1Password ha lanzado una integración que permite a Claude utilizar credenciales almacenadas para iniciar sesión y completar tareas en páginas web. El modelo de Anthropic no recibe la contraseña ni los códigos temporales: el gestor solicita permiso al usuario, inyecta los datos directamente en el formulario y vuelve a ocultarlos antes de devolver el control al agente.
Las claves de 1Password para Claude en 30 segundos
- Claude puede iniciar sesión en webs con credenciales y códigos de un solo uso guardados en 1Password.
- Cada solicitud requiere autorización del usuario y queda limitada a una sesión concreta.
- Las contraseñas no entran en el contexto del modelo ni pasan por los servidores de Anthropic.
- La protección termina en el acceso: una vez autenticado, Claude puede operar con los permisos de esa cuenta.
- El lanzamiento está disponible inicialmente en Mac.
La propuesta intenta resolver uno de los problemas que aparecen cuando un asistente deja de limitarse a responder preguntas y comienza a actuar en el navegador. Un agente puede comparar productos, preparar una reserva o consultar un panel empresarial, pero muchas de esas tareas se detienen al encontrar una pantalla de acceso.
La solución habitual consiste en que el usuario escriba la contraseña o complete manualmente la autenticación. Otra opción, mucho menos recomendable, sería copiar el secreto en el chat o permitir que el agente lo recupere directamente. 1Password propone una tercera vía: Claude sabe que se ha utilizado una credencial, pero nunca conoce su contenido.
Cómo puede Claude usar una contraseña sin conocerla
La integración se apoya en una arquitectura que 1Password denomina de “exposición cero”. La expresión describe una propiedad concreta: el valor secreto no se entrega al modelo, no aparece en su memoria y no viaja por la infraestructura de Anthropic.
Cuando Claude encuentra una página que requiere autenticación, envía a 1Password una solicitud que identifica el sitio y explica brevemente para qué necesita entrar. La aplicación de escritorio muestra entonces una ventana independiente donde el usuario puede aprobar, cambiar o rechazar la credencial propuesta.
La autorización puede confirmarse mediante biometría. Una vez aceptada, la aplicación de 1Password envía los datos cifrados a su propia extensión del navegador. Esta los introduce en los campos correspondientes mientras el agente permanece temporalmente detenido.
| Fase | Qué ocurre |
|---|---|
| Claude encuentra un acceso | Solicita una credencial para el dominio |
| 1Password muestra la petición | El usuario revisa la cuenta y el motivo |
| El usuario autoriza | Se aprueba únicamente el elemento seleccionado |
| 1Password rellena el formulario | La contraseña y el código temporal no se muestran a Claude |
| El formulario se envía | El agente reanuda la tarea tras el acceso |
| El envío falla | 1Password borra los valores antes de devolver el control |
1Password utiliza su motor habitual de autocompletado y solo introduce una credencial en una dirección que coincida con los sitios guardados en ese elemento. Durante el proceso, Claude no puede leer ni seguir los cambios de la página. Cuando la autenticación termina correctamente, los campos ya no contienen los secretos. Si falla, la extensión los elimina antes de que el agente vuelva a observar la pestaña.
La comunicación sensible permanece dentro del Mac. La aplicación de Claude se vincula localmente con 1Password, mientras la aplicación y la extensión del gestor se comunican mediante un canal cifrado y autenticado. Las credenciales se mantienen en memoria, nunca se escriben en disco y se destruyen cuando finaliza la sesión, se cierra el navegador o se alcanza un límite máximo de nueve horas.
1Password verifica además la firma de la aplicación de Claude y comprueba que procede del equipo de desarrollo de Apple utilizado por Anthropic. Una aplicación que no supere esa validación no puede iniciar el proceso de vinculación.
El usuario debe aprobar cada petición de acceso. No existe una autorización permanente que permita a Claude abrir cualquier elemento del almacén en tareas posteriores. Una nueva sesión del agente requiere una nueva concesión.
Agentic Mode bloquea el resto del almacén
La segunda novedad es Agentic Mode, un modo de protección que se activa cuando una herramienta compatible asume el control de una pestaña.
En ese momento, la extensión de 1Password retira de la página sus sugerencias, ventanas de guardado y otros elementos interactivos. El agente no puede abrir el menú del gestor ni intentar utilizar credenciales distintas a las aprobadas para la tarea actual.
| Protección | Alcance |
|---|---|
| Interfaz oculta | El agente no puede interactuar con los controles normales de 1Password |
| Acceso limitado | Solo ve referencias a los elementos aprobados |
| Sin valores secretos | No recibe contraseñas ni códigos de un solo uso |
| Sesión aislada | Una autorización no se comparte con otros agentes o sesiones |
| Registro de utilización | La concesión aparece en el historial del elemento |
| Cierre automático | El acceso desaparece al terminar la sesión o cerrar la pestaña |
Claude puede conocer el título del elemento, el nombre de usuario y los dominios asociados. Esa información le permite seleccionar la cuenta adecuada, pero no incluye el contenido de los campos secretos.
Agentic Mode no está diseñado únicamente para Claude. 1Password afirma que se activará ante otros agentes compatibles aunque no exista una integración específica o aunque la tarea no necesite iniciar sesión. La intención es impedir que un navegador controlado por IA trate la extensión del gestor como otro elemento más de la página.
El producto está disponible inicialmente en Mac para planes individuales, familiares y empresariales. Requiere la aplicación de escritorio y la extensión de navegador de 1Password, además de la aplicación de Claude y su extensión para Chrome. En el lanzamiento admite elementos de inicio de sesión y contraseñas temporales de un solo uso. Las tarjetas de pago y los documentos de identidad llegarán más adelante.
La contraseña está protegida, pero la cuenta continúa expuesta a las decisiones del agente
La arquitectura reduce un riesgo importante: que el secreto termine dentro de una conversación, un registro, la memoria del modelo o un sistema remoto. Sin embargo, no convierte en segura cualquier acción realizada después del acceso.
Cuando Claude entra en una cuenta, opera dentro de una sesión autenticada con los permisos del usuario. Puede navegar, consultar información, modificar datos o completar una compra si la página y las salvaguardas del agente se lo permiten.
1Password protege el almacenamiento, la autorización y la entrega de la credencial. No controla lo que Claude hace después de iniciar sesión. La propia documentación de la compañía separa claramente ambas responsabilidades.
| Riesgo | ¿Lo evita la integración? |
|---|---|
| La contraseña aparece en el chat | Sí |
| El modelo almacena el secreto en su contexto | Sí |
| Claude accede al resto del almacén | No debería, salvo autorización expresa |
| El agente interpreta mal la petición | No |
| Claude pulsa una opción incorrecta tras entrar | No |
| Una web maliciosa manipula al agente | No completamente |
| El Mac está comprometido | No |
| La página de destino roba lo introducido | No |
El primer riesgo residual es el error de interpretación. Una petición como “busca la opción más barata y cómprala” puede dejar margen sobre fechas, condiciones, equipaje o políticas de cancelación. La contraseña permanece segura, pero el agente podría completar una operación diferente a la esperada.
También existe la posibilidad de una inyección de instrucciones. Una página, anuncio, documento o texto oculto puede contener órdenes dirigidas al modelo para intentar cambiar su comportamiento. Anthropic reconoce que las inyecciones de prompt siguen siendo uno de los principales problemas de los agentes que navegan por internet y que ninguna defensa disponible garantiza una protección total.
En este escenario, el atacante no necesitaría conocer la contraseña. Podría intentar convencer al agente para que, una vez dentro, copie información, cambie una dirección, añada un destinatario o complete otra acción permitida por la sesión.
La separación del secreto limita las consecuencias, pero no elimina el problema. Un agente no necesita ver una contraseña para causar daño si ya está autenticado y dispone de permisos suficientes.
Otro límite aparece en la propia página web. Cuando 1Password rellena y envía el formulario, las credenciales llegan al sitio de destino y pueden ser procesadas por sus scripts. Esto sucede también durante un acceso manual. El gestor puede comprobar el dominio y limpiar los campos si el envío falla, pero no controla lo que hace el servidor o el código de la web después de recibirlos.
Un atacante con control administrativo o capacidad para ejecutar código en la cuenta del usuario en macOS también podría interferir con el proceso. La integración protege frente a programas no autorizados que intenten hacerse pasar por Claude, pero no frente a un equipo completamente comprometido.
La aprobación humana también puede convertirse en un punto débil
La autorización biométrica introduce una barrera clara, aunque su eficacia depende de que el usuario lea la petición y comprenda lo que está aprobando.
Anthropic ha observado en otro de sus productos, Claude Code, que los usuarios aceptaban aproximadamente el 93 % de los avisos de permisos. La compañía utiliza ese dato para explicar que una sucesión de confirmaciones puede generar fatiga y hacer que las personas presten cada vez menos atención. No es una medición específica de 1Password para Claude, pero muestra los límites de basar la seguridad únicamente en ventanas de aprobación.
Una solicitud que diga “permitir que Claude utilice la cuenta de Stripe” debería examinarse con más cuidado que un acceso a una biblioteca de audiolibros. También importa el objetivo de la tarea. Consultar ingresos implica menos riesgo que modificar los datos bancarios de cobro, aunque ambas acciones utilicen la misma credencial.
En entornos empresariales, los administradores pueden decidir si permiten el autocompletado para agentes. La medida evita que cada empleado active la integración de forma independiente y ofrece un control adicional sobre las cuentas de trabajo.
Aun así, la autorización se concede sobre una credencial, no necesariamente sobre todas las operaciones posibles después del acceso. La siguiente evolución de este modelo tendrá que aplicar permisos más precisos: consultar pero no modificar, preparar pero no enviar, añadir al carrito pero no comprar o generar una transferencia sin poder aprobarla.
Los gestores de contraseñas quieren convertirse en intermediarios de los agentes
La integración con Claude forma parte de una estrategia más amplia de 1Password. La compañía ya ofrece un servidor local basado en Model Context Protocol para que OpenAI Codex utilice secretos de desarrollo sin copiarlos en repositorios, archivos .env o conversaciones.
En ese caso, los valores se inyectan directamente en el proceso autorizado durante la ejecución. Codex puede configurar un entorno y trabajar con nombres de variables, pero no recibe las claves de las bases de datos, API o servicios cloud.
La lógica es similar en ambos casos: el agente solicita una capacidad y el gestor actúa como intermediario. El secreto continúa bajo control de 1Password, mientras el sistema automático recibe únicamente el resultado necesario para completar su trabajo.
Este modelo trata al agente como una nueva clase de identidad. No es exactamente un usuario humano ni una aplicación tradicional. Puede razonar, tomar decisiones y cambiar su plan en función de lo que encuentra, así que necesita permisos temporales, limitados y verificables.
La integración no entrega el almacén de contraseñas a Claude. Tampoco elimina los riesgos de permitir que una IA actúe dentro de cuentas personales o empresariales. Su aportación consiste en separar dos cuestiones que hasta ahora estaban unidas: conocer un secreto y disponer de autorización temporal para utilizarlo.
La contraseña puede permanecer fuera del modelo. La decisión sobre qué hará Claude una vez dentro continúa siendo el aspecto que exige mayor vigilancia.
Preguntas frecuentes
¿Claude puede leer las contraseñas guardadas en 1Password?
No. 1Password introduce la credencial directamente en la página y Claude solo recibe información básica del elemento y el resultado del acceso.
¿Es necesario aprobar cada inicio de sesión?
Sí. Cada solicitud debe autorizarse y queda vinculada a una sesión concreta del agente. No se concede acceso permanente al almacén.
¿Puede Claude realizar acciones después de entrar en una cuenta?
Sí, dentro de las capacidades de la web y de las salvaguardas del agente. 1Password protege la credencial, pero no garantiza cada acción posterior de Claude.
¿En qué equipos está disponible?
El lanzamiento inicial funciona en Mac y requiere las aplicaciones y extensiones de 1Password y Claude. Está incluido en planes individuales, familiares y empresariales compatibles.

