Seguridad Passwordless y cumplimiento de la Ley 5/2023: El nuevo estándar para infraestructuras web.
5 mins de lectura
La seguridad web ya no puede abordarse desde una lógica reactiva. En 2026, seguir dependiendo de contraseñas, incluso reforzadas con 2FA, supone asumir un riesgo estructural tanto a nivel técnico como legal.
El incremento de ataques automatizados, el robo de credenciales y la explotación de vulnerabilidades en CMS tradicionales ha cambiado el paradigma: la seguridad ya no es una capa, es una decisión de arquitectura.
En este contexto, el modelo passwordless basado en WebAuthn (Passkeys) se consolida como el nuevo estándar, impulsado por los principales actores tecnológicos y alineado con marcos regulatorios cada vez más exigentes, como la Ley 5/2023 de Administración Digital de la Comunidad de Madrid.
¿Por qué el 2FA tradicional es hoy un punto de fallo?
Durante años, el doble factor de autenticación (2FA) ha sido considerado una medida robusta. Sin embargo, en el escenario actual, ha pasado de ser una solución a convertirse en una capa insuficiente, e incluso vulnerable, dentro de entornos críticos.
Limitaciones del TOTP y vulnerabilidades en la custodia de credenciales
El uso de códigos temporales (TOTP) o SMS introduce fricciones operativas, pero no elimina el problema de fondo: la dependencia de una credencial compartida.
Las principales debilidades incluyen:
Exposición a ataques de phishing en tiempo real
Vulnerabilidad frente a técnicas como SIM swapping
Dependencia del usuario en la gestión segura del dispositivo
Persistencia del vector de ataque basado en contraseñas
En términos prácticos, el 2FA sigue siendo un sistema basado en “algo que sabes” + “algo que tienes”, pero no elimina el riesgo asociado al primer factor.
Desarrollador Full-Stack y Fundador de Root Digital | Experto en Wordpress y sistemas Headless
Passkeys y biometría: eliminando el factor humano en el acceso a la plataforma
El estándar WebAuthn, dentro del marco FIDO2, redefine completamente el modelo de autenticación.
Las Passkeys permiten:
Eliminar el uso de contraseñas
Autenticar mediante criptografía asimétrica
Vincular el acceso a dispositivos seguros (hardware)
Integrar biometría (huella, reconocimiento facial) sin exponer datos sensibles
A diferencia del 2FA, aquí no existe una credencial reutilizable que pueda ser robada o interceptada.
Plataformas como Shopify o arquitecturas modernas basadas en headless (por ejemplo, con Sanity) ya están integrando este modelo como estándar, no como mejora opcional.
Marco normativo y diligencia debida
La seguridad ya no es solo una cuestión técnica: es una obligación legal.
Impacto de la Ley 5/2023 en los estándares de seguridad para partners tecnológicos
La Ley 5/2023 de la Comunidad de Madrid establece un marco claro en materia de digitalización y ciberseguridad, especialmente para proveedores tecnológicos que gestionan datos o infraestructuras críticas.
Esto implica:
Responsabilidad directa sobre la protección de accesos
Necesidad de aplicar medidas de seguridad actualizadas
Evaluación continua de riesgos tecnológicos
Seguir utilizando sistemas de autenticación obsoletos puede interpretarse como falta de diligencia debida.
Requerimientos de la AEPD: Trazabilidad y cifrado en entornos de alta disponibilidad
La Agencia Española de Protección de Datos exige:
Control de accesos robusto
Registro de actividad (trazabilidad)
Protección frente a accesos no autorizados
En este contexto, las Passkeys aportan una ventaja crítica: eliminan el riesgo de filtración de credenciales, uno de los principales vectores de brechas de seguridad.
Adaptación técnica a la Estrategia de Ciberseguridad regional
Madrid está alineando su estrategia digital con estándares europeos, donde:
La autenticación fuerte ya no es suficiente
Se priorizan modelos passwordless
Se fomenta la adopción de arquitecturas seguras por diseño
Esto sitúa tecnologías como FIDO2 y WebAuthn no como innovación, sino como requisito implícito.
Arquitecturas Headless vs. Endurecimiento de CMS Monolíticos
El debate ya no es qué plugin instalar, sino qué arquitectura estás utilizando.
Seguridad por diseño
Las arquitecturas headless (Sanity, Strapi, etc.) separan completamente:
Backend (gestión de datos)
Frontend (presentación)
Esto implica que:
No existe una base de datos expuesta directamente al usuario
Se reduce drásticamente la superficie de ataque
Se eliminan vectores clásicos como inyecciones SQL o explotación de plugins
La seguridad deja de depender del mantenimiento constante y pasa a estar integrada en la propia arquitectura.
El impacto de los plugins de seguridad "All-in-One" en el Interaction to Next Paint (INP)
En entornos tradicionales como WordPress, la seguridad suele resolverse mediante plugins.
Sin embargo, esto genera:
Sobrecarga de recursos
Impacto negativo en métricas Core Web Vitals (especialmente INP)
Incremento de conflictos entre dependencias
Desde una perspectiva técnica, esto no es escalable ni eficiente.
Shopify Hydrogen: Autenticación nativa y cumplimiento normativo en eCommerce avanzado
El ecosistema Shopify, especialmente con Hydrogen (headless), integra:
Autenticación moderna basada en estándares actuales
Infraestructura gestionada y segura
Cumplimiento normativo simplificado
Esto permite a los negocios centrarse en la operativa sin asumir riesgos técnicos innecesarios.
FIDO2 y WebAuthn como solución
La seguridad web en 2026 no se resuelve con configuraciones puntuales ni con capas añadidas sobre sistemas obsoletos.
El cambio es estructural:
De contraseñas a autenticación criptográfica
De plugins a arquitectura
De reacción a diseño preventivo
Adoptar estándares como FIDO2 y WebAuthn no es una mejora incremental, sino una transición necesaria para cumplir con los requisitos técnicos, legales y operativos actuales.
En un entorno como Madrid, donde la regulación y la exigencia tecnológica avanzan en paralelo, seguir utilizando modelos tradicionales no solo limita la seguridad: compromete la viabilidad del proyecto a medio plazo.
La pregunta ya no es si debes implementar estas tecnologías, sino cuánto tiempo puedes permitirte operar sin ellas.
Preguntas frecuentes
El 2FA añade una segunda capa a un sistema basado en contraseñas, mientras que las Passkeys eliminan completamente las contraseñas. WebAuthn utiliza criptografía asimétrica, lo que impide que las credenciales puedan ser robadas o reutilizadas, a diferencia del 2FA tradicional, que sigue siendo vulnerable a phishing y otras técnicas de interceptación.
La Ley 5/2023 no menciona explícitamente tecnologías como WebAuthn, pero sí exige aplicar medidas de seguridad acordes al estado actual de la técnica. En este contexto, seguir utilizando únicamente contraseñas o 2FA convencional puede considerarse insuficiente frente a estándares más avanzados como FIDO2.
Sí, siempre que la arquitectura esté bien diseñada. Las Passkeys permiten sistemas de recuperación seguros mediante dispositivos sincronizados o mecanismos de respaldo controlados. A diferencia de las contraseñas, no pueden ser reutilizadas ni explotadas fuera del ecosistema del usuario.
Sí. Las arquitecturas headless eliminan la exposición directa de la base de datos y reducen la superficie de ataque. Esto evita vulnerabilidades típicas de CMS monolíticos, como inyecciones o explotación de plugins, integrando la seguridad desde el diseño.
El principal riesgo es el incumplimiento del principio de diligencia debida en materia de seguridad. En caso de brecha de datos, organismos como la AEPD pueden considerar negligente el uso de tecnologías obsoletas, lo que puede derivar en sanciones económicas y daños reputacionales.
