En síntesis: Las contraseñas —y los códigos de seguridad que llegan por SMS— ya no alcanzan para proteger una cuenta: se filtran, se roban con páginas falsas o se interceptan. La autenticación sin contraseña cambia el enfoque: en lugar de un secreto que viaja por internet y se puede robar, usa algo que el atacante no puede copiar de lejos. Hay dos caminos. Uno es una credencial invisible que vive dentro del propio teléfono y se activa con la huella o la cara (las llamadas passkeys): ideal para el día a día de los empleados. El otro es el propio rostro de la persona, verificado como real y presente (comparación facial): ideal cuando además necesitas estar seguro de quién es —abrir una cuenta, autorizar una operación, compartir un documento confidencial—. El dato que lo resume todo: según el informe Verizon DBIR 2025, el 22% de los ataques a empresas empezó por una contraseña robada o filtrada. En Perú, cualquiera de los dos caminos debe convivir con la Ley 29733 y las exigencias de la SBS.
Pensemos en la contraseña como en la copia de la llave de casa: si alguien la consigue —y hoy se consigue de muchas maneras—, entra sin forzar nada. Durante treinta años, la seguridad de las cuentas se apoyó justamente en ese tipo de secreto. El problema es que ese modelo se rompió. Hoy un atacante no necesita "adivinar" tu clave: la compra ya filtrada en internet, te la roba con una página que imita a tu banco, o intercepta el código que recibes por mensaje de texto. Por eso las empresas se están moviendo hacia la autenticación sin contraseña (en inglés, passwordless): en lugar de proteger la cuenta con un secreto que se puede robar, la protegen con algo que el atacante no puede copiar a la distancia.
Este artículo explica, sin tecnicismos innecesarios, qué es la autenticación sin contraseña, por qué la contraseña y los códigos de seguridad dejaron de proteger, qué dos caminos existen para reemplazarla, cómo elegir el adecuado según tu caso, y qué implica todo esto para una empresa que opera en Perú.
Por qué la contraseña (y el código por SMS) dejaron de proteger
La contraseña tiene una debilidad de raíz: es un secreto que conocen dos partes —tú y el sistema al que entras— y que viaja por internet cada vez que inicias sesión. Basta que se filtre en un solo punto de esa cadena —una base de datos hackeada, una página falsa, un empleado que repite la misma clave en diez sitios— para que quede expuesta. La evidencia es contundente: según el Verizon Data Breach Investigations Report (DBIR) 2025 —uno de los informes de referencia mundial sobre robos de datos—, el 22% de las brechas comenzó por credenciales mal usadas (robadas, filtradas o reutilizadas), y el 88% de los ataques a aplicaciones web involucró contraseñas robadas (Verizon DBIR 2025).
La respuesta clásica fue sumar un segundo paso de seguridad: ese código de un solo uso que llega por SMS o por una app. En la industria se le llama OTP (por las siglas en inglés de One-Time Password, "contraseña de un solo uso"). Ayudó, pero no resolvió el problema de fondo, porque ese código también se puede interceptar o arrancar con engaños.
Las tres formas en que hoy se burla ese código de seguridad
Tres técnicas, hoy de uso cotidiano entre los atacantes, explican por qué sumar ese segundo código ya no basta:
1. Páginas falsas que roban el código (phishing). Una web que imita a la de tu banco no solo te pide la contraseña: también te pide el código de un solo uso y lo usa de inmediato, en tiempo real, mientras tú crees estar en el sitio verdadero. El SMS es el eslabón más débil, porque además existe el SIM-swapping: el atacante consigue que la operadora pase tu número de celular a otro chip y empieza a recibir tus códigos.
2. Un intermediario invisible (AiTM). Su nombre viene del inglés adversary-in-the-middle ("el adversario en el medio"). El atacante se cuela entre el usuario y el sitio real, copia todo lo que ocurre en vivo y se queda con la contraseña, con el código y hasta con la sesión ya iniciada. El usuario cree que entró a su banco; en realidad le entregó la llave completa a un tercero.
3. Cansar al usuario hasta que ceda (MFA fatigue). Cuando el segundo paso es una notificación en el celular del tipo "¿estás intentando ingresar?", el atacante que ya tiene la contraseña envía decenas de esas alertas hasta que la persona, harta o distraída, aprueba una sin querer. (MFA, por Multi-Factor Authentication, es solo el nombre técnico de pedir más de una prueba para entrar.) El Verizon DBIR 2025 confirma que estos métodos —códigos OTP y notificaciones de aprobación— se están burlando a gran escala (Verizon DBIR 2025).
El patrón se repite: mientras exista un secreto que el usuario pueda escribir, dictar o aprobar a ciegas, habrá una manera de robárselo o de engañarlo para que lo entregue. La autenticación sin contraseña ataca el problema de raíz: elimina ese secreto.
Qué es la autenticación sin contraseña, en palabras simples
La autenticación sin contraseña es, simplemente, cualquier forma de comprobar que eres tú sin que tengas que recordar y escribir un secreto. En lugar de apoyarse en "algo que sabes" (la contraseña), se apoya en "algo que tienes" —tu propio teléfono, que guarda una credencial protegida— o en "algo que eres" —tu rostro, tu huella—, comprobado de una forma que no se puede copiar ni reenviar.
La clave está en una idea: en un sistema sin contraseña bien diseñado, no existe un secreto que viaje por internet y que alguien pueda interceptar. La comprobación ocurre de tal manera que solo la puede completar la persona legítima, con su dispositivo en la mano o su rostro real frente a la cámara. Por eso resiste al engaño por diseño, no a fuerza de parches.
El "idioma común" que lo hace posible: passkeys
Este movimiento se apoya en un estándar abierto, creado para que funcione igual en cualquier banco, app o navegador. Se llama FIDO2 y fue lanzado en 2018 por una alianza de las grandes empresas tecnológicas (la FIDO Alliance) junto con el organismo que fija las reglas de la web (el W3C). No hace falta retener las siglas: basta saber que es el "idioma común" que permite iniciar sesión sin contraseña, de forma segura y compatible, en todos lados (FIDO Alliance).
Sobre esa base se construyen las passkeys (en español, "llaves de acceso"). Una passkey es una credencial que se crea y se guarda dentro de tu propio dispositivo y nunca sale de él. Para usarla haces el mismo gesto con el que desbloqueas tu teléfono —tu cara, tu huella o tu PIN—, y el sitio al que entras solo recibe una prueba de que eres tú, no un secreto que pueda reutilizar después. Y como la passkey está atada al sitio verdadero, una página falsa simplemente no puede activarla: por eso no se puede robar con phishing (FIDO Alliance).
Dos caminos: la llave en tu dispositivo o tu propio rostro
"Sin contraseña" no es una sola tecnología. Conviene distinguir dos caminos, porque resuelven problemas distintos y muchas decisiones de compra fallan justamente por confundirlos.
| Criterio | Passkey (la llave en tu dispositivo) | Comparación facial (tu rostro verificado) |
|---|---|---|
| Qué comprueba | Que tienes el dispositivo y lo desbloqueaste tú | Que la persona física está ahí, presente y viva |
| Dónde "vive" la credencial | Una llave guardada dentro del teléfono del usuario | El rostro del usuario; se compara contra una referencia |
| Resiste páginas falsas (phishing) | Sí, está atada al sitio verdadero | Sí, exige presencia física verificada |
| Confirma quién es la persona | No por sí sola (confirma el dispositivo, no a la persona) | Sí: confirma el vínculo con el titular real |
| Permite compartir datos sensibles | No es su propósito | Sí: el dato se libera solo a quien verifica su rostro |
| Caso de uso típico | El login diario de empleados y usuarios en sus propios equipos | Abrir cuentas, operaciones de alto riesgo, compartir datos sensibles |
La lectura práctica: las passkeys son excelentes para reemplazar el inicio de sesión de cada día, el de empleados y usuarios que trabajan desde sus propios equipos. Pero responden a la pregunta "¿este dispositivo es de su dueño?", no necesariamente a "¿quién es la persona del otro lado?". Cuando el caso de uso exige saber quién es la persona —abrir una cuenta, autorizar una operación delicada, recibir un documento confidencial—, entra el modelo de comparación facial, que cubre lo que la passkey no resuelve por sí sola.
Tu rostro como llave: cómo funciona la comparación facial y por qué exige "prueba de vida"
En este segundo camino, la credencial eres tú mismo. El sistema comprueba dos cosas a la vez: que el rostro frente a la cámara es realmente el de la persona dueña de la cuenta (lo que se llama comparación facial), y que ese rostro pertenece a alguien vivo y presente en ese momento —no a una foto, un video o una cara generada por computadora—. Esa segunda comprobación, la de "está vivo y aquí", se conoce como detección de vida (en inglés, liveness), y es la que vuelve confiable a todo el método.
Sin esa detección de vida, engañar a la comparación facial sería tan fácil como mostrar una fotografía o un deepfake (un rostro falso creado con inteligencia artificial). Por eso una solución seria mide su capacidad de detectar estos engaños contra una norma internacional, la ISO/IEC 30107-3, que define cómo poner a prueba un sistema frente a intentos de suplantación; en el sector financiero se exige al menos el "nivel 2" de esa prueba para abrir cuentas de forma digital. Explicamos en detalle cómo funciona este control en ¿Qué es liveness detection?, y por qué los rostros falsos obligan a subir el nivel en Deepfakes y fraude de identidad en la banca peruana.
La comparación facial suma, además, algo que la passkey no busca resolver: compartir información sensible de forma segura. Si un documento o un dato solo se puede abrir cuando la persona correcta verifica su rostro, entonces comprobar la identidad y dar acceso al dato pasan a ser la misma acción. Ese es el modelo de Bio'lock: autenticación sin contraseña por comparación facial, con la información protegida de punta a punta mediante cifrado de extremo a extremo. Esto último quiere decir que los datos viajan "cerrados con llave" y solo el destinatario correcto, al verificar su rostro, puede abrirlos: nadie en el medio —ni siquiera quien los transporta— llega a verlos. (Bio'lock sirve para verificar identidad y compartir datos de forma segura; no es un sistema de control de acceso a puertas o instalaciones.)
Qué significa esto en Perú: SBS, Ley 29733 y verificar sin guardar el rostro
Adoptar autenticación sin contraseña en Perú no es solo una decisión técnica; toca dos marcos legales que conviene tener en cuenta.
La SBS subió la vara de la autenticación. La Resolución SBS N° 2286-2024 (de la Superintendencia de Banca, Seguros y AFP) refuerza la validación de identidad y obliga al doble factor de autenticación —es decir, pedir dos pruebas distintas para confirmar una operación, no solo la clave— en las operaciones con tarjeta. El plazo para aplicarlo fue prorrogado por la propia SBS: la Resolución SBS N° 00771-2026 lo extendió hasta el 1 de junio de 2026 (SBS; Mercado Negro). La norma no exige una tecnología puntual, pero sí seguridad proporcional al riesgo —y la autenticación sin contraseña, resistente al engaño, es hoy la forma más sólida de cumplir ese principio. El panorama biométrico del sector financiero peruano lo desarrollamos en Biometría facial en fintech del Perú.
La Ley 29733 vuelve la biometría un dato sensible. La Ley N° 29733 de Protección de Datos Personales clasifica como dato sensible —la categoría más protegida por la ley, junto a la salud o las creencias— a los datos biométricos que por sí solos identifican a una persona (Ley 29733). Su nuevo reglamento, el Decreto Supremo N° 016-2024-JUS —vigente desde el 30 de marzo de 2025—, exige, entre otras cosas: notificar las brechas de seguridad a la Autoridad Nacional de Protección de Datos Personales (ANPD) en un máximo de 48 horas; designar a un responsable de datos personales (una figura parecida al Data Protection Officer, o DPO, europeo) cuando se manejan datos sensibles a gran escala; y medidas de seguridad reforzadas (IAPP).
Aquí aparece el matiz que define una buena arquitectura: cuanto más rostro guardas, mayor es tu riesgo legal. Por eso un modelo que verifica con comparación facial y cifrado de extremo a extremo, guardando lo mínimo posible del dato sensible, resuelve las dos cosas a la vez: autentica sin contraseña y reduce el dato que tendrías que proteger —y que tendrías que notificar si algún día sufres una brecha—. Cómo cumplir sin convertirte en un depósito de rostros lo tratamos en Cómo cumplir la Ley 29733 y la SBS sin almacenar datos biométricos.
"Cuanto más rostro guardas, mayor es tu riesgo legal. Autenticar sin contraseña y guardar lo mínimo del dato no son objetivos opuestos: son la misma decisión."
Conclusión: la identidad reemplaza al secreto
La contraseña fue un buen mecanismo para una internet con menos fraude del que hay hoy. En 2026 es el punto de falla: el Verizon DBIR lo confirma año tras año. La autenticación sin contraseña no es una moda, sino el reconocimiento de algo evidente: un secreto que se puede escribir es un secreto que se puede robar.
Para elegir bien, ubica tu caso de uso. Si lo que necesitas es reemplazar el inicio de sesión diario en los equipos de tu gente, las passkeys (la llave dentro del dispositivo) son la respuesta natural. Si necesitas saber quién es la persona y compartir datos sensibles —abrir cuentas, autorizar operaciones, enviar documentos—, la comparación facial con prueba de vida cubre lo que la passkey no resuelve, y, bien diseñada, lo hace sin guardar el dato. En Perú, cualquiera de los dos caminos se mide contra la SBS y la Ley 29733.
Preguntas frecuentes sobre autenticación sin contraseña
¿Qué es la autenticación sin contraseña (passwordless)?
Es todo método que verifica tu identidad sin un secreto memorizado. En lugar de una contraseña, usa algo que tienes (un dispositivo con una llave criptográfica, o passkey) o algo que eres (tu rostro verificado con prueba de vida), de forma que no haya un secreto compartido que se pueda robar o interceptar.
¿Es más segura que la contraseña con código de un solo uso (OTP)?
Sí. La contraseña más OTP sigue teniendo un secreto que viaja y se puede phishear o interceptar (ataques de phishing, adversary-in-the-middle y fatiga de notificaciones). El passwordless bien diseñado es resistente al phishing porque no expone un secreto reutilizable.
¿Qué diferencia hay entre passkeys (FIDO2) y comparación facial?
Una passkey autentica la posesión de un dispositivo desbloqueado por su dueño; es ideal para el login recurrente. La comparación facial autentica a la persona física presente y viva; es ideal cuando además necesitas verificar quién es y/o intercambiar datos sensibles de forma segura.
¿La comparación facial necesita liveness?
Sí. Sin detección de vida (liveness), una foto o un deepfake podría suplantar el rostro. Una solución seria benchmarkea su detección de ataques de presentación contra el estándar ISO/IEC 30107-3, nivel 2, el piso de facto para onboarding bancario.
¿Es legal autenticar con biometría facial en Perú?
Es legal, pero la Ley 29733 clasifica la biometría como dato sensible y el DS 016-2024-JUS exige medidas reforzadas, notificación de brechas en 48 horas y un Oficial de Datos Personales para tratamiento a gran escala. Por eso conviene un modelo que verifique sin almacenar el dato.
¿Se almacena mi rostro?
Depende de la arquitectura. Modelos que combinan comparación facial con cifrado de extremo a extremo permiten verificar sin retener información personal identificable (PII), reduciendo el pasivo regulatorio y la superficie de una eventual brecha.
Fuentes
- Verizon — 2025 Data Breach Investigations Report (DBIR)
- FIDO Alliance — Passkeys (FIDO2 / WebAuthn)
- Ley N° 29733 — Ley de Protección de Datos Personales (Congreso de la República)
- Nuevo reglamento de protección de datos personales en Perú — DS 016-2024-JUS (IAPP)
- SBS — Refuerzo de seguridad en operaciones con tarjetas (Resolución SBS 2286-2024)
- Mercado Negro — Doble factor en tarjetas: prórroga de la SBS (Resolución SBS N° 00771-2026, plazo al 1 de junio de 2026)
- Bio'lock — Reconocimiento Biométrico de Altimea
