Credenciales digitales y passkeys: en qué se parecen y en qué se diferencian

• 🔑 Passkeys: para inicios de sesión seguros. Demuestran quién eres (autenticación) y combaten eficazmente el phishing.
• 📄 Credenciales digitales: para pruebas verificables. Demuestran datos sobre ti (atestación, p. ej., tu identificación, tus habilidades) y tú controlas lo que se comparte.
• 🤝 En qué se parecen: ambas usan criptografía robusta para una mayor seguridad y una experiencia de usuario más fluida en comparación con las contraseñas.
• 🎯 En qué se diferencian: las passkeys sirven principalmente para acceder a servicios. Las credenciales digitales, para proporcionar información verificada sobre ti.

El panorama digital está cambiando a gran velocidad. Este cambio no solo se debe a que las contraseñas tradicionales y los secretos compartidos siguen fallando, sino también a que los ataques como el phishing y los deepfakes generados por IA son cada vez más sofisticados y difíciles de detectar. Estas amenazas avanzadas pueden engañar incluso a los usuarios más precavidos y hacer que los métodos antiguos de verificación de identidad dejen de ser fiables. Esto demuestra claramente que la prueba criptográfica digital es la única forma verdaderamente segura de confirmar la identidad de alguien. En esta difícil situación, necesitamos urgentemente formas más seguras, fáciles de usar y criptográficamente verificables de interactuar en línea. Esta necesidad ha dado protagonismo a dos tecnologías clave: las passkeys, que ya se usan ampliamente, y las credenciales digitales, que apenas están despegando. Estas tecnologías no se basan en afirmaciones que verifican los humanos (cada vez más fáciles de falsificar), sino que utilizan pruebas criptográficas verificables por máquinas para generar confianza real.

Las passkeys experimentaron un gran aumento en su uso durante 2023-2025, gracias al fuerte respaldo de grandes empresas como Apple, Google y Microsoft, además de la FIDO Alliance. Basadas en el sólido estándar WebAuthn del W3C, las passkeys suponen un cambio fundamental respecto a los secretos compartidos y débiles. En lugar de contraseñas, utilizan criptografía de clave pública. En este sistema, una clave privada, almacenada de forma segura en el dispositivo del usuario, firma los desafíos del relying party (RP). Esto demuestra que el usuario posee la clave sin revelarla.

Esta criptografía hace que las passkeys sean muy difíciles de suplantar mediante phishing, una gran ventaja, ya que los ataques de phishing son cada vez más astutos y a veces usan deepfakes para parecer más reales. Como una passkey está vinculada al sitio web o la aplicación específica para la que se creó, los usuarios no pueden usarla accidentalmente en sitios falsos. Este es un problema común con los métodos de inicio de sesión más antiguos, que son vulnerables a estos trucos avanzados. Las passkeys también evitan la reutilización de contraseñas y los peligros del credential stuffing tras las filtraciones de datos. Más allá de la seguridad, las passkeys mejoran mucho el inicio de sesión: es más rápido y a menudo solo requiere un escaneo biométrico (como Face ID o la huella dactilar), por lo que los usuarios no tienen que recordar ni escribir contraseñas largas. Esta combinación de mayor seguridad y facilidad de uso ha hecho que se popularicen rápidamente.

Al mismo tiempo, se ha empezado a hablar mucho más de las credenciales digitales, a menudo guardadas en wallets de identidad digital. El Wallet de Identidad Digital de la UE (EUDI Wallet) es un buen ejemplo de esta tendencia.

A diferencia de las passkeys, que sirven principalmente para la autenticación (demostrar quién eres al probar que controlas una clave privada), las credenciales digitales (basadas en estándares como las Credenciales Verificables (VC) del W3C o los mdocs de la ISO) se centran en la atestación criptográficamente verificable (demostrar qué es cierto sobre ti con afirmaciones firmadas digitalmente). Poder verificar estas afirmaciones de forma robusta es importante, sobre todo ahora que los deepfakes pueden crear falsificaciones convincentes de las pruebas tradicionales. Sin comprobaciones criptográficas, incluso a los expertos les puede resultar difícil distinguir lo que es real. Permiten a las personas llevar y mostrar digitalmente información verificada (como su nombre, fecha de nacimiento, permiso de conducir, títulos académicos o certificados profesionales) de una manera criptográficamente segura, que respeta la privacidad (permitiendo a los usuarios compartir solo lo necesario) y que puede ser comprobada por máquinas.

El auge de ambas tecnologías no es una coincidencia. Refleja un movimiento más amplio en la industria para alejarse de los sistemas de identidad centralizados y basados en contraseñas, hacia un modelo más descentralizado, centrado en el usuario y basado en la confianza criptográfica. Las contraseñas son un punto débil conocido en la seguridad online. Las formas antiguas de compartir datos de identidad suelen ser engorrosas, inseguras o comparten demasiados datos, lo que perjudica la privacidad del usuario. Las passkeys solucionan directamente la debilidad de la autenticación. Las credenciales digitales se ocupan de compartir atributos de forma segura y con el control del usuario. Ambas utilizan una criptografía similar y dependen cada vez más de la integración de plataformas y del hardware seguro, lo que demuestra un esfuerzo conjunto por mejorar considerablemente nuestros sistemas de identidad digital.

Aunque las passkeys se encargan del "inicio de sesión" y las credenciales digitales de "probar atributos", utilizan fundamentos criptográficos similares y desempeñan papeles complementarios en el establecimiento de interacciones digitales de confianza. Esto es algo que realmente necesitamos, ya que las amenazas actuales, como el phishing sofisticado y los deepfakes, hacen que las formas más antiguas y no criptográficas de verificar la identidad sean inseguras. Esto nos lleva a la pregunta principal: ¿cómo se conectan las passkeys y las credenciales digitales, y cómo pueden funcionar juntas en situaciones cotidianas del usuario?

Este artículo explora esta sinergia. Examinaremos sus diferencias y similitudes, los protocolos que las habilitan, su dependencia compartida del hardware seguro y cómo pueden entrelazarse en escenarios como el registro de usuarios, el inicio de sesión con autenticación step-up y la migración de dispositivos. También abordaremos cómo los nuevos estándares de navegador, como la API de Credenciales Digitales, pretenden tender un puente entre estos dos mundos. Este artículo se centra específicamente en la interacción entre estas tecnologías, complementando la exploración técnica más profunda de la API de Credenciales Digitales ya disponible.

Para entender cómo las passkeys y las credenciales digitales pueden funcionar juntas, es esencial comprender primero sus características distintivas y las capas tecnológicas que las sustentan.

La siguiente tabla ofrece una comparación de alto nivel:

Esta comparación destaca que, si bien ambas aprovechan la criptografía para generar confianza, sus funciones principales y patrones de uso típicos difieren significativamente. Las passkeys están optimizadas para una autenticación frecuente y segura, mientras que las credenciales digitales destacan en la provisión de atributos verificables con el consentimiento del usuario.

Las passkeys cobran vida a través de la interacción de varios estándares clave:

• WebAuthn (Web Authentication): Este estándar del W3C define la API de JavaScript que las aplicaciones web utilizan para interactuar con los autenticadores para registrar (navigator.credentials.create()) y autenticar (navigator.credentials.get()) passkeys. Actúa como puente entre la aplicación web del Relying Party y el navegador o sistema operativo del usuario. WebAuthn amplía la API de gestión de credenciales general del W3C.

• CTAP (Client to Authenticator Protocol): Definido por la FIDO Alliance, CTAP especifica cómo el cliente (navegador o SO) se comunica con el dispositivo autenticador. Podría ser un autenticador de plataforma integrado en el dispositivo (usando hardware seguro como un TPM o Secure Enclave) o un autenticador externo como una llave de seguridad USB o incluso un teléfono actuando como autenticador para otro dispositivo. CTAP2 es la versión alineada con FIDO2 y las passkeys, y es compatible con varios transportes como USB, NFC y Bluetooth de baja energía (BLE).

• Señales de confianza avanzadas y vinculación de dispositivos (consideraciones para passkeys sincronizadas): A medida que las passkeys evolucionaron para poder sincronizarse entre dispositivos ("credenciales multidispositivo"), los Relying Parties (RP) a veces necesitaban identificar el dispositivo físico específico utilizado durante la autenticación para evaluar el riesgo. Las primeras ideas, como las extensiones devicePubKey y supplementalPubKeys, intentaron resolver esto, pero luego se descartaron. El grupo de trabajo de señales de confianza de la FIDO Alliance está desarrollando ahora reemplazos. La idea principal aquí es que un autenticador con una passkey sincronizada también podría crear y usar un segundo par de claves vinculado al dispositivo. Durante la autenticación, el autenticador podría proporcionar firmas tanto de la clave principal sincronizada como de esta segunda clave vinculada al dispositivo. Esto permitiría a los RP reconocer un dispositivo de confianza específico. Esto podría significar menos fricción (p. ej., omitir desafíos adicionales) incluso si la passkey principal está sincronizada en muchos dispositivos, todo sin perder el principal beneficio de las passkeys sincronizadas: la usabilidad entre dispositivos. Aunque todavía no hay un estándar final para esto, dicha característica satisfaría una necesidad clave para los RP que requieren alta seguridad, permitiéndoles detectar mejor el uso de nuevos dispositivos o cumplir con las normas internas de Autenticación Reforzada de Cliente (SCA).

Del mismo modo, el ecosistema de credenciales digitales se basa en un conjunto de protocolos y API emergentes para funcionar:

• API de Credenciales Digitales: Este es un esfuerzo de especificación emergente del W3C que tiene como objetivo extender la API navigator.credentials.get() para permitir que las aplicaciones web soliciten Credenciales Verificables del wallet digital de un usuario de una manera estandarizada. Cumple un propósito similar a WebAuthn pero se centra en las VC en lugar de las passkeys.
• OpenID for Verifiable Presentations (OpenID4VP): Define un protocolo, construido sobre OAuth 2.0, sobre cómo un Verificador (el RP que solicita las credenciales) puede solicitar VCs del Wallet de un Titular. Los elementos clave incluyen la presentation_definition (que especifica las credenciales y afirmaciones requeridas), el Wallet actuando como un servidor de autorización y el vp_token que lleva la Presentación Verificable de vuelta al Verificador.
• OpenID for Verifiable Credential Issuance (OpenID4VCI): Complementando a OpenID4VP, este estándar normaliza cómo un Emisor entrega VCs al Wallet de un Titular, utilizando de nuevo mecanismos de OAuth 2.0. Implica conceptos como Ofertas de Credenciales, flujos de código de autorización o preautorizados, y endpoints de credenciales dedicados.
• Estándares ISO (p. ej., ISO/IEC 18013-7, ISO/IEC 23220): Estos estándares internacionales son particularmente significativos para los permisos de conducir móviles (mDL) y otros tipos de documentos móviles (mdoc). ISO 18013-5 define la estructura de datos principal de mDL y la presentación sin conexión (NFC, BLE), mientras que ISO 18013-7 y 23220 especifican mecanismos de presentación en línea, incluyendo API REST y perfiles de integración con OpenID4VP (Anexo B de 18013-7). Plataformas como Google Wallet y Apple Wallet aprovechan estos estándares ISO.

A pesar de sus diferentes propósitos y protocolos, las passkeys y las credenciales digitales comparten bloques de construcción fundamentales:

• Criptografía asimétrica: Ambas dependen en gran medida de pares de claves pública-privada. Las passkeys utilizan la clave privada para demostrar la posesión durante la autenticación. Las credenciales digitales utilizan la clave privada del emisor para firmar la credencial, asegurando su autenticidad e integridad, y el titular puede usar su clave privada para firmar una presentación que contiene la credencial.
• Hardware seguro: Proteger las claves privadas es primordial. Ambas tecnologías se benefician enormemente de los componentes de hardware seguro integrados en los dispositivos modernos:
  • TPM (Trusted Platform Module): Un chip dedicado que se encuentra a menudo en portátiles y ordenadores de sobremesa, que proporciona generación segura de claves, almacenamiento y operaciones criptográficas. Es comúnmente utilizado por autenticadores de plataforma como Windows Hello.
  • Secure Enclave: El gestor de claves basado en hardware de Apple, aislado del procesador principal en iPhones, iPads y Macs, utilizado para proteger datos sensibles, incluidas las claves privadas de las passkeys.
  • Sistema Android Keystore / StrongBox Keymaster: Android proporciona un Keystore respaldado por hardware, a menudo implementado usando un procesador seguro dedicado (StrongBox Keymaster), que ofrece una fuerte protección para las claves criptográficas en dispositivos Android. Aunque algunos gestores de contraseñas usan el nombre "Strongbox", el elemento de hardware seguro subyacente proporcionado por el SO es el habilitador clave aquí.

El uso de los mismos elementos de hardware seguro (TPM, Secure Enclave, el Keystore respaldado por hardware de Android) tanto para las operaciones de passkeys como potencialmente para asegurar las claves privadas dentro de los wallets digitales crea una sinergia significativa. Las plataformas no necesitan chips seguros separados para cada función. En su lugar, pueden usar una única base de hardware robusta y las API del sistema operativo relacionadas (como las del Keystore de Android o el Secure Enclave de Apple) para proteger fuertemente tanto las credenciales de autenticación (passkeys) como las credenciales de atestación (VCs). Esto facilita el desarrollo, mejora la consistencia de la seguridad y aprovecha bien las inversiones existentes en la plataforma.

Además, la API de gestión de credenciales del navegador (navigator.credentials) es una capa organizativa clave. Primero extendida por WebAuthn para las passkeys, ahora está siendo ampliada por la API de Credenciales Digitales para las VCs. Esto apunta a un plan claro: dar a los RP una forma principal de solicitar diferentes credenciales, y dar a los usuarios una forma familiar de elegirlas (como a través del gestor de credenciales de Android o los gestores de contraseñas integrados en el navegador). Esto ocultaría los complejos detalles técnicos de protocolos como CTAP, OID4VP e ISO, facilitando las cosas para desarrolladores y usuarios.

Desde la perspectiva de un Relying Party (RP), entender cómo integrar y aprovechar eficazmente las passkeys y las credenciales digitales es crucial para mejorar la seguridad, la experiencia del usuario y cumplir con los requisitos regulatorios. Esta sección analiza cómo los RP pueden desplegar estas tecnologías en diferentes escenarios y ecosistemas comunes.

La estrategia de integración óptima para passkeys y credenciales digitales varía significativamente según el caso de uso específico y su perfil de riesgo y requisitos asociados. La siguiente tabla proporciona una comparación de alto nivel entre escenarios comunes:

Comparación de escenarios de ecosistema

Leyenda:

• Rol de la VC 🆔: Describe el rol durante la interacción principal, reconociendo que las VCs se usan a menudo para el registro inicial/KYC en todos los escenarios.
• ¿Vinculación al dispositivo? 🔗: Se refiere a la necesidad de una vinculación explícita al dispositivo más allá de la vinculación de origen estándar de las passkeys, particularmente relevante para las passkeys sincronizadas.
• Mandato del EUDI Wallet de la UE*: Este escenario refleja los requisitos de la próxima regulación eIDAS 2, que se espera que se aplique ~36 meses después de que los actos de implementación finales entren en vigor (probablemente a finales de la década de 2020).

Esta comparación proporciona una visión general rápida; las siguientes secciones profundizan en los detalles de cada escenario desde la perspectiva de integración del RP.

• Objetivo: Acceso rápido y de baja fricción con una buena seguridad de base.
• Flujo probable:
  • Autenticación primaria: Las passkeys dominarán. Su resistencia al phishing y su UX fluida (a menudo solo un dato biométrico/PIN) las hacen ideales para reemplazar las contraseñas en escenarios de inicio de sesión frecuentes.
  • Rol de las credenciales digitales: Mínimo para el inicio de sesión principal. Las VCs podrían usarse opcionalmente después del inicio de sesión para acciones específicas como la verificación de edad (p. ej., comprar productos restringidos), la personalización basada en atributos verificados (p. ej., estado de lealtad) o para completar el perfil de forma acelerada durante el registro inicial.
• Interacción: La passkey se encarga del inicio de sesión principal; las VCs se reservan para interacciones opcionales basadas en atributos.

• Objetivo: Inicio de sesión de alta seguridad y, cuando sea necesario, aserción de identidad verificada.
• Flujo probable:
  • Passkeys como 2FA/MFA autónomo: Las passkeys cumplen inherentemente los requisitos de autenticación de dos factores cuando se produce la verificación del usuario (PIN/biometría) durante la ceremonia de inicio de sesión. Combinan:
    • Posesión: Prueba de control sobre la clave privada.
    • Conocimiento/Inherencia: Verificación del usuario mediante PIN o biometría. Esto hace que el inicio de sesión con passkey sea en sí mismo un método MFA fuerte y resistente al phishing, suficiente para muchos escenarios de alta seguridad sin necesidad de un segundo paso separado solo para lograr el 2FA.
  • Step-Up para la verificación de identidad (una sola vez): La principal necesidad de un paso adicional con credenciales digitales surge cuando el servicio debe verificar explícitamente la identidad más allá de simplemente autenticar a un usuario que regresa. Este tipo de comprobación criptográfica fuerte es vital cuando los deepfakes pueden falsificar de manera convincente la identificación visual o documental. Solo la prueba criptográfica digital de una fuente confiable puede confirmar un atributo de manera fiable. Esto podría ser necesario:
    • Durante el registro inicial.
    • Para acciones específicas de alto riesgo que requieren atributos de identidad confirmados. En estos casos, el RP solicita una Credencial Verificable específica (p. ej., un PID, credencial de identidad nacional) desde el wallet del usuario después del inicio de sesión con passkey.
  • Identidad para la recuperación: Una vez que la identidad de un usuario ha sido verificada de forma robusta (p. ej., mediante un step-up de presentación de VC), esta información de identidad verificada podría aprovecharse en flujos de recuperación de cuenta seguros. Por ejemplo, si un usuario pierde todos sus autenticadores de passkey, presentar una credencial de identidad de alta seguridad podría ser parte de un proceso para recuperar el acceso y registrar nuevas passkeys.
• Interacción: Las passkeys proporcionan un 2FA/MFA robusto y autónomo para la autenticación. Las VCs se utilizan estratégicamente para la verificación explícita de la identidad cuando es necesario, y esta identidad verificada también puede respaldar mecanismos seguros de recuperación de cuenta.

• Objetivo: Checkout o iniciación de pago simplificados y seguros, minimizando la fricción del usuario.
• Flujo probable:
  • Autenticación para el pago: Las passkeys son ideales para autenticar al usuario en su cuenta de Proveedor de Servicios de Pago (PSP) (p. ej., PayPal) o directamente dentro del flujo de checkout del comerciante. Esto reemplaza las contraseñas y proporciona una confirmación rápida y segura para iniciar el pago.
  • Registro/KYC: Las VCs siguen siendo cruciales durante la fase de registro o configuración de la cuenta con el PSP o el comerciante, proporcionando información de identidad verificada (comprobaciones KYC/AML) necesaria para habilitar las capacidades de pago en primer lugar.
  • Preocupaciones sobre la fricción en la transacción: Introducir un paso de presentación de Credencial Verificable por separado durante el flujo de autorización de pago principal (que requiere interacción con un wallet de identidad digital) añadiría una fricción significativa en comparación con un paso de confirmación de passkey fluido. Esta interrupción en la experiencia del usuario probablemente perjudicaría las tasas de conversión y, por lo tanto, no es adecuada para los escenarios de pago típicos de baja fricción.
• Interacción: La passkey asegura la autenticación para el acto de pago en sí. Las VCs se encargan de la necesaria, y a menudo única, prueba de identidad/KYC requerida para establecer la cuenta de pago, pero se mantienen fuera del paso crítico y sensible a la fricción de la confirmación del pago. (El complejo tema de usar credenciales digitales directamente como instrumentos de pago, incluyendo cómo los diferentes tipos de wallets y las API de navegador emergentes podrían habilitar o interactuar con dichas VCs específicas de pago, se explora en detalle en nuestro próximo artículo complementario: Credenciales digitales y pagos).

• Objetivo: Acceso bancario seguro con una reducción significativa del fraude, particularmente el relacionado con el phishing, mediante la actualización de los métodos de autenticación heredados.
• Flujo probable:
  • Reemplazo de MFA heredado: Muchas instituciones financieras actualmente dependen de contraseñas combinadas con segundos factores vulnerables al phishing como los OTP por SMS. Las passkeys ofrecen una alternativa muy superior, proporcionando una autenticación fuerte que es inherentemente resistente al phishing en un solo gesto del usuario.
  • Inicio de sesión primario con passkeys: Adoptar passkeys para el inicio de sesión primario mejora inmediatamente la seguridad debido a su resistencia al phishing. La naturaleza criptográfica de las passkeys mitiga los vectores de ataque más comunes que afectan a las credenciales tradicionales.
  • Step-Up basado en el riesgo - Consideración cuidadosa de las señales del dispositivo: Para operaciones de mayor riesgo (p. ej., grandes transferencias, cambio de datos de contacto), las instituciones financieras pueden considerar la verificación step-up. Si bien las señales de vinculación de dispositivos asociadas con las passkeys son una opción, su necesidad debe evaluarse cuidadosamente. La resistencia al phishing de la autenticación primaria con passkey mitiga en gran medida muchos riesgos.
  • Seguridad basada en resultados y reducción de fraude: La reducción significativa del riesgo de phishing lograda por las passkeys es un factor crítico. Un enfoque de la seguridad basado en resultados, centrado en la fortaleza y la resistencia al phishing del método de autenticación, puede conducir a una reducción sustancial del fraude. El peso de un factor resistente al phishing como una passkey es considerablemente mayor que añadir más factores vulnerables al phishing. Esto debe ser central en la estrategia de una institución financiera al migrar desde métodos más antiguos.
  • VCs para registro/prueba de identidad: Como en otros escenarios, las VCs siguen siendo esenciales para un robusto KYC/AML inicial y para actualizar de forma segura los atributos de identidad del cliente utilizando información verificada, estableciendo una base de confianza para la relación bancaria.
• Interacción: Las passkeys sirven como un método de autenticación primario potente y resistente al phishing, reduciendo drásticamente el riesgo de fraude de los sistemas heredados. Las señales de dispositivo para el step-up son una opción táctica. La fortaleza inherente de las passkeys debe informar una postura de seguridad basada en el riesgo, reduciendo potencialmente la dependencia excesiva de factores adicionales y menos resistentes al phishing. Las VCs proporcionan una garantía de identidad fundamental.

• Objetivo: Cumplir con las regulaciones de eIDAS 2 (Art 5f) que requieren la aceptación del Wallet de Identidad Digital de la UE por parte de Relying Parties específicos (organismos públicos, grandes entidades privadas en sectores regulados, VLOPs), permitiendo tanto el inicio de sesión con seudónimo que preserva la privacidad como la verificación de identidad/atributos de alta seguridad cuando sea legalmente requerido.
• Flujo probable:
  • Inicio de sesión con seudónimo (por defecto): El usuario inicia el login. El RP solicita la autenticación a través del EUDI Wallet. El wallet utiliza su "clave de seudónimo" integrada –una clave residente de WebAuthn vinculada al hardware, con alcance de RP y almacenada en el elemento seguro certificado del dispositivo (WSCD)– para autenticar al usuario. Esto proporciona una autenticación fuerte y compatible con SCA (posesión + verificación del usuario) manteniendo la identidad civil del usuario seudónima por defecto.
  • Step-Up para identidad/atributos (legalmente requerido): Si y solo si el RP tiene una base legal específica bajo la ley de la Unión o nacional (p. ej., PSD2, AML, registro de telecomunicaciones) para requerir la verificación de identidad o atributos específicos, inicia un segundo paso. El RP solicita una presentación (a través de OpenID4VP) de los Datos de Identificación de la Persona (PID) o la Atestación Cualificada de Atributos (QAA) necesarios desde el wallet. El usuario debe consentir explícitamente compartir estos datos identificados.
  • Autenticación del Wallet y del RP: El flujo implica una autenticación mutua. El RP se autentica ante el wallet (basado en su registro oficial), y el wallet atestigua su autenticidad y la validez de la credencial ante el RP, aprovechando el hardware seguro (WSCD) y la infraestructura de certificación asociada.
• Interacción: El EUDI Wallet actúa como un autenticador unificado. Su passkey WebAuthn integrada (clave de seudónimo) gestiona el inicio de sesión estándar, ofreciendo una autenticación fuerte y que preserva la privacidad. Las capacidades de VC del wallet se invocan selectivamente para la divulgación explícita y legalmente obligatoria de identidad o atributos, asegurando la minimización de datos por defecto.

Navegar por este panorama en evolución requiere una planificación estratégica. Aquí hay consideraciones clave para los Relying Parties (RP).

Para los RP, la acción principal hoy debería ser habilitar y fomentar el uso de passkeys para la autenticación. Las passkeys están estandarizadas, ampliamente soportadas por las plataformas y ofrecen beneficios inmediatos y grandes en seguridad (resistencia al phishing) y experiencia de usuario (inicios de sesión más rápidos y fáciles). Esto significa menos dependencia de las contraseñas y de métodos MFA inseguros como los OTP por SMS. También puede reducir los costes de soporte por restablecimiento de contraseñas y recuperación de cuentas. Apuntar a un uso amplio de passkeys establece una base moderna y segura para la autenticación de usuarios. Aunque la adopción puede ser lenta al principio, educar a los usuarios sobre los beneficios de antemano y facilitar el registro puede ayudar a que empiecen a usarlas.

Aunque las passkeys por sí mismas ofrecen un paso significativo hacia una autenticación robusta y pueden cumplir con los requisitos de Autenticación Reforzada de Cliente (SCA), algunas organizaciones pueden tener marcos de cumplimiento internos con interpretaciones aún más estrictas o preocupaciones específicas, particularmente en lo que respecta a las passkeys sincronizadas. Para los Relying Parties (RP) que se enfrentan a tales escenarios donde los departamentos de cumplimiento buscan garantías adicionales, es útil saber que se pueden complementar las implementaciones de passkeys con medidas adicionales. Estas pueden ayudar a abordar las brechas percibidas de SCA o satisfacer esos requisitos internos más elevados. Una estrategia común es aprovechar las señales de confianza del dispositivo, un enfoque adoptado por servicios como PayPal.

PayPal, por ejemplo, permite a los usuarios marcar un dispositivo como "recordado" como se describe en su página de ayuda:

Esto significa que si un usuario inicia sesión con su contraseña (algo que sabe) desde un dispositivo recordado (algo que tiene), PayPal puede considerar esto suficiente para la SCA en muchos casos. Sin embargo, también afirman: "Puede haber casos en los que aún le pidamos otra verificación para garantizar que su cuenta esté segura". Esto podría implicar el envío de un código de un solo uso por SMS o solicitar una confirmación a través de la aplicación de PayPal.

Este enfoque permite una experiencia de usuario más fluida en dispositivos de confianza, al tiempo que proporciona mecanismos para la autenticación step-up cuando los riesgos son mayores o las regulaciones lo exigen. Los RP pueden considerar modelos similares, donde una combinación de autenticación primaria (como una passkey) y confianza en el dispositivo (potencialmente gestionada fuera de los mecanismos directos de WebAuthn si es necesario) puede ayudar a cerrar las brechas de cumplimiento de SCA. Sin embargo, para un enfoque más integrado y estandarizado de las señales de confianza específicas del dispositivo dentro del propio marco de WebAuthn, la atención se centra en los desarrollos en curso en ese espacio.

En cuanto a tales enfoques integrados en WebAuthn para una mayor confianza en el dispositivo, los RP en entornos de alta seguridad deben comprender la historia y la dirección futura. Las propuestas de extensión de WebAuthn pasadas, como devicePubKey y supplementalPubKeys, tenían como objetivo proporcionar estas señales de confianza específicas del dispositivo. Eran intentos de abordar las consideraciones de seguridad de las passkeys sincronizadas, que, si bien ofrecen una usabilidad crucial para la adopción masiva, introducen perfiles de riesgo diferentes (p. ej., dependencia de la recuperación de la cuenta en la nube) en comparación con las claves vinculadas al dispositivo. La idea detrás de tales extensiones era permitir que los RP obtuvieran una capa adicional de seguridad al verificar una firma de una clave específicamente vinculada al dispositivo físico que se está utilizando, incluso cuando la passkey principal en sí está sincronizada.

Aunque estas extensiones específicas (devicePubKey y supplementalPubKeys) han sido discontinuadas, el desafío de obtener señales de vinculación de dispositivo más fuertes para las passkeys sincronizadas persiste. Por lo tanto, los RP deben monitorear el desarrollo y la estandarización de soluciones de seguimiento en este espacio. Dichas soluciones podrían ayudar a los RP a juzgar mejor el riesgo (p. ej., distinguir un inicio de sesión desde un dispositivo conocido y de confianza de uno recién sincronizado) sin obligar a todos los usuarios a usar passkeys vinculadas al dispositivo, que son menos convenientes. Este contexto presenta a los RP una elección más compleja que simplemente "sincronizadas vs. vinculadas al dispositivo". Las passkeys sincronizadas (generalmente compatibles con AAL2) ofrecen la mayor comodidad y la mejor oportunidad de adopción, vital para las aplicaciones de consumo. Las passkeys vinculadas al dispositivo (posiblemente AAL3) brindan la máxima seguridad, pero pueden ser más difíciles de usar. El objetivo de las extensiones discontinuadas era encontrar un término medio: mejorar la seguridad de las claves sincronizadas agregando una señal de confianza específica del dispositivo. Esto podría ayudar a reducir algunos riesgos si la sincronización en la nube se ve comprometida, sin perder toda la comodidad de la sincronización. Por lo tanto, los RP deben buscar soluciones de seguimiento que apunten a hacer esto. La mejor estrategia dependerá de la tolerancia al riesgo específica de un RP, su base de usuarios y la madurez de los nuevos estándares.

Más allá de los mecanismos específicos dentro de WebAuthn para la confianza del dispositivo, algunos Relying Parties (RP), particularmente aquellos en sectores como la banca, los seguros y los servicios de pago, están comenzando a evaluar las credenciales digitales (Credenciales Verificables o VCs) como un componente complementario, o incluso como el siguiente paso, en sus estrategias de identidad y seguridad.

Un factor significativo que impulsa este interés es la robusta vinculación de dispositivos a menudo asociada con las credenciales digitales, especialmente cuando se gestionan dentro de wallets de identidad digital seguros. Estos wallets pueden aprovechar la seguridad respaldada por hardware (como Secure Enclaves o TPMs) para proteger las credenciales y las claves privadas utilizadas para presentarlas. Los emisores y los proveedores de wallets también pueden aplicar políticas que hacen que ciertas credenciales de alto valor estén inherentemente vinculadas al dispositivo, ofreciendo un nivel de control que es atractivo para escenarios de alta seguridad.

Es crucial reconocer que, si bien esta capacidad mejorada de vinculación de dispositivos es una característica convincente para estos RP, el propósito principal de las credenciales digitales (atestación de atributos y afirmaciones) es distinto del de las passkeys (autenticación del usuario). Las passkeys confirman quién es el usuario, mientras que las credenciales digitales confirman qué es cierto sobre el usuario. A pesar de esta diferencia fundamental en el propósito, las sólidas características de seguridad de las VCs guardadas en un wallet las convierten en un área de consideración activa para los RP que buscan añadir capas adicionales de seguridad. Esto lleva naturalmente la discusión hacia los proveedores de estos wallets de identidad digital y el ecosistema que permite la emisión, el almacenamiento y la presentación de dichas credenciales.

Mientras que las passkeys ofrecen autenticación directa, las credenciales digitales (VCs) se gestionan y presentan a los Relying Parties a través de wallets de identidad digital. Estos wallets, ya sean soluciones nativas de la plataforma (como Apple Wallet, Google Wallet) o aplicaciones de terceros (como el EUDI Wallet), están evolucionando para usar estándares de navegador emergentes como la API de Credenciales Digitales para una verificación de identidad en línea más fluida (p. ej., comprobaciones de edad, compartir atributos de ID digital).

La mecánica detallada de los diferentes tipos de wallets, las estrategias específicas de la plataforma para la integración de VCs (incluido el enfoque de Apple en mDoc para las interacciones del navegador frente al soporte más amplio de OpenID4VP de Android a través de su Credential Manager), cómo estos wallets facilitan la atestación de atributos y las consideraciones completamente separadas para cualquier funcionalidad de pago son temas complejos. Estos se exploran en profundidad en nuestro próximo artículo complementario: Credenciales digitales y pagos.

Este artículo actual mantiene su enfoque en la interacción fundamental entre las passkeys para la autenticación y el papel general de las credenciales digitales para la atestación de atributos.

Las passkeys y las credenciales digitales, aunque diferentes en su propósito principal, representan dos pilares de un futuro de identidad digital moderno, más seguro y centrado en el usuario. Entender cómo se relacionan y pueden apoyarse mutuamente es clave para construir la próxima ola de servicios en línea.

Basado en el estado actual y la trayectoria de estas tecnologías, dos acciones clave destacan para los Relying Parties:

• Desplegar passkeys en todas partes hoy: Los estándares son maduros, el soporte de la plataforma es generalizado y los beneficios sobre las contraseñas son claros y sustanciales. Haz de las passkeys el objetivo predeterminado para la autenticación de usuarios para mejorar la seguridad y la usabilidad de inmediato.
• Añadir un step-up con wallet donde importe el AML/KYC: Para procesos que requieren una mayor seguridad o atributos verificados específicos –como cumplir con las regulaciones contra el blanqueo de capitales (AML) / Conozca a su cliente (KYC), realizar una verificación de edad fiable o confirmar cualificaciones profesionales– integra flujos de presentación de Credenciales Verificables para obtener atributos criptográficamente verificables, que son indispensables para confiar en la identidad y las afirmaciones en una era de falsificaciones digitales sofisticadas y deepfakes. Utiliza la API de Credenciales Digitales cuando sea factible, pero implementa alternativas robustas de QR/deep link para asegurar el alcance multiplataforma hasta que la API se estabilice. Esto proporciona una alta seguridad específica sin sobrecargar cada inicio de sesión.

Mirando hacia el futuro, podemos esperar más convergencia y mejoras:

• Portabilidad de credenciales mejorada: Los métodos de transferencia de dispositivo a dispositivo probablemente mejorarán. Esto podría ir más allá de la autenticación entre dispositivos de CTAP 2.2 para passkeys para incluir formas más fluidas de mover VCs entre wallets, aunque la estandarización aquí no está tan avanzada.
• API de navegador consolidadas: La API de Credenciales Digitales probablemente madurará y será soportada de manera más consistente en todos los navegadores. Esto ofrecerá a los RP una forma más estándar de solicitar tanto passkeys como VCs a través de navigator.credentials.
• Experiencia de usuario unificada: En última instancia, los usuarios deberían ver menos diferencia técnica entre autenticarse con una passkey y presentar atributos con una VC. Los gestores de credenciales de la plataforma y los wallets probablemente gestionarán estas interacciones de forma fluida en segundo plano. Utilizarán herramientas criptográficas compartidas y hardware seguro, permitiendo a los usuarios simplemente aprobar solicitudes con indicaciones biométricas o de PIN familiares, sin importar si se utiliza una passkey o una VC. Además, conceptos como la Autenticación Pasiva Continua (CPA), que verifica constantemente a los usuarios en segundo plano utilizando biometría conductual y otras señales, podrían mejorar aún más esta seguridad fluida, trabajando potencialmente junto con autenticadores activos como las passkeys.

Llegar a este futuro integrado requerirá más trabajo en los estándares, en cómo las plataformas los soportan y en cómo las aplicaciones los utilizan. Al usar passkeys ahora y añadir cuidadosamente las credenciales digitales, las organizaciones pueden estar preparadas para este cambio hacia un mundo digital sin contraseñas y que da a los usuarios más control sobre sus datos.