--- url: 'https://www.corbado.com/es/blog/claves-acceso-hardware-carrera-consumidor' title: 'Claves de acceso vinculadas a hardware: la verdadera carrera es la adopción' description: '¿Quién ganará la carrera del consumidor hacia las claves de acceso vinculadas a hardware? Comparamos llaves de seguridad, tarjetas inteligentes FIDO2 y billeteras cripto, y explicamos por qué la adopción supera al hardware por sí solo.' lang: 'es' author: 'Vincent Delitz' date: '2026-05-19T12:05:48.947Z' lastModified: '2026-05-19T12:28:55.360Z' keywords: 'claves de acceso vinculadas a hardware, llave de hardware vs clave de acceso, mejores claves de acceso por hardware, claves de acceso consumidor yubikey, claves de acceso tarjeta inteligente arculus, banca con tarjeta inteligente fido2, claves de acceso s' category: 'Passkeys Strategy' --- # Claves de acceso vinculadas a hardware: la verdadera carrera es la adopción ## Key Facts - Las claves de acceso vinculadas a hardware alcanzan el nivel NIST AAL3. Las claves de acceso sincronizadas tienen un límite de AAL2 porque la sincronización en la nube hace que las claves sean exportables. - iOS y Android tienen más del 99 por ciento de la cuota móvil, según StatCounter. Ambos ocultan los autenticadores de hardware a 1 o 3 clics de las credenciales sincronizadas. - Yubico ha enviado más de 30 millones de YubiKeys desde 2008. CompoSecure envía más de 100 millones de tarjetas de metal al año. IDEMIA produce más de 3 mil millones de elementos seguros anualmente. - La activación de claves de acceso vinculadas a hardware en la banca de consumo se sitúa por debajo del 5 por ciento meses después de su lanzamiento, según el FIDO Alliance Authentication Barometer de 2024. - Ledger ha enviado más de 7 millones de billeteras. Trezor más de 2 millones. La autocustodia cripto es la única categoría de consumidores donde los usuarios compran el hardware por su cuenta. - La carrera no la ganará el hardware más potente. La ganará quien combine el hardware con la ingeniería de adopción y la observabilidad de las claves de acceso. ## 1. Introducción: ¿quién ganará la carrera del consumidor? Las claves de acceso vinculadas a hardware son la forma más segura de iniciar sesión, pero casi nadie las usa en las aplicaciones de consumo. Los fabricantes de [llaves de seguridad](https://www.corbado.com/glossary/security-key) y de [tarjetas inteligentes](https://www.corbado.com/glossary/smart-card) han impulsado este factor de forma durante años. Aun así, el [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/) muestra que la activación de claves de acceso vinculadas a hardware en la [banca](https://www.corbado.com/passkeys-for-banking) de consumo sigue por debajo del 5 por ciento en 2025. La razón es simple. Apple y Google controlan más del 99 por ciento de la cuota de mercado móvil según [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide) y deciden qué tipo de clave de acceso ve primero el usuario. Por lo tanto, la carrera del consumidor no la ganará la empresa con la llave más fuerte, sino aquella que combine hardware con software, datos y distribución. ### 1.1 Terminología: claves de acceso vinculadas a hardware frente a sincronizadas Las claves de acceso vinculadas a hardware son credenciales [FIDO2](https://www.corbado.com/glossary/fido2) cuya clave privada permanece bloqueada dentro de un elemento físico seguro. La clave nunca sale del dispositivo. Las [claves de acceso sincronizadas](https://www.corbado.com/blog/device-bound-synced-passkeys) utilizan la misma criptografía [FIDO2](https://www.corbado.com/glossary/fido2) pero copian la clave en todos tus dispositivos a través de [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) o un gestor de terceros. La [especificación W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/) trata a ambas como el mismo tipo de credencial, pero con una política de almacenamiento diferente. La industria también llama a las claves de acceso vinculadas a hardware "[claves de acceso vinculadas al dispositivo](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)" o "credenciales WebAuthn vinculadas a hardware". Este artículo utiliza los tres términos como sinónimos. Un error común es pensar que cualquier clave de acceso respaldada por un elemento seguro en un teléfono o portátil está vinculada al hardware. En la práctica, el [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) y [Android StrongBox](https://source.android.com/docs/security/features/keystore) alojan claves de acceso que se sincronizan a través de [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) o [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager) por defecto, por lo que la clave privada se puede recuperar desde la nube. El único elemento seguro para el consumidor que todavía mantiene la clave estrictamente local hoy en día es el TPM de [Windows Hello](https://www.corbado.com/glossary/windows-hello), e incluso Microsoft se está moviendo hacia la sincronización dentro de Edge. Dado que [Windows Hello](https://www.corbado.com/glossary/windows-hello) no requiere la compra de hardware adicional y está integrado en el portátil, este artículo lo excluye de la carrera de hardware para consumidores y se centra en las llaves de seguridad dedicadas, las tarjetas inteligentes FIDO2 y las billeteras cripto. Esa única diferencia (si la clave puede salir del hardware) impulsa casi todas las propiedades posteriores, desde el nivel de garantía del [NIST](https://www.corbado.com/blog/nist-passkeys) hasta el flujo de recuperación. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) sitúa las claves de acceso vinculadas a hardware en [AAL3](https://www.corbado.com/blog/nist-passkeys), el nivel más alto, mientras que las claves de acceso sincronizadas tienen un límite en [AAL2](https://www.corbado.com/blog/nist-passkeys). Esta brecha de un solo paso es importante para los reguladores que exigen vinculación al factor de posesión, incluyendo [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI 2024 y APRA CPS 234. ### 1.2 Por qué las claves de acceso sincronizadas ganaron el lugar predeterminado Las claves de acceso sincronizadas tomaron el lugar predeterminado porque Apple y Google las enviaron primero y controlan la indicación. Apple añadió el soporte de claves de acceso de [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) en 2021, Google [Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers) le siguió en 2022, y ambos utilizaron WebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui) para mostrar credenciales sincronizadas justo dentro de la barra de autocompletado. Un [autenticador](https://www.corbado.com/glossary/authenticator) de hardware se encuentra de uno a tres clics más profundo en cada flujo predeterminado. El [FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/) informa que el 64 por ciento de los consumidores a nivel mundial han notado las claves de acceso y el 53 por ciento ha habilitado claves de acceso en al menos una cuenta. Casi todas esas inscripciones están sincronizadas. ### 1.3 Dónde se desarrolla realmente la carrera de los consumidores En este artículo, "consumidor" significa CIAM. Hablamos de clientes externos que inician sesión en un banco, un intercambio de criptomonedas, una [billetera](https://www.corbado.com/blog/digital-wallet-assurance) de identidad [gubernamental](https://www.corbado.com/passkeys-for-public-sector) o una plataforma de creadores. No hablamos del inicio de sesión de la fuerza laboral, donde las claves de acceso vinculadas a hardware ya dominan. La pregunta interesante es qué trayectos del consumidor se abren a continuación y qué actor llega primero allí. La carrera cubre dos factores de forma que los consumidores realmente tienen que adquirir y tres vías de distribución. - **Factores de forma**: llaves de seguridad USB o [NFC](https://www.corbado.com/blog/best-fido2-hardware-security-keys) y [tarjetas inteligentes](https://www.corbado.com/blog/best-fido2-smartcards) FIDO2 integradas en tarjetas de [pago](https://www.corbado.com/passkeys-for-payment). Las [billeteras](https://www.corbado.com/blog/digital-wallet-assurance) de hardware cripto se sitúan junto a ambas como una tercera categoría de nicho. - **Vías de distribución**: ventas directas a los consumidores, dispositivos enviados por los bancos o [gobiernos](https://www.corbado.com/passkeys-for-public-sector) a sus usuarios y billeteras cripto compradas por usuarios de autocustodia. ### 1.4 Tesis de este artículo Un buen hardware es necesario, pero ya no es suficiente. El proveedor con el chip más fuerte no ganará automáticamente la adopción del consumidor. Los verdaderos cuellos de botella se sitúan por encima del silicio: indicaciones en el navegador, fragmentación de NFC en los teléfonos [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), recuperación difícil tras la pérdida del dispositivo y el coste directo para el consumidor. El ganador será la empresa que combine el hardware con la ingeniería de adopción y la [observabilidad de las claves de acceso](https://www.corbado.com/blog/authentication-observability). El resto de este artículo repasa la historia, los actores, los bloqueadores, los casos de uso del mundo real y un manual práctico para cualquier empresa que quiera salir del entorno empresarial y entrar en el de consumo. ## 2. ¿Cómo llegaron hasta aquí los autenticadores de hardware? Las credenciales vinculadas a hardware no son nada nuevo. Son unos 30 años más antiguas que FIDO. Las tarjetas inteligentes PKI llegaron al [gobierno](https://www.corbado.com/passkeys-for-public-sector) en los años 90, codificadas por el [estándar NIST FIPS 201 PIV](https://csrc.nist.gov/publications/detail/fips/201/3/final). Los tokens RSA SecurID les siguieron en las VPN empresariales. Las tarjetas con chip y PIN EMV llegaron a los [pagos](https://www.corbado.com/passkeys-for-payment) en 2002. [EMVCo](https://www.emvco.com/about/) informa de que hoy en día circulan más de 12.000 millones de tarjetas EMV, lo que convierte al chip de una tarjeta de [pago](https://www.corbado.com/passkeys-for-payment) en la plataforma criptográfica de hardware desplegada más grande de la historia. La misma cadena de suministro de elementos seguros, dirigida por IDEMIA, Thales e Infineon con más de 3.000 millones de chips al año, produce ahora el silicio de las tarjetas inteligentes FIDO2. Los tres cambios de la industria que introdujeron los [autenticadores](https://www.corbado.com/glossary/authenticator) de hardware en FIDO2 se produjeron en solo cuatro años, entre 2014 y 2018. ### 2.1 De U2F a FIDO2 (2014 a 2018) La [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) lanzó FIDO U2F en 2014, y varios proveedores de [llaves de seguridad](https://www.corbado.com/glossary/security-key) enviaron los primeros tokens de hardware. Google distribuyó llaves U2F a más de 89.000 empleados en 2017 y reportó cero apropiaciones de cuentas relacionadas con el [phishing](https://www.corbado.com/glossary/phishing) al año siguiente, según [Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/). Sin embargo, U2F solo era un segundo factor. Los usuarios seguían teniendo una contraseña y el toque del hardware era solo un paso adicional. El factor de forma se mantuvo a nivel empresarial: una pequeña llave USB para el personal de Google, las agencias [gubernamentales](https://www.corbado.com/passkeys-for-public-sector) y un puñado de intercambios de criptomonedas. [FIDO2](https://www.corbado.com/glossary/fido2) y [WebAuthn](https://www.w3.org/TR/webauthn-3/) cambiaron eso en 2018 al convertir U2F en un marco de trabajo completamente libre de contraseñas. El mismo elemento seguro que solía respaldar un segundo factor podía ahora respaldar la credencial de inicio de sesión principal. ### 2.2 Cambio de marca a Passkey (2022) En mayo de 2022, Apple, Google, Microsoft y la [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) lanzaron conjuntamente la marca "passkey" (clave de acceso) en la [conferencia FIDO Alliance Authenticate](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/). La idea era usar una palabra única y sencilla que los consumidores pudieran entender, tanto para las credenciales FIDO2 sincronizadas como para las vinculadas a dispositivos. Apple implementó la compatibilidad con claves de acceso en [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) en [iOS](https://www.corbado.com/blog/webauthn-errors) 16 en septiembre de 2022, según [las notas de la versión para desarrolladores de Apple](https://developer.apple.com/passkeys/). Google le siguió en octubre de 2022 en [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9 y versiones superiores, según su [blog de Identidad](https://blog.google/technology/safety-security/passkeys-google-account/). [Microsoft](https://www.microsoft.com/) fue el más rezagado de los tres. [Windows Hello](https://www.corbado.com/glossary/windows-hello) había estado enviando credenciales vinculadas al dispositivo y al TPM desde 2015, según la [documentación de Windows Hello](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/), pero las cuentas de consumidores no pudieron [sincronizar claves de acceso entre dispositivos](https://www.corbado.com/blog/passkeys-sharing) durante años. Microsoft solo añadió compatibilidad con las claves de acceso para las cuentas de consumidores en mayo de 2024, y las claves de acceso sincronizadas en el [Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys) llegaron aún más tarde, en 2025. Así que, mientras Apple y Google llevaban dos o tres años de ventaja en las claves de acceso para consumidores sincronizadas, Microsoft todavía está poniéndose al día con la sincronización entre dispositivos dentro de su propio navegador. Los proveedores de hardware esperaban que este gran cambio de marca por parte de los cuatro grandes actores aumentara la demanda de llaves de seguridad y tarjetas inteligentes. No fue así. Las claves de acceso sincronizadas absorbieron casi todas las nuevas inscripciones de consumidores, según el [Barómetro de la FIDO Alliance](https://fidoalliance.org/content/research/). ### 2.3 División en 2 vías En un plazo de 18 meses, el ecosistema se dividió en dos vías claras. La vía del consumidor estaba dominada por las claves de acceso sincronizadas, donde Apple y Google crearon el flujo predeterminado en torno a sus propios gestores. La vía empresarial estaba dominada por las claves de acceso vinculadas al hardware, en la que los departamentos de TI compran llaves de seguridad o [tarjetas inteligentes FIDO2](https://www.corbado.com/blog/best-fido2-smartcards) para la identidad de la fuerza laboral. La [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) valora ese mercado empresarial en más de 1.000 millones de dólares en gastos anuales de [autenticadores](https://www.corbado.com/glossary/authenticator) de hardware. Los proveedores de hardware nunca se rindieron con los consumidores. La verdadera pregunta es si todavía tienen un camino creíble o si la capa del sistema operativo los ha bloqueado para siempre. ## 3. ¿Quién compite en la carrera del consumidor? Dos factores de forma compiten por el espacio. Las llaves de seguridad lideran las ventas directas a entusiastas y empresas. Las tarjetas inteligentes tienen el mayor canal de distribución a través de los bancos: se emiten más de 1.500 millones de tarjetas EMV cada año según las [estadísticas de EMVCo](https://www.emvco.com/about/). Los proveedores competidores se dividen en dos bandos. Los fabricantes de [llaves de seguridad](https://www.corbado.com/glossary/security-key) venden llaves USB o NFC directamente a los usuarios finales y a las empresas. Los fabricantes de [tarjetas inteligentes](https://www.corbado.com/glossary/smart-card) y elementos seguros construyen los chips y las tarjetas que emiten los bancos. Cada bando se enfrenta a un problema de coste unitario diferente, y ninguno ha resuelto por sí solo la brecha de distribución para el consumidor. ### 3.1 ¿Quién lidera el factor de forma de las llaves de seguridad? Varios fabricantes de llaves de seguridad compiten en este segmento. Las llaves de seguridad modernas suelen admitir FIDO2, FIDO U2F, PIV de tarjeta inteligente, OpenPGP y OTP en conectores USB-A, USB-C, NFC y Lightning, y algunos añaden un sensor de huellas dactilares en el dispositivo. La tabla a continuación ofrece una descripción general de los proveedores más relevantes en el mercado empresarial y de consumo. | **Proveedor** | **Sede** | **Productos destacados** | **Conectores** | **Ángulo destacado** | | ----------------------------------------------------- | ------------ | ------------------------------------ | ---------------------------- | -------------------------------------------------------------- | | [Yubico](https://www.yubico.com/) | Suecia / EE. UU. | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | Mayor marca directa al consumidor, amplio soporte de protocolos| | [Feitian](https://www.ftsafe.com/) | China | ePass, BioPass, MultiPass | USB-A, USB-C, NFC, BLE | Mayor competidor por volumen global, OEM de Google Titan | | [Token2](https://www.token2.com/) | Suiza | T2F2, Bio3 | USB-A, USB-C, NFC | Variantes asequibles, biométricas y con PIN+ | | [Google](https://cloud.google.com/titan-security-key) | EE. UU. | Titan Security Key | USB-C, NFC | Ancla el Google Advanced Protection, fabricado por Feitian | | [OneSpan](https://www.onespan.com/) | EE. UU. | DIGIPASS FX1 BIO | USB-A, USB-C, NFC, BLE | Enfocado en banca, sensor de huellas dactilares opcional | | [Identiv](https://www.identiv.com/) | EE. UU. | uTrust FIDO2 | USB-A, USB-C, NFC | Herencia en tarjetas inteligentes empresariales y de gobierno | | [Kensington](https://www.kensington.com/) | EE. UU. | VeriMark Guard | USB-A, USB-C | Lectores biométricos, distribución minorista general | Un solo dispositivo cuesta de 40 a 80 USD según las páginas de precios de los fabricantes, lo que es manejable en un entorno empresarial, pero frena la adopción a escala del consumidor. Los problemas de NFC, recuperación y distribución que conllevan este precio se tratan en detalle en la sección 4. ### 3.2 ¿Quién lidera el factor de forma de las tarjetas inteligentes? Los fabricantes de [tarjetas inteligentes](https://www.corbado.com/glossary/smart-card) compiten en el segmento FIDO2 emitido por los bancos. El panorama de los proveedores se divide en fabricantes de tarjetas y proveedores de chips. Los fabricantes de tarjetas como [CompoSecure](https://www.compositionusa.com/) (que envía su producto FIDO2 [Arculus](https://www.arculus.co/)), [IDEMIA](https://www.idemia.com/), NagraID, [Feitian](https://www.ftsafe.com/) y TrustSEC fabrican las tarjetas FIDO2 ellos mismos. Los proveedores de chips, los tres gigantes de los elementos seguros [IDEMIA](https://www.idemia.com/), [Thales](https://www.thalesgroup.com/) e [Infineon](https://www.infineon.com/), fabrican los elementos seguros dentro de la mayoría de las tarjetas. [IDEX Biometrics](https://www.idexbiometrics.com/) suministra el sensor de huellas dactilares integrado en la tarjeta que convierte una tarjeta inteligente en una [tarjeta inteligente biométrica](https://www.corbado.com/blog/best-fido2-smartcards). La distribución hacia los [emisores](https://www.corbado.com/glossary/issuer) de tarjetas ya está resuelta a través de la cadena de suministro de tarjetas de [pago](https://www.corbado.com/passkeys-for-payment) existente. El reto es convencer a los [emisores](https://www.corbado.com/glossary/issuer) de que absorban la prima de coste unitario y garantizar que el toque NFC funcione de forma fiable en todos los dispositivos. Una tarjeta inteligente FIDO2 añade de 2 a 5 USD al coste base de 5 a 15 USD de un cuerpo de tarjeta metálico o biométrico. Según [Juniper Research 2024](https://www.juniperresearch.com/), las tarjetas de pago biométricas superarán los 140 millones de unidades enviadas a nivel mundial para 2027. ### 3.3 ¿Qué pasa con las alternativas híbridas y adyacentes? Algunos otros productos compiten por el mismo caso de uso sin encajar claramente en ninguno de los factores de forma. [Ledger](https://www.ledger.com/) ha enviado más de 7 millones de [billeteras](https://www.corbado.com/blog/digital-wallet-assurance) Nano y [Trezor](https://trezor.io/) más de 2 millones. Ambas exponen FIDO2 como una función secundaria además del almacenamiento criptográfico. Los elementos seguros del teléfono, como el [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) y [Android StrongBox](https://source.android.com/docs/security/features/keystore), técnicamente protegen la clave privada con hardware, pero Apple y Google sincronizan las claves de acceso a través de [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) y Google Password Manager por defecto, por lo que el comportamiento visible para el usuario es una [clave de acceso sincronizada](https://www.corbado.com/blog/device-bound-synced-passkeys), no una vinculada al hardware. Los [autenticadores](https://www.corbado.com/glossary/authenticator) portátiles, como [Token Ring](https://www.tokenring.com/) y los anillos de Mojo Vision, se han mantenido por debajo de las 100.000 unidades enviadas, según declaraciones públicas. En otras palabras, la carrera de los consumidores es en realidad un concurso a dos bandas entre las llaves de seguridad y las tarjetas inteligentes, con las [billeteras](https://www.corbado.com/blog/digital-wallet-assurance) cripto como una tercera vertical y los dispositivos portátiles como una nota a pie de página de menos del 1 por ciento. ## 4. ¿Qué bloquea la adopción de los consumidores? Cuatro obstáculos estructurales bloquean la [adopción de claves de acceso](https://www.corbado.com/blog/passkey-adoption-business-case) vinculadas a hardware en los mercados de consumo: la jerarquía de avisos del sistema operativo y el navegador, la fragmentación del NFC en [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), la difícil recuperación tras la pérdida del dispositivo y el coste directo para el consumidor. Ninguno de estos problemas puede ser solucionado por un proveedor de hardware en solitario. ### 4.1 Jerarquía de sistemas operativos y navegadores [AuthenticationServices](https://developer.apple.com/documentation/authenticationservices) de Apple está configurado de forma predeterminada en iCloud Keychain. Incluso cuando una [parte confiante (relying party)](https://www.corbado.com/glossary/relying-party) establece `authenticatorAttachment` en `cross-platform`, el usuario todavía tiene que descartar primero la ventana de la plataforma. [Credential Manager](https://developer.android.com/identity/sign-in/credential-manager) de Google hace lo mismo en Android con [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). [Safari y Chrome juntos tienen alrededor del 84 por ciento de la cuota de mercado de navegadores móviles](https://gs.statcounter.com/browser-market-share/mobile/worldwide) según StatCounter, por lo que dos proveedores establecen efectivamente la experiencia de usuario (UX) de las indicaciones para toda la web de los consumidores. Los navegadores también invierten poco en la UX de las llaves de hardware porque más del 99 por ciento de los consumidores no tienen una llave de seguridad dedicada, basándonos en los datos agregados de envíos de llaves de seguridad en comparación con la cuota móvil global en [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide). Eso crea un bucle de retroalimentación. Una mala UX conduce a una baja adopción. Una baja adopción significa que no hay inversión. La falta de inversión lleva a una mala UX. ### 4.2 Fragmentación de NFC en Android El comportamiento del NFC en Android varía mucho entre fabricantes. [Samsung](https://www.corbado.com/blog/samsung-passkeys), [Xiaomi](https://www.mi.com/global/), [Oppo](https://www.oppo.com/) y [Google Pixel](https://store.google.com/category/phones) ofrecen diferentes arquitecturas NFC sobre el [código abierto de Android](https://source.android.com/). Algunas versiones de Android 14 incluso rompieron la compatibilidad con los [proveedores de claves de acceso](https://www.corbado.com/blog/passkey-providers) de terceros durante varios meses en 2024, según el [Rastreador de Problemas de Android](https://issuetracker.google.com/). Una tarjeta inteligente FIDO2 que se toca bien en un Pixel 8 puede fallar en un Galaxy S23 Ultra y comportarse de manera diferente en un Xiaomi 14. Y ningún programa central de pruebas del [Google Android Compatibility Program](https://source.android.com/docs/compatibility/overview) detecta estas regresiones antes de que lleguen a los consumidores. ### 4.3 Recuperación y pérdida Las claves de acceso sincronizadas se recuperan automáticamente cuando un usuario inicia sesión en un nuevo dispositivo. Las credenciales de hardware no. Un usuario que pierde una llave de seguridad o rompe una tarjeta inteligente tiene que pasar por la recuperación de la cuenta o, a menudo, métodos menos seguros. El [Verizon 2024 Data Breach Investigations Report](https://www.verizon.com/business/resources/reports/dbir/) concluye que el 68 por ciento de las infracciones involucran un elemento humano no malicioso, incluido el abuso de la recuperación de credenciales. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) también advierte explícitamente que la recuperación de cuentas es una vía común para el compromiso de la autenticación. Así que la vinculación del hardware es tan fuerte como el canal de recuperación, lo que significa que la [parte confiante](https://www.corbado.com/glossary/relying-party) carga con tanta responsabilidad de seguridad como el proveedor del silicio. ### 4.4 Distribución y coste Una llave de seguridad para el consumidor [se vende](https://www.corbado.com/passkeys-for-e-commerce) al por menor entre 40 y 80 USD, según las páginas de precios de los fabricantes. Un consumidor que no crea que su cuenta está en riesgo, simplemente no pagará. Los bancos y los intercambios de criptomonedas que asumen el coste pueden regalar los dispositivos, pero entonces se hacen cargo del coste de soporte. Las tarjetas inteligentes incluidas en una tarjeta de crédito suman entre 2 y 5 USD sobre el coste base de 5 a 15 USD por tarjeta, según las divulgaciones públicas de los proveedores de tarjetas inteligentes, incluidos los [materiales para inversores de CompoSecure](https://ir.compositionusa.com/). Estos cuatro obstáculos explican por qué las claves de acceso sincronizadas representan más del 95 por ciento de la inscripción de consumidores en [servicios financieros](https://www.corbado.com/passkeys-for-banking) según el FIDO Alliance Barometer, incluso cuando el hardware se ofrece como opción. ## 5. ¿Dónde ganan realmente las claves de acceso vinculadas a hardware? Tres categorías de consumidores dan a las personas una verdadera razón para llevar consigo un hardware dedicado: la [banca](https://www.corbado.com/passkeys-for-banking) y los [pagos](https://www.corbado.com/passkeys-for-payment), la autocustodia cripto y las cuentas de alto valor. Cada una de ellas combina un factor de motivación fuerte, una ruta de distribución creíble y unas consecuencias lo bastante graves como para justificar la fricción. Fuera de estos tres segmentos, las claves de acceso sincronizadas suelen ganar por comodidad. ### 5.1 Banca y pagos Los bancos son el canal de distribución más natural. Ya envían tarjetas físicas a los clientes. También operan bajo [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), la [Opinión de la EBA sobre la SCA](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money), el [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security) del RBI, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity) y APRA CPS 234. Muchas de esas normas requieren un factor de posesión criptográfica que las claves de acceso sincronizadas no satisfacen de manera clara. La tesis de la "tarjeta inteligente como tarjeta de crédito" funciona porque la tarjeta ya existe. Un banco que emite una tarjeta metálica paga de 5 a 15 USD por tarjeta, según el [informe 10-K de CompoSecure](https://ir.compositionusa.com/sec-filings). Agregar FIDO2 eleva ese precio de 7 a 20 USD, según el análisis de costes de las tarjetas biométricas de [Juniper Research](https://www.juniperresearch.com/). Esa única tarjeta maneja entonces el chip y el PIN, el pago sin contacto por NFC, las retiradas en cajeros automáticos, el inicio de sesión en la [banca](https://www.corbado.com/passkeys-for-banking) en línea y la [confirmación de transacciones 3DS](https://www.corbado.com/blog/3ds-webauthn) de alto valor. Al consumidor nunca se le pregunta "¿quieres un [autenticador](https://www.corbado.com/glossary/authenticator) de hardware?". La tarjeta simplemente llega por correo. ### 5.2 Criptomonedas y autocustodia Los usuarios de criptomonedas ya aceptan la idea de llevar un hardware con ellos. [Ledger](https://www.ledger.com/) ha enviado más de 7 millones de dispositivos Nano y ha informado de más de 4.000 millones de dólares en ingresos acumulados por hardware, según su [página corporativa](https://www.ledger.com/about). [Trezor](https://trezor.io/) ha enviado más de 2 millones de unidades. Las llaves de seguridad también tienen una larga trayectoria en la autenticación multifactor (MFA) de los intercambios de criptomonedas, con [Coinbase](https://www.corbado.com/blog/coinbase-passkey), [Kraken](https://www.kraken.com/security) y [Binance](https://www.corbado.com/blog/binance-passkeys) admitiendo las llaves FIDO2. Añadir FIDO2 a una [billetera](https://www.corbado.com/blog/digital-wallet-assurance) de hardware supone un trabajo de ingeniería gradual. Sin duda, vale la pena llevar encima un dispositivo de 100 USD que proteja una cartera de 50.000 USD. Las criptomonedas siguen siendo la única categoría de consumo donde los usuarios compran hardware por iniciativa propia. ### 5.3 Cuentas de consumidor de alto valor Un grupo más pequeño de consumidores protege aquellas cuentas cuya pérdida sería irreversible. Los ejemplos habituales son el correo electrónico principal, las [billeteras](https://www.corbado.com/blog/digital-wallet-assurance) de identidad gubernamentales, las cuentas de creadores en [YouTube](https://www.youtube.com/) o [Twitch](https://www.twitch.tv/) y las credenciales periodísticas. El programa [Advanced Protection Program](https://landing.google.com/advancedprotection/) de Google describe a este grupo como "usuarios de alto riesgo, como periodistas, defensores de los derechos humanos y personal de campañas políticas". OpenAI siguió el mismo camino en abril de 2026 con su programa de [Seguridad Avanzada de Cuentas](https://openai.com/index/advanced-account-security/) para ChatGPT, asociándose con [Yubico](https://www.yubico.com/openai-and-yubico/) para crear un paquete de dos dispositivos de marca compartida con [YubiKey](https://www.corbado.com/glossary/yubikey) C NFC y [YubiKey](https://www.corbado.com/glossary/yubikey) C Nano por unos 68 USD. El programa deshabilita por completo las contraseñas y el inicio de sesión por correo electrónico o SMS, y exige el uso de claves de acceso o llaves de seguridad físicas, dirigido a periodistas, funcionarios electos, disidentes y otros usuarios de ChatGPT de alto riesgo. Aún es pronto para saber cuántos usuarios pagarán 68 USD por esa capa de seguridad adicional, pero es la prueba más clara hasta el momento de si las cuentas de consumidores de alto valor pueden impulsar la adopción voluntaria de hardware más allá de los sectores de la criptomoneda y la banca. El [Índice de Preparación en Ciberseguridad de 2024](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html) de Cisco también desvela que solo el 3 por ciento de las organizaciones tienen una postura de seguridad madura. El [informe de ciberseguridad de 2024 de la GAO](https://www.gao.gov/cybersecurity) señala el secuestro de cuentas como uno de los cinco principales riesgos de ciberseguridad a nivel federal, lo que amplía el grupo de consumidores que necesitan esta protección mucho más allá del nicho inicial del periodismo. ## 6. Por qué el hardware por sí solo no ganará Tener el mejor hardware no garantiza una cuota del mercado de consumo. Existen cinco brechas entre un proveedor de hardware y un producto de consumo de extremo a extremo: distribución, incorporación (onboarding), recuperación, flujos multidispositivo y medición. Cada brecha necesita habilidades que van más allá del diseño del silicio. 1. **Distribución**: las empresas de hardware no tienen una relación directa y real con los consumidores. En teoría, cualquiera puede pedir una [YubiKey](https://www.corbado.com/glossary/yubikey) en yubico.com, pero en la práctica los compradores son profesionales de la seguridad, administradores de TI y un pequeño grupo de entusiastas. Ese canal no escala hasta los consumidores convencionales, que nunca han oído hablar de la marca y no buscarán un autenticador de 50 USD por su cuenta. Los bancos, las empresas de telecomunicaciones, los minoristas y los proveedores de sistemas operativos son quienes poseen la relación con el consumidor, por lo que un proveedor de hardware a nivel de consumo necesita un socio o un acuerdo de marca blanca. 2. **Incorporación**: cada paso que el consumidor tiene que dar para configurar una clave de acceso te cuesta usuarios. Las implementaciones bancarias en el mundo real informan de tasas de abandono del 30 al 60 por ciento a lo largo del embudo de registro, en línea con los [puntos de referencia de abandono en las compras del Baymard Institute](https://baymard.com/lists/cart-abandonment-rate). 3. **Recuperación**: un producto de consumo sin un buen método de recuperación es defectuoso. La recuperación requiere señales a nivel de cuenta, [verificación de identidad](https://www.corbado.com/blog/digital-identity-guide) y puntuación de riesgo, y todos estos elementos residen dentro de la [parte confiante](https://www.corbado.com/glossary/relying-party). 4. **Recorridos entre dispositivos**: un mismo usuario inicia sesión en su teléfono, su portátil, su Smart TV y su coche. La credencial vinculada al hardware existe solo en un dispositivo. Por lo tanto, se requiere un enrutamiento inteligente entre el hardware y las credenciales sincronizadas para evitar callejones sin salida. 5. **Medición**: los proveedores de hardware suelen enviar sus productos y olvidarse de ellos. Cuentan las unidades vendidas y las licencias activadas, pero no pueden ver que falla la ceremonia de WebAuthn ni que el usuario abandona el proceso antes de tocar. Si no hay medición, no se puede cerrar ninguna de las otras cuatro brechas. Los proveedores que resuelven estas cinco brechas dentro de su propio producto se convierten en plataformas de autenticación integrales. Los proveedores que no lo hacen, se quedan en el negocio de los componentes y venden a la plataforma de un tercero. ## 7. ¿Cuál es el verdadero impulsor? La ingeniería de adopción La ingeniería de adopción implica emparejar las claves de acceso vinculadas al hardware con un software que impulse las inscripciones, evalúe cada ceremonia y reconduzca a los usuarios cuando hay fallos. Ninguna de estas tareas tiene que ver con el hardware. Las cuatro son necesarias para ganar en el mercado de consumo, y solo funcionan como un bucle cerrado. El siguiente diagrama muestra cómo las cuatro actividades se retroalimentan entre sí. El [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/) señala que el 53 por ciento de los consumidores ha habilitado las claves de acceso en al menos una de sus cuentas, pero la activación del hardware en actividades reguladas sigue estando por debajo del 5 por ciento. Es una diferencia de 10 veces, y la ingeniería de adopción es lo que cierra la brecha. El [grupo de trabajo de W3C WebAuthn](https://www.w3.org/Webauthn/) trata esta diferencia como un problema de implementación, no de especificación. ### 7.1 Telemetría del embudo (Funnel-Level Telemetry) A nivel de embudo, la [observabilidad de las claves de acceso](https://www.corbado.com/blog/authentication-observability) mide todos y cada uno de los pasos, desde el "usuario hace clic en iniciar sesión" hasta la "emisión de token de sesión". Sin dicha instrumentación, el equipo no puede diferenciar entre "el usuario no vio la opción de hardware", "el usuario la vio, intentó tocar y falló la conexión NFC" o "el usuario completó el proceso pero la parte confiante rechazó el resultado". La telemetría del embudo ofrece las métricas que realmente importan: tasa de activación de la clave de acceso de hardware, tasa de éxito del hardware por dispositivo, tiempo de finalización y el abandono de los usuarios. La [especificación W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/) define 14 códigos de error distintos que puede generar la ceremonia, pero en la mayoría de las implementaciones de producción se registran menos de cinco de ellos, según [charlas de implementación en FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/). ### 7.2 Diagnóstico a nivel de sesión Cuando falla una sola autenticación, los equipos de soporte necesitan ver exactamente qué pasó. Los diagnósticos a nivel de sesión capturan el transporte (NFC, USB o BLE), el código de error de CTAP, el navegador, la versión del SO, el fabricante del dispositivo y los tiempos de cada paso del proceso. La [especificación FIDO CTAP 2.1](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html) define más de 20 códigos de error que pueden generar los [autenticadores](https://www.corbado.com/glossary/authenticator), y se asocian a acciones específicas de recuperación del usuario en la [especificación W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/). Sin esta telemetría, el agente de soporte solo ve "el inicio de sesión falló" y es posible que inicie una recuperación de cuenta. ### 7.3 Enrutamiento inteligente de dispositivos Ciertas combinaciones de dispositivos y sistemas operativos siempre fallan. Los datos del mundo real de implementaciones a gran escala muestran unas tasas de abandono de entre el 40 y el 90 por ciento en pares estropeados individuales, con los patrones comunes documentados en el [Rastreador de Problemas de Android](https://issuetracker.google.com/) y en las [charlas de FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/). La lógica de enrutamiento que oculta la opción del hardware en combinaciones con problemas conocidos y recurre a la siguiente mejor ruta disponible evita que los usuarios sufran un error. Pero estas decisiones de enrutamiento solo se pueden tomar una vez que los datos de observabilidad hayan identificado los pares con fallos entre los casi 24.000 modelos distintos de dispositivos Android rastreados por la [base de datos de dispositivos de OpenSignal](https://www.opensignal.com/). ### 7.4 Iteración continua con los emisores Los bancos y las empresas de tecnología financiera suelen realizar pruebas piloto y desarrollos completos en ciclos de 6 a 12 meses, según [los estudios de Gartner sobre programas de identidad](https://www.gartner.com/en/information-technology/insights/identity-and-access-management). La plataforma ganadora convierte los datos de observabilidad en notas de la versión semanales, correcciones de errores y tasas de éxito en constante mejora. Una implementación estática con revisiones trimestrales se queda corta ante la iteración continua. ## 8. Entonces, ¿quién gana realmente la carrera del consumidor? Ningún proveedor exclusivo de hardware va a ganar la carrera en el mercado de consumo. Tres tipos de empresas compiten por el puesto de plataforma de autenticación para consumidores: los bancos y los [emisores](https://www.corbado.com/glossary/issuer), los proveedores de hardware que desarrollan capas de software, y las plataformas de sistemas operativos. Los bancos son líderes en la actualidad porque controlan la distribución física y tienen cobertura reglamentaria según [PSD2](https://www.corbado.com/blog/psd2-passkeys) y [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity). Las plataformas de sistemas operativos ya han incorporado su silicio en todos los teléfonos y portátiles, pero mientras [Apple](https://www.apple.com/) y [Google](https://www.google.com/) sincronicen las claves de acceso de manera predeterminada, son competidores en las claves de acceso sincronizadas, no en las claves de acceso vinculadas al hardware. ### 8.1 Por qué los bancos lideran hoy en día Los bancos lideran actualmente el mercado de las claves de acceso de hardware para los consumidores. Tienen cuatro ventajas a su favor: ya emiten tarjetas físicas; cuentan con el respaldo regulatorio de [PSD2](https://www.corbado.com/blog/psd2-passkeys), PSD3, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI y [APRA CPS 234](https://www.apra.gov.au/information-security); tienen la confianza del consumidor; y pueden permitirse asumir el coste adicional de 2 a 5 USD por unidad en toda su cartera, según los datos de los fabricantes de tarjetas inteligentes. Los bancos que combinan estas cuatro ventajas con la ingeniería de adopción consiguen una retención plurianual de los clientes que utilizan las claves de acceso. Los bancos que compran un producto de hardware y creen que el trabajo ha terminado acaban teniendo las mismas tasas de activación de un solo dígito que el sector lleva registrando desde hace dos años. ### 8.2 ¿Qué pasa con los proveedores de hardware que desarrollan software? El segundo arquetipo lo forman los proveedores de hardware que también crean una capa de software. Varios fabricantes de tarjetas inteligentes y de llaves de seguridad ya han iniciado esta transición, pero vale la pena detallar con exactitud qué tipo de software ofrecen. La mayoría de estos productos son de plataformas IAM, gestión de flotas o de [autenticación adaptativa](https://www.corbado.com/blog/continuous-passive-authentication), y no tanto de la [observabilidad de claves de acceso](https://www.corbado.com/blog/authentication-observability) a nivel de embudo, que es la que hace falta para resolver la falta de adopción de los consumidores. - [Yubico](https://www.yubico.com/) ha creado la plataforma más completa de entre los proveedores de llaves de seguridad. Su suscripción [YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/) combina el pago de licencias por usuario, un portal para el cliente que le permite gestionar las flotas y los envíos, el registro previo en FIDO (FIDO Pre-reg), una app de registro, el uso del SDK y la distribución global, todo ello integrado en Okta, Microsoft Entra ID y Ping Identity. El producto, sin embargo, funciona como una capa de distribución y del ciclo de vida orientada a empresas, y no proporciona analíticas de adopción entre los consumidores. - [Thales](https://cpl.thalesgroup.com/access-management) combina su token de hardware SafeNet eToken y sus tarjetas inteligentes con [SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access), una plataforma basada en la nube de Identidad como Servicio con [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) y [autenticación adaptativa](https://www.corbado.com/blog/continuous-passive-authentication). - [OneSpan](https://www.onespan.com/) agrupa su hardware DIGIPASS con la plataforma de [Autenticación en la Nube de OneSpan](https://www.onespan.com/products/cloud-authentication) y con la [Autenticación Adaptativa](https://www.corbado.com/blog/continuous-passive-authentication) Inteligente, especialmente para el sector bancario y financiero. - [HID Global](https://www.hidglobal.com/) distribuye sus tarjetas inteligentes Crescendo junto con su servicio [HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service) y su aplicación móvil de autenticación HID Approve. - [CompoSecure](https://www.compositionusa.com/) complementa su tarjeta inteligente [Arculus](https://www.arculus.co/) FIDO2 con una [billetera](https://www.corbado.com/blog/digital-wallet-assurance) asociada en formato app y un SDK para emisores desarrolladores. Hasta ahora, gran parte de estos proveedores siguen obteniendo casi todos sus ingresos del hardware. Los proveedores que logren extender su oferta de software de la distribución de dispositivos y plataformas IAM, hasta lograr ofrecer una [observabilidad de las claves de acceso](https://www.corbado.com/blog/authentication-observability) de la ceremonia al completo, lograrán la adopción de principio a fin. Quienes no lo consigan, seguirán confinados en la esfera empresarial en su papel de fabricantes de componentes. ### 8.3 ¿Y las plataformas de sistemas operativos? Las plataformas de SO son un caso aparte. El hardware ya existe: [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web), el sistema [Android StrongBox](https://source.android.com/docs/security/features/keystore) y el [chip Pluton](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor) en [Windows 11](https://www.corbado.com/blog/passkeys-windows-11) ya están incorporados de serie en todos los equipos que comercializan. Sin embargo, en el caso de Apple y de Google, la [política predeterminada sobre las claves de acceso](https://www.corbado.com/faq/multiple-passkeys-per-account) es la de sincronizar los dispositivos. El resultado es que los consumidores casi nunca llegan a disponer de una verdadera credencial unida al hardware desde el principio. iCloud Keychain y Google Password Manager copian las contraseñas en todos los dispositivos y replican el comportamiento visible para los usuarios de una [clave de acceso sincronizada](https://www.corbado.com/blog/device-bound-synced-passkeys). La función Windows Hello, sujeta a la TPM de Microsoft, es el único sistema de seguridad para los clientes que no sincroniza las contraseñas y las mantiene alojadas en un único dispositivo. No obstante, Edge ya se está decantando también por las opciones de sincronización. No hemos tenido en cuenta a Windows Hello en esta carrera de hardware para consumidores porque no exige al cliente tener que comprar ningún dispositivo de hardware por separado. Teóricamente, Apple, Google y Microsoft podrían volver a redefinir la industria dando a las claves de acceso la posibilidad de que se vincularan a la plataforma sin la opción de sincronización, logrando una experiencia para el usuario igual de buena que para las contraseñas sincronizadas. No hay indicios, sin embargo, de que sus políticas vayan a tomar estos derroteros. Las plataformas con sistema operativo seguirán compitiendo entre sí dentro del mercado de las claves de acceso sincronizadas, y no así con las claves de acceso por hardware en tanto que la sincronización siga siendo la opción preferida por estos fabricantes. Para el cliente común, esto deja a los USB de seguridad dedicados y a las tarjetas inteligentes FIDO2 como las dos únicas alternativas disponibles. ### 8.4 ¿Cómo es la verdadera carrera? El verdadero enfrentamiento no es "llave de seguridad frente a tarjeta inteligente". La verdadera pregunta es quién va a fabricar la plataforma de autenticación de consumidores que aúne al mismo tiempo el hardware donde importe con el software, con los datos recopilados, y con la ingeniería de adopción para todo lo demás. Echando un vistazo al informe de [FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/), en el plazo de los tres a cinco próximos años probablemente se alcen con la victoria: - Tres a cinco grandes bancos y redes de pagos que conviertan las tarjetas inteligentes FIDO2 en la experiencia del consumidor por defecto. - Uno o dos fabricantes de hardware que hayan efectuado con éxito su transición hacia un modelo de plataformas de autenticación que integre unas analíticas reales de los procesos de inicio de sesión de los clientes, y no tanto un simple programa de gestión de la flota y herramientas IAM. - Los programas de suscripción para usuarios prioritarios, como las cuentas Google Advanced Protection y el plan OpenAI Advanced Account Security. Esto siempre y cuando sean capaces de demostrar que el 5 o el 10% de los usuarios de internet se mostrarían predispuestos a pagar por el hardware si se garantizase así una mayor protección de sus cuentas. Es poco probable que los fabricantes convencionales de hardware se coronen como vencedores absolutos, salvo si no renuevan su propio modelo de mercado, y muy seguramente acabarán suministrando chips de silicio a plataformas de terceros en su lugar. Se trata de un modelo de negocio próspero con unas sólidas barreras en el mercado comercial pero que poco tiene que hacer en un mercado de particulares. ## 9. ¿Cuáles deberían ser los siguientes pasos para los bancos, los emisores y los equipos de productos? De acuerdo con la [guía de implementaciones de FIDO Alliance](https://fidoalliance.org/content/research/) y con las [orientaciones sobre la seguridad de las identidades según Gartner](https://www.gartner.com/en/information-technology/insights/identity-and-access-management), cualquier equipo de investigación de productos sobre la viabilidad de las claves de acceso integradas en el hardware debe enfocar su plan de actuación a los 12 próximos meses tomando en cuenta tres preceptos. En primer lugar, seleccionar el caso en el que la inclusión de una llave de seguridad suponga una ventaja real. En segundo lugar, asociar todo el hardware comercializado a una política de desarrollo e ingeniería de adopción. Y por último, preparar desde el primer momento el ciclo de datos recopilados (data loop). 1. **Seleccionar el caso de uso adecuado**: [confirmación de transacciones](https://www.corbado.com/blog/3ds-webauthn) de alto valor, [autenticación gradual (step-up)](https://www.corbado.com/glossary/step-up-authentication) en los tramos de mayor riesgo regulado, y opciones de recuperación de cuentas en los perfiles de los usuarios con más riesgo. No hay que intentar encajar como sea un sistema de autenticación por hardware en el proceso de inicio de sesión de los usuarios que no lo necesiten. 2. **Combinar el hardware con la ingeniería de adopción**: esto incluye una instrumentación, [soluciones de errores](https://www.corbado.com/blog/native-app-passkey-errors) para [aplicaciones nativas](https://www.corbado.com/blog/native-app-passkeys), políticas de enrutamiento inteligente para los dispositivos, y comparaciones específicas sobre el modelo de un sistema básico de [claves de acceso sincronizadas](https://www.corbado.com/blog/device-bound-synced-passkeys). 3. **Cerrar los ciclos de datos tempranamente**: integrar sistemas de recopilación de los datos emitidos desde los primeros periodos de prueba, y no una vez el producto esté lanzado al mercado. Las empresas de desarrollo tardarán pocas semanas en poder reevaluar su propio modelo cuando han logrado identificar cómo interfieren el modelo de [iOS](https://www.corbado.com/blog/webauthn-errors), del navegador y de la compañía del teléfono en el éxito de sus productos y de los pagos con contacto. Aquellos que no reaccionan a tiempo acaban confiando al alzar en lo anecdótico de las encuestas para saber la respuesta, cuando en la práctica deberán esperar a que lleguen las incidencias al servicio de asistencia para poder averiguarlo con garantías de seguridad. La advertencia, de hecho, se torna aún más directa en lo concerniente a los desarrolladores de hardware. Tienen dos únicas alternativas: escoger si se deciden por seguir suministrando los componentes como intermediarios o si finalmente emprenden la tarea de conformar una plataforma ellos mismos. Opciones perfectamente válidas ambas. Tratar de compatibilizarlas es arriesgarse a quedarse en terreno de nadie; comprometiendo la viabilidad y los recursos propios en el despliegue del software, y entorpeciendo por el otro lado un calendario de producción preestablecido. ## 10. Conclusión Las claves de acceso de hardware aún son las únicas herramientas comerciales de identificación de contraseñas de particulares que logran la calificación de [NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html), protegiéndose de los ataques o del secuestro de las credenciales a través de la nube, cumpliendo debidamente con el baremo mínimo estipulado por normativas más estrictas como la de [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys) y otras regulaciones análogas. La tecnología tiene una base lo suficientemente sólida; el material informático resulta fuerte y su protocolo, maduro. Lo que esta tecnología es incapaz de lograr a estas alturas por sí misma, no obstante, es alcanzar el beneplácito del cliente general. Google y Apple dominan el entorno general de las aplicaciones móviles, mientras que los bancos y los distribuidores poseen la clave comercial de este nicho mercantil. Por lo tanto, los fabricantes limitan su rango de influencia meramente a la fase inicial y productora del producto en sí mismo. Gana aquel competidor del mercado que sea capaz de fundir todo eso a través de unas plataformas comerciales seguras de programas informáticos integrados entre sí, incentivando su usabilidad a través del control exhaustivo de cada operación informática y que ayude a reconducir los imprevistos en los fallos operativos para beneficio de la usabilidad final. La receta para lograr la victoria incluye la inclusión del hardware comercial pero que se suma a la [observabilidad](https://www.corbado.com/blog/authentication-observability) de estas de las claves y de su evolución, logrando conformar una verdadera ingeniería a través del éxito y de su continua implementación posterior en las versiones del fabricante o del [emisor](https://www.corbado.com/glossary/issuer) del programa que integre finalmente un proyecto exitoso para consumidores que siente las bases de la próxima década del sector de este mercado en sí. Y para todos los que se queden en un peldaño atrás en la carrera, sólo les valdrá la simple venta de productos intermedios a un postor informático. ## Preguntas Frecuentes ### ¿Cuál es la diferencia entre las claves de acceso vinculadas a hardware y las claves de acceso sincronizadas para consumidores? Las claves de acceso vinculadas a hardware mantienen la clave privada dentro de un elemento físico seguro, como una llave de seguridad, una tarjeta inteligente FIDO2 o un chip TPM incorporado. La clave nunca abandona ese hardware. Las claves de acceso sincronizadas viven en iCloud Keychain, Google Password Manager o un administrador de terceros, y se copian en todos tus dispositivos a través de la nube. Las claves de acceso vinculadas a hardware alcanzan NIST AAL3 porque la clave privada no se puede exportar. Las claves de acceso sincronizadas tienen un límite en AAL2 porque la sincronización en la nube hace que la clave se pueda recuperar. Esta brecha de un solo nivel en la seguridad importa mucho a los reguladores en banca, gobierno y salud. ### ¿Por qué las llaves de seguridad de hardware no se han popularizado entre los consumidores a pesar de la adopción de las claves de acceso? Apple y Google controlan el SO y los navegadores utilizados por más del 99 por ciento de los consumidores, según StatCounter. Ambos dan prioridad a sus propios gestores de credenciales sincronizadas en las indicaciones de WebAuthn. Los autenticadores de hardware se sitúan de uno a tres clics más profundos en cada flujo predeterminado, según la documentación de Apple AuthenticationServices y el Android Credential Manager. El comportamiento de NFC en Android está fragmentado entre los fabricantes de teléfonos, y la Conditional UI tiene como valor predeterminado las credenciales sincronizadas. Además, la mayoría de los consumidores no pagarán de 40 a 80 USD por un autenticador separado a menos que un servicio los obligue a hacerlo. ### ¿Qué casos de uso justifican una clave de acceso vinculada a hardware para los consumidores? Tres categorías dan a los consumidores suficiente motivación. La primera es la banca y los pagos, donde PSD2, PSD3, RBI en la India y APRA CPS 234 en Australia exigen una autenticación reforzada del cliente. La segunda es la criptografía y la autocustodia, donde perder una clave significa perder los fondos, y donde Ledger y Trezor ya han enviado más de 9 millones de dispositivos. La tercera son las cuentas de alto valor, que incluyen el correo electrónico principal, las billeteras de identidad gubernamentales y las cuentas de creadores, donde el robo es irreversible. El Advanced Protection Program de Google y el programa Advanced Account Security para ChatGPT de OpenAI, lanzado en abril de 2026 con un pack de dos YubiKey de marca compartida a unos 68 USD, se dirigen a este grupo. Fuera de estas tres categorías, las claves de acceso sincronizadas suelen ganar. ### ¿Cómo encajan las tarjetas inteligentes FIDO2 en la carrera de las claves de acceso de hardware para el consumidor? Los fabricantes de tarjetas inteligentes como CompoSecure (que envía más de 100 millones de tarjetas de pago metálicas al año según su informe 10-K y ofrece Arculus como su producto FIDO2) e IDEMIA, construyen tarjetas inteligentes NFC con elementos seguros que pueden alojar credenciales FIDO2. Los consumidores ya llevan una tarjeta de crédito, por lo que añadir una clave de acceso vinculada al hardware a esa tarjeta elimina la necesidad de un dispositivo separado. Los bancos, neobancos y custodios de criptomonedas pueden entonces agrupar la autenticación, el pago y la seguridad adicional en un solo factor de forma. Las partes difíciles son hacer que el toque NFC sea confiable en los navegadores de iOS y Android y convencer a los emisores para que absorban la prima de costo de 2 a 5 USD por tarjeta. ### ¿Qué hace falta para ganar realmente el mercado de claves de acceso vinculadas a hardware para consumidores? Un buen hardware es necesario, pero no suficiente. El ganador combina un factor de forma de hardware creíble con una plataforma de inteligencia que mide cada paso de la inscripción y la autenticación, redirige a los usuarios cuando hay problemas de dispositivo y sistema operativo y demuestra a los emisores que los costos de fraude y soporte técnico están disminuyendo. Sin observabilidad de claves de acceso a nivel de embudo, los proveedores y los bancos no pueden saber que el 60 por ciento de los usuarios abandona el toque de NFC, un patrón documentado en las charlas de implementación de FIDO Alliance Authenticate 2024, o que Conditional UI se tragó en silencio la solicitud, según la especificación W3C WebAuthn Level 3. La carrera se decidirá por los datos y el software, no por quién tiene la llave con la carcasa de titanio más resistente.