Biometría y passkeys: Así cambia la forma de proteger nuestra identidad digital

La autenticación sin contraseñas avanza a pasos agigantados. Un experto en seguridad de la información explica cómo tecnologías como la biometría, las passkeys y la inteligencia artificial están transformando la forma en que protegemos nuestra identidad digital y qué hábitos debemos adoptar para reducir riesgos.
Desbloquear una cuenta con solo mirar la pantalla o usar la huella dactilar ya hace parte de la rutina cotidiana de millones de personas. Con el tiempo han quedado atrás los archivos llenos de usuarios y contraseñas anotadas, así como la necesidad de restablecer claves constantemente. Sin embargo, esta comodidad también representa un cambio importante en las reglas de la ciberseguridad y en la forma de proteger nuestra identidad digital.
La autenticación passwordless (sin contraseñas) busca eliminar el uso de claves tradicionales y reemplazarlas por métodos más seguros, como la biometría, las passkeys o los dispositivos físicos de autenticación. Aunque estas tecnologías reducen muchos riesgos asociados a las contraseñas, también trasladan buena parte de la seguridad hacia la protección del dispositivo móvil y de los datos biométricos del usuario.
Cuando la contraseña es tu propio cuerpo
El reconocimiento facial, la huella dactilar o el escaneo del iris ofrecen una experiencia mucho más sencilla y reducen el riesgo de utilizar contraseñas débiles o fáciles de adivinar. “El usuario no tiene que memorizar nada, no tiene que digitar nada, solamente pone su cara o su huella”, explica Sergio Estaban Quevedo García, profesor de la Facultad de Ingeniería de la Universidad de La Sabana.
Sin embargo, aunque los rasgos biométricos son difíciles de falsificar, también presentan un desafío importante: no pueden cambiarse. “Si esa información se filtra, entonces no la podemos revocar. Yo no puedo cambiar mi huella dactilar, no puedo cambiar mi iris, no puedo cambiar mi rostro”, advierte el experto.
Por eso, la protección de esta información es fundamental. Las plataformas no suelen almacenar directamente una fotografía del rostro o una imagen de la huella. En cambio, generan una representación matemática a partir de características únicas de cada persona. En el caso de una huella dactilar, por ejemplo, el sistema analiza elementos como sus patrones, curvas y puntos característicos para crear un código matemático que servirá para verificar la identidad del usuario. Así, incluso si un ciberdelincuente logra acceder a la base de datos, no encontrará imágenes legibles de las huellas o de los rostros.
El experto es enfático en que “Si llegase a haber una filtración, lo mejor es tener un patrón matemático que sería el que se cambia y no necesariamente guardar todos los datos biométricos. No es guardar el rostro, no es guardar la huella, sino una representación matemática de esa información biométrica”.
FIDO2 y passkeys: el salto hacia un mundo sin contraseña
La evolución de la autenticación digital también ha impulsado tecnologías como FIDO2 y las passkeys, sistemas diseñados para reemplazar las contraseñas tradicionales mediante criptografía avanzada.
Se trata de un estándar internacional de autenticación que funciona bajo un modelo descentralizado, es decir, en lugar de que una plataforma almacene una contraseña creada por el usuario, el dispositivo, como un celular o una llave de seguridad física, genera automáticamente dos claves criptográficas: una pública y una privada.
La clave pública se almacena en el servidor de la plataforma, mientras que la clave privada permanece únicamente en el dispositivo del usuario y nunca sale de allí. Cuando una persona intenta iniciar sesión, el servidor envía un “desafío” digital que solo puede resolverse desde el dispositivo autorizado, generalmente después de validar la identidad mediante huella, rostro o PIN.
Para el profesor, este sistema representa un cambio importante frente al modelo tradicional de contraseñas. “La clave privada solamente la tiene el usuario y queda guardada en el dispositivo”, explica el experto.
La principal ventaja es que el “secreto” nunca viaja por internet ni queda almacenado en grandes bases de datos centralizadas, lo que reduce considerablemente el riesgo de robo masivo de credenciales o ataques de phishing (suplantación de identidad). En otras palabras, aunque un ciberdelincuente logre vulnerar el servidor de una empresa, no podrá obtener las claves privadas de los usuarios porque estas permanecen aisladas en cada dispositivo.
Además, este sistema mejora la experiencia del usuario, quien no necesita recordar múltiples contraseñas complejas. Basta con desbloquear el celular mediante reconocimiento facial o huella dactilar para autenticarse.
Sin embargo, el modelo sin contraseñas también abre un debate sobre la dependencia tecnológica de los grandes ecosistemas digitales. Muchas personas almacenan sus passkeys y credenciales en servicios de Google, Apple o Microsoft, lo que puede generar preocupación sobre la soberanía digital y la migración entre plataformas.
“A ti te roban tu cuenta de Google y tienen acceso a tus contraseñas de todo”, comenta el experto, quien recomienda tener mayor conciencia sobre dónde se almacenan las claves y datos sensibles.
Para disminuir ese riesgo, se recomienda activar la autenticación en dos pasos de la cuenta principal, utilizar un PIN o contraseña robusta para proteger el dispositivo, a mantener actualizados los equipos y desconfiar de correos, mensajes o enlaces que soliciten códigos de verificación o información personal, ya que el phishing sigue siendo una de las principales formas de robo de credenciales.
Inteligencia artificial y deepfakes: el nuevo desafío
El auge de la inteligencia artificial generativa ha elevado los riesgos de suplantación de identidad. Hoy es posible clonar voces, crear imágenes sintéticas y producir deepfakes (contenido audiovisual manipulado mediante inteligencia artificial) cada vez más realistas.
Frente a este panorama, las plataformas financieras y tecnológicas han comenzado a fortalecer sus sistemas de detección de vida. “Cuando entras a una aplicación bancaria, te pide cerrar los ojos, mover la cabeza o girar el rostro”, señala Quevedo.
Estas acciones permiten validar que existe una persona real detrás de la cámara y no una imagen manipulada digitalmente; los sistemas detectan intentos de fraude. “Ya no es solamente ver un rostro, sino pedirle acciones, pedirle y analizar texturas de la piel, analizar muchas veces también sensores de infrarrojo de temperatura corporal y cosas así. El tema de la IA es un riesgo que ya se está trabajando”, advierte el experto.
La biometría conductual y el análisis de comportamiento
Pero las contraseñas o reconocimiento facial no son lo único, actualmente, muchas plataformas utilizan biometría conductual y algoritmos de aprendizaje automático para analizar los hábitos del usuario.
“Los sistemas ya nos permiten identificar si quien intenta ingresar es realmente el usuario a partir de nuestros patrones de comportamiento”, explica Quevedo. Un ejemplo de ello es una aplicación bancaria, la cual puede aprender que una persona suele ingresar desde la misma ciudad, a determinadas horas, utilizando siempre el mismo celular, escribiendo a una velocidad determinada, la forma de mover el mouse o los horarios de conexión etc.
De acuerdo con el experto, estos sistemas pueden detectar comportamientos inusuales antes de que ocurra un fraude. Por eso, algunas aplicaciones bloquean accesos desde otros países o dispositivos desconocidos cuando detectan patrones diferentes a los habituales.
El celular: la nueva llave de nuestra identidad digital
En un entorno sin contraseñas, el teléfono móvil se convierte en el principal centro de autenticación digital. Allí se almacenan tarjetas, tokens, claves y llaves criptográficas.
Ante este panorama, el experto recomienda fortalecer los hábitos de seguridad digital para reducir riesgos de fraude o suplantación de identidad.
Tips para proteger la identidad digital en un mundo sin contraseñas
Mantener el celular y las aplicaciones siempre actualizadas.
Activar bloqueo biométrico o contraseña segura en el dispositivo.
No compartir códigos de verificación enviados por SMS o aplicaciones.
Evitar enviar información bancaria o contraseñas por WhatsApp o mensajes de texto.
Desconfiar de enlaces sospechosos y posibles intentos de phishing.
Bloquear inmediatamente la SIM card en caso de robo del celular.
Artículos relacionados
El primer doctorado en logística de Suramérica y el Caribe cumple diez años
La Universidad de La Sabana celebra la primera década del Doctorado en Logística y Gestión de Cadenas de Suministro, el programa pionero en Suramérica y el Caribe, se ha consolidado por una producción científica robusta y proyectos con resultados aplicados en sectores clave de la región.
>

CONTACTO
Tus comentarios y preguntas son importantes para nosotros. Diligencia este formulario y nos pondremos en contacto. También puedes venir a visitarnos y resolveremos tus dudas.