{"id":31240,"date":"2025-08-24T12:23:27","date_gmt":"2025-08-24T10:23:27","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31240"},"modified":"2025-08-25T12:35:08","modified_gmt":"2025-08-25T10:35:08","slug":"passkey-enterprise-readiness-pros-cons","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/passkey-enterprise-readiness-pros-cons\/31240\/","title":{"rendered":"\u00bfEst\u00e1n las llaves de acceso preparadas para el uso empresarial?"},"content":{"rendered":"<p>Todos los grandes gigantes tecnol\u00f3gicos promocionan las llaves de acceso como un sustituto eficaz y c\u00f3modo de las contrase\u00f1as, que podr\u00eda terminar con el phishing y las filtraciones de credenciales. La idea principal es simple: inicias sesi\u00f3n con una llave criptogr\u00e1fica que se almacena de forma segura en un m\u00f3dulo de hardware especial en tu dispositivo y desbloqueas esa llave con datos biom\u00e9tricos o con un PIN. Ya hemos tratado en detalle el estado actual de las llaves de acceso para los usuarios dom\u00e9sticos en dos art\u00edculos (sobre <a href=\"https:\/\/www.kaspersky.es\/blog\/full-guide-to-passkeys-in-2025-part-1\/31099\/\" target=\"_blank\" rel=\"nofollow noopener\">terminolog\u00eda y casos de uso b\u00e1sicos<\/a> y sobre <a href=\"https:\/\/www.kaspersky.es\/blog\/full-guide-to-passkeys-in-2025-part-2\/31130\/\" target=\"_blank\" rel=\"nofollow noopener\">escenarios m\u00e1s complejos<\/a>). Sin embargo, las empresas tienen requisitos y enfoques completamente diferentes en materia de ciberseguridad. Entonces, \u00bfc\u00f3mo de buenas son las llaves de acceso y <a href=\"https:\/\/es.wikipedia.org\/wiki\/WebAuthn\" target=\"_blank\" rel=\"nofollow noopener\">FIDO2 WebAuthn<\/a> en un entorno empresarial?<\/p>\n<h2>Razones para que las empresas adopten las llaves de acceso<\/h2>\n<p>Como ocurre con cualquier migraci\u00f3n a gran escala, pasarse a llaves de acceso requiere un caso empresarial s\u00f3lido. Sobre el papel, las llaves de acceso resuelven varios problemas urgentes a la vez:<\/p>\n<ul>\n<li>Reducen el riesgo de brechas provocadas por credenciales leg\u00edtimas robadas: la resistencia al phishing es el principal beneficio publicitado de las llaves de acceso.<\/li>\n<li>Fortalecen las defensas contra otros ataques de identidad, como el de fuerza bruta y el relleno de credenciales.<\/li>\n<li>Ayudan con el cumplimiento. En muchos sectores, los reguladores exigen el uso de m\u00e9todos de autenticaci\u00f3n robustos para los empleados, y las llaves de acceso generalmente cumplen con esos requisitos.<\/li>\n<li>Reducen los costes. Si una empresa opta por utilizar llaves de acceso almacenadas en port\u00e1tiles o tel\u00e9fonos, puede alcanzar un alto nivel de seguridad sin el gasto extra que suponen los dispositivos USB, las tarjetas inteligentes y la gesti\u00f3n y log\u00edstica asociadas.<\/li>\n<li>Incrementan la productividad de los empleados. Un proceso de autenticaci\u00f3n \u00e1gil y eficiente ahorra tiempo a cada empleado diariamente y reduce los intentos fallidos de inicio de sesi\u00f3n. El cambio a llaves de acceso suele ir acompa\u00f1ado de la eliminaci\u00f3n de los cambios regulares de contrase\u00f1a, algo que todo el mundo detesta.<\/li>\n<li>Aligeran la carga de trabajo del servicio de asistencia t\u00e9cnica al reducir la cantidad de tickets relacionados con contrase\u00f1as olvidadas y cuentas bloqueadas. (Por supuesto, tambi\u00e9n surgen otros tipos de problemas, como la p\u00e9rdida de dispositivos que contienen las llaves de acceso).<\/li>\n<\/ul>\n<h2>\u00bfC\u00f3mo de extendida est\u00e1 la adopci\u00f3n de llaves de acceso?<\/h2>\n<p>Un <a href=\"https:\/\/fidoalliance.org\/new-fido-alliance-research-shows-87-percent-us-uk-workforces-are-deploying-passkeys-for-employee-sign-ins\/\" target=\"_blank\" rel=\"nofollow noopener\">informe de FIDO Alliance<\/a> sugiere que <strong>el 87\u00a0%<\/strong> de las organizaciones encuestadas en EE.\u00a0UU. y Reino Unido ya han hecho la transici\u00f3n al uso de llaves de acceso o est\u00e1n actualmente en proceso de hacerlo. Sin embargo, un an\u00e1lisis m\u00e1s detallado del informe revela que esta cifra tan impresionante tambi\u00e9n incluye las opciones empresariales habituales, como las tarjetas inteligentes y los tokens USB para el acceso a cuentas. Aunque algunas de estas se basan en WebAuthn y llaves de acceso, no est\u00e1n exentos de problemas. Son bastante caras y crean una carga constante para los equipos de TI y ciberseguridad relacionada con la gesti\u00f3n de tokens y tarjetas f\u00edsicas: emisi\u00f3n, entrega, reemplazo, revocaci\u00f3n, etc. En cuanto a las soluciones ampliamente promocionadas que se basan en tel\u00e9fonos e incluso en la sincronizaci\u00f3n en la nube, el 63\u00a0% de los encuestados afirm\u00f3 utilizar dichas tecnolog\u00edas, aunque el alcance total de su adopci\u00f3n sigue siendo incierto.<\/p>\n<p>Son pocas las empresas que hacen la transici\u00f3n de toda su fuerza laboral a la nueva tecnolog\u00eda. El proceso puede volverse tanto un reto organizativo como simplemente costoso. La mayor\u00eda de las veces, la implementaci\u00f3n se realiza por fases. Aunque las estrategias piloto pueden variar, las empresas generalmente comienzan con aquellos empleados que tienen acceso a propiedad intelectual (39\u00a0%), administradores de sistemas de TI (39\u00a0%) y directivos de alto nivel (34\u00a0%).<\/p>\n<h2>Posibles obst\u00e1culos para la adopci\u00f3n de llaves de acceso<\/h2>\n<p>Cuando una organizaci\u00f3n decide realizar la transici\u00f3n a las llaves de acceso, inevitablemente se enfrentar\u00e1 a una serie de desaf\u00edos t\u00e9cnicos. Estos por s\u00ed solos podr\u00edan justificar un art\u00edculo propio. Pero en este art\u00edculo nos centraremos en las cuestiones m\u00e1s obvias:<\/p>\n<ul>\n<li>Dificultad (y a veces imposibilidad absoluta) de migrar a llaves de acceso cuando se utilizan sistemas de TI heredados y aislados, especialmente Active Directory en local.<\/li>\n<li>La fragmentaci\u00f3n de los m\u00e9todos de almacenamiento de llaves de acceso dentro de los ecosistemas de Apple, Google y Microsoft complica el uso de una \u00fanica llave de acceso en diferentes dispositivos.<\/li>\n<li>Dificultades adicionales de gesti\u00f3n si la empresa permite el uso de dispositivos personales (BYOD) o, por el contrario, tiene restricciones estrictas como la prohibici\u00f3n del Bluetooth.<\/li>\n<li>Costes continuos por la compra o el alquiler de tokens y la gesti\u00f3n de los dispositivos f\u00edsicos.<\/li>\n<li>Requisito espec\u00edfico de llaves de hardware no sincronizables para escenarios de alta seguridad con atestaci\u00f3n (y aun as\u00ed, no todas son aptas; <a href=\"https:\/\/media.fidoalliance.org\/wp-content\/uploads\/2022\/03\/FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf\" target=\"_blank\" rel=\"nofollow noopener\">la FIDO Alliance ofrece recomendaciones espec\u00edficas)<\/a> al respecto).<\/li>\n<li>Necesidad de formar a los empleados y atender sus inquietudes sobre el uso de la biometr\u00eda.<\/li>\n<li>Necesidad de crear pol\u00edticas nuevas y detalladas para los departamentos de TI, ciberseguridad y asistencia t\u00e9cnica con el fin de abordar los problemas relacionados con la fragmentaci\u00f3n, los sistemas heredados y los dispositivos extraviados (incluidos los asuntos relacionados con los procedimientos de incorporaci\u00f3n y terminaci\u00f3n).<\/li>\n<\/ul>\n<h2>\u00bfQu\u00e9 dicen los organismos reguladores sobre las llaves de acceso?<\/h2>\n<p>A pesar de todos estos desaf\u00edos, la transici\u00f3n a las llaves de acceso puede ser una conclusi\u00f3n inevitable para algunas organizaciones si as\u00ed lo exige un organismo regulador. Los principales organismos reguladores nacionales y sectoriales suelen apoyar las llaves de acceso, ya sea directa o indirectamente:<\/p>\n<p>Las Gu\u00edas de Identidad Digital <a href=\"https:\/\/pages.nist.gov\/800-63-4\/\" target=\"_blank\" rel=\"nofollow noopener\">NIST SP 800-63<\/a> permiten el uso de \u201cautenticadores sincronizables\u201d (una definici\u00f3n que claramente implica llaves de acceso) para el Nivel de Garant\u00eda de Autenticador 2, y autenticadores vinculados al dispositivo para el Nivel de Garant\u00eda del Autenticador 3. Por lo tanto, el uso de llaves de acceso cumple con creces los requisitos durante las auditor\u00edas de ISO 27001, HIPAA y SOC 2.<\/p>\n<p>En su comentario sobre DSS 4.0.1, el Consejo sobre Normas de Seguridad PCI <a href=\"https:\/\/www.pcisecuritystandards.org\/faq\/articles\/Frequently_Asked_Question\/are-passkeys-synced-across-devices-implemented-according-to-the-fido2-requirements-acceptable-for-use-as-phishing-resistant-authentication-to-meet-pci-dss-requirement-8-4-2\/\" target=\"_blank\" rel=\"nofollow noopener\">nombra expl\u00edcitamente a FIDO2<\/a> como una tecnolog\u00eda que cumple con sus criterios de \u201cautenticaci\u00f3n resistente al phishing\u201d.<\/p>\n<p>La <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/ES\/TXT\/?uri=celex%3A32015L2366\" target=\"_blank\" rel=\"nofollow noopener\">Directiva de Servicios de Pago 2<\/a> (PSD2) de la UE est\u00e1 redactada de manera independiente de la tecnolog\u00eda. Sin embargo, requiere una autenticaci\u00f3n del cliente segura (SCA, por sus siglas en ingl\u00e9s) y el uso de dispositivos basados en infraestructura de llave p\u00fablica para transacciones financieras importantes, as\u00ed como la vinculaci\u00f3n din\u00e1mica de los datos de pago con la firma de la transacci\u00f3n. Las llaves de acceso cumplen estos requisitos.<\/p>\n<p>Las directivas europeas <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/ES\/TXT\/PDF\/?uri=CELEX:32022R2554&amp;from=FR\" target=\"_blank\" rel=\"nofollow noopener\">DORA<\/a> y <a href=\"https:\/\/digital-strategy.ec.europa.eu\/es\/policies\/nis2-directive\" target=\"_blank\" rel=\"nofollow noopener\">NIS2<\/a> tambi\u00e9n son independientes de la tecnolog\u00eda y, por lo general, solo requieren la implementaci\u00f3n de autenticaci\u00f3n multifactor, un requisito que las llaves de acceso ciertamente satisfacen.<\/p>\n<p>En resumen, elegir espec\u00edficamente las llaves de acceso no es obligatorio para cumplir con la regulaci\u00f3n, pero muchas organizaciones consideran que es el camino m\u00e1s rentable. Entre los factores que inclinan la balanza a favor de las llaves de acceso se encuentran el uso extensivo de servicios en la nube y SaaS, una implementaci\u00f3n continua de llaves de acceso para sitios web y aplicaciones orientados al cliente, y una flota bien gestionada de ordenadores y tel\u00e9fonos corporativos.<\/p>\n<h2>Hoja de ruta empresarial para la transici\u00f3n a las llaves de acceso<\/h2>\n<ol>\n<li>Forma un equipo multifuncional. Esto incluye los departamentos de TI, ciberseguridad, responsables de negocio de los sistemas inform\u00e1ticos, asistencia t\u00e9cnica, RR.\u00a0HH. y comunicaciones internas.<\/li>\n<li>Haz un inventario de tus sistemas y m\u00e9todos de autenticaci\u00f3n. Identifica d\u00f3nde se admite ya WebAuthn\/FIDO2, qu\u00e9 sistemas se pueden actualizar, d\u00f3nde se puede implementar la integraci\u00f3n del inicio de sesi\u00f3n \u00fanico (SSO), d\u00f3nde es necesario crear un servicio dedicado para traducir los nuevos m\u00e9todos de autenticaci\u00f3n a los que admiten tus sistemas y d\u00f3nde tendr\u00e1s que seguir usando contrase\u00f1as, bajo una supervisi\u00f3n reforzada del SOC.<\/li>\n<li>Define tu estrategia de llaves de acceso. Decide si utilizar\u00e1s llaves de seguridad de hardware o llaves de acceso almacenadas en tel\u00e9fonos y port\u00e1tiles. Planifica y configura tus m\u00e9todos principales de inicio de sesi\u00f3n, as\u00ed como las opciones de acceso de emergencia, como los c\u00f3digos de acceso temporal (TAP, por sus siglas en ingl\u00e9s).<\/li>\n<li>Actualiza tus pol\u00edticas corporativas de seguridad de la informaci\u00f3n para reflejar la adopci\u00f3n de las llaves de acceso. Establece reglas detalladas de registro y recuperaci\u00f3n. Establece protocolos para los casos en los que la transici\u00f3n a las llaves de acceso no es viable (por ejemplo, porque el usuario debe depender de un dispositivo heredado que no admite llaves de acceso). Desarrolla medidas auxiliares para garantizar el almacenamiento seguro de las llaves de acceso, como el cifrado obligatorio de los dispositivos, el uso de datos biom\u00e9tricos y las comprobaciones de estado de los dispositivos mediante la gesti\u00f3n unificada de los terminales o la gesti\u00f3n empresarial de la movilidad.<\/li>\n<li>Planifica el orden de implementaci\u00f3n para los distintos sistemas y grupos de usuarios. Establece una l\u00ednea de tiempo amplia para identificar y solucionar los problemas paso a paso.<\/li>\n<li>Habilita las llaves de acceso en sistemas de gesti\u00f3n de acceso como Entra ID y Google Workspace, y configura los dispositivos permitidos.<\/li>\n<li>Lanza un piloto, comenzando con un grupo reducido de usuarios. Recopila comentarios y perfecciona tus instrucciones y enfoque.<\/li>\n<li>Conecta gradualmente los sistemas que no admiten de forma nativa las llaves de acceso mediante SSO y otros m\u00e9todos.<\/li>\n<li>Forma a tus empleados. Lanza una campa\u00f1a de adopci\u00f3n de las llaves de acceso, proporcionando a los usuarios instrucciones claras y colaborando con \u201ccampeones\u201d en cada equipo para acelerar la transici\u00f3n.<\/li>\n<li>Realiza el seguimiento del progreso y mejora los procesos. Analiza las m\u00e9tricas de uso, los errores de inicio de sesi\u00f3n y los tickets de asistencia. Ajusta las pol\u00edticas de acceso y recuperaci\u00f3n seg\u00fan corresponda.<\/li>\n<li>Elimina gradualmente los m\u00e9todos de autenticaci\u00f3n heredados una vez que su uso se reduzca a tasas de un solo d\u00edgito. En primer lugar, elimina los c\u00f3digos de un solo uso enviados a trav\u00e9s de canales de comunicaci\u00f3n no seguros, como los mensajes de texto y el correo electr\u00f3nico.<\/li>\n<\/ol>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>La regulaci\u00f3n y el panorama de amenazas en constante evoluci\u00f3n est\u00e1 llevando a las empresas a adoptar formas m\u00e1s resilientes para la autenticaci\u00f3n de los empleados. \u00bfSon las llaves de acceso una alternativa rentable y sencilla para reemplazar las contrase\u00f1as tradicionales? <\/p>\n","protected":false},"author":2722,"featured_media":31245,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[1396,3462,123,2381,1272,3707,3306,356,43,3718,3719,612],"class_list":{"0":"post-31240","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-2fa","10":"tag-autenticacion","11":"tag-contrasenas","12":"tag-cuentas","13":"tag-empresa","14":"tag-llaves-de-acceso","15":"tag-mfa","16":"tag-nube","17":"tag-phishing","18":"tag-seguridad-de-identidad","19":"tag-sso","20":"tag-tecnologia"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-enterprise-readiness-pros-cons\/31240\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-enterprise-readiness-pros-cons\/29336\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/24451\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/12631\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-enterprise-readiness-pros-cons\/29284\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/28379\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-enterprise-readiness-pros-cons\/29903\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-enterprise-readiness-pros-cons\/40189\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-enterprise-readiness-pros-cons\/13637\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-enterprise-readiness-pros-cons\/53986\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-enterprise-readiness-pros-cons\/23040\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-enterprise-readiness-pros-cons\/24075\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-enterprise-readiness-pros-cons\/32509\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-enterprise-readiness-pros-cons\/29448\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-enterprise-readiness-pros-cons\/35204\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-enterprise-readiness-pros-cons\/34848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/llaves-de-acceso\/","name":"llaves de acceso"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31240"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31240\/revisions"}],"predecessor-version":[{"id":31247,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31240\/revisions\/31247"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31245"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}