Guía oficial del NCSC: las passkeys ya pueden ser el estándar por defecto

La guía oficial del NCSC sobre passkeys marca un giro relevante en la estrategia de autenticación a escala: el National Cyber Security Centre (NCSC) del Reino Unido recomienda que, cuando un servicio ofrezca passkeys, usuarios y organizaciones eviten usar contraseñas, incluso aunque estén reforzadas con two-step verification (2SV). El posicionamiento llega acompañado de un informe técnico presentado en el evento CYBERUK y fija, por primera vez, una directriz explícita para migrar fuera del modelo “password + factor adicional” cuando la alternativa basada en criptografía esté disponible.

Según el NCSC, las passkeys son “al menos tan seguras como, y generalmente más seguras que” el esquema tradicional de password combinada con 2SV. El argumento técnico es que el modelo de passkeys se apoya en criptografía de clave pública (un par de claves) vinculada al dispositivo y a la cuenta, reduciendo de forma material la exposición a ataques de phishing y el riesgo de credenciales reutilizadas. La recomendación no elimina por completo las contraseñas del mapa: el NCSC mantiene que, cuando no existan passkeys, debe seguirse usando password + 2SV, idealmente con un password manager para sostener complejidad y unicidad por servicio.

Por qué la guía oficial del NCSC sobre passkeys cambia el estándar

El NCSC reconoce que esta decisión llega tras la mejora de fricciones de implementación que, hasta hace poco, impedían recomendar passkeys como opción por defecto. Entre los problemas señalados por el propio organismo estaban el naming inconsistente entre plataformas, el soporte irregular en dispositivos y la compatibilidad limitada entre credential managers. En su lectura, la industria ha estrechado lo suficiente esas brechas como para que el cambio de recomendación sea viable a escala.

La agencia también destaca señales de adopción en grandes plataformas. En su evaluación, servicios como Google, eBay y PayPal han reducido barreras para activar passkeys, y el NCSC cita que alrededor del 50% de usuarios de Google en Reino Unido ya han registrado al menos una passkey. En paralelo, recuerda que Microsoft ya empujó el uso de passkeys como opción por defecto en su ecosistema con anterioridad.

El razonamiento de seguridad: menos phishing y menos reutilización

La lógica detrás de las passkeys es conocida en el sector, pero aquí se formaliza como guía pública de alto impacto: al depender de un par de claves criptográficas generado y utilizado a través del dispositivo del usuario (y típicamente desbloqueado con biometría o PIN del propio dispositivo), se reduce el incentivo y la eficacia de ataques centrados en robar secretos compartidos. En términos operativos, el NCSC apunta además a beneficios de usabilidad: menos fricción y mayor velocidad de acceso frente al tecleo y la gestión de contraseñas, un factor que también afecta a la seguridad real cuando los usuarios acaban simplificando credenciales o repitiéndolas.

En escenarios donde no haya passkeys disponibles, el NCSC insiste en el enfoque de resiliencia por capas: password única y compleja (respaldada por un password manager) y 2SV como segunda barrera. El motivo es contener el daño cuando una credencial se filtra (por ejemplo, vía infostealer logs o dumps), evitando que la misma combinación funcione en múltiples servicios y dificultando el acceso incluso con el par usuario-contraseña correcto.

Declaración institucional y contexto de amenaza

Jonathon Ellison, director for national resilience del NCSC, enmarcó el cambio como una oportunidad para eliminar “décadas” de fricción asociada a recordar contraseñas y elevar la resiliencia general del ecosistema digital. El mensaje subraya una idea clave: la autenticación no es solo una decisión de UX, sino un control de seguridad de primer orden para elevar defensas “at scale” frente a amenazas presentes y futuras.

El anuncio se produce en un momento en el que el NCSC viene alertando del volumen sostenido de incidentes graves y de un entorno geopolítico y tecnológico más exigente para los defensores. En ese marco, la adopción de passkeys se presenta como una medida de “security hygiene” aplicable de forma transversal, especialmente relevante para servicios de consumo con grandes bases de usuarios, donde el impacto de phishing y credential stuffing se multiplica.

Fuentes y documentación de referencia

El NCSC enlaza y amplía contexto sobre el estado de las passkeys y sus retos de implementación en su comunicación pública. Para seguimiento y documentación relacionada, pueden consultarse las páginas oficiales del NCSC y los programas de passkeys de grandes proveedores.

• NCSC (UK) – Sitio oficial
• NCSC – Análisis sobre passkeys e implementación
• Google Developers – Passkeys
• Microsoft Learn – Documentación de identidad y acceso

Con esta actualización, la guía oficial del NCSC sobre passkeys coloca a la autenticación passwordless como recomendación prioritaria cuando exista soporte, y consolida la dirección del mercado: reducir la dependencia de contraseñas como secreto compartido y migrar a credenciales basadas en criptografía para contener phishing, reutilización y robo masivo de credenciales.