos navegadores y confirma que puedes iniciar sesión desde un segundo dispositivo.
Para un PC de trabajo: usa únicamente navegadores y tipos de cuenta aprobados y confirma si se permiten proveedores de credenciales de terceros. Si tu organización utiliza acceso condicional o exige llaves de seguridad, registra una llave física cuanto antes y mantenla accesible. Documenta la vía de recuperación siguiendo el proceso seguro del equipo (no en un documento público ni en un chat).
Para ambos: conserva un método de respaldo fuera de línea. Lo más simple es una llave de seguridad física guardada en un lugar seguro, más códigos de recuperación impresos o almacenados sin conexión para tus cuentas “raíz”. Suena clásico, pero es lo que te salva cuando pierdes el móvil, te roban el portátil o estás de viaje y de repente no puedes superar un paso de verificación del dispositivo.
