Por qué necesitas un gestor de contraseñas en 2026 (aunque lleguen los passkeys)
Los passkeys se están implantando en la web, pero en 2026 la cobertura sigue siendo parcial. Un gestor de contraseñas maneja passkeys, OTP y la larga cola de contraseñas heredadas. Aquí va la valoración honesta.
Qué hace un gestor de contraseñas
Un gestor de contraseñas genera una contraseña aleatoria única para cada cuenta, almacena esas contraseñas cifradas con una clave derivada de una única contraseña maestra y rellena automáticamente las credenciales al iniciar sesión. La arquitectura elimina la reutilización de contraseñas, el comportamiento más explotable en los ataques de apropiación de cuentas. Los cinco gestores comparados en este sitio (Bitwarden, 1Password, Proton Pass, NordPass, KeePassXC) implementan cifrado de conocimiento cero (zero-knowledge): el servidor del proveedor, si sufre una brecha, solo contiene bloques cifrados que no pueden descifrarse sin la contraseña maestra del usuario.
Los passkeys no sustituyen a los gestores de contraseñas en 2026
Los passkeys (FIDO2 / WebAuthn) son credenciales resistentes al phishing que se vinculan criptográficamente a un origen concreto. Allí donde se admiten, son una mejora rotunda frente a las contraseñas. El problema es el despliegue: en 2026 el soporte de passkeys en los grandes sitios sigue siendo parcial e inconsistente. Los bancos, los servicios públicos, el SaaS de nicho y la mayoría de los sistemas empresariales antiguos siguen dependiendo de contraseñas. Los principales gestores de contraseñas (Bitwarden, 1Password, Proton Pass) ya almacenan passkeys junto a las contraseñas, así que el gestor sigue siendo el sitio adecuado para ambos.
Elegir tu primer gestor
Tres opciones cubren a la mayoría de los usuarios. Bitwarden Free cubre contraseñas ilimitadas con una implementación de código abierto auditada (según github.com/bitwarden + bitwarden.com/help/is-bitwarden-audited). Proton Pass Free es similar, con jurisdicción en Suiza (según proton.me/pass/pricing). KeePassXC es la opción solo local, sin ningún componente en la nube (según keepassxc.org). Elige la que se ajuste a tu preferencia de sincronización (nube auditada frente a local), importa las contraseñas guardadas en tu navegador y activa la 2FA en la propia cuenta del gestor.
Por qué la contraseña maestra importa más que la elección del gestor
Todo gestor de contraseñas auditado de conocimiento cero protege tu bóveda con una clave derivada de tu contraseña maestra mediante una KDF de uso intensivo de memoria (Argon2id es la mejor práctica actual; PBKDF2 con un número alto de iteraciones es el estándar anterior). Si la contraseña maestra es corta o adivinable, la fortaleza del cifrado es irrelevante: un atacante que robe el bloque cifrado puede descifrarlo por fuerza bruta sin conexión. La solución es una frase de contraseña: de 4 a 6 palabras de diccionario aleatorias aportan aproximadamente entre 50 y 80 bits de entropía, más que cualquier contraseña lo bastante corta como para escribirla cómodamente.
Fuentes
Auditorías de Bitwarden: bitwarden.com/help/is-bitwarden-audited. Código fuente de Bitwarden: github.com/bitwarden. Proton Pass: proton.me/pass/pricing + github.com/ProtonPass. KeePassXC: keepassxc.org + github.com/keepassxreboot/keepassxc. Argon2 (ganador de la Password Hashing Competition): password-hashing.net/argon2-specs.pdf. Todas las URL consultadas el 2026-04-30.