Todas las entradas

8 min de lectura

Passkeys sincronizadas frente a llaves de hardware para tu bóveda de identidad

Las passkeys sincronizadas viajan entre tus dispositivos; las llaves de hardware permanecen ligadas a un dispositivo y bajo control físico. CardanoWall puede usar cualquiera de las dos para abrir tu bóveda de identidad cuando hay soporte de WebAuthn PRF, y la semilla de identidad sigue siendo tu copia de seguridad real en ambos casos.

Tanto las passkeys sincronizadas como las llaves de hardware abren tu bóveda de identidad de CardanoWall, pero cada una se optimiza para cosas distintas. Una passkey sincronizada suele ser la mejor opción para el día a día, porque te acompaña a un teléfono o portátil nuevo a través de tu proveedor de passkeys. Una llave de hardware suele ser mejor para identidades de alto valor, porque está ligada a un dispositivo y bajo control físico.

Cualquiera de las dos sirve como factor para abrir la bóveda cuando tu navegador, tu sistema operativo y tu autenticador admiten la extensión WebAuthn PRF. Y en ambos casos el factor de apertura es comodidad, no custodia: tu identidad real es la semilla de identidad.

¿Qué es una passkey sincronizada?

Una passkey sincronizada es una passkey que tu proveedor pone a tu disposición en todos tus dispositivos.

Ese proveedor puede estar integrado en tu sistema operativo, tu navegador, tu gestor de contraseñas o una cuenta de plataforma. La ventaja es evidente: consigues un dispositivo nuevo, inicias sesión en el mismo proveedor y la passkey ya está ahí.

Para CardanoWall, esto facilita el uso diario. Inicias sesión, apruebas el aviso de la passkey y la bóveda de identidad cifrada se abre, sin teclear la semilla de identidad.

La contrapartida es que heredas el modelo de seguridad y recuperación del proveedor que sincroniza la passkey. Su protección de cuenta, su recuperación entre varios dispositivos y sus modos de fallo pasan a ser los tuyos.

¿Qué es una llave de hardware?

Una llave de hardware es un autenticador físico: una llave de seguridad USB, NFC o BLE que sostienes en la mano.

Una llave de hardware ligada a un dispositivo no se sincroniza por sí sola con ordenadores nuevos. Para abrir la bóveda con ella, necesitas tener la llave física presente. Ese es justamente el objetivo: la credencial no puede aparecer en silencio en un sitio donde tú no la pusiste.

Las llaves de hardware encajan bien con identidades sensibles:

  • identidades de recepción para redacciones o denunciantes;
  • identidades jurídicas y de material probatorio;
  • identidades corporativas de alto valor;
  • identidades de producción de API o de operador de gateway;
  • cualquier identidad que no deba depender de la sincronización en la nube de consumo.

La contrapartida es operativa. Si pierdes la llave, recurres a otro factor registrado o a la semilla de identidad.

Una advertencia práctica: el soporte de PRF para llaves USB/NFC itinerantes es menos uniforme que para las passkeys de plataforma. A principios de 2026, Safari en macOS e iOS no pasa de forma fiable los datos de PRF a los autenticadores itinerantes, así que en los dispositivos de Apple una llave de hardware puede no servir como factor de bóveda aunque sí lo haga una passkey de plataforma. Cuenta con probar una llave de hardware antes de fiarte de ella, en lugar de dar por hecho que funcionará en todas partes.

¿Cuál es más segura?

Depende de tu modelo de amenazas: no hay un ganador único.

Las passkeys sincronizadas resisten muy bien el phishing y las filtraciones de bases de datos de contraseñas, y reducen la probabilidad de que pierdas el acceso cuando un dispositivo muere. Las llaves de hardware ofrecen un control más fuerte sobre dónde puede existir la credencial, lo que conviene a los equipos que necesitan custodia física, seguimiento de activos, ceremonias de claves o una política clara sobre quién puede abrir una identidad compartida.

Tanto la comodidad como el control son propiedades de seguridad. Perder el acceso también es un fallo de seguridad. La mejor opción es la que de verdad puedes operar correctamente bajo presión.

¿Cómo las usa CardanoWall?

Como factores para abrir la bóveda, nunca como la identidad en sí.

Tu identidad de CardanoWall es la semilla de identidad: un único secreto de 32 bytes del que se deriva cada clave. Una passkey o una llave de hardware no sustituyen a esa semilla. Abren la bóveda cifrada que la guarda para tu cuenta, de modo que puedas iniciar sesión en un dispositivo nuevo sin volver a teclear la semilla cada vez.

La bóveda es un único texto cifrado con age, dirigido solo a tus factores WebAuthn-PRF, con una stanza por cada passkey o llave de hardware registrada. No hay ninguna stanza derivada de una contraseña que pueda romperse por fuerza bruta, ni ninguna stanza de clave pública que un futuro ataque cuántico pueda atacar; la exposición relevante es una búsqueda al estilo de Grover contra claves simétricas de 256 bits, que deja un margen efectivo de unos 128 bits. El servicio guarda el texto cifrado, pero no puede descifrarlo. Si un factor es capaz de producir la salida PRF requerida durante la ceremonia del navegador, puede abrir la bóveda; si no, CardanoWall no debería registrarlo. Para profundizar en lo que protege ese diseño, consulta cómo las passkeys protegen tu bóveda de identidad.

Por eso importa detectar las capacidades antes de comprometerte con un factor.

¿Por qué importa el soporte de PRF?

Porque no toda passkey puede abrir una bóveda cifrada.

WebAuthn a secas puede demostrar quién eres ante un sitio web. Abrir la bóveda exige más: el autenticador debe entregar al navegador material de claves para descifrar el texto cifrado local. Esa capacidad adicional es la extensión WebAuthn PRF, y su soporte varía según el navegador, el sistema operativo y el autenticador.

CardanoWall detecta por capacidad si hay PRF antes de registrar un factor, en lugar de adivinarlo a partir del nombre del navegador, y te dirigirá por la vía de solo semilla si tu configuración no admite PRF. Esa vía no es un modo degradado: es la base portátil. La semilla de identidad funciona en cualquier dispositivo, con cualquier herramienta conforme, sin proveedor ni servicio de por medio.

¿Qué deberían elegir los usuarios normales?

Por lo general, una passkey de plataforma sincronizada.

Para una identidad personal del día a día, una passkey sincronizada es la mejor contrapartida: fácil de usar, fácil de recuperar entre dispositivos y evita que estés pegando tu semilla todo el rato. Una configuración sensata se parece a esto:

  • guarda la semilla de identidad en un gestor de contraseñas o en un lugar seguro sin conexión;
  • añade una passkey de plataforma sincronizada;
  • añade un segundo factor si usas varios dispositivos;
  • evita abrir identidades de alto valor en máquinas en las que no confías; si no te queda más remedio, usa un modo de ordenador público que no persista nada.

La passkey es comodidad. La semilla es recuperación y portabilidad. Guarda la semilla independientemente del factor de apertura que elijas.

¿Qué deberían elegir los equipos?

Llaves de hardware más una custodia de la semilla documentada.

A los equipos suele importarles menos la comodidad informal y más el control. Una identidad de equipo puede compartirse a propósito, pero compartir a propósito no es lo mismo que poder copiar sin que nadie se entere. Una configuración de equipo razonable:

  • dos llaves de hardware en manos de personas responsables distintas;
  • una semilla de identidad impresa en una caja fuerte;
  • una política de acceso por escrito;
  • un procedimiento de rotación para cuando cambia la custodia;
  • una identidad separada por cada flujo de trabajo importante;
  • la desactivación de las identidades que ya no deberían firmar.

Un límite honesto para las identidades compartidas: cualquiera que tenga la semilla puede firmar y descifrar como esa identidad. Las llaves de hardware protegen el acceso a la bóveda en un dispositivo concreto; no convierten una semilla compartida en algo parcial o revocable. Si la propia semilla ha circulado de mano en mano, el control sobre ella se acabó; eso es una propiedad de la semilla, no del factor de apertura.

¿Qué pasa si pierdes uno?

Usa otro factor o recurre a la semilla.

Si pierdes un dispositivo sincronizado pero conservas el proveedor de passkeys en otro dispositivo, normalmente puedes seguir adelante. Si pierdes una llave de hardware, elimina ese factor: la bóveda se vuelve a cifrar para tus factores restantes y el texto cifrado antiguo se borra de forma definitiva. Si no queda ningún factor, la semilla de identidad es la vía de recuperación. Y si todos desaparecen, el uso futuro de esa identidad también desaparece, pero todo lo que ya publicó se sigue verificando para siempre solo con datos públicos.

La eliminación es una revocación real para la bóveda actual, pero no es retroactiva: es control en la capa de servicio, no una máquina del tiempo. Si un factor pudo haber sido robado y usado antes de que lo eliminaras, trata la situación como un posible compromiso de la semilla: eliminar el factor impide que abra la bóveda recifrada, pero no puede deshacer ningún uso previo. La respuesta correcta ante una sospecha de compromiso de la semilla es una identidad nueva más la desactivación de la antigua, no un reinicio. El ciclo de vida para eso —activa, desactivada, eliminada— es un tema aparte.

La versión corta

Las passkeys sincronizadas son cómodas y viajan entre dispositivos. Las llaves de hardware están más controladas y se quedan donde las pones. CardanoWall puede usar cualquiera de las dos como factor para abrir la bóveda cuando hay WebAuthn PRF disponible.

Para el uso personal del día a día, una passkey sincronizada suele ser lo acertado. Para identidades de alto valor o de equipo, las llaves de hardware pueden merecer la ceremonia adicional, allí donde PRF funcione con ellas. En todos los casos, guarda la semilla de identidad: la passkey abre la bóveda, pero la semilla es la identidad.

Para seguir leyendo

securitypasskeyshardware-keys