8 min de lectura
¿Qué pasa si eliminas un passkey en CardanoWall?
Eliminar un passkey vuelve a cifrar tu bóveda de identidad actual de CardanoWall para los factores que te quedan y borra de forma definitiva el texto cifrado anterior: es una revocación real de cara al futuro, pero no puede deshacer un acceso que ya ocurrió.
Cuando eliminas un passkey, CardanoWall vuelve a cifrar tu bóveda de identidad actual para los factores que aún conservas y, acto seguido, borra de forma definitiva el texto cifrado anterior. El passkey que eliminaste ya no puede abrir la bóveda que queda después. Eso es una revocación auténtica para los desbloqueos futuros.
Lo que no es, es retroactiva. Si ese passkey ya se usó para abrir la bóveda mientras era válido, eliminarlo no puede volver atrás y deshacerlo. En ese caso, tratas la identidad como comprometida, no simplemente como «con un factor de menos».
Este artículo explica con exactitud qué cambia, qué permanece igual y cuándo basta con una eliminación frente a cuándo necesitas una identidad nueva.
¿Qué protege realmente el passkey?
Protege el acceso a tu bóveda de identidad alojada: nada más y nada menos.
La bóveda es un paquete cifrado que contiene las semillas de identidad de tu cuenta y las etiquetas privadas que les diste a cada una. Cada passkey que registras es un factor de desbloqueo de ese paquete. El servidor solo guarda texto cifrado que no puede leer; tus passkeys son lo único capaz de abrirlo. (Para ver el cuadro completo de cómo se construye esa bóveda, consulta cómo almacena CardanoWall tu identidad y cómo protegen los passkeys tu bóveda de identidad.)
La distinción que importa aquí: tu identidad es la semilla, no el passkey. Un passkey no es más que una forma cómoda de abrir la copia cifrada de la semilla. Eliminarlo cambia quién puede abrir esa copia, pero no cambia la identidad en sí.
¿Qué ocurre durante la eliminación?
La bóveda se vuelve a cifrar para los factores que quedan. La secuencia es esta:
- desbloqueas la bóveda con un factor válido;
- CardanoWall quita el passkey seleccionado del conjunto de destinatarios;
- tu navegador reconstruye el texto cifrado de la bóveda para los factores restantes;
- la fila actual de la bóveda se reemplaza por el nuevo texto cifrado y un número de versión más alto;
- el texto cifrado anterior se borra de forma definitiva;
- el registro de la credencial eliminada se borra.
El orden se impone en el servidor: una credencial que todavía aparece en el conjunto de destinatarios de la bóveda no se puede borrar. La revocación tiene que ser real —no se permite que sobreviva ningún texto cifrado que el passkey eliminado pueda abrir—, nunca cosmética. En cuanto la llamada termina, el passkey eliminado no abre nada que siga existiendo.
¿Por qué importa tanto borrar el texto cifrado anterior?
Porque el texto cifrado antiguo todavía pueden abrirlo los factores antiguos.
Si cada copia histórica de la bóveda se conservara para siempre, eliminar un passkey sería puro teatro. El factor eliminado aún podría descifrar una versión anterior de la bóveda, y esa versión anterior contiene exactamente las mismas semillas. Habrías «eliminado» una clave que sigue funcionando sobre una copia que está ahí mismo, en el almacenamiento.
Por eso la bóveda alojada es una única fila actual que se reemplaza, no un historial de solo anexado. El borrado definitivo es lo que le da fuerza a la eliminación de factores. En una infraestructura real pueden existir ventanas habituales de rotación de copias de seguridad, pero el producto está diseñado para no conservar nunca, como función, texto cifrado histórico de la bóveda.
¿Y si era mi último passkey?
Entonces se elimina la propia bóveda.
Si no queda ningún factor, CardanoWall no conserva texto cifrado que nada registrado pueda abrir. La cuenta recurre a la vía de introducción de la semilla: recuperas el acceso pegando tu semilla de identidad.
Eso está bien si guardaste tu semilla. Es peligroso si no lo hiciste. Eliminar tu último factor sin una semilla guardada puede dejarte fuera del uso futuro de esa identidad, no porque algo se haya roto, sino porque has eliminado todas las formas de volver a entrar. La semilla es la copia de seguridad real; la bóveda solo es una capa de comodidad por encima de ella. (Por qué la semilla sigue importando lo explica a fondo.)
¿Eliminar un passkey afecta a mis pruebas publicadas?
No. Los registros Label 309 publicados siguen en la cadena y siguen siendo verificables.
La validez de una prueba no depende de tus passkeys actuales, de tu cuenta actual ni del estado actual de tu bóveda. Cualquiera que tenga la referencia de la transacción puede verificarla usando solo los metadatos en cadena, los bytes del contenido si hacen falta y un explorador público de Cardano, sin necesidad de iniciar sesión en CardanoWall. Si una prueba se verificaba antes de que eliminaras un passkey, se verifica igual después.
La eliminación de un passkey rige el acceso futuro a tu bóveda de identidad. No reescribe nada de lo que ya está en la cadena.
Acabo de perder un passkey. ¿Qué debo hacer?
Elimínalo cuanto antes.
Si perdiste un teléfono, un portátil o una clave de seguridad por hardware, eliminar el passkey es el primer paso correcto. Una vez que la bóveda se vuelve a cifrar sin ese factor, el dispositivo perdido ya no puede abrir la bóveda actual.
Si tienes la certeza de que el factor perdido nunca lo usó otra persona —una clave que cayó detrás de un escritorio, un teléfono borrado antes de revenderlo—, eliminarlo puede ser todo lo que necesitas. No hace falta rotar la identidad.
Si no puedes descartar que alguien lo haya usado, sigue leyendo.
¿Y si el passkey pudo ser robado y usado?
Toma el riesgo en serio y sé preciso sobre lo que un passkey robado, por sí solo, puede y no puede hacer.
Un passkey robado por sí mismo no es lo mismo que una semilla robada. Para abrir tu bóveda, un atacante necesita además el texto cifrado de la bóveda (que solo viaja dentro de una sesión autenticada) y la verificación de usuario que exija el autenticador: un dato biométrico o un PIN del dispositivo. Un passkey por sí solo contiene una clave, no el texto cifrado que desbloquea.
Pero si el atacante pudo usar el passkey antes de que lo eliminaras —dentro de una sesión secuestrada, contra la bóveda en vivo—, entonces es posible que haya abierto la bóveda y leído tu semilla de identidad. Una vez expuesta la semilla, la identidad queda totalmente comprometida: quien tenga la semilla puede derivar todas las claves privadas, descifrar registros sellados dirigidos a esa identidad y firmar registros nuevos bajo ella.
En ese escenario, eliminar el passkey no basta. La revocación protege la bóveda de cara al futuro; no puede revertir la exposición de una semilla que ya salió.
¿Qué debo hacer tras una posible exposición de la semilla?
Pásate a una identidad nueva. La respuesta a un compromiso es una identidad nueva, no un restablecimiento in situ de la antigua, porque la semilla y la identidad están unidas de forma permanente: no existe ninguna operación de «cambiar la semilla».
Si no puedes descartar la exposición de la semilla:
- crea una identidad nueva y guarda su nueva semilla de identidad;
- registra nuevos factores de passkey en ella;
- desactiva la identidad comprometida en CardanoWall (esto bloquea la firma y la publicación nuevas, pero te sigue permitiendo descifrar cualquier cosa sellada hacia ella);
- deja de compartir las direcciones de recepción antiguas;
- vuelve a publicar tus nuevas claves públicas en todos los sitios donde publicaste las antiguas: perfiles públicos, tu propio sitio, registros DNS,
.well-knowny tus contactos; - publica un registro de sustitución allí donde ayude a los lectores posteriores.
Una semilla es una identidad. (Activa, desactivada, eliminada recorre cada estado del ciclo de vida.) Ten presente el límite honesto: todo lo que ya esté sellado hacia las claves comprometidas seguirá siendo descifrable por quien las tenga; ni Cardano ni Arweave ofrecen ninguna primitiva de revocación para el contenido ya publicado. La desactivación y un puntero de sustitución son señales para las partes que confían en la identidad, no una retirada de los datos del pasado.
¿Qué es el anclaje de versión y por qué existe?
Es una defensa contra que un servidor reproduzca una bóveda obsoleta.
La fila de la bóveda lleva un número de versión que solo aumenta. Tu navegador recuerda la versión más alta que ha visto. Si un servidor comprometido intentara devolver un texto cifrado de bóveda más antiguo —uno que un passkey ya eliminado todavía pudiera abrir—, el cliente puede detectar que la versión devuelta es menor de lo esperado y rechazarla.
Esto es defensa en profundidad, no un sustituto de la custodia de la semilla. Cierra una brecha concreta: la reproducción de una bóveda obsoleta contra un factor eliminado. No hace nada por ti si pierdes a la vez la semilla y todos los factores de desbloqueo.
La versión breve
Eliminar un passkey vuelve a cifrar tu bóveda de identidad actual para los factores que quedan y borra de forma definitiva el texto cifrado anterior. El passkey eliminado ya no puede abrir la bóveda que queda tras la eliminación.
La única salvedad: si ese factor pudo usarse mientras era válido, da por hecho que la semilla pudo quedar expuesta y pásate a una identidad nueva. La revocación protege el futuro. No puede cambiar el pasado.
Para seguir leyendo
- Tu identidad es una semilla y por qué la semilla sigue importando: el artefacto duradero que hay detrás de cada passkey.
- Cómo almacena CardanoWall tu identidad y cómo protegen los passkeys tu bóveda de identidad: la construcción de la bóveda en detalle.
- Passkeys sincronizados frente a claves por hardware: cómo elegir factores y entender sus modelos de recuperación.
- Activa, desactivada, eliminada: el ciclo de vida de la identidad que usas durante la respuesta a un compromiso.
- El estándar Label 309 y sus implementaciones de código abierto viven en github.com/cardanowall; el estándar está presentado al proceso CIP de Cardano y en revisión por los editores de CIP.