{"id":28400,"date":"2025-08-14T11:34:28","date_gmt":"2025-08-14T17:34:28","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28400"},"modified":"2025-08-25T02:25:57","modified_gmt":"2025-08-25T08:25:57","slug":"passkey-enterprise-issues-and-threats","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/passkey-enterprise-issues-and-threats\/28400\/","title":{"rendered":"Adopci\u00f3n de llaves de acceso en las empresas: matices y desaf\u00edos"},"content":{"rendered":"

La transici\u00f3n a las llaves de acceso promete a las organizaciones un camino rentable hacia una autenticaci\u00f3n s\u00f3lida de los empleados, una mayor productividad y el cumplimiento normativo. Ya hemos cubierto todos los pros y los contras de esta soluci\u00f3n empresarial en otro art\u00edculo detallado<\/a>. Sin embargo, el \u00e9xito de la transici\u00f3n, e incluso su viabilidad, realmente depende de los detalles t\u00e9cnicos y de la implementaci\u00f3n espec\u00edfica en numerosos sistemas corporativos.<\/p>\n

Admisi\u00f3n de llaves de acceso en sistemas de gesti\u00f3n de identidad<\/h2>\n

Antes de abordar los obst\u00e1culos internos de la empresa y redactar las pol\u00edticas, tendr\u00e1s que determinar si tus sistemas de TI b\u00e1sicos est\u00e1n listos para el cambio a llaves de acceso.<\/p>\n

Microsoft Entra ID (Azure AD) es totalmente compatible con las llaves de acceso<\/a>, lo que permite a los administradores establecerlas como el m\u00e9todo principal de inicio de sesi\u00f3n. Para implementaciones h\u00edbridas con recursos locales, Entra ID puede generar tickets Kerberos (TGT)<\/a>, que posteriormente su controlador de dominio de Active Directory puede procesar.<\/p>\n

Sin embargo, Microsoft a\u00fan no ofrece compatibilidad nativa con llaves de acceso para inicios de sesi\u00f3n de RDP, VDI o AD solo en las instalaciones. Dicho esto, con algunas soluciones alternativas, las organizaciones pueden almacenar las llaves de acceso en un token de hardware como una YubiKey. Este tipo de token puede admitir simult\u00e1neamente<\/a> la tecnolog\u00eda PIV (tarjetas inteligentes) tradicional y FIDO2 (llaves de acceso). Tambi\u00e9n existen soluciones de terceros<\/a> para estos escenarios, pero tendr\u00e1s que evaluar el modo en que su uso afecta a tu postura general de seguridad y al cumplimiento normativo.<\/p>\n

Buenas noticias para los usuarios de Google Workspace y Google Cloud, ya que ofrecen compatibilidad total con las llaves de acceso<\/a>.<\/p>\n

Sistemas de gesti\u00f3n de identidad populares como Okta, Ping, Cisco Duo o RSA IDplus tambi\u00e9n admiten FIDO2 y todas las formas principales de llaves de acceso.<\/p>\n

\u00a0<\/p>\n

Compatibilidad con las llaves de acceso en dispositivos cliente<\/h2>\n

Tenemos una publicaci\u00f3n detallada sobre el tema<\/a>. Todos los sistemas operativos modernos de Google, Apple y Microsoft admiten las llaves de acceso. Sin embargo, si tu empresa utiliza Linux, es probable que necesites herramientas adicionales y la compatibilidad general sigue siendo limitada.<\/p>\n

Adem\u00e1s, si bien para los principales sistemas operativos puede parecer una compatibilidad total a primera vista, hay mucha variedad en la forma en que se almacenan las llaves de acceso, y eso puede causar problemas de compatibilidad. Las combinaciones de varios sistemas, como ordenadores con Windows y tel\u00e9fonos inteligentes con Android, son las m\u00e1s problem\u00e1ticas. Podr\u00edas crear una llave de acceso en un dispositivo y luego descubrir que no puedes acceder a ella desde otro. Para las empresas con una flota de dispositivos gestionada estrictamente, hay un par de formas de abordar esto. Por ejemplo, podr\u00edas hacer que los empleados generen una llave de acceso independiente para cada dispositivo de la empresa que utilicen. Esto implica algo m\u00e1s de configuraci\u00f3n inicial: los empleados deber\u00e1n pasar por el mismo proceso de crear una llave de acceso en cada dispositivo. Sin embargo, una vez hecho esto, iniciar sesi\u00f3n lleva muy poco tiempo. Adem\u00e1s, si pierden un dispositivo, no se quedar\u00e1n completamente bloqueados sin sus datos de trabajo.<\/p>\n

Otra opci\u00f3n es utilizar un gestor de contrase\u00f1as aprobado por la empresa para almacenar y sincronizar las llaves de acceso en los dispositivos de todos los empleados. Esto tambi\u00e9n es obligatorio para las empresas que utilizan ordenadores con Linux, ya que su sistema operativo no puede almacenar llaves de acceso de forma nativa. Solo un aviso: este enfoque podr\u00eda a\u00f1adir cierta complejidad en lo que respecta a las auditor\u00edas de cumplimiento normativo.<\/p>\n

Si buscas una soluci\u00f3n que casi no tenga problemas de sincronizaci\u00f3n y que sea compatible con varias plataformas, las llaves de acceso de hardware como YubiKey son la mejor opci\u00f3n. El inconveniente es que pueden ser mucho m\u00e1s caras de implementar y gestionar.<\/p>\n

Admisi\u00f3n de llaves de acceso en aplicaciones empresariales<\/h2>\n

El escenario ideal para incorporar las llaves de acceso a tus aplicaciones empresariales es que todas tus aplicaciones inicien sesi\u00f3n mediante el inicio de sesi\u00f3n \u00fanico (SSO). De esa manera, solo necesitas implementar la compatibilidad con llaves de acceso en tu soluci\u00f3n de SSO corporativa, como Entra ID u Okta. Sin embargo, si algunas de tus aplicaciones empresariales cr\u00edticas no admiten el SSO, o si esa compatibilidad no est\u00e1 contemplada en tu contrato (lo cual, desafortunadamente, sucede), tendr\u00e1s que emitir llaves de acceso individuales para que los usuarios inicien sesi\u00f3n en cada sistema por separado. Los tokens de hardware pueden almacenar entre 25 y 100 llaves de acceso, por lo que su principal coste adicional ser\u00eda en el \u00e1mbito administrativo.<\/p>\n

Entre los sistemas comerciales populares que son totalmente compatibles con las llaves de acceso se incluyen Adobe Creative Cloud<\/a>, AWS<\/a>, GitHub<\/a>, Google Workspace<\/a>, HubSpot<\/a>, Office 365<\/a>, Salesforce<\/a> y Zoho<\/a>. Algunos sistemas SAP<\/a> tambi\u00e9n admiten llaves de acceso.<\/p>\n

Preparaci\u00f3n de los empleados<\/h2>\n

Implementar llaves de acceso significa poner al d\u00eda a tu equipo sin importar el escenario. No querr\u00e1s que se queden rasc\u00e1ndose la cabeza tratando de entender nuevas interfaces. El objetivo es que todos se sientan seguros al usar las llaves de acceso en cada dispositivo. Estos son los aspectos clave que tus empleados deben comprender.<\/p>\n