Compatibilidad con mDoc de Apple: iOS 26 habilita la verificación de identidad

En la WWDC25, Apple anunció la compatibilidad oficial con documentos móviles (mdocs) a través de la API de Credenciales Digitales, lo que permite a los sitios web solicitar y verificar la identificación digital de un usuario en iOS 26 directamente desde Safari. Esto trae las credenciales digitales de Apple, que cumplen con el estándar ISO 18013-5, a la web para una verificación de identidad segura y con el consentimiento del usuario.

Esta actualización representa un catalizador importante para el ecosistema de la identidad digital. Durante años, la comprobación de la identidad en línea ha estado plagada de fricciones, riesgos de privacidad y fraude. Al integrar las credenciales digitales estandarizadas de Apple, el nuevo marco agiliza la verificación para casos de uso como las comprobaciones de edad, los inicios de sesión empresariales y la incorporación de clientes.

En este artículo, desglosamos lo que significa la compatibilidad con mdoc de Apple para los desarrolladores y las empresas, cómo funciona a un alto nivel y cómo prepararse para su llegada en iOS 26.

En el corazón de este nuevo paradigma de identidad se encuentra el mdoc (documento móvil), un formato estandarizado para credenciales de identidad digital almacenadas en la Wallet de Apple, como un permiso de conducir móvil (mDL) o una identificación corporativa.

Una característica clave del estándar mdoc es la divulgación selectiva, que permite a los usuarios compartir solo los campos de datos específicos necesarios para una transacción (por ejemplo, solo "mayor de 21 años") en lugar de su identificación completa. Esta capacidad que preserva la privacidad está definida por los estándares ISO 18013-5 e ISO 18013-7, que rigen cómo se estructuran, aseguran y presentan los mdocs en línea.

La API de Credenciales Digitales de W3C sirve como puente entre los sitios web y la Wallet de Apple del usuario. Cuando un sitio web necesita verificar la identidad de un usuario, ya no requiere una aplicación personalizada ni redireccionamientos. En su lugar, el proceso es orquestado por el navegador.

El flujo de verificación típico es el siguiente:

1. Inicio de la solicitud: Un sitio web o una aplicación web llama a la API de JavaScript (navigator.credentials.get()) para solicitar una credencial específica, como una prueba de edad de un mDL.
2. Transferencia al sistema: iOS 26 intercepta esta llamada e invoca la interfaz nativa de la Wallet de Apple.
3. Consentimiento del usuario: Al usuario se le presenta un aviso seguro a nivel del sistema operativo que muestra exactamente qué información se está solicitando (por ejemplo, "Este sitio está solicitando la verificación de tu edad"). El usuario debe autenticarse con Face ID o Touch ID para dar su consentimiento.
4. Transferencia segura de datos: Tras el consentimiento, la wallet entrega solo los datos solicitados al navegador, que luego se pasan al sitio web para su verificación.

Todo este flujo está diseñado para ser seguro y sin interrupciones, eliminando la necesidad de que los usuarios suban fotos de identificaciones físicas o rellenen formularios.

• Menos fricción y mayor conversión: Simplifica drásticamente los procesos de incorporación y verificación.
• Seguridad mejorada y reducción del fraude: Se basa en credenciales firmadas criptográficamente por emisores de confianza (por ejemplo, las DGT), minimizando el riesgo de identificaciones falsas.
• Cumplimiento simplificado: Solicitar solo los atributos necesarios ayuda a cumplir con los requisitos de minimización de datos bajo regulaciones como el RGPD y la CCPA.
• Interoperabilidad: Construido sobre estándares globales (W3C, ISO), asegurando la compatibilidad entre las plataformas que los adopten.

• Control total y privacidad: Los usuarios consienten explícitamente cada vez que se comparten sus datos.
• Comodidad: Elimina la necesidad de llevar tarjetas físicas o introducir manualmente la información de identidad.
• Seguridad mejorada: Reduce el riesgo de compartir datos en exceso y de ataques de phishing.

Aunque la implementación técnica profunda se trata en nuestra guía de la API de Credenciales Digitales, los desarrolladores y los gerentes de producto deberían empezar a prepararse ya.

Estos son los pasos estratégicos clave:

1. Identificar casos de uso: Señala los procesos en el recorrido de tu usuario que actualmente dependen de la verificación de identidad manual (por ejemplo, creación de cuentas, contenido con restricción de edad, transacciones de alto valor) y que se beneficiarían de comprobaciones de identidad digital instantáneas y de alta seguridad.
2. Revisar las necesidades de datos: Audita los atributos de identidad que recopilas actualmente. Con la compatibilidad con mdoc de Apple, planea la transición para solicitar solo los datos mínimos necesarios para cada transacción.
3. Formar a tu equipo: Familiariza a tus equipos de desarrollo y cumplimiento con los estándares relevantes, incluyendo ISO 18013-5 para mdocs y el marco de Credenciales Digitales de W3C.
4. Planificar la verificación en el backend: La credencial devuelta por la API debe ser verificada criptográficamente en tu backend para asegurar su autenticidad e integridad. Planifica la lógica del lado del servidor necesaria para procesar estas credenciales.

La decisión de Apple de integrar mDocs directamente en la web a través de su wallet nativa tiene implicaciones estratégicas significativas para el panorama más amplio de la identidad digital.

Al priorizar mdoc (ISO 18013-5), Apple lo establece como el estándar principal para las identificaciones verificables emitidas por el gobierno (como los permisos de conducir) en la web. Esto le da al formato mdoc un enorme impulso para los casos de uso de identidad oficial.

Sin embargo, esto no disminuye el papel de otros formatos como las Credenciales Verificables (VCs) de W3C, a menudo basadas en SD-JWT o JWT-VC. Estos formatos son críticos para credenciales no gubernamentales como diplomas universitarios, insignias de empleados o entradas para eventos. La propia API de Credenciales Digitales está diseñada para ser extensible, lo que significa que podría admitir estos otros formatos en el futuro. El resultado inmediato es un ecosistema dual: mdoc para las identificaciones oficiales y otros formatos de VC para el resto, todos potencialmente accesibles a través del mismo estándar web subyacente.

La integración nativa le da a la Apple Wallet una ventaja distintiva, convirtiéndola en la opción predeterminada y más fluida para los usuarios de iOS. Esto presenta un desafío para las aplicaciones de wallet de terceros.

Aunque teóricamente la API podría permitir a los usuarios elegir una wallet predeterminada diferente, es difícil competir con la experiencia nativa del sistema operativo. Los proveedores de terceros probablemente necesitarán depender de protocolos alternativos como OpenID4VP iniciados a través de enlaces universales, lo que puede resultar en una experiencia de usuario menos integrada (por ejemplo, requiriendo cambiar de aplicación). Este movimiento consolida el papel central de la Wallet de Apple, obligando a otros proveedores a diferenciarse a través de características especializadas, soluciones empresariales o centrándose en tipos de credenciales que Apple aún no ha priorizado.

La compatibilidad con mdoc de Apple en iOS 26 es más que una API. Es un cambio hacia una internet más segura, privada y centrada en el usuario. Al adoptar estándares abiertos, Apple ha allanado el camino para un futuro en el que las credenciales digitales verificables reemplacen los métodos de verificación de identidad obsoletos e inseguros.

Para las empresas, esta es una oportunidad para construir experiencias de usuario de próxima generación basadas en la confianza y la transparencia. Empieza a explorar hoy mismo cómo las credenciales digitales de Apple pueden transformar tus servicios.