¿Te sorprendió encontrar una “clave de acceso” asociada a tu PC en los ajustes de Windows 11 y no recuerdas haberla creado? Respira: forma parte de Windows Hello y no te dejará bloqueado. A continuación aprenderás qué es, por qué aparece, y cómo modificarla o desactivarla sin comprometer tu acceso.
Por qué ves una passkey sin haberla creado manualmente
Cuando configuras un PIN, tu rostro o tu huella con Windows Hello, el sistema genera automáticamente una credencial FIDO2/WebAuthn. Esa credencial —que Windows muestra como “passkey”— sustituye a la contraseña tradicional en el propio dispositivo y en sitios web compatibles. Por eso aparece asociada a tu equipo.
Diferencia entre passkey, contraseña y PIN
- Contraseña de la cuenta Microsoft: Texto secreto que viaja cifrado por la red. Sirve para cualquier equipo.
- PIN de Windows Hello: Código local (4–127 caracteres) que nunca abandona el dispositivo. Protege la clave privada.
- Passkey FIDO2: Par de claves pública/privada. La privada vive cifrada en el TPM o chip seguro; la pública se comparte con el servicio web. Autentica tu identidad firmando un challenge.
Sin el PIN o el factor biométrico, la parte privada no se desbloquea, así que eliminar la passkey no mejora la seguridad y sí podría dejarte sin inicio de sesión rápido.
Problemas frecuentes y soluciones prácticas
| Problema identificado | Explicación | Acción recomendada |
|---|---|---|
| Confusión passkey vs. PIN de Windows Hello | La “passkey” es la credencial FIDO2 creada al establecer un PIN, rostro o huella. No se introduce manualmente. | 1) No la borres; el sistema la necesita. 2) Si deseas modificar tu método de inicio, cambia o restablece el PIN. |
| No recuerdas el PIN | Sin PIN no podrás administrar Windows Hello. | En Ajustes ▸ Cuentas ▸ Opciones de inicio de sesión ▸ PIN (Windows Hello) haz clic en “Olvidé mi PIN” y sigue el asistente: a) Verifica tu identidad con la contraseña o un método secundario. b) Establece un PIN nuevo. |
| El botón “Olvidé mi PIN” no responde | Fallo de interfaz; suele deberse a actualizaciones pendientes. | Reinicia y busca actualizaciones. Si persiste, inicia sesión con la contraseña (en la pantalla de bloqueo elige “Opciones”) y crea un PIN desde cero. |
| Eliminar totalmente la passkey | Solo posible si deshabilitas Windows Hello. | Desactiva “Para mejorar la seguridad, solo permitir el inicio de sesión de Windows Hello”. Después quita el PIN. Volverás a depender únicamente de la contraseña. |
| Temor a quedar bloqueado | La contraseña Microsoft sigue siendo válida. | Verifica tus métodos de recuperación en account.microsoft.com/security y guarda los códigos de recuperación. |
Guía paso a paso para cambiar o restablecer tu PIN
- Abre Configuración con Win + I.
- Navega a Cuentas ▸ Opciones de inicio de sesión ▸ PIN (Windows Hello).
- Pulsa Olvidé mi PIN. Aparecerá el asistente de restablecimiento.
- Si no aparece, reinicia el equipo y repite el proceso.
- En la pantalla de bloqueo también puedes seleccionar PIN ▸ Olvidé mi PIN.
- Confirma tu identidad con la contraseña Microsoft, un dispositivo 2FA o un correo/Tel. alternativo.
- Introduce el nuevo PIN. Puedes incluir letras y símbolos para mayor robustez.
- Confirma y reinicia si el sistema lo solicita.
Cómo desactivar Windows Hello y la passkey
Si prefieres volver al esquema clásico de contraseña:
- En la misma sección de Opciones de inicio de sesión, desactiva la casilla “Para mejorar la seguridad, solo permitir el inicio de sesión de Windows Hello”.
- Quita el PIN haciendo clic en Eliminar. Se pedirá la contraseña.
Advertencia: perderás el inicio rápido con rostro/huella y la autenticación sin contraseña en sitios web. - Reinicia para que el cambio sea definitivo.
Qué ocurre con los sitios web que ya usan tu passkey
Servicios como Outlook.com o GitHub pueden haberte ofrecido “Iniciar sesión sin contraseña” utilizando la clave FIDO2 de tu PC. Si desactivas Windows Hello, ese método dejará de estar disponible en ese equipo. Sin embargo:
- La cuenta seguirá accesible con usuario y contraseña.
- Puedes registrar otra passkey en un nuevo dispositivo compatible.
- Los sitios mantendrán la clave pública asociada hasta que la elimines en su página de seguridad.
Entendiendo el valor de las passkeys
Ventajas clave
- Antiphishing: La clave privada nunca abandona tu dispositivo; un atacante no puede obtenerla.
- Factor inherente: Requiere algo que posees (el PC) y algo que sabes o eres (PIN, rostro, huella).
- Sin sincronización de contraseñas: No hay que memorizar ni gestionar contraseñas complejas.
- Resistencia a ataques de fuerza bruta: El TPM bloquea intentos reiterados.
Por qué no conviene eliminarla
- No aporta beneficio extra: la clave está cifrada y protegida por hardware.
- Perderías la autenticación rápida y el inicio de sesión sin contraseña en varios servicios.
- En entornos corporativos podría incumplir políticas de seguridad basadas en FIDO2.
Buenas prácticas para un inicio de sesión robusto
- Usa un PIN largo (al menos seis dígitos o mezcla de letras y números).
- Activa un segundo factor biométrico (rostro o huella) para comodidad y seguridad.
- No reutilices PIN entre dispositivos.
- Mantén Windows y los controladores actualizados.
- Revisa periódicamente las opciones de seguridad de tu cuenta Microsoft.
- Guarda los códigos de recuperación fuera de tu PC (gestor de contraseñas o medio físico).
Escenarios avanzados y solución de problemas
Actualizaciones que corrompen Windows Hello
En raras ocasiones, una actualización interrumpida puede provocar que la passkey deje de funcionar y el PIN no se valide. Si sucede:
- Arranca en Modo seguro con funciones de red y desinstala la actualización reciente.
- Reconstruye la base de datos de Windows Hello ejecutando
dsregcmd /debug /leaveen PowerShell como administrador y reinicia. - Vuelve a registrar el PIN y la biometría.
El TPM muestra errores
Si el Visor de eventos registra fallos del TPM:
- Verifica en la BIOS/UEFI que el TPM esté habilitado.
- Actualiza el firmware del TPM desde el portal del fabricante.
- Realiza un Clear TPM solo si dispones de tu contraseña y métodos de recuperación.
Equipos compartidos y cuentas múltiples
Cada cuenta de usuario de Windows genera su propio conjunto de credenciales FIDO2. Borrar la passkey de una cuenta no afecta a las demás. Para un entorno multiusuario:
- Establece políticas de grupo que deshabiliten la creación automática de credenciales FIDO2 en dispositivos de acceso público.
- En dispositivos de laboratorio, usa perfiles desechables o restablece el equipo tras cada sesión.
Preguntas frecuentes
¿Puedo exportar mi passkey a otro PC?
No. Las claves privadas son no‑extractables por diseño. Debes registrar una nueva en el otro dispositivo.
¿Qué pasa si cambio de placa base o TPM?
Las credenciales ligadas al TPM dejan de ser válidas. Deberás volver a configurar Windows Hello y crear un nuevo PIN.
¿Existe un límite de passkeys por equipo?
Windows las gestiona dinámicamente; el límite práctico viene dado por el espacio seguro del TPM, usualmente cientos de claves.
¿El PIN es menos seguro que una contraseña larga?
No necesariamente. El PIN está protegido por hardware y bloquea tras intentos fallidos. Además, no viaja por red.
Conclusión
La passkey que encontraste no es un intruso, sino un pilar de la seguridad moderna en Windows 11. Si olvidaste el PIN o simplemente quieres desactivar Windows Hello, sigue los pasos detallados: restablece el PIN con “Olvidé mi PIN” o quita el PIN tras desactivar la obligatoriedad de Windows Hello. Mientras recuerdes tu contraseña Microsoft y mantengas actualizada tu información de recuperación, siempre podrás acceder a tu cuenta. Borrar la passkey rara vez es necesario y supone renunciar a la protección avanzada que ofrece FIDO2.
Emplea un PIN robusto, mantén el firmware al día y aprovecha los factores biométricos; con estas medidas disfrutarás de un inicio de sesión rápido y, sobre todo, seguro.