New: Passkey Benchmark 2026 - 8 production KPIs to compare your passkey rolloutcompare your passkey rollout
Volver al resumen

Alternativas y recuperación de claves de acceso: enfoque de identificador primero

Lee nuestra guía para desarrolladores y gestores de producto sobre estrategias de recuperación y alternativas para la autenticación con claves de acceso.

Vincent Delitz
Vincent Delitz

Creado: 10 de septiembre de 2024

Actualizado: 24 de mayo de 2026

Alternativas y recuperación de claves de acceso: enfoque de identificador primero

Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.

BuyVsBuildGuide Icon

Guía Buy vs. Build. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.

Obtener guía gratuita
Datos clave
  • Cerca del 95 % de los dispositivos están preparados para claves de acceso, sin embargo, contar con estrategias efectivas de alternativas y recuperación sigue siendo esencial para escenarios donde las claves de acceso son inaccesibles o se han perdido.
  • El enfoque de identificador primero determina automáticamente la disponibilidad de la clave de acceso después de que los usuarios ingresan su identificador, eliminando la iniciativa del usuario y evitando estados de error confusos sin salida.
  • Las claves de acceso sincronizadas se pierden con menos frecuencia que los números de teléfono móvil, lo que hace que los costes de recuperación de claves de acceso sincronizadas en la nube sean más bajos que la recuperación MFA tradicional basada en OTP por SMS en un período de 36 meses.
  • La identificación con selfie y pruebas de vida permite una recuperación inteligente de MFA para industrias reguladas, verificando la presencia física y comparando a los usuarios con un documento de identidad fotografiado para prevenir el fraude.

1. Introducción#

Las claves de acceso se han convertido en una alternativa real a los métodos de autenticación tradicionales, con dispositivos preparados para claves de acceso en casi un 95 %. Sin embargo, incluso los sistemas más avanzados requieren estrategias eficaces de alternativas y recuperación para abordar escenarios en los que las claves de acceso no son accesibles (alternativa) o incluso se pierden (recuperación). Esta guía tiene como objetivo explorar los diversos escenarios donde las alternativas y recuperaciones son necesarias y analizar cómo se ven las posibles soluciones.

Al pensar en métodos de alternativas y recuperación, es importante que la solidez de los mismos coincida con la del método de autenticación principal. Esta guía distinguirá entre diferentes usos de las claves de acceso, centrándose particularmente en contextos donde las claves de acceso se utilizan como MFA independiente, para adaptar los métodos de alternativa y recuperación de manera adecuada.

Preguntas clave:

  • ¿Qué escenarios de alternativa existen? ¿Cuáles son los posibles escenarios de alternativa que podrían ocurrir con los sistemas de claves de acceso y cómo deberían manejarse para mantener la seguridad?
  • ¿Cómo se debe manejar la recuperación? Dependiendo de los patrones de uso de las claves de acceso, particularmente en entornos que utilizan MFA, ¿cómo se deben diseñar los procesos de recuperación para garantizar que sean seguros?

A través de la exploración de estas preguntas, esta guía proporcionará a los gestores de producto y desarrolladores la información necesaria para diseñar, implementar y gestionar sistemas de claves de acceso de manera eficaz, garantizando que la seguridad no comprometa la experiencia del usuario.

Artículos recientes

2. Definiciones: identificador, nivel de seguridad, alternativas y recuperación#

Antes de sumergirnos en las estrategias de alternativas y recuperación, es importante establecer una comprensión clara de algunos términos fundamentales que utilizaremos.

2.1 Identificador: correo electrónico, número de teléfono y nombre de usuario#

En la mayoría de los sistemas empresariales y de consumo, la autenticación se basa en tres identificadores principales: correo electrónico, número de teléfono y nombre de usuario.

La gran mayoría de los sistemas utilizan el correo electrónico como identificador principal, especialmente en aplicaciones basadas en la web. Sin embargo, las plataformas orientadas primero a dispositivos móviles (mobile-first o app-first) a menudo prefieren usar el número de teléfono como identificador debido a la facilidad de completar previamente un OTP (código de un solo uso) basado en SMS, que puede insertarse automáticamente. En algunos casos, también se les puede exigir a los usuarios que configuren un nombre de usuario además de estos identificadores, principalmente para plataformas que requieren un nombre de visualización único. También hay una tendencia creciente, especialmente en plataformas más grandes, a permitir el uso tanto del correo electrónico como del número de teléfono para mayor flexibilidad.

Durante el registro inicial, estos identificadores suelen verificarse a través de un enlace de confirmación / OTP (para el correo electrónico) o un OTP (para el número de teléfono), garantizando que el identificador pertenece a la persona correcta. En caso de que se pierda el acceso, demostrar el control sobre el correo electrónico o número de teléfono previamente verificado suele ser suficiente para restablecer el acceso a la cuenta. Dado que estos identificadores son las formas de comunicación más confiables con los usuarios, a menudo se recopilan números de teléfono para fines de MFA (Autenticación multifactor), siendo los SMS un segundo factor comúnmente utilizado.

Los nombres de usuario a menudo se emplean para proporcionar una capa adicional de identidad de usuario en sistemas donde se requieren identificadores públicos, como redes sociales, foros o ciertas plataformas profesionales. Si bien no cumplen el mismo rol funcional en la autenticación que el correo electrónico o los números de teléfono, los nombres de usuario proporcionan a los usuarios una identidad reconocible en contextos públicos o peer-to-peer. Sin embargo, introducen una complejidad adicional, ya que los usuarios a menudo pueden olvidarlos y, en la mayoría de los casos, se requiere otro identificador junto al nombre de usuario. Por lo tanto, en este artículo, no nos centraremos en los nombres de usuario.

Otras opciones 2FA, como las aplicaciones de autenticación (que generan códigos TOTP), no dependen de un identificador, pero a menudo son más complejas de configurar para un usuario promedio. Las claves de acceso también han introducido la posibilidad de funcionar sin un identificador (autenticación sin nombre de usuario), una característica cada vez más popular en el espacio criptográfico. Sin embargo, tanto para soluciones de consumidores como de empresas, la necesidad de comunicarse con los usuarios (a menudo por correo electrónico) para fines de alternativa o recuperación hace que los sistemas sin nombre de usuario sean menos prácticos.

2.2 Nivel de seguridad: autenticación de factor único (SFA) y autenticación multifactor (MFA)#

Los sistemas de Autenticación de factor único (SFA) son aquellos que dependen de una forma de autenticación para verificar la identidad del usuario. Por lo general, este factor único es una contraseña, pero también puede ser un inicio de sesión social, OTP por correo electrónico o cualquier método que requiera solo un tipo de prueba. La mayoría de los sistemas en la web actual son sistemas SFA. Sin embargo, existe un conocido compromiso con respecto a la seguridad. Al integrar claves de acceso, estas suelen servir como un complemento o un reemplazo de las contraseñas tradicionales, mejorando la conveniencia del sistema. Es común que dichos sistemas sigan permitiendo opciones alternativas como OTP por correo electrónico o inicios de sesión sociales, lo que mejora la experiencia del usuario al reducir las contraseñas, pero no eleva la seguridad del sistema más allá del SFA.

La Autenticación multifactor (MFA) involucra dos o más factores independientes para verificar la identidad de un usuario; esto es lo que la hace más segura que el SFA. Estos factores pueden incluir algo que el usuario conoce (contraseña o PIN), algo que el usuario tiene (un token de seguridad o una aplicación de teléfono móvil) y algo que el usuario es (verificación biométrica como huellas dactilares o reconocimiento facial). Los sistemas MFA están diseñados para proteger contra vulnerabilidades específicas de las que los sistemas SFA no pueden defenderse, como ataques de phishing o filtraciones de contraseñas. Cuando se utilizan claves de acceso dentro de un sistema MFA, generalmente se utilizan como una opción MFA independiente. En estos casos, es crucial que cualquier método de alternativa o recuperación mantenga el mismo nivel de seguridad que las claves de acceso.

2.3 Alternativas y recuperación#

Las alternativas (fallbacks) se utilizan en todos los sistemas donde coexisten múltiples métodos de autenticación. Se utilizan cuando los métodos principales no están disponibles; a menudo el usuario tiene la opción al principio de cómo registrarse (por ejemplo, inicio de sesión social frente a contraseña). Una alternativa podría implicar estrategias de autenticación como OTP a través de correo electrónico, contraseñas, inicios de sesión sociales con correos electrónicos coincidentes, notificaciones push de aplicaciones nativas, códigos QR o llaves de seguridad. Cada uno de estos métodos alternativos varía en la calidad de la seguridad, y seleccionar la opción alternativa adecuada es fundamental para equilibrar la comodidad del usuario con los requisitos de seguridad.

En entornos que utilizan claves de acceso como parte de un sistema de Autenticación multifactor (MFA), estos métodos alternativos deben considerarse cuidadosamente para garantizar que proporcionen seguridad multifactor comparable a las claves de acceso. Los procesos de recuperación adquieren importancia cuando los usuarios pierden el acceso a todas las medidas de autenticación establecidas que cumplen con los estándares de seguridad requeridos (SFA o MFA). Esto es menos crítico en sistemas de un solo factor, donde pueden estar disponibles varias opciones de recuperación, como restablecer una contraseña a través de un OTP por correo electrónico, lo que valida efectivamente el control del usuario sobre un identificador asociado. Sin embargo, la recuperación es particularmente desafiante en los sistemas 2FA/MFA porque estos sistemas inherentemente dependen de múltiples factores para la verificación. En escenarios en los que un usuario cambia de sistema operativo móvil (por ejemplo, de iPhone a un teléfono Android) y pierde las claves de acceso asociadas y el número de teléfono, los factores restantes (por ejemplo, solo una contraseña) no pueden satisfacer los requisitos de 2FA. La recuperación en estas instancias podría requerir la creación de nuevas pruebas de identidad, lo que puede implicar solicitudes de soporte manual o soluciones más innovadoras que cubriremos más adelante.

3. Alternativa de inicio de sesión con clave de acceso: inicio de sesión manual frente a automático#

Al implementar una solución de claves de acceso, una de las primeras decisiones que se debe tomar es el enfoque para el inicio de sesión con clave de acceso. Dependiendo del caso de uso, el inicio de sesión manual podría ser suficiente para plataformas más pequeñas, pero para empresas más grandes orientadas a la experiencia del usuario, se recomienda un enfoque de identificador primero, que ofrece el inicio de sesión con clave de acceso después de que se haya ingresado el identificador principal (muy probablemente el correo electrónico).

3.1 Inicio de sesión manual con clave de acceso: enfoque iniciado por el usuario#

3.1.1 ¿Qué es el enfoque iniciado por el usuario?#

En plataformas más pequeñas o plataformas que no se centran en una alta tasa de inicio de sesión con clave de acceso, el enfoque iniciado por el usuario implica un botón separado de "Iniciar sesión con clave de acceso". En este enfoque, la responsabilidad de usar claves de acceso recae completamente en el usuario. Después de agregar una clave de acceso a su cuenta, el usuario debe recordar hacer clic en "Iniciar sesión con clave de acceso" para iniciar sesión usándola.

La captura de pantalla muestra la implementación de claves de acceso de https://my.gov.au, que utiliza el enfoque manual de inicio de sesión con clave de acceso. Si bien este enfoque es más fácil de implementar porque el backend no necesita determinar si un inicio de sesión con clave de acceso es posible, generalmente conduce a tasas de inicio de sesión con clave de acceso mucho más bajas. Esto se debe a que depende en gran medida de la iniciativa del usuario, y los consumidores podrían no recordar o no estar seguros en qué plataforma o almacenamiento en la nube residen sus claves de acceso. Este enfoque hace pensar al usuario. Echemos un vistazo a qué posibles oportunidades de alternativa existen con este enfoque en la siguiente sección.

3.1.2 Alternativas#

Las alternativas son esenciales en cualquier sistema donde existan posibilidades de acceso fallido a las claves de acceso. En el enfoque manual de inicio de sesión con clave de acceso, los diálogos y las alternativas no se pueden gestionar individualmente porque todas las opciones de inicio de sesión se muestran al mismo tiempo y las claves de acceso se eligen a discreción del usuario. Esto conduce a varios desafíos:

  • Errores poco intuitivos: Los mensajes de error que los usuarios encuentran cuando las claves de acceso no están disponibles o están configuradas incorrectamente a menudo no son claros y pueden causar confusión. Los usuarios podrían no entender por qué no pueden usar la clave de acceso o qué salió mal, lo que genera frustración.
  • Callejones sin salida: Los usuarios pueden encontrarse en callejones sin salida donde no pueden continuar. Si faltan claves de acceso o son inaccesibles, a los usuarios no se les puede dar una orientación clara sobre cómo proceder o recuperar el acceso, lo que hace que abandonen el proceso de inicio de sesión.
  • Falta de orientación: En estas situaciones, el sistema no puede proporcionar instrucciones útiles para guiar a los usuarios hacia un método de autenticación alternativo. Se deja a los usuarios que averigüen por su cuenta cómo resolver el problema, lo que disminuye la experiencia del usuario.

El ejemplo anterior muestra lo confusos que son los mensajes de error de Windows 11 cuando no se encuentran claves de acceso en el autenticador de la plataforma. El sistema puede asumir que la clave de acceso reside en una llave de seguridad u otro dispositivo. Este proceso puede ser confuso para los usuarios que no están familiarizados con tales flujos de autenticación, especialmente si nunca antes han usado una llave de seguridad o nunca han creado una clave de acceso.

Si no se encuentran claves de acceso en el autenticador de la plataforma, el sistema operativo y el navegador asumen que deben existir en otro lugar, lo que genera más confusión si el usuario aún no ha creado una clave de acceso. Conditional UI puede ayudar mostrando las claves de acceso existentes, pero esto solo ayuda si las claves de acceso realmente existen. Para obtener la mejor experiencia de clave de acceso, el backend debe decidir si se debe activar un inicio de sesión con clave de acceso después de que el usuario haya proporcionado su identificador principal.

3.2 Inicio de sesión automático con clave de acceso: enfoque de identificador primero#

3.2.1 ¿Qué es el enfoque de identificador primero?#

En el enfoque de identificador primero, se solicita a los usuarios que proporcionen su identificador principal, como un correo electrónico o un número de teléfono, antes de que el sistema determine si es posible iniciar sesión con una clave de acceso. Después de verificar el identificador, el sistema sugiere automáticamente el método de inicio de sesión más apropiado, incluidas las claves de acceso si están disponibles y son accesibles. Este enfoque es más fácil de usar porque elimina la necesidad de que los usuarios recuerden seleccionar la opción "Iniciar sesión con clave de acceso" y mejora la tasa de adopción al optimizar el proceso.

Inicio de sesión de identificador primero de Google

Inicio de sesión con clave de acceso de Google

Las capturas de pantalla anteriores muestran el comportamiento de inicio de sesión de un inicio de sesión de Google para una cuenta donde una clave de acceso está asociada en un dispositivo macOS. Google también sigue el enfoque de identificador primero y determinó que el inicio de sesión con clave de acceso será muy probable que sea posible:

  1. Soporte de plataforma de clave de acceso: La plataforma subyacente soporta un autenticador de plataforma, por lo tanto, un inicio de sesión puede ser posible.
  2. La clave de acceso es accesible: La clave de acceso muy probablemente será accesible en este cliente (macOS) porque fue creada en un sistema macOS.

En consecuencia, un inicio de sesión con clave de acceso se inicia automáticamente, guiando al usuario a la mejor experiencia posible. Esto sigue la estrategia de "no me hagas pensar".

Un buen diseño de claves de acceso y autenticación no transfiere la responsabilidad al usuario, sino que sugiere la estrategia de autenticación óptima para la cuenta específica dependiendo del entorno del cliente.

3.2.2 Falta de soporte de la plataforma de claves de acceso o accesibilidad de las claves de acceso#

El sistema determina si un inicio de sesión con clave de acceso es posible. En caso de que:

  • No exista clave de acceso: El usuario aún no ha creado una clave de acceso para su cuenta
  • Las claves de acceso no son accesibles: Las claves de acceso que el usuario ha creado muy probablemente no están disponibles en este cliente (por ejemplo, el usuario solo tiene una clave de acceso de macOS y ahora inicia sesión desde Windows).
  • No se soporta la autenticación con clave de acceso: El cliente actual no soporta autenticadores de plataforma y también es muy poco probable que soporte la autenticación entre dispositivos a través de código QR

la decisión será que un inicio de sesión con clave de acceso exitoso es improbable y, por lo tanto, las opciones alternativas se proporcionarán automáticamente sin activar un inicio de sesión con clave de acceso. Este enfoque es mucho más amigable para el usuario porque elimina la necesidad de que los usuarios recuerden seleccionar la opción "Iniciar sesión con clave de acceso", mejora la tasa de adopción al optimizar el proceso y evita el peor de los casos, donde se muestra un callejón sin salida confuso al usuario.

En el ejemplo anterior, el inicio de sesión recurre a una contraseña y luego continuará pidiendo más factores de autenticación según el estado y la seguridad de la cuenta, porque el cliente es un dispositivo con Windows 11, que es poco probable que tenga acceso a las claves de acceso de macOS. Dependiendo de los requisitos de seguridad de su sistema de autenticación, usted tiene control total sobre qué método de autenticación activar en tal caso (por ejemplo, la última opción de autenticación no basada en claves de acceso exitosa).

3.2.3 Cancelaciones de la ceremonia de claves de acceso#

Cuando un usuario se encuentra con una pantalla de autenticación durante un inicio de sesión web, puede sorprenderse o abrumarse, especialmente si es una de sus primeras veces usando autenticación basada en claves de acceso. Esto puede llevar a los usuarios a cancelar el proceso de autenticación, no debido a un fallo, sino simplemente porque no están seguros de lo que está sucediendo. Es crucial planificar este comportamiento y tratar la primera cancelación como un evento normal en lugar de un error:

La primera pantalla de cancelación debe explicar claramente lo que está sucediendo de una manera tranquila y tranquilizadora, recomendando que el usuario vuelva a intentar el proceso (ver ejemplo de Google arriba). Esta pantalla debe estar diseñada para minimizar la ansiedad, tratando la cancelación como una parte regular y esperada de la experiencia del usuario. Muchos usuarios podrían cancelar simplemente porque no reconocieron la pantalla de autenticación o no estaban familiarizados con el proceso. Por lo tanto, un reintento debería ser la sugerencia predeterminada.

Si ocurre una segunda cancelación, sin embargo, la situación debe tratarse de manera diferente. La segunda cancelación podría indicar que algo ha salido mal genuinamente, ya sea un problema con el autenticador de la plataforma, que el usuario no puede encontrar una clave de acceso adecuada o un fallo técnico en la ceremonia de WebAuthn. En este punto, el sistema debería presentar una pantalla diferente explicando que ha ocurrido un problema y sugiriendo opciones alternativas un poco más:

La pantalla de segunda cancelación debe animar al usuario a cambiar a un método de autenticación alternativo. Debe garantizar que el usuario aún pueda iniciar sesión correctamente sin causar más frustración. Como podemos ver en la pantalla de arriba, Google todavía sugiere "Intentar de nuevo", pero al mismo tiempo muestra al usuario que probablemente algo salió mal.

3.3 Comparación de enfoques de implementación de claves de acceso#

La siguiente tabla ayuda a comparar los diferentes enfoques resumiendo las características más importantes:

Los enfoques hágalo usted mismo generalmente siguen el enfoque manual de inicio de sesión con clave de acceso y dependen de Conditional UI y de que el usuario opte por usar claves de acceso, lo que resulta en tasas de inicio de sesión con claves de acceso muy bajas y usuarios frustrados. El enfoque de identificador primero requiere establecer una lógica de dispositivo bien pensada además de Conditional UI, que es donde Corbado puede ayudarte. No se recomienda desarrollar tu propia lógica de dispositivos e inteligencia de claves de acceso, ya que este conjunto de reglas requiere ajustes constantes para nuevos dispositivos, nuevas funcionalidades de WebAuthn y sincronización en la nube (por ejemplo, claves de acceso GPM).

4. Recuperación de claves de acceso#

La recuperación de claves de acceso es un aspecto crucial para mantener la seguridad y la experiencia del usuario cuando los usuarios pierden el acceso a sus claves de acceso. Esto es particularmente importante en los sistemas que dependen de MFA. En los casos de MFA, los procesos de recuperación deben garantizar que se preserve la seguridad mientras se permite a los usuarios recuperar el acceso a sus cuentas. El enfoque de recuperación debe adaptarse en función del nivel de autenticación utilizado en el sistema.

4.1 Recuperación de factor único y recuperación de factor múltiple#

Para mantener la seguridad en los sistemas SFA, la recuperación generalmente implica probar el control sobre un identificador como una dirección de correo electrónico o un número de teléfono móvil.

  • OTP por correo electrónico: Se envía un OTP a la dirección de correo electrónico registrada del usuario. Una vez verificado, esto permite al usuario recuperar el acceso y crear una nueva clave de acceso.
  • OTP por SMS: Al igual que la recuperación de correo electrónico, se envía un OTP al número de teléfono móvil registrado. El usuario puede utilizar este OTP para recuperar el acceso a su cuenta.

Si bien estos métodos son sencillos, dependen de mantener actualizada la información de contacto del usuario. Por lo tanto, es esencial pedir a los usuarios regularmente que verifiquen su correo electrónico y número de teléfono durante los inicios de sesión de rutina.

En los sistemas de Autenticación multifactor, la recuperación se vuelve más compleja. Dado que MFA depende de múltiples factores independientes (por ejemplo, claves de acceso, inicio de sesión social y OTP), los usuarios no deberían perder el acceso solo porque un factor (como una clave de acceso) no está disponible.

  • Uso de factores alternativos: Si se pierde la clave de acceso, el usuario puede autenticarse utilizando otros dos factores, como una contraseña + OTP por SMS o una aplicación de autenticación. Una vez que están autenticados, pueden crear una nueva clave de acceso.
  • Uso de otras claves de acceso: En caso de que el usuario tenga otros dispositivos con claves de acceso, podría usarlos para recuperar el acceso con las sugerencias adecuadas (por ejemplo, solicitar el uso de una clave de acceso desde un iPhone).
  • Crear nuevas claves de acceso: Después de autenticarse con el método de recuperación, se debe guiar al usuario para que cree una nueva clave de acceso para garantizar que la configuración de MFA permanezca intacta.

Tanto para los sistemas SFA como para los sistemas MFA, la clave es garantizar que los procesos de recuperación sean robustos y seguros y, al mismo tiempo, minimicen la fricción para el usuario.

4.2 Recuperación MFA inteligente: digitaliza los costes de recuperación MFA#

En sistemas que manejan datos personales confidenciales, industrias reguladas o servicios gubernamentales, los correos electrónicos OTP y los números móviles OTP estándar pueden no ser siempre suficientes o estar disponibles para la recuperación. En tales casos, los mecanismos de recuperación MFA inteligente ofrecen métodos avanzados para la recuperación de cuentas que mantienen altos estándares de seguridad al tiempo que ofrecen a los usuarios una experiencia perfecta.

Uno de los métodos más efectivos es la identificación mediante selfie con una prueba de vida. Este proceso involucra que el usuario tome fotos de su documento de identidad. Además, una comprobación de vida con selfie asegura que el selfie se esté tomando en tiempo real, confirmando que el usuario está físicamente presente y coincide con el documento de identidad fotografiado, lo que previene el fraude con el uso de imágenes estáticas o identificaciones robadas. Dependiendo de la tecnología utilizada, una comprobación de vida se realiza grabando un video corto en el que se cambia la distancia a la cámara o se gira la cabeza 180 grados (por ejemplo, Face ID de Apple).

Este método puede ser particularmente útil cuando los métodos de recuperación tradicionales, como el correo electrónico o los OTP por SMS, no están disponibles o están desactualizados. Por ejemplo, aquí hay un ejemplo de cómo tomar un selfie seguido de una prueba de vida de onfido:

Ejemplo: Identificación mediante selfie con prueba de vida de onfido

  • Sistemas gubernamentales, industrias reguladas o grandes servicios comerciales tienen datos personales disponibles que pueden usarse para verificar la información disponible en el documento de identidad. En caso de que, por ejemplo, no esté disponible la fecha de nacimiento, la información recopilada a través del documento de identidad se puede usar como factor en el proceso de recuperación manual.

Además, otros métodos de recuperación inteligente pueden incluir:

  • Recuperación cruzada entre dispositivos: Si un usuario tiene un dispositivo secundario de confianza, puede recuperar su cuenta escaneando un código QR.
  • Entornos conocidos: Los usuarios que todavía tienen acceso al mismo dispositivo que usaron con éxito en el pasado pueden proporcionar factores de garantía adicionales mediante el uso de este dispositivo y, por lo tanto, proporcionando una prueba de que actúan desde el mismo dispositivo, proveedor y ubicación para ayudar en el proceso de recuperación manual. Un enfoque que Google utiliza para la recuperación de cuenta de Gmail.
  • API de credenciales digitales: Con la creciente adopción de carteras de identificación, se espera que la verificación directa a través de esta API juegue un papel cada vez mayor en la recuperación de cuentas segura y fácil de usar.

Los métodos de recuperación MFA inteligentes tienen como objetivo ofrecer a los usuarios formas seguras e intuitivas de recuperar el acceso a sus cuentas, especialmente cuando se trata de información altamente confidencial o regulada. Estos enfoques aseguran que, incluso en los casos en que no estén disponibles los métodos tradicionales como la recuperación de teléfono o correo electrónico, los usuarios todavía pueden restaurar su acceso de forma segura y eficiente. La recuperación inteligente ayuda a reducir los costes de recuperación MFA.

4.3 Frecuencias de recuperación de MFA: número de teléfono frente a clave de acceso#

Es importante tener en cuenta que debido a que las claves de acceso se sincronizan en la nube, los costes de recuperación de MFA son mucho menores en un período de 36 meses, ya que cambiar el número de teléfono móvil es mucho más frecuente que cambiar de Apple a Android o viceversa. En caso de cambio de contrato de telefonía o de teléfono, las claves de acceso se restaurarán.

Por lo tanto, perder el acceso a las claves de acceso sincronizadas ocurrirá con menos frecuencia que perder el acceso al número de teléfono móvil, lo que causa la mayor parte del problema de recuperación en los sistemas MFA tradicionales orientados al consumidor.

Sin embargo, con una base de usuarios en crecimiento, tales casos aún causan importantes costes de soporte manual y deben gestionarse con una solución digital, que analizaremos en la siguiente sección.

5. Recomendaciones para gestores de producto y desarrolladores#

Al integrar claves de acceso en tu sistema de autenticación, es crucial planificar cuidadosamente tanto las opciones de alternativas como las estrategias de recuperación para mantener un alto nivel de seguridad al tiempo que se garantiza una experiencia de usuario perfecta. Para maximizar la tasa de inicio de sesión con claves de acceso, considera las siguientes recomendaciones:

  • Opta por el enfoque de identificador primero: Este enfoque es más amigable para el usuario y reduce la fricción en el proceso de inicio de sesión. Al pedir a los usuarios que ingresen primero su identificador principal (por ejemplo, correo electrónico o número de teléfono), el sistema puede determinar automáticamente si es posible iniciar sesión con una clave de acceso. Esto garantiza una experiencia de inicio de sesión fluida e intuitiva sin depender de que el usuario elija manualmente una opción de clave de acceso.
  • Utiliza pantallas de cancelación explicativas para una mejor experiencia de usuario: Si bien la seguridad debe ser la máxima prioridad, es esencial diseñar un proceso que ayude al usuario a adoptar claves de acceso. Asegúrate de que las primeras cancelaciones de ceremonia se traten de manera normal y ofrece una guía clara para volver a intentarlo.
  • Mantén seguras las opciones de alternativas y recuperación: Asegúrate de que los métodos alternativos (como OTP por correo electrónico o OTP por SMS) coincidan con el nivel de seguridad del método de autenticación principal. Por ejemplo, en un sistema MFA que usa claves de acceso, la alternativa también debe requerir múltiples factores para mantener el mismo estándar de seguridad.
  • Automatiza las solicitudes regulares de recuperación: Pide regularmente a los usuarios que verifiquen su información de contacto (dirección de correo electrónico o número de teléfono) durante el inicio de sesión para garantizar que las opciones de recuperación se mantengan actualizadas cuando usen claves de acceso. Esto reduce las posibilidades de que los usuarios se queden fuera de sus cuentas debido a métodos de recuperación desactualizados.
  • Considera métodos de recuperación inteligente para mejorar la seguridad y reducir los costes de soporte de recuperación: Para industrias reguladas o sistemas con acceso a datos personales para cotejar con la identificación en línea, considera métodos de recuperación avanzados como la identificación mediante selfie con pruebas de vida. Este método puede proporcionar capas adicionales de seguridad mientras mantiene el proceso de recuperación intuitivo y fácil de usar, según tus requisitos de seguridad.

Maximizar la tasa de inicio de sesión con clave de acceso depende de lo bien que implementes estos elementos. Garantizar opciones fluidas de alternativas y recuperación dará a los usuarios confianza en el uso de claves de acceso como su método de autenticación principal.

6. Lo que Corbado puede hacer por ti: componentes de UI e inteligencia de claves de acceso#

Corbado proporciona todo lo necesario para implementar el enfoque de identificador primero para proyectos desde cero (greenfield) que necesitan un sistema de autenticación completamente nuevo y para proyectos existentes que necesitan agregar claves de acceso a un sistema de autenticación existente.

6.1 Componentes de UI para diferentes casos de uso#

Ambos productos ofrecen componentes de interfaz de usuario que se pueden adaptar a tus necesidades:

  1. Corbado Complete: inicia tu proyecto con autenticación priorizando las claves de acceso
    Este es nuestro sistema de autenticación completo, que incluye un enfoque de identificador primero perfecto para agilizar el proceso de inicio de sesión. Corbado Complete permite una experiencia segura y fácil de usar determinando automáticamente si el inicio de sesión con clave de acceso es posible después de que el usuario proporciona su identificador. Esto reduce la fricción y garantiza una experiencia de inicio de sesión fluida, lo cual es crucial para maximizar la adopción de claves de acceso.
  2. Corbado Connect: agrega claves de acceso sin migración a ninguna aplicación
    Para las empresas que ya han establecido procesos de autenticación y desean agregar claves de acceso como mejora, Corbado Connect ofrece una solución complementaria para estrategias de un solo factor y de factor múltiple. Este enfoque complementa tu infraestructura existente integrando perfectamente las claves de acceso como una opción segura y conveniente, lo que permite a los usuarios autenticarse a través de claves de acceso sin revisar todo tu sistema actual. Por ejemplo, Corbado Connect se puede integrar perfectamente en Amazon Cognito.

Alineamos estrictamente nuestros métodos con los líderes de la industria como Google y otros actores destacados en el espacio de las grandes empresas tecnológicas, adaptados especialmente para empresas orientadas al consumidor.

6.2 La inteligencia de claves de acceso permite el enfoque de identificador primero#

Nuestro objetivo no es solo maximizar la adopción de claves de acceso (es decir, la creación de claves de acceso), sino también asegurar que estas claves de acceso se usen activamente para impulsar altas tasas de inicio de sesión (y por lo tanto aumentar la seguridad y reducir los costes de OTP por SMS). Nuestros componentes de UI se crean teniendo en mente el enfoque de identificador primero y están directamente conectados a nuestra Inteligencia de claves de acceso, que decide sobre la disponibilidad y accesibilidad de las claves de acceso en función del entorno del cliente y las claves de acceso existentes. Admiten todas las funcionalidades de alternativas y recuperación discutidas. Las siguientes pantallas muestran nuestra lógica de cancelación y reintento:

Primera cancelación de clave de acceso

Segunda cancelación de clave de acceso

Al centrarnos tanto en la adopción como en el uso de las claves de acceso, te ayudamos a lograr un equilibrio entre la seguridad y la experiencia del usuario, asegurando que los usuarios continúen interactuando con las claves de acceso sin fricciones.

7. Conclusión#

En esta guía, hemos explorado las diversas estrategias de alternativas y recuperación tras la integración de claves de acceso en un sistema de autenticación. Las preguntas clave planteadas en la introducción se abordaron a lo largo del texto:

  • ¿Qué escenarios de alternativa existen? Pueden ocurrir varios escenarios de alternativa, como la falta de soporte para claves de acceso o que las claves de acceso no estén accesibles en un dispositivo en particular. Para mantener la seguridad y proporcionar una experiencia de usuario fluida, deben estar disponibles opciones de alternativas como el OTP por correo electrónico o SMS cuando el inicio de sesión con clave de acceso no es posible.
  • ¿Cómo se debe manejar la recuperación? Los procesos de recuperación deben estar diseñados para coincidir con el nivel de seguridad del sistema de autenticación. En los sistemas SFA, el OTP por correo electrónico o SMS puede ser suficiente, mientras que en los sistemas MFA, se deben utilizar factores alternativos para recuperar el acceso y crear una nueva clave de acceso. En entornos altamente regulados o sensibles, los métodos de recuperación inteligente como la identificación mediante selfie con pruebas de vida brindan seguridad adicional.

Siguiendo las mejores prácticas descritas en esta guía, los gestores de producto y desarrolladores pueden diseñar sistemas robustos de autenticación basados en claves de acceso que proporcionen a los usuarios una experiencia de inicio de sesión segura y fluida. La seguridad no tiene que producirse a expensas de la experiencia del usuario; ambas se pueden lograr con un diseño y planificación cuidadosos.

Corbado

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys

Preguntas frecuentes#

¿Cómo maneja el enfoque de identificador primero el inicio de sesión con clave de acceso cuando esta no está accesible en el dispositivo actual?#

Cuando es probable que una clave de acceso sea inaccesible (por ejemplo, una clave de acceso de macOS a la que se accede desde un dispositivo Windows), el sistema omite automáticamente la solicitud de la clave de acceso y presenta opciones alternativas como contraseña u OTP. Esto evita callejones sin salida confusos al activar el inicio de sesión con clave de acceso solo cuando es probable que tenga éxito, siguiendo la estrategia de 'no me hagas pensar'.

¿Qué debería ocurrir cuando un usuario cancela una ceremonia de autenticación con clave de acceso a la mitad del proceso?#

La primera cancelación debe tratarse como un evento normal, con una pantalla serena que anime al usuario a volver a intentarlo, ya que muchos usuarios cancelan simplemente porque no están familiarizados con la pantalla de autenticación. Si ocurre una segunda cancelación, el sistema debe mostrar opciones de autenticación alternativas, ya que esto puede indicar un problema real con el autenticador de plataforma o la disponibilidad de la clave de acceso.

¿Qué opciones de recuperación existen para los sistemas MFA cuando un usuario pierde el acceso a su clave de acceso?#

En los sistemas MFA, los usuarios pueden recuperarlo autenticándose con dos factores alternativos, como una contraseña más un OTP por SMS, o utilizando una clave de acceso desde otro dispositivo de confianza para luego crear una nueva. En el caso de industrias reguladas donde los métodos de recuperación tradicionales no están disponibles, los métodos inteligentes, como la identificación con un selfie y prueba de vida, proporcionan una vía de recuperación adicional y segura.

¿Por qué el enfoque manual del botón "Iniciar sesión con clave de acceso" resulta en una menor adopción en comparación con el enfoque de identificador primero?#

El enfoque manual deposita toda la responsabilidad en los usuarios para que recuerden y seleccionen la opción de clave de acceso por sí mismos, lo que generalmente resulta en tasas de inicio de sesión con clave de acceso mucho más bajas. Los usuarios también pueden encontrarse con mensajes de error poco claros cuando las claves de acceso no se encuentran en el autenticador de la plataforma, lo que genera frustración y el abandono de los intentos de inicio de sesión.

Ve qué está pasando realmente en tu despliegue de passkeys.

Explorar la Console

Compartir este artículo

LinkedInTwitterFacebook

Artículos relacionados

How to Transition Users Seamlessly to Passkeys

How to Transition Users Seamlessly to Passkeys

Robert - 12 de abril de 2023

The High-Level Architecture of an Integrated Passkey Flow

The High-Level Architecture of an Integrated Passkey Flow

Janina - 21 de diciembre de 2022

Passkey Bible for Product Managers

Passkey Bible for Product Managers

Robert - 22 de mayo de 2023

Will Passkeys Kill Password Managers?

Will Passkeys Kill Password Managers?

Niclas - 1 de junio de 2023

Why Passkey Implementation is 100x harder than you think

Why Passkey Implementation is 100x harder than you think

Vincent Delitz - 27 de abril de 2024

Tabla de contenidos