Intenté deshacerme de la contraseña, pero la alternativa era complicada.

Entre la nueva función de correo electrónico verificado de Google y la clave de acceso para una realidad sin contraseña, la autenticación de su cuenta debería funcionar sin problemas sin necesidad de recordar cientos de contraseñas. Si bien Passkey reemplaza las contraseñas, el correo electrónico verificado es la forma que tiene Google de eliminar el ciclo de verificación OTP. Siempre me entusiasma la idea de deshacerme de esas contraseñas complicadas, incluso si las genera mi administrador de contraseñas, y los múltiples pasos de autenticación. Con tantas opciones para hacer realidad la tecnología sin contraseña, pensé en intentarlo.

Sobre el papel, esto debería funcionar bien, haciendo que el inicio de sesión en la cuenta sea más sencillo y esté casi a un toque de distancia. Si bien la tecnología en sí es bastante impresionante, la experiencia del usuario me pareció mucho más fragmentada de lo que me hubiera gustado. Esa inconsistencia realmente desvió mi pequeño experimento, y les diré cómo.

Estamos en 2026 y la gente todavía usa una contraseña en todas partes. Incluso si miras a tu familia y amigos, verás que los administradores de contraseñas siguen siendo uno de los más técnicos, pero las empresas de tecnología de alguna manera están ignorando esa realidad básica.

Cada vez que Google o Apple crean un producto para simplificar el proceso de inicio de sesión, asumen que los usuarios ya están usando un administrador de contraseñas y creando contraseñas únicas para cada una de sus cuentas. También asumen una comprensión perfecta de la autenticación multifactor. Al menos en mi país, el banco central impone un segundo factor de autenticación a las personas que tienen algo tan básico como una OTP de SMS para mantener a los usuarios a salvo del fraude.

Lo ideal sería utilizar un administrador de contraseñas con contraseñas únicas para cada una de sus cuentas o configurar una clave de acceso, se habilitará la autenticación de dos factores (idealmente con una aplicación TOTP dedicada) y utilizará la aprobación del dispositivo o, mejor aún, una clave de seguridad física (como una YubiKey) para autenticarse.

Si eso no te parece demasiado, felicidades, eres parte de los pocos elegidos. Pero para todos los demás, la reutilización de una única contraseña sigue siendo superior debido a un solo factor: la previsibilidad. Es posible que reutilizar contraseñas no sea seguro, pero se pueden utilizar en cualquier lugar.

Ingresar su ID de correo electrónico, luego su contraseña única y luego abrir su aplicación de correo electrónico para verificar su correo electrónico o usar una aplicación de seguridad de terceros para recuperar el TOTP e ingresarlo para iniciar sesión en una aplicación es una tarea desalentadora. Esta es la forma más segura de administrar sus cuentas, pero también es bastante tediosa, a pesar de que existe un administrador de contraseñas. Cuando escucho acerca de una realidad sin contraseña o de una empresa que encuentra una manera de eliminar la autenticación de segundo factor sin sacrificar la seguridad, me entusiasma probarlo.

Pero creo que establecí una especie de récord por sentirme decepcionado cada vez que intentaba usar una contraseña sin ella.

Esta vez, cambié mi cuenta principal de Google de la configuración habitual de correo electrónico y contraseña a una clave de acceso. Me aseguré de utilizar mi administrador de contraseñas de terceros preferido, Enpass, y no el administrador de contraseñas integrado de Google para evitar el bloqueo de la plataforma. Sí, todo el proceso parece nuevo cuando se trata de establecer una contraseña normal, pero rápidamente me di cuenta de que estaba pasando por casi la misma cantidad de pasos de autenticación con o sin contraseña. Passkey pretende reemplazar el recuerdo de contraseñas, pero no recuerdo ninguna de mis contraseñas, excepto una contraseña maestra para mi administrador de contraseñas.

Lo que realmente me molesta es cuando intento iniciar sesión en mi cuenta de Microsoft. Cada vez que intento iniciar sesión (¡o no!), Microsoft me solicita que cree una clave de acceso. El comando abriría automáticamente mi administrador de contraseñas e iniciaría el flujo de configuración de la clave de acceso aunque no tenía intención de crear una para esa cuenta. Cuando finalmente decidí hacerlo y configurar el bloqueo de acceso definitivamente, la pantalla de verificación OTP seguía siendo la misma.

Eso me hace preguntarme qué es exactamente lo que se simplifica aquí.

Las claves de acceso no reemplazan los pasos de autenticación adicionales, que necesitan mejoras urgentes. Google introdujo el correo electrónico verificado para solucionar este problema. Utiliza la API de Android Credential Manager para omitir el proceso de verificación de correo electrónico, por lo que no tiene que salir de la página de la aplicación, abrir su aplicación de correo electrónico, copiar la OTP y luego volver a pegarla en la página de registro de la aplicación. Exactamente lo que estaba buscando, pero todavía dejaba muchos «peros» pendientes.

Como era de esperar, esto requiere una cuenta de Gmail, por lo que no es muy universal. Cuando estudié los detalles del anuncio, noté que no funcionaría con la función «Iniciar sesión con Google». En este caso, es posible que su cuenta personal de Google aún requiera autenticación de segundo factor de la manera tradicional. Nuevamente, irónicamente, debido a que la autenticación está vinculada al dispositivo, la función tampoco es multidispositivo. Según el flujo de trabajo que describe Google, si ya tiene una cuenta en una aplicación con autenticación de segundo factor, esto no funcionará para usted. No hay ninguna opción para acomodar cuentas existentes.

Honestamente, me resulta difícil entender todos estos controles y condiciones: hay demasiadas piezas fragmentadas para que cualquiera pueda juntarlas. Cada empresa intenta hacer que el proceso sea conveniente a su manera, pero ninguna es integral ni ubicua. Ahora finalmente puedo entender por qué la gente no se sube al tren de las claves de acceso y continúa reutilizando contraseñas.

Todos los sistemas que existen hoy en día en torno al concepto sin contraseña en realidad requieren que los usuarios comprendan más acerca de la autenticación, no menos. Esto es exactamente lo contrario de lo que requiere la adopción generalizada.

Después de mi pequeño experimento, me di cuenta de algunas cosas. En el lado positivo, aprendí que la tecnología misma ya existe para evitar que tengamos contraseñas incluso hoy en día. Ese ya no es el gran desafío. El mayor requisito hoy en día es hacer que la autenticación pase a un segundo plano. Esto no debería funcionar para el cliente ideal que ya utiliza un administrador de contraseñas, sino para personas en el otro extremo del espectro que todavía dependen de una contraseña para todo en su vida.

Para convencer a estos usuarios, las grandes tecnologías deben ofrecer soluciones convenientes y consistentes. Esto significa combinar millones de formas de realizar la autenticación de segundo factor y al mismo tiempo tener en cuenta casos extremos, como el respaldo cuando se produce una falla, sin confundir a los usuarios. Las nuevas funciones de correo electrónico verificado y clave de acceso de Google resuelven algunos de esos problemas, pero lo hacen de forma individual, no como un sistema cohesivo.

FIDO Alliance está a la altura de la tarea, pero lo que ofrece hasta ahora parece un desastre fragmentado con el que la mayoría de los usuarios finales no quieren lidiar. Las contraseñas han perdurado en la industria tecnológica porque la gente puede entenderlas de forma instintiva. El consorcio debería hacer lo mismo con las claves de acceso y la autenticación de segundo factor sin que Google y Apple empujen a los usuarios a sus propios ecosistemas. La universalidad de un sistema de extremo a extremo es fundamental para una adopción generalizada.

Y Google está en una posición única para ser pionero en la autenticación sin contraseña debido a la escala masiva de Android en todo el mundo. Atiende a todos los segmentos del espectro y realmente llega a los usuarios que hasta ahora se han mostrado reacios a utilizar administradores de contraseñas. Si alguna empresa pudiera hacer que la autenticación sin contraseña fuera algo común, tendría que ser Google.

La pelota está en tu tejado ahora, Google.