Los passkeys se han convertido en los últimos años en la alternativa más prometedora a las contraseñas, al basarse en claves criptográficas y autenticación biométrica que eliminan riesgos tradicionales como el phishing o el robo de credenciales. Según datos de FIDO, más de 15.000 millones de cuentas ya cuentan con passkeys activados, con un 69% de usuarios a nivel global utilizándolos en al menos un servicio. Sin embargo, una nueva investigación presentada en DEF CON 33 por SquareX cuestiona la solidez de este modelo y pone el foco en un punto crítico: el navegador.
La vulnerabilidad descubierta
El equipo de investigadores de SquareX —Shourya Pratap Singh, Daniel Seetoh y Jonathan Lin— demostró cómo extensiones maliciosas o scripts manipulados pueden interceptar el flujo de registro y autenticación de passkeys. Esto permitiría a un atacante falsificar registros, forzar reautenticaciones bajo su control e incluso impedir el acceso legítimo, abriendo la puerta a la toma de cuentas en aplicaciones críticas como banca online, plataformas de comercio electrónico o servicios de almacenamiento empresarial.
En el artículo técnico publicado en SquareX Labs, los investigadores advierten que “los passkeys son un método de autenticación muy confiable, pero los atacantes pueden falsificar el proceso de registro e inicio de sesión interceptando el flujo en el navegador. Esto deja expuestos a prácticamente todos los usuarios y empresas, desde aplicaciones de banca hasta servicios de almacenamiento de datos”.
El diseño de los passkeys se basa en que el navegador actúe como intermediario honesto entre el servidor y el dispositivo del usuario. Pero SquareX mostró que, sin una capa adicional de protección, el navegador se convierte en el vector de ataque perfecto. A diferencia de lo que ocurre con soluciones como EDR o SASE/SSE, que no tienen visibilidad dentro del navegador, estas técnicas de explotación no dejan huellas visibles para el usuario ni trazas en la red.
El fundador de SquareX, Vivek Ramachandran, subraya en el blog oficial que “sin seguridad en el navegador, los passkeys por sí solos pueden ser fácilmente secuestrados. Es urgente adoptar un enfoque de Browser Detection and Response, un EDR dentro del navegador”.
Reacciones en la industria
El hallazgo, recogido también por medios como SiliconANGLE, reabre el debate sobre la madurez de los passkeys y la necesidad de reforzar su implementación. Aunque se mantienen como el estándar emergente para sustituir a las contraseñas, la dependencia de un único entorno de ejecución —el navegador— multiplica los riesgos.
SquareX ha convertido esta vulnerabilidad en un argumento para impulsar su propuesta de Browser Detection and Response (BDR), una solución que se integra directamente en los navegadores habituales y promete visibilidad frente a extensiones maliciosas, ataques de spear phishing, ransomware nativo de navegador o fugas de datos en entornos de IA generativa.
Un estándar bajo presión
La presentación en DEF CON 33 llega en un momento en el que la industria empuja con fuerza hacia la adopción de passkeys como el nuevo “oro estándar” en autenticación. El descubrimiento de SquareX no invalida el modelo criptográfico, pero sí señala la urgencia de asegurar el entorno donde se ejecutan: el navegador.
En palabras de los investigadores: “Los passkeys eliminan las contraseñas, pero no eliminan la vulnerabilidad más inmediata: el propio navegador del usuario”.
