Cómo lograr una alta adopción de claves de acceso en los flujos de creación

En este artículo presentamos una guía exhaustiva que resume cómo mejorar la adopción de claves de acceso y, especialmente, la creación de claves de acceso mediante la optimización de los flujos de creación a través de avisos oportunos. Responderemos a las siguientes preguntas:

• ¿Cuáles son las mejores prácticas para los avisos a los usuarios con el fin de maximizar la creación de claves de acceso?
• ¿Cómo pueden las empresas animar eficazmente a los usuarios a registrar claves de acceso a gran escala?

Aprenderá estrategias probadas y mejores prácticas prácticas adaptadas a contextos empresariales, lo que permitirá a su organización realizar con éxito la transición de los usuarios de las contraseñas a las claves de acceso. Este blog aborda específicamente la creación y el registro de claves de acceso; las estrategias para optimizar el uso posterior de las claves de acceso (frecuencia y métodos de inicio de sesión) se explorarán por separado en un próximo artículo.

La implementación de claves de acceso es solo el primer paso; el verdadero valor se materializa cuando las organizaciones mejoran la adopción de claves de acceso de manera efectiva. Sin medidas deliberadas para aumentar las tasas de creación y uso de claves de acceso, las empresas se encuentran con frecuencia atrapadas en una dependencia persistente de las contraseñas. El simple hecho de ofrecer claves de acceso como opción, sin avisos para el registro de claves de acceso con un propósito y sin flujos de inicio de sesión con claves de acceso optimizados, hace que las personas opten por lo que les resulta familiar: las contraseñas. Este escenario puede limitar drásticamente los beneficios de los proyectos de claves de acceso.

Las organizaciones experimentan mejoras sustanciales en la seguridad y reducciones de costes, como un menor número de restablecimientos de contraseñas y un menor uso de OTP, solo cuando las claves de acceso logran una alta aceptación y se convierten en el método de inicio de sesión principal para la mayoría de los usuarios. Por lo tanto, las mejores prácticas para los avisos de claves de acceso, las mejores prácticas de avisos tras el inicio de sesión y la realización de pruebas A/B de los avisos desempeñan un papel fundamental en la consecución de estos objetivos. Las empresas que tienen como objetivo la transición del flujo de usuarios de contraseñas a claves de acceso a gran escala y se esfuerzan por alcanzar una tasa de inicio de sesión con claves de acceso del 50 al 80 % participan activamente en la creación de claves de acceso.

Guía Buy vs. Build. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.

Obtener guía gratuita

Estas estrategias de interacción del usuario con las claves de acceso se alinean con las recomendaciones de la FIDO Alliance en Passkey Central, donde la alianza FIDO refuerza la necesidad de impulsar la adopción de claves de acceso por parte de los usuarios en la empresa. Si bien los beneficios a alto nivel se comprenden bien, el verdadero desafío a menudo radica en impulsar las métricas de éxito del inicio de sesión con claves de acceso, por ejemplo, aumentar eficazmente la cobertura de las claves de acceso en todos los dispositivos, implementar las mejores prácticas de avisos tras el inicio de sesión y organizar la educación continua del usuario para el registro de claves de acceso.

Por ejemplo, el enfoque explícito de Amazon para mejorar la adopción de claves de acceso (mediante amplios experimentos y mejoras iterativas de la experiencia de usuario) produjo velocidades de inicio de sesión seis veces mayores, reduciendo notablemente el retroceso a las contraseñas y aumentando la satisfacción del usuario. Asimismo, la segmentación por perfil y dispositivo de Microsoft, así como los más de 2500 millones de inicios de sesión con claves de acceso de Google, demuestran su compromiso con el uso activo en lugar de la mera disponibilidad de las claves de acceso:

En resumen, impulsar la adopción de claves de acceso por parte de los usuarios en la empresa es mucho más importante que simplemente habilitar la función de claves de acceso. Rara vez los usuarios buscan nuevos métodos de inicio de sesión por sí mismos. Debe asegurarse de que la optimización de los flujos de inicio de sesión con claves de acceso, los avisos oportunos para el registro y las pruebas A/B continuas de dichos avisos formen parte del plan. Mediante el uso de estas estrategias de interacción y el análisis de claves de acceso, las organizaciones pueden superar los umbrales cruciales, reemplazar las contraseñas por claves de acceso por completo y aprovechar todos los beneficios (de seguridad, financieros y de experiencia del usuario) de un futuro sin contraseñas.

Suscríbete a nuestro Substack de passkeys para recibir las últimas noticias.

Suscribirse

Animar a los usuarios a configurar claves de acceso, lo que a menudo se denomina creación de claves de acceso o registro de claves de acceso, o "registrar un passkey", es la base de cualquier intento de mejorar la adopción de claves de acceso y aumentar las tasas de uso. En la práctica, existen múltiples indicaciones y flujos para los avisos de registro de claves de acceso, pero no todos son igual de eficaces. A continuación, se presenta un resumen de los enfoques habituales, junto con la razón por la que las mejores prácticas de avisos tras el inicio de sesión se consideran en gran medida las más impactantes.

No sustituye a las indicaciones posteriores al inicio de sesión (solo se aplica a un subconjunto de inicios de sesión y depende de la compatibilidad del sistema operativo, el navegador y el gestor de contraseñas), pero es un potente complemento. Para obtener detalles técnicos de implementación, ejemplos de código y capturas de pantalla, consulte nuestro artículo sobre actualizaciones automáticas de claves de acceso. En cuanto a la compatibilidad de plataformas, la eficacia y las consideraciones estratégicas, consulte nuestro artículo sobre Conditional Create.

Al elegir dónde implementar los avisos para claves de acceso, considere estas perspectivas basadas en las experiencias de grandes empresas:

El consenso de las implementaciones existentes es claro: los avisos tras el inicio de sesión producen la mayor cantidad de creaciones de claves de acceso, lo que justifica la complejidad de su implementación. Otras opciones más sencillas, como ofrecer el registro de claves de acceso a través de la página de configuración de la cuenta, proporcionan un punto de partida útil para la exploración inicial del usuario. Por el contrario, los métodos complejos, como los avisos tras el restablecimiento de contraseñas o los llamados continuos en la aplicación, normalmente solo aportan un beneficio incremental moderado y rara vez justifican el esfuerzo requerido.

Conditional Create complementa las indicaciones posteriores al inicio de sesión actualizando automáticamente un subconjunto de inicios de sesión con contraseñas (cuando las contraseñas se autocompletan y la plataforma es compatible). Para obtener más información, consulte nuestro artículo sobre Conditional Create.

Consenso y conclusiones clave

• El aviso tras el inicio de sesión ocupa el primer lugar en cuanto a impacto, lo que justifica una sobrecarga de desarrollo significativa. Aprovecha un momento de "frustración" universal —escribir una contraseña—, lo que lo convierte en la mejor práctica más crucial para lograr altas tasas de adopción para la creación de claves de acceso.

• Conditional Create (actualización automática) es un complemento que requiere poco esfuerzo y tiene una baja fricción, y que puede eliminar el aviso explícito para los usuarios que inician sesión guardando el autocompletado de la contraseña en las plataformas compatibles.

• La página de configuración de la cuenta es efectivamente obligatoria para cualquier proyecto de claves de acceso y, por lo tanto, existirá en cualquier caso. Aunque desempeña un papel mínimo a la hora de impulsar significativamente las tasas de adopción, es muy recomendable como paso de implementación inicial. Utilizar primero la página de configuración de la cuenta permite a las organizaciones probar, perfeccionar y validar su implementación de claves de acceso antes de desplegar avisos más complejos tras el inicio de sesión.

• Los avisos en la creación de cuentas ofrecen beneficios moderados y se recomiendan como medidas secundarias para complementar una estrategia de adopción más amplia. Proporcionan una adopción progresiva entre los nuevos usuarios, pero no influyen de manera significativa en las bases de usuarios existentes.

• Tras el restablecimiento de contraseñas y en los llamados y banners en la aplicación suelen obtenerse beneficios entre bajos y moderados. Si bien estas medidas pueden complementar unos esfuerzos de adopción más amplios, la complejidad de su implementación rara vez justifica que se les dé prioridad como estrategias básicas.

A la hora de elaborar el aviso ideal tras el inicio de sesión, tiene sentido examinar los despliegues exitosos de las grandes empresas tecnológicas e identificar los hallazgos comunes de sus experimentos. La mayor parte de esta información puede encontrarse en las charlas publicadas por la FIDO Alliance.

• Múltiples experimentos y tratamientos: Amazon probó varios flujos posteriores al inicio de sesión ("T1", "T2", "T3") para ver qué indicaciones al usuario funcionaban mejor. Algunos abrían automáticamente el diálogo de creación de claves de acceso, mientras que otros mostraban una sencilla pantalla de "Configura tu clave de acceso" con dos opciones: "Sí, crear una clave de acceso" o "No, seguir usando contraseñas".

• Velocidades de inicio de sesión 6 veces mayores: A través de pruebas A/B iterativas y ajustes en tiempo real, lograron inicios de sesión hasta seis veces más rápidos para quienes adoptaron las claves de acceso, reduciendo significativamente el retroceso al uso de contraseñas.

• Diferencias entre dispositivos móviles y ordenadores de escritorio: Amazon descubrió que la activación automática del registro de claves de acceso en el móvil conducía a una aceptación notablemente mayor en comparación con los flujos de los equipos de escritorio, lo que sugiere que los usuarios de los teléfonos inteligentes están más abiertos a las indicaciones biométricas.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

• Segmentación por perfil y dispositivo: El despliegue interno de Microsoft se dirigió sistemáticamente a diferentes grupos de usuarios (ejecutivos, desarrolladores, trabajadores de primera línea) y plataformas específicas (Windows, macOS, iOS, Android). Mostraron avisos de claves de acceso tras el inicio de sesión adaptados al flujo de trabajo de cada segmento.

• Imposición escalonada: Tras medir el éxito en las primeras fases, Microsoft aumentó constantemente el uso obligatorio de claves de acceso en las fases posteriores. La organización también midió la "tasa de aceptación de claves de acceso" para cada fase, refinando el texto de la interfaz de usuario o la lógica de retroceso si la conversión disminuía.

• Fomento de la cobertura: Una vez que un usuario configuraba una clave de acceso en un dispositivo, se le pedía en los siguientes inicios de sesión en nuevos dispositivos "¿Añadir una clave de acceso aquí?" para que las claves de acceso estuvieran presentes en todo el entorno del usuario.

• Pruebas A/B a escala: Con más de 2500 millones de inicios de sesión con claves de acceso, Google invierte fuertemente en pruebas A/B de los avisos de claves de acceso. Suelen comparar los mensajes sobre la comodidad ("No escribas tu contraseña la próxima vez") con los mensajes sobre la seguridad ("Protege tu cuenta con una clave de acceso") para ver cuál resuena más.

• Flujos de reautenticación: Google también aprovecha los avisos de reautenticación (por ejemplo, cuando los usuarios modifican la configuración confidencial) para recordarles las claves de acceso: "¿Quieres un paso más rápido? Crea una clave de acceso ahora".

• Avisos multidispositivo: Dado que Google Password Manager sincroniza las claves de acceso en todos los dispositivos, el enfoque tras el inicio de sesión suele incluir una breve nota sobre la comodidad de la multiplataforma, que refuerza la idea de "crear una vez, usar en todas partes".

• Lenguaje de seguridad vs. de conveniencia: Intuit, creadora de QuickBooks y TurboTax, probó mensajes como "Inicio de sesión resistente al phishing" (orientado a la seguridad) vs. "Inicio de sesión más rápido, sin contraseña" (orientado a la facilidad de uso). Descubrieron que ciertos segmentos (especialmente los profesionales de finanzas) estaban más motivados por la seguridad, mientras que otros lo estaban por la comodidad.

• Pruebas de usuario repetidas: Con una base de usuarios muy diversa —desde propietarios de pequeñas empresas hasta contribuyentes cotidianos—, Intuit refinó continuamente la redacción, el diseño de la interfaz de usuario y el momento de mostrar el aviso. Descubrieron que pedirlo poco después de iniciar sesión producía una aceptación de las claves de acceso mucho mayor.

• Recordatorios continuos: Para los usuarios que omitían el flujo de claves de acceso inicialmente, Intuit diseñó un aviso de "segunda oportunidad" que volvía a aparecer tras un breve intervalo, una estrategia que incrementó aún más la tasa de creación posterior.

Echemos un vistazo y resumamos los puntos en común de estos grandes despliegues:

Más allá de estas tácticas basadas en el producto, las plataformas modernas también son compatibles con Conditional Create (actualizaciones automáticas de claves de acceso) para actualizar un subconjunto de inicios de sesión que utilizan el autocompletado de la contraseña a claves de acceso con la mínima interacción por parte del usuario. Vea Conditional Create.

En conjunto, estas lecciones del mundo real confirman que las mejores prácticas tras el inicio de sesión que cuentan con un texto sencillo y oportuno, así como con una reexposición coherente, son los impulsores más fuertes para mejorar la adopción en la creación de claves de acceso. En la siguiente sección, exploraremos cómo estructurar este enfoque para garantizar que los usuarios no solo configuren su primera clave de acceso, sino que también añadan claves de acceso adicionales en múltiples dispositivos, con lo que las tasas de adopción se acercarían al umbral del 50–80 % necesario para sustituir por completo las contraseñas por claves de acceso.

Las estrategias efectivas tras el inicio de sesión van más allá de pedir a los usuarios que creen su primera clave de acceso. También guían de forma proactiva a los usuarios hacia una adopción integral de las claves de acceso en todos sus dispositivos, garantizando que las contraseñas se vuelvan cada vez más redundantes. El objetivo de estos avisos es establecer las claves de acceso como el método principal de autenticación y reducir considerablemente la dependencia de los inicios de sesión con contraseñas heredadas. A continuación se amplían las consideraciones para cada fase estratégica del proceso posterior al inicio de sesión.

El principal desafío a la hora de impulsar la adopción inicial de las claves de acceso radica en encontrar el mensaje adecuado. Las organizaciones deben definir claramente si apelarán a la comodidad y conveniencia del usuario o se centrarán principalmente en una mayor seguridad. Por ejemplo, Google obtuvo un éxito generalizado con avisos simples y orientados a la comodidad, como "Inicio de sesión más rápido, sin contraseñas", que resonaron fuertemente entre los usuarios cotidianos. Por el contrario, Intuit determinó que los profesionales, en particular los del sector financiero, reaccionaron de forma más positiva a mensajes centrados en la seguridad, como "Proteja su cuenta frente al phishing". El mensaje ideal dependerá en gran medida de su grupo demográfico de usuarios objetivo y de sus necesidades o prioridades específicas, lo que subraya la importancia de realizar pruebas A/B exhaustivas para identificar el lenguaje más eficaz.

Probar distintas variantes de estos mensajes le permite medir cuál resuena con más fuerza y produce las mayores tasas de aceptación. Igual de importante es gestionar la frecuencia de los avisos: las indicaciones iniciales son esenciales, pero los recordatorios posteriores deben equilibrarse con cuidado. Empresas como Amazon observaron un fuerte descenso de las tasas de aceptación tras un número excesivo de avisos repetidos en una rápida sucesión. Una mejor práctica muy extendida es permitir que los usuarios omitan fácilmente los avisos, pero volver a presentar la configuración de la clave de acceso después de un periodo de enfriamiento, por ejemplo de 30 días.

Decidir si activar o no de forma automática el flujo de registro tras el inicio de sesión también afecta significativamente a la adopción. Los activadores automáticos en dispositivos móviles han demostrado ser muy eficaces, y Amazon ha constatado unas tasas de aceptación entre un 30 % y un 50 % superiores debido a la naturaleza intuitiva de las interacciones biométricas. Sin embargo, los avisos de registro automáticos deben realizarse de forma reflexiva para evitar frustrar al usuario, sobre todo en las plataformas de escritorio, donde la activación manual ha sido, en general, más eficaz y menos intrusiva.

Lograr una adopción generalizada de las claves de acceso implica no solo conseguir que los usuarios registren su primera clave de acceso, sino también pedirles sistemáticamente que amplíen la cobertura a otros dispositivos; además, esto reduce la probabilidad de bloqueos en la cuenta. La mensajería proactiva ayuda a garantizar unas experiencias de autenticación fluidas con independencia del dispositivo que utilice el usuario, lo que mejora considerablemente la seguridad al tiempo que aporta comodidad. Por ejemplo, si un usuario registra inicialmente una clave de acceso en Windows y más adelante inicia sesión a través de un dispositivo Android mediante las opciones de retroceso, el sistema debería mostrar claramente un mensaje: "Configura una clave de acceso aquí para saltarte la contraseña la próxima vez".

Este enfoque multidispositivo garantiza una cobertura continua y reduce significativamente el retroceso a los métodos de autenticación tradicionales. Además, abordar los escenarios en los que las claves de acceso fallaron previamente o se abandonaron (como cuando un usuario elimina o aborta el registro de una clave de acceso) ofrece otra importante oportunidad para volver a implicar a los usuarios. Avisarles tras un inicio de sesión de retroceso exitoso con mensajes como "La configuración de la clave de acceso no funcionó la última vez; inténtalo de nuevo ahora para simplificar los futuros inicios de sesión" les anima a volver a intentar el registro.

En los escenarios de inicio de sesión híbridos que implican la autenticación en varios dispositivos (CDA), pida a los usuarios que almacenen las claves de acceso nativas de forma local inmediatamente después de una autenticación exitosa, mejorando así la comodidad en el futuro. Por ejemplo, tras completar la CDA a través del teléfono inteligente para autorizar una sesión de Windows, anime al usuario de forma clara: "Añade una clave de acceso directamente a este dispositivo para evitar usar tu teléfono la próxima vez".

En definitiva, este enfoque ampliado a todos los dispositivos no solo mejora la seguridad, sino que también respeta el tiempo, la comodidad y las preferencias de los usuarios. Los usuarios se sienten valorados y empoderados cuando se les proporciona una orientación clara y personalizada, lo que refuerza su confianza y disposición para adoptar las claves de acceso en todo su ecosistema digital, a fin de evitar los inconvenientes retrocesos y reducir los inicios de sesión CDA.

La transición de los usuarios a la adopción obligatoria de claves de acceso requiere un enfoque estratégico y progresivo, lo que es especialmente importante en entornos regulados o para cuentas de gran valor. Imponer gradualmente la adopción de claves de acceso en lugar de exigirla de forma abrupta minimiza la resistencia de los usuarios y maximiza las tasas de aceptación.

Un método eficaz consiste en realizar primero un seguimiento de la adopción voluntaria para que los usuarios puedan familiarizarse con el uso de claves de acceso. Una vez que los usuarios inicien sesión con éxito varias veces utilizando claves de acceso, puede desactivar progresivamente los métodos de inicio de sesión basados en contraseñas, comunicando claramente esta transición con mucha antelación. Por ejemplo, informe explícitamente a los usuarios: "A partir del próximo mes, ya no se aceptarán contraseñas; asegúrate de que tu clave de acceso esté activa".

Monitorizar de cerca las estadísticas de la interacción de los usuarios también ayuda a perfeccionar la transición obligatoria. Si los usuarios descartan repetidamente los avisos de registro, intensifique sus mensajes; podría eliminar la opción "Omitir" después de un cierto umbral o convertir el mensaje en una acción obligatoria, tal como se ve en la implementación de Microsoft anterior. Sin embargo, ofrezca siempre mecanismos de retroceso seguros, como las llaves de seguridad de hardware, para los usuarios que se enfrenten a verdaderas limitaciones técnicas o a problemas de compatibilidad.

Comunicar con claridad los beneficios, como la protección contra el phishing y el robo de cuentas, refuerza la comprensión y aceptación por parte de los usuarios de la adopción obligatoria de las claves de acceso (lo cual es diferente de simplificar los mensajes cuando todavía son opcionales). Los mensajes como "Las claves de acceso nos ayudan a mantener la seguridad de tu cuenta; las contraseñas se eliminarán pronto" subrayan la necesidad y el valor de esta transición, con lo que se fomenta la confianza del usuario a la hora de adoptar las claves de acceso como el nuevo estándar de autenticación.

Para impulsar de forma eficaz las altas tasas de adopción en la creación de claves de acceso, es esencial un flujo tras el inicio de sesión estructurado de forma cuidadosa y que se comunique claramente. El flujo óptimo aborda de forma sistemática tres escenarios en función de si un usuario ya tiene o no claves de acceso registradas, y los guía paso a paso a través de la creación inicial, la ampliación de la cobertura de claves de acceso a dispositivos adicionales y la gestión de los escenarios de retroceso.

A continuación, se ofrece una descripción detallada que coincide claramente con el diagrama de flujo proporcionado:

flowchart TD
    A[User Logs In] --> B{Does user already have a passkey?}

    %% Shared nodes
    Z[Passkey Created]
    CD[Cooldown 30 days]

    %% Primary flow: create first passkey
    B -->|No| P0[Primary flow]
    P0 --> P1{Password autofilled?}
    P1 -->|Yes| CC[Try Conditional Create]
    CC --> P2{CC succeeded?}
    P2 -->|Yes| Z
    P2 -->|No| P3{Desktop or Mobile?}
    P1 -->|No| P3

    P3 -->|Desktop| D1
    P3 -->|Mobile| M1

    subgraph Desktop [Desktop Primary Subflow]
        direction TB
        D1[Prompt 1] --> D2{Accept?}
        D2 -->|Yes| DZ[Done]
        D2 -->|No| D3[Prompt 2] --> D4{Accept?}
        D4 -->|Yes| DZ
        D4 -->|No| D5[Prompt 3] --> D6{Accept?}
        D6 -->|Yes| DZ
        D6 -->|No| DCD[Cooldown]
    end

    subgraph Mobile [Mobile Primary Subflow]
        direction TB
        M1[Prompt 1 auto] --> M2{Accept?}
        M2 -->|Yes| MZ[Done]
        M2 -->|No| M3[Prompt 2] --> M4{Accept?}
        M4 -->|Yes| MZ
        M4 -->|No| M5[Prompt 3] --> M6{Accept?}
        M6 -->|Yes| MZ
        M6 -->|No| MCD[Cooldown]
    end

    DZ --> Z
    MZ --> Z
    DCD --> CD
    MCD --> CD

    %% Secondary flow: additional devices / recovery
    B -->|Yes| S0[Secondary flow]
    S0 --> S1[New device or fallback login]
    S1 --> S2{Password autofilled?}
    S2 -->|Yes| SCC[Try Conditional Create]
    SCC --> S3{CC succeeded?}
    S3 -->|Yes| Z
    S3 -->|No| S4[Add passkey here?]
    S2 -->|No| S4
    S4 --> S5{Accept?}
    S5 -->|Yes| Z
    S5 -->|Skip 3x| CD

Con cada inicio de sesión, el sistema realiza una comprobación inicial:

• ¿Tiene ya el usuario una clave de acceso?

  • En caso negativo (cero claves de acceso), se dirige a los usuarios a la Pantalla principal.

  • En caso afirmativo (una o más claves de acceso), los usuarios pasan a una Pantalla secundaria adaptada.

En la Pantalla principal, el enfoque del registro depende de la plataforma del dispositivo del usuario:

Antes de mostrar ningún aviso explícito, considere la opción de Conditional Create (actualizaciones automáticas de claves de acceso) como un paso que se intenta por todos los medios cuando el usuario acaba de iniciar sesión autocompletando la contraseña y la plataforma es compatible. Si tiene éxito, puede omitir el flujo de avisos que figura a continuación.

• Flujo en dispositivos de escritorio
  En los equipos de escritorio, si no se aplica Conditional Create, el aviso de creación de la clave de acceso es manual:

  • Primer aviso: Los usuarios eligen explícitamente Aceptar u Omitir la creación de la clave de acceso.

    • Si aceptan, se crea inmediatamente una clave de acceso.

    • Si lo omiten, se encontrarán con un Segundo aviso en su próximo inicio de sesión.

  • El Segundo aviso ofrece otra oportunidad, y vuelve a pedir explícitamente al usuario que Acepte u Omita.

    • Si el usuario acepta, la clave de acceso se crea correctamente.

    • Si vuelven a omitirlo, reciben un Tercer aviso en una sesión posterior.

  • Tras el Tercer aviso, si los usuarios continúan omitiéndolo, el sistema impone un claro y definido periodo de enfriamiento de 30 días para evitar el exceso de fricción por parte del usuario.

• El flujo en dispositivos móviles emplea un enfoque más dinámico:

  • Inicialmente, el aviso de creación de la clave de acceso se activa de forma automática gracias a la naturaleza intuitiva del registro biométrico del móvil.

    • Si los usuarios aceptan, el registro de la clave de acceso finaliza de inmediato.

    • Si los usuarios omiten el primer aviso automático, el flujo pasa a un Segundo aviso manual en su próximo inicio de sesión.

  • En el Segundo aviso (manual), los usuarios vuelven a elegir explícitamente si desean Aceptar u Omitir.

    • Si aceptan, la creación de la clave de acceso es un éxito.

    • Si se vuelve a omitir, se ofrecerá un Tercer aviso durante una sesión posterior.

  • Después de la tercera omisión consecutiva, el usuario de móvil entra del mismo modo en un periodo de enfriamiento de 30 días antes de que se produzcan más avisos.

Esta estrategia estructurada de la pantalla principal equilibra la comodidad del usuario con recordatorios persistentes pero respetuosos, y va guiando gradualmente a los usuarios hacia la adopción de las claves de acceso sin abrumarlos.

Para los usuarios que ya tienen al menos una clave de acceso, las indicaciones secundarias se centran en ampliar la cobertura de la clave de acceso a través de múltiples dispositivos o sistemas operativos para eliminar la dependencia de los mecanismos de retroceso:

Si el inicio de sesión de retroceso consistió en autocompletar la contraseña y existe compatibilidad con Conditional Create, puede intentar primero realizar la actualización mediante Conditional Create y mostrar la pantalla secundaria únicamente si esto no funciona.

• Tras un inicio de sesión exitoso a través de un método de retroceso (contraseña, OTP o inicio de sesión con CDA mediante código QR), los usuarios ven un claro aviso en la pantalla secundaria y específico del dispositivo que les anima a crear una clave de acceso adicional. Algunos ejemplos de mensajes podrían ser los siguientes: "Configura una clave de acceso aquí para saltarte la contraseña en este dispositivo".

  • Los usuarios vuelven a tener la opción de Aceptar u Omitir.

  • Tras múltiples omisiones, el sistema introduce de forma similar un enfriamiento de 30 días para evitar molestias o fatiga por parte del usuario.

• Además, esta pantalla secundaria también se aplica a los casos en los que los usuarios no lograron registrar una clave de acceso o la eliminaron explícitamente de forma previa. En estas situaciones, el mensaje aborda explícitamente el fallo anterior, y hace hincapié en la renovada comodidad y en la mejora de la fiabilidad del proceso de configuración actual.

El diagrama de flujo descrito representa un plan fundacional sólido para aplicar de forma efectiva una estrategia para el registro de claves de acceso tras el inicio de sesión. Aunque los pasos señalados (como establecer la diferencia entre las experiencias de los equipos de escritorio y de los móviles, gestionar la frecuencia de los avisos con cuidado, y proporcionar vías claras tras repetidas omisiones) reflejan las mejores prácticas de eficacia demostrada que se han observado en despliegues a gran escala por parte de empresas como Amazon, Microsoft y Google, es importante insistir en que las bases de usuarios difieren de manera significativa. Lo que funciona excepcionalmente bien en un escenario puede arrojar resultados muy variables en otro, debido a la diversidad demográfica de los usuarios, sus preferencias en cuanto a dispositivos y los contextos organizativos.

Por lo tanto, los análisis continuos y el riguroso seguimiento de las interacciones de los usuarios son esenciales para lograr optimizar y perfeccionar de verdad su estrategia de registro de claves de acceso.

El seguimiento detallado de las tasas de aceptación de claves de acceso y de otros indicadores clave de rendimiento (KPI, por sus siglas en inglés) cruciales proporciona información procesable sobre qué partes de su flujo tienen éxito y cuáles presentan dificultades. Por ejemplo, el análisis de los puntos de abandono en el proceso de registro puede revelar si a los usuarios les resultan los avisos demasiado intrusivos, confusos o inoportunos. He aquí nuestra recomendación de las métricas de las que debe hacerse un seguimiento:

Su estrategia de adopción de claves de acceso nunca debería ser estática. Por el contrario, debe evolucionar de forma dinámica a partir de los datos medidos, permitiendo realizar ajustes en los mensajes, la frecuencia y los métodos de aviso (automático frente a manual). Al observar detenidamente cómo responden los distintos segmentos de usuarios a lo largo del tiempo, su organización puede ir refinando estos avisos de manera iterativa, para asegurarse de que las indicaciones sigan siendo atractivas pero no abrumen a los usuarios. En última instancia, el éxito del despliegue de las claves de acceso depende en gran medida de la adaptación de las mejores prácticas a los comportamientos y preferencias específicos de sus usuarios, con base en datos analíticos precisos y no solo en meras suposiciones.

Para implementar correctamente las mejores prácticas para la creación de claves de acceso (con pruebas A/B, un despliegue gradual, Conditional Create y la gestión de casos excepcionales en más de 100 combinaciones de sistema operativo y navegador) hacen falta meses de ingeniería. Corbado proporciona observabilidad e inteligencia de adopción por encima de su plataforma de identidades actual, para que pueda ponerse en marcha en cuestión de días en lugar de meses, y al mismo tiempo mantener toda la autenticación de forma interna. Nuestros SDK y componentes se basan en las mejores prácticas demostradas en importantes despliegues (como los de Amazon, Google y Microsoft), refinados con los datos reales provenientes de implementaciones a gran escala, como la de VicRoads.

La mayoría de las organizaciones despliegan flujos de creación de claves de acceso sin ninguna visibilidad sobre lo que sucede en la realidad. Sus registros muestran que el "registro se realizó correctamente" o que el "registro falló", pero no le dicen:

• ¿Por qué omitió este usuario el aviso de clave de acceso tres veces?
• ¿Qué combinaciones de SO y navegador presentan el mayor abandono?
• ¿Se está activando en realidad Conditional Create, o está fallando de forma silenciosa?
• ¿Cómo se compara la aceptación de claves de acceso entre el primer aviso frente a los repetidos?

Sin esta visibilidad, usted no puede optimizar nada. Está apostando en cuanto a los mensajes, el momento y el diseño de los flujos, en lugar de iterar con base en los datos.

Corbado proporciona una observabilidad de autenticación nativa diseñada específicamente para los flujos de creación de claves de acceso. Si desea obtener una visión general completa de las métricas de autenticación que van más allá de las claves de acceso, consulte nuestro manual de estrategias para el análisis de la autenticación:

Un mismo cuadro de mando, pero diferentes historias dependiendo de quién pregunte:

Los SDK de Corbado implementan todas las mejores prácticas de creación de forma automática, e incluyen Conditional Create, los avisos tras el inicio de sesión y el registro multidispositivo:

Cuando falla un registro, Corbado le ofrece las herramientas que necesita para entender por qué:

• Línea de tiempo de la depuración por usuario: Repita todo el recorrido de un registro en todas las sesiones y dispositivos.
• Clasificación inteligente de los errores: Diferencie entre los errores informativos y los fallos más críticos.
• Detección de la fragmentación en el gestor de contraseñas: Identifique cualquier conflicto que surja entre Dashlane, 1Password y los gestores nativos del navegador.
• Detección de las anomalías: Alertas inmediatas en el momento en el que las tasas de registro bajen de forma inesperada.

Tanto si usted está diseñando los flujos de creación de las claves de acceso por sí mismo, como si busca una solución gestionada, Corbado le ayudará a poder ver qué ocurre, a demostrar el impacto sobre el negocio y a maximizar toda la adopción sin tener que cambiar su IDP.

Las claves de acceso han surgido como un método de autenticación transformador que permite iniciar sesión de forma más rápida, sencilla y segura que las credenciales tradicionales. Sin embargo, ofrecer simplemente las claves de acceso no garantiza de forma automática que los usuarios las acaben adoptando. Las organizaciones deben diseñar de forma estratégica sus avisos de claves de acceso, probar los mensajes mediante pruebas A/B y adaptar los distintos flujos a todos los dispositivos, si es que quieren impulsar la adopción de las claves de acceso por encima de ese 50 % que marca el límite en el cual las contraseñas se vuelven realmente reemplazables. Esta guía ha cubierto los conocimientos fundamentales, desde por qué la adopción importa más que la mera implementación básica hasta poder detallar aquellas tácticas de aviso específicas (tras el inicio de sesión vs. página de configuración, límites de la frecuencia, la creación automática en los móviles, etc.) en las que las principales empresas tecnológicas confían para lograr un buen resultado.

• ¿Cuáles son las mejores prácticas en cuanto a los avisos al usuario en las claves de acceso? Los avisos más eficaces se producen de manera inmediata, después de que los usuarios hayan iniciado la sesión de forma correcta, ya que aprovechan ese estado mental de la autenticación. El mensaje debe centrarse claramente en la comodidad ("Inicio de sesión más rápido, y sin contraseñas") o en la seguridad ("Proteja su cuenta contra el phishing"), algo que se determina tras rigurosas pruebas A/B. Las indicaciones también deben de respetar la autonomía que tiene el usuario, e incorporar periodos de enfriamiento de la información si se repiten las omisiones a fin de poder minimizar una posible frustración.

• ¿Cómo impulsar la adopción de las claves de acceso por parte del usuario dentro de unos entornos empresariales? El éxito en cuanto a una adopción a nivel empresarial depende en su mayor medida de una serie de enfoques estructurados e incrementales, así como del análisis continuo de los datos. Las organizaciones tienen que monitorizar sus indicadores clave de rendimiento (p. ej., la tasa de la aceptación de las claves de acceso o su tasa de éxito en la creación), refinando de este modo todas sus estrategias gracias a los datos provenientes del usuario. Animar a que se realice un registro de la clave de acceso en los distintos dispositivos y hacer que se realice una transición hacia el uso de unas claves de acceso obligatorias por parte de todos esos segmentos de usuarios con un alto valor resulta ser un paso fundamental a la hora de alcanzar el tan deseado límite de la adopción del 50–80 %.

Si en su organización tienen planificado realizar un despliegue a una gran escala, y apuntan de esta forma a tener unas métricas de adopción que sean líderes en todo este sector, en Corbado estaremos encantados de poder ayudarles. Nuestra plataforma empresarial (Enterprise Platform) proporciona unos análisis avanzados, la realización de pruebas A/B y unos recorridos hechos a medida del usuario con el objetivo de garantizar su adopción óptima de las claves de acceso.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →