Guía: Comprar vs. Desarrollar una Solución de Passkeys

Descarga gratis la guía completa para Comprar vs. Desarrollar Passkeys y accede a toda la información.

• ✅ Solicitada por equipos de Adidas, Woolworths y Mitsubishi
• ✅ Lista completa de componentes y modelo de costos para decidir entre comprar o desarrollar
• ✅ Marco de decisión práctico de 50 páginas

La idea de desarrollar tu propia implementación de passkeys suena atractiva: control total, integraciones personalizadas y sin dependencia de un proveedor. Después de todo, FIDO2 se basa en estándares abiertos y escribir las primeras líneas de código de WebAuthn parece bastante fácil. ¿Qué tan difícil puede ser en realidad?

Pero aquí es donde a menudo comienza la complejidad, especialmente cuando se planea construir una solución para un escenario de despliegue a gran escala para consumidores con millones de usuarios en industrias como:

• Banca y servicios financieros (p. ej., online, banca, pagos, fintech)
• Gobierno y servicios públicos (p. ej., portales para ciudadanos, plataformas de impuestos y seguridad social)
• Seguros y salud (p. ej., portales para pacientes, plataformas digitales de seguros)
• E-commerce y retail (p. ej., marketplaces, programas de lealtad)
• Telecomunicaciones y servicios públicos (p. ej., operadores móviles, proveedores de energía)
• Viajes y hotelería (p. ej., cuentas de aerolíneas, programas de lealtad de hoteles)

El verdadero desafío comienza después del primer inicio de sesión exitoso con passkey y, a menudo, se revela cuando ya estás implementando tu solución de passkeys. De repente, aparecen cosas como casos límite extraños, errores de usuario confusos y posibles bloqueos de cuentas debido a la no disponibilidad de las passkeys. Lo que parecía una integración sencilla se convierte en meses o incluso años de esfuerzo de desarrollo, costos de mantenimiento inesperados y un proyecto de passkeys potencialmente fallido.

Sin embargo, desarrollar tu propia solución también puede ser la elección correcta para ciertas organizaciones y requisitos específicos. Hemos hablado con docenas de organizaciones sobre sus planes de implementación de passkeys y hemos acompañado a algunas en su viaje de forma práctica. Esta guía ayuda a determinar cuándo un enfoque de passkeys "hazlo tú mismo" (DIY) podría tener sentido y cuándo elegir un proveedor de passkeys establecido es la decisión más inteligente.

Con nuestra Guía para Comprar vs. Desarrollar Passkeys, queremos responder a las siguientes preguntas:

1. ¿Qué componentes se necesitan para implementar passkeys y eliminar las contraseñas?
2. ¿Debería implementar las passkeys internamente o usar un proveedor externo de passkeys?
3. ¿Cuál es el beneficio de tener un proveedor de passkeys cuando existen librerías de código abierto?
4. ¿Cuáles son los mayores desafíos al construir una solución de passkeys?
5. ¿Cuáles son los riesgos de implementar passkeys internamente?

Las contraseñas son obsoletas, inseguras y frustrantes. Las passkeys eliminan los riesgos de phishing, mejoran la experiencia del usuario y simplifican la autenticación, convirtiéndose en el nuevo estándar de inicios de sesión seguros. Ya sea que desarrolles internamente o uses una solución externa, integrar passkeys es una mejora importante para la seguridad y la usabilidad.

Google descubrió que presentar la historia de la facilidad de uso o de la velocidad resuena y funciona. La gente generalmente se queja de iniciar sesión, así que cualquier cosa que haga el proceso más fácil y rápido es una victoria.

Además de estos beneficios de seguridad, existe un enorme potencial para ahorrar costos operativos con las passkeys. Podemos reducir el número de OTP por SMS que se envían a los usuarios, lo que puede acumularse masivamente para grandes bases de usuarios. Además, la carga que las recuperaciones de contraseñas y MFA suponen para tus equipos de soporte al cliente también es un factor de costo que se puede eliminar.

Además, las passkeys mejoran las tasas de éxito y los tiempos de inicio de sesión para los usuarios, lo que finalmente resulta en mejores tasas de conversión, un motor principal para el crecimiento de los ingresos en industrias como el e-commerce, el retail o los viajes.

El objetivo final para muchas organizaciones que consideran la introducción de passkeys es eliminar por completo las contraseñas. Para alcanzar este objetivo, generalmente se deben completar cuatro fases. La velocidad a la que progresan estas fases depende en gran medida de las capacidades técnicas de la organización, los patrones de inicio de sesión y la base de usuarios. En algunos casos, factores externos como la presión pública para introducir una autenticación más segura o las restricciones financieras también pueden jugar un papel.

Repasemos estas cuatro fases y describámoslas, ya que implementar passkeys es solo un paso para asegurar el éxito de un proyecto de passkeys.

El primer paso en la transición a un sistema completamente sin contraseñas es integrar las passkeys como método de inicio de sesión. En esta etapa, las contraseñas y otros métodos de autenticación permanecen como alternativas para garantizar que los usuarios aún puedan acceder a sus cuentas si todavía no han adoptado las passkeys. Una integración exitosa requiere una compatibilidad perfecta con los flujos de inicio de sesión y las políticas de seguridad existentes. Las organizaciones deben centrarse en hacer que la creación de passkeys sea sencilla, asegurando que tanto los usuarios técnicos como los no técnicos puedan adoptar el nuevo método de autenticación sin fricción.

Una vez que se integran las passkeys, el siguiente desafío es impulsar la adopción de passkeys por parte de los usuarios. Muchas organizaciones subestiman la importancia de esta fase, pero sin una adopción generalizada por parte de los usuarios, es probable que un proyecto de passkeys fracase. El objetivo es alentar a la mayor cantidad posible de usuarios a crear y usar passkeys, idealmente convirtiéndolas en el método de inicio de sesión predeterminado.

Las tácticas clave para aumentar la adopción incluyen la educación proactiva del usuario, avisos en la interfaz de usuario que promueven la creación de passkeys y programas de incentivos que recompensan a los usuarios por cambiar. Las organizaciones deben establecer un umbral de adopción crítico, como que el 50-80% de los usuarios activos utilicen passkeys, antes de pasar a la siguiente fase. Para una comprensión más profunda de por qué la adopción es crucial, consulta nuestro artículo dedicado sobre cómo las bajas tasas de adopción pueden poner en peligro tu proyecto de passkeys.

Cuando la adopción de passkeys alcanza una masa crítica, las organizaciones pueden comenzar a eliminar gradualmente las contraseñas. Sin embargo, eliminar las contraseñas demasiado pronto o sin una planificación cuidadosa puede generar problemas de usabilidad y un aumento de las solicitudes de soporte. Se recomienda un enfoque por fases:

• Comienza eliminando las contraseñas de las cuentas donde los usuarios se autentican consistentemente con passkeys.
• Ofrece la eliminación de contraseñas como una opción en la configuración de la cuenta para los primeros adoptantes.
• Usa información basada en datos para identificar a los usuarios que están listos para eliminar por completo las contraseñas. Por ejemplo, los usuarios con múltiples passkeys registradas en diferentes dispositivos pueden ser priorizados para la eliminación de contraseñas.
• Comunica proactivamente los beneficios de la eliminación de contraseñas para generar confianza en el usuario.

Al guiar estratégicamente a los usuarios hacia una autenticación completamente sin contraseñas, las organizaciones pueden maximizar la seguridad sin interrumpir la experiencia del usuario.

Una vez que se eliminan las contraseñas, los mecanismos de recuperación de cuentas deben ser robustos y seguros. Los métodos de recuperación tradicionales a menudo dependen de intervenciones manuales, como tickets de soporte o restablecimientos por correo electrónico, que pueden introducir riesgos de seguridad y costos operativos. Las organizaciones deben implementar soluciones modernas de autoservicio para la recuperación de cuentas que mantengan la seguridad mientras mejoran la experiencia del usuario.

Los elementos clave de la recuperación de cuentas automatizada incluyen:

• Verificaciones de vida (liveness checks): Evitan la toma de control no autorizada de cuentas asegurando que el usuario esté físicamente presente.
• Verificación de identidad: Aprovecha los documentos de identidad emitidos por el gobierno y la verificación biométrica para confirmar la identidad.
• Passkeys de respaldo: Permiten a los usuarios recuperar cuentas usando passkeys de respaldo almacenadas en otros de sus dispositivos.

Muchas organizaciones ya invierten en procesos de recuperación automatizados independientemente de su transición sin contraseñas para reducir costos y mejorar la usabilidad. Sin embargo, en un ecosistema impulsado por passkeys, estos mecanismos se vuelven aún más críticos para mantener la seguridad y reducir la fricción.

Basándonos en estas cuatro fases, ahora evaluaremos la decisión de comprar frente a desarrollar. Por lo tanto, es muy importante para el éxito a largo plazo de tu proyecto de passkeys tener todas las fases en mente y no solo integrar las passkeys (esto todavía puede ser un objetivo, pero entonces dejas sin usar todo el potencial de las passkeys).

La elección entre una solución de passkeys DIY y una externa depende de los recursos técnicos de tu empresa, las prioridades de seguridad, el tamaño de la implementación y la estrategia de passkeys a largo plazo. En la siguiente sección, desglosamos los aspectos clave para tomar la mejor decisión.

La siguiente tabla muestra diferentes criterios de evaluación que necesitas valorar. Según la afirmación con la que te identifiques más, se proporcionan diferentes cantidades de puntos.

Cómo usar la matriz de evaluación:

Para cada criterio, elige si tu empresa necesita una solución más simple o más elaborada.

• Asigna 1 punto por cada respuesta donde la complejidad en tu caso sea la más baja y se alinee más con la descripción de la izquierda.
• Asigna 5 puntos por cada categoría donde tu respuesta se alinee más con la descripción de mayor complejidad de la derecha.
• Si no estás seguro, usa 3 puntos como opción neutral.

Descarga gratis la guía completa para Comprar vs. Desarrollar Passkeys y accede a todos los criterios de evaluación.

Al decidir si desarrollar o comprar una solución de passkeys, es importante considerar todo el proceso, no solo una fase del despliegue de passkeys. Incluso si tu prioridad a corto plazo es ofrecer passkeys como un MVP, debes anticipar las implicaciones a largo plazo, especialmente impulsar la adopción. A continuación, recomendamos cómo usar esta guía e interpretar tus resultados, con énfasis en por qué la adopción importa más que casi cualquier otro factor.

No importa cuán avanzada sea tu solución de passkeys, si los usuarios no la adoptan creando passkeys y usándolas para iniciar sesión, todo el proyecto está en riesgo. En nuestra experiencia, las organizaciones a menudo subestiman el esfuerzo necesario para que los usuarios dejen las contraseñas. Incluso si implementas passkeys sin problemas a nivel técnico, una baja adopción conducirá a:

• Dependencia persistente de las contraseñas, negando los beneficios de seguridad de las passkeys.
• ROI mínimo, ya que el ahorro de costos (menos restablecimientos de contraseña, reducción de OTP por SMS) depende de un uso significativo de passkeys para iniciar sesión.
• Experiencia de usuario fracturada, si la mayoría de los inicios de sesión todavía ocurren a través de métodos tradicionales y solo un pequeño subconjunto usa passkeys.

Normalmente se requiere una alta adopción, a veces del 50 % o incluso más del 80 % de tu base de usuarios, antes de que puedas hacer avances significativos hacia la reducción o eliminación total de las contraseñas. Organizaciones como Google y Amazon establecen objetivos de adopción explícitos y ejecutan sistemáticamente pruebas A/B, campañas de educación para el usuario y avisos en la interfaz de usuario para garantizar que las passkeys sean ampliamente aceptadas. Este esfuerzo concentrado en la adopción no es opcional; es lo que transforma tu despliegue de passkeys de una característica a una ventaja competitiva tangible.

Esta guía está diseñada para ayudarte a tomar decisiones informadas sobre las implementaciones de passkeys en cada etapa del viaje:

1. Fase 1 (Integrar Passkeys): Si simplemente estás considerando si adoptar passkeys y cómo integrarlas, céntrate en los criterios de Desarrollar vs. Comprar para la integración de passkeys.
2. Fase 2 (Aumentar la adopción): Si quieres que las passkeys sean más que una característica, planifica desde el principio para impulsar la adopción del usuario, incluso para un MVP, ya que requiere una inversión tecnológica adicional, a menudo sustancialmente mayor que la implementación inicial.
3. Fase 3 (Eliminar contraseñas): Si eliminar las contraseñas es un objetivo estratégico a largo plazo, asegúrate de que tu arquitectura y flujos de usuario estén diseñados con ese paso final en mente.
4. Fase 4 (Automatizar la recuperación de cuentas): Incluso si no estás listo para eliminar por completo las contraseñas hoy, asegúrate de que tu enfoque de passkeys pueda evolucionar hacia una recuperación robusta y fluida para evitar obstáculos futuros.

De estas, la Fase 2 (Aumentar la adopción) es la más importante. Puedes evaluar cada sección por separado, pero ten en cuenta que tu éxito y ROI a largo plazo a menudo dependen de cuán en serio te tomes la adopción desde el principio.

Si estás en la etapa inicial de decidir implementar passkeys, comienza con la primera sección de la matriz de evaluación (integración de passkeys) y complétala con la dirección, TI, propietarios de productos y otros responsables clave. Pregúntense:

1. ¿Cuál es nuestra tasa de inicio de sesión con passkeys deseada? ¿Es suficiente un 5% para demostrar la viabilidad o necesitamos un 50-80% antes de considerar que las passkeys son un éxito?
2. ¿Tenemos presupuesto y el respaldo de la dirección para realizar pruebas A/B durante meses, ejecutar campañas de optimización, crear materiales educativos y refinar continuamente los flujos de usuario para que los usuarios entiendan y quieran cambiar a passkeys? ¿Hay suficiente capacidad de ingeniería disponible para implementar todos los informes, análisis y pruebas necesarios? ¿Podemos lanzar actualizaciones con la frecuencia suficiente para alcanzar esos objetivos?
3. ¿Cuál es la visión a largo plazo? ¿Nuestro objetivo es eliminar las contraseñas o simplemente ofrecer una alternativa?

Responder a estas preguntas desde el principio asegura que tu proyecto de passkeys no se convierta en un callejón sin salida. Las organizaciones que no planifican la adopción a menudo se encuentran atascadas con las contraseñas durante años, socavando toda la estrategia de seguridad y experiencia del usuario.

En toda la matriz, cada criterio de evaluación puede ubicarte en cualquier lugar desde la complejidad más baja (1) hasta la complejidad más alta (5). Cuantas más de tus respuestas se desplacen hacia y más allá de la zona neutral (3), más fuerte será el argumento para usar un proveedor de passkeys especializado:

• Requisitos de alta complejidad - como métodos de fallback avanzados, cumplimiento estricto, análisis profundos y UX multidispositivo - multiplican tu carga de ingeniería y mantenimiento.
• Fuerte énfasis en la adopción - lograr una alta adopción de passkeys rápidamente o eliminar las contraseñas generalmente requiere flujos de usuario bien probados, telemetría detallada y avisos estructurados.

Estos factores pueden abrumar a los equipos internos, tanto técnica como organizativamente. Una solución de passkeys gestionada a menudo puede ofrecer las mejores prácticas probadas, actualizaciones rápidas y experiencia del mundo real para aumentar la adopción mucho más rápido que un enfoque DIY.

Como especialistas en passkeys, en Corbado tenemos un punto de vista firme. Si las passkeys están en tu hoja de ruta y quieres una implementación de última generación que impulse activamente la adopción, Corbado Connect puede ayudarte a abordar las complejidades a escala. He aquí por qué:

La adopción está integrada en la solución: Nuestra plataforma está diseñada para maximizar la participación del usuario a través de avisos inteligentes, análisis y pruebas A/B continuas que también impulsan el ahorro de costos.

Próximos pasos:

1. Completa cada sección relevante de la matriz de evaluación, considerando tanto los objetivos inmediatos como los de largo plazo.
2. Prioriza la adopción en tu toma de decisiones: alinea con los stakeholders los objetivos de adopción explícitos y los recursos para alcanzarlos.
3. Compara el TCO para soluciones internas vs. de proveedor una vez que entiendas tu complejidad y ambiciones de adopción y sigue tu proceso interno para evaluar si desarrollar o comprar.

4. Consulta a expertos en passkeys (como Corbado) si tus objetivos estratégicos apuntan hacia una plataforma totalmente gestionada que maneje eficazmente tanto los desafíos técnicos como los de adopción.

Al abordar las passkeys de manera integral y hacer de la adopción uno de los objetivos clave, obtendrás los mejores resultados. Eso significa una seguridad más sólida, inicios de sesión simplificados y un camino real hacia un futuro sin contraseñas. Si estás interesado en aprender más sobre Corbado Connect y cómo ayudamos a nuestros clientes a lograr una alta adopción de passkeys, estamos aquí para hablar.

Ahora que hemos ayudado a determinar el enfoque correcto para responder a la pregunta "¿Comprar vs. Desarrollar?", analizamos cómo evaluar el éxito de un despliegue de passkeys. Para ello, definimos los KPI de entrada y de salida de un proyecto de passkeys.

Los KPI de entrada ayudan a rastrear la adopción en la etapa inicial de las passkeys y si se están estableciendo las condiciones necesarias para un uso generalizado. Estos indicadores preceden al comportamiento real de inicio de sesión, pero son cruciales para permitir una adopción significativa y optimizar el despliegue.

Estos KPI de entrada sirven como indicadores principales de la futura adopción de passkeys y permiten a las organizaciones ajustar la educación del usuario, los flujos de UX y la implementación técnica.

Los KPI de resultados (OKR) miden el éxito real de la adopción de passkeys evaluando el comportamiento del usuario, las mejoras operativas y el impacto en el negocio. Estos indicadores reflejan la efectividad en el mundo real de un despliegue de passkeys. La Tasa de Inicio de Sesión con Passkey es un KPI de resultado central porque refleja directamente la adopción y el uso real de las passkeys. Una tasa de inicio de sesión con passkey en aumento indica una incorporación exitosa y una preferencia continua del usuario por las passkeys sobre los métodos de autenticación heredados.

Es importante optimizar principalmente para el éxito del inicio de sesión con passkey y la tasa de inicio de sesión con passkey para garantizar una experiencia de usuario sin fricciones, mientras se trabaja simultáneamente para aumentar las tasas de activación de usuarios, pero solo cuando la tasa de éxito del inicio de sesión es lo suficientemente alta como para evitar introducir frustración en el usuario. Además, el seguimiento de estos KPI por diferentes segmentos (como SO, navegador y dispositivo) y casos de uso específicos (p. ej., inicios de sesión entre dispositivos) puede proporcionar información más profunda sobre los patrones de adopción y los posibles puntos de fricción.

Medir con precisión tanto los KPI de entrada (p. ej., aceptación, creación) como los de salida (p. ej., tasa de inicio de sesión, uso de fallback) requiere recopilar datos de tres fuentes principales:

1. Datos de eventos del frontend
2. Almacén de passkeys / credenciales
3. Registros de autenticación tradicional y fallback

Para calcular métricas como la Tasa de aceptación de passkeys o la Tasa de éxito en la creación de passkeys, debes detectar cuántos usuarios ven un aviso post-inicio de sesión, cuántos hacen clic en "Sí, crear una passkey" y si realmente terminan la creación de la passkey. Esto requiere un seguimiento de eventos de JavaScript (o móvil nativo) para capturar:

• Cuándo y si se muestra el aviso (la primera vez vs. las siguientes)
• Cuánto tiempo tardan en completar el aviso
• Si abortan la ceremonia de creación de la passkey una o varias veces

También necesitarás análisis del user agent o client hints para vincular las tasas de aceptación a versiones específicas de SO / navegador para poder detectar rutas rotas específicas.

Después de que un usuario inicia el registro en el frontend, el servidor debe confirmar si realmente se almacenó una nueva passkey. Necesitarás acceso a la base de datos o a la API de un proveedor de identidad externo que registre el evento de creación de cada credencial. Este repositorio te ayuda a contar cuántas passkeys existen por usuario y a rastrear el resultado final (éxito o fracaso), asegurando que sepas con precisión qué intentos terminaron en registros completados.

Para métricas como la Tasa de fallback, debes observar tus registros y procesos de autenticación actuales. Al unificar estos registros con los eventos del frontend, puedes ver si un usuario inició un inicio de sesión con passkey, recibió un error y cambió al inicio de sesión de fallback (p. ej., SMS o contraseña).

Finalmente, medir los KPI basados en el tiempo, como el Tiempo de inicio de sesión con passkey vs. el Tiempo de inicio de sesión tradicional, depende de las marcas de tiempo tanto del cliente como del servidor. Debido a que muchas organizaciones solo registran los inicios de sesión exitosos, debes agregar instrumentación para los flujos de passkey parciales o fallidos para medir verdaderamente la fricción y el fallback. Integrar estas tres fuentes de datos, respetando las restricciones de privacidad y regulatorias, a menudo es más complejo de lo previsto y es otro factor que lleva a algunos equipos a adoptar plataformas de passkeys especializadas que proporcionan análisis y seguimiento de eventos integrados.

Los componentes de Corbado Connect recopilan implícitamente todos los puntos de datos descritos (cientos de diferentes) generando automáticamente un proceso único para cada usuario que inicia un proceso de autenticación. A través de una integración perfecta, Corbado también recopila métricas de autenticación de tu solución existente. Esta visión holística identifica con precisión las mejoras para los usuarios, proporcionando información completa sobre todos los KPI esenciales de las passkeys sin esfuerzo adicional de tu parte.

Además, los siguientes efectos de los KPI de resultados también deberían aparecer después de un despliegue exitoso de passkeys y la mayoría de las veces ya se recopilan dentro de la empresa:

Métricas operativas y de reducción de costos

• Reducción en el uso de OTP por SMS – Número de OTP por SMS ahorrados debido a la autenticación con passkey (ahorro de costos directo).
• Reducción en las solicitudes de restablecimiento de contraseña – Disminución de las interacciones con el servicio de ayuda relacionadas con contraseñas olvidadas.
• Reducción en los tickets de soporte al cliente – Menor volumen de problemas de servicio al cliente relacionados con la autenticación.
• Reducción en el volumen de llamadas de soporte – Menos llamadas entrantes relacionadas con problemas de acceso a la cuenta.

Métricas de impacto en el negocio y la UX

• Tasas de retención de usuarios – Porcentaje de usuarios que continúan autenticándose después del primer inicio de sesión.
• Tasa de conversión – Con qué frecuencia los usuarios completan transacciones después de la autenticación.
• Tasa de abandono en los embudos de inicio de sesión – Si las passkeys reducen el número de usuarios que abandonan los intentos de inicio de sesión.

Al rastrear específicamente los KPI de entrada y salida de las passkeys y relacionarlos con otros datos, las organizaciones pueden cuantificar el impacto de su despliegue de passkeys y realizar mejoras basadas en datos para maximizar la adopción, reducir costos y mejorar la seguridad.

Elegir la solución de passkeys adecuada depende de tus desafíos específicos, requisitos de seguridad y consideraciones de costos. A continuación se presentan recomendaciones clave para las decisiones de comprar vs. desarrollar en diferentes sectores.

Consideraciones clave:

• El cumplimiento normativo (p. ej., PSD2, SOC 2, ISO 27001, GDPR) requiere medidas de seguridad estrictas en la autenticación con passkey.
• La comparación de costos de las passkeys es crucial, ya que los bancos a menudo subestiman la complejidad y el mantenimiento a largo plazo de las soluciones internas.
• La autenticación segura es esencial para reducir el fraude de toma de control de cuentas y el phishing.

Recomendación: La mayoría de los bancos e instituciones financieras deberían optar por una solución de proveedor de passkeys en lugar de desarrollarla internamente, ya que la gestión de la infraestructura de passkeys internamente introduce complejidades ocultas que superan la experiencia tradicional de TI. Implementar la autenticación con passkey a escala requiere optimizaciones y actualizaciones continuas, gestión de la compatibilidad con WebAuthn e integración perfecta con los sistemas bancarios heredados, todo lo cual los proveedores de passkeys ya manejan.

Bancos como Ubank, Revolut y Finom están liderando el camino en la adopción de passkeys, reconociendo el potencial de la tecnología para mejorar la seguridad mientras mejora la experiencia del usuario. El análisis del ROI de las passkeys a menudo favorece la compra de una solución de passkeys en lugar de invertir en mantenimiento y actualizaciones continuas, con implementaciones que muestran reducciones significativas en los intentos de fraude y los costos de soporte relacionados con la autenticación.

Ejemplos: Armstrong Bank, First Financial Bank, Ubank, Revolut, Finom, Neobank, Cathay Financial Holdings, Stripe, PayPal, Square

Consideraciones clave:

• El cumplimiento de HIPAA y GDPR requiere una seguridad de autenticación estricta en la adopción de passkeys.
• Los desafíos de la implementación de passkeys incluyen equilibrar la seguridad con la facilidad de uso para pacientes, personal médico y administradores de TI del hospital.
• Muchos sistemas de autenticación en el sector salud todavía dependen de infraestructura heredada, lo que hace que la integración de passkeys sea más compleja.

Recomendación: Una solución de proveedor de passkeys es la forma más efectiva de cumplir con los requisitos de cumplimiento mientras se simplifica la autenticación. Los proveedores de passkeys se encargan de los parches de seguridad, las actualizaciones de cumplimiento y la fiabilidad de la autenticación, reduciendo la carga sobre los equipos de TI.

Ejemplos: CVS Health, Caremark, Helsana, NHS, Swica

Consideraciones clave:

• La optimización de la tasa de conversión (CRO) es crítica para el negocio: la fricción en la autenticación impacta directamente en los ingresos.
• Los escenarios multidispositivo deben funcionar sin problemas (los usuarios navegan en el móvil pero completan la compra en el escritorio).
• Los errores de autenticación aumentan directamente las tasas de abandono del carrito, lo que hace que los flujos de inicio de sesión optimizados para la UX sean esenciales.

Recomendación: Las plataformas de e-commerce se benefician más de un proveedor de implementación de passkeys que ofrezca altas tasas de adopción. Plataformas importantes como Amazon y Shopify han implementado la autenticación con passkey, demostrando la creciente adopción de la tecnología en el e-commerce. Los datos del mundo real muestran que más del 27% de los inicios de sesión iniciales con contraseña fallan, mientras que la autenticación basada en passkeys puede alcanzar tasas de éxito de inicio de sesión de hasta el 95-97%, como se demostró en adopciones anteriores. El análisis del ROI de las passkeys muestra que las mayores tasas de conversión y las menores pérdidas por fraude justifican rápidamente la inversión.

Amazon dijo recientemente que establecieron un objetivo ambicioso de adopción del 100% de passkeys y la eliminación completa de las contraseñas.

Google también descubrió que los usuarios de prueba que interactúan con passkeys tienen un 20% más de probabilidades de convertirse en clientes de pago que aquellos que no lo hacen.

Ejemplos: KAYAK, Amazon, Mercari, Best Buy, eBay, Home Depot, Shopify, Target

Consideraciones clave:

• La autenticación entre dispositivos es esencial, ya que los usuarios reservan viajes en un dispositivo y hacen el check-in en otro.
• Los proveedores especialistas en passkeys deben garantizar inicios de sesión rápidos y seguros para reservas, check-ins y gestión de cuentas convenientes.
• La prevención del fraude es una prioridad, ya que las plataformas de viajes manejan transacciones de alto valor.

Recomendación: La mayoría de las empresas de viajes deberían implementar soluciones de passkeys para mejorar la seguridad y la experiencia del usuario. Empresas líderes como Kayak y las principales aerolíneas ya están utilizando la autenticación con passkey para mejorar su experiencia de usuario. Las soluciones preconstruidas proporcionan una detección de fraude más sólida, experiencias de inicio de sesión fluidas y soporte instantáneo para múltiples dispositivos. El sector de la hotelería se beneficia particularmente de la reducción de los tiempos de check-in y la mejora de la seguridad a través de la implementación de passkeys, asegurando una autenticación fluida en todos los puntos de contacto (aplicaciones, quioscos, web y plataformas de socios).

Ejemplos: Air New Zealand, Bolt, Grab, Uber, Hyatt

Consideraciones clave:

• Los costos de implementación de passkeys deben alinearse con las necesidades de cumplimiento y las mejoras en la experiencia del usuario.
• Muchos clientes de seguros no son muy expertos en tecnología, por lo que la experiencia del usuario en todo tipo de dispositivos y navegadores es imprescindible.
• A menudo se requiere la integración de passkeys con la verificación de identidad para la gestión de pólizas y el procesamiento de reclamaciones.

Recomendación: Una solución de passkeys externa es la más adecuada para un despliegue rápido y el cumplimiento normativo. Los proveedores de seguros informan una reducción significativa en los tickets de soporte relacionados con la autenticación después de implementar passkeys. Un proveedor de implementación de passkeys con flujos de autenticación personalizables y verificación de identidad integrada garantiza la seguridad mientras mantiene los inicios de sesión de los clientes simples. El análisis del ROI de las passkeys sugiere que la reducción de los restablecimientos de contraseña y las pérdidas por fraude compensa los costos del proveedor.

Ejemplos: Branch

Consideraciones clave:

• Los más altos estándares de seguridad y requisitos de cumplimiento (p. ej., NIST, el marco Essential Eight requiere MFA resistente al phishing).
• Necesidades de despliegue a gran escala en poblaciones de usuarios diversas con diferentes niveles de competencia técnica.
• Requisitos de integración con sistemas de verificación de identidad gubernamentales existentes e infraestructura heredada.

Recomendación: Para las agencias gubernamentales, es esencial una solución de passkeys especializada que cumpla con estrictos estándares de seguridad y garantice la accesibilidad. El éxito de la implementación en VicRoads demuestra que las organizaciones gubernamentales se benefician más de las soluciones de passkeys externas que manejan los requisitos de cumplimiento y las actualizaciones de seguridad automáticamente. Por lo tanto, elige un proveedor de implementación de passkeys que ofrezca seguridad de nivel empresarial, soporte para autenticación multidispositivo y proporcione flujos de autenticación adaptativa para acomodar a todos los ciudadanos.

Ejemplo: VicRoads, myGov, Estado de Michigan

Consideraciones clave:

• La escalabilidad y la fiabilidad son críticas, ya que los proveedores de telecomunicaciones y servicios públicos a menudo gestionan millones de usuarios en varios segmentos de clientes, lo que requiere una autenticación altamente disponible y tolerante a fallos.
• El soporte multidispositivo y multiplataforma es esencial, ya que los usuarios acceden a las cuentas a través de aplicaciones móviles o portales web. La autenticación con passkey debe funcionar sin problemas en todos los puntos de contacto con el cliente.
• A menudo es necesario el soporte para sistemas de autenticación heredados, ya que los proveedores de telecomunicaciones y servicios públicos pueden necesitar integrar passkeys en los sistemas IAM y las plataformas de identidad del cliente existentes sin interrumpir los flujos de autenticación actuales.
• La prevención del fraude y la seguridad de la cuenta son prioridades principales, particularmente para el fraude de intercambio de SIM, el robo de identidad y el acceso no autorizado a la cuenta. Las passkeys pueden reducir significativamente los ataques de phishing y los riesgos de credential stuffing.

Recomendación: Para los proveedores de telecomunicaciones y servicios públicos, adoptar una solución de passkeys externa es el enfoque recomendado. Dada la escala, la complejidad y las demandas de seguridad de estas industrias, un proveedor de passkeys gestionado garantiza el cumplimiento, la alta disponibilidad y la integración perfecta con la infraestructura de autenticación existente. Los gigantes de las telecomunicaciones y los proveedores de servicios públicos digitales ya están adoptando las passkeys como parte de sus esfuerzos de modernización de la seguridad para reducir el fraude y mejorar la experiencia del usuario. Además, externalizar la implementación de passkeys reduce el Costo Total de Propiedad (TCO) en comparación con el desarrollo interno, ya que el mantenimiento continuo, las actualizaciones de seguridad y el cumplimiento normativo son manejados por el proveedor.

Ejemplo: Deutsche Telekom, Telstra, SK Telecom

Consideraciones clave:

• La autenticación multi-tenant es esencial para las SaaS B2B, lo que requiere una integración escalable de passkeys en diferentes sistemas IAM.
• Las empresas esperan SSO (OIDC/SAML), por lo que una integración perfecta con los proveedores de identidad es crítica para el negocio.
• Los costos de implementación de passkeys deben equilibrarse con otras inversiones en seguridad, como la autenticación multifactor (MFA) y los modelos de seguridad de confianza cero.

Recomendación: Para la mayoría de los proveedores de SaaS B2B, una implementación de passkeys externa es la opción óptima. La implementación suele ser más rápida que el desarrollo interno. Empresas B2B digitales como Notion, Hubspot o Vercel ya han adoptado las passkeys para mejorar la seguridad de su autenticación. El Costo Total de Propiedad es significativamente menor que el desarrollo interno, ya que el mantenimiento, las actualizaciones y los requisitos de cumplimiento están cubiertos por el proveedor.

Ejemplo: Canva, DocuSign, Notion

Las passkeys se han convertido en el estándar global para la autenticación, simplificando los inicios de sesión para los usuarios finales mientras mejoran la seguridad. A medida que las empresas evalúan cómo implementar passkeys, deben decidir si desarrollar una solución interna o aprovechar un proveedor de passkeys especializado. Si bien las implementaciones DIY ofrecen un control total, requieren una experiencia técnica significativa, recursos de desarrollo y un mantenimiento continuo. En contraste, los proveedores de passkeys ofrecen un enfoque más rápido, escalable y rentable, asegurando altas tasas de adopción, una experiencia de usuario fluida y el cumplimiento de los estándares de seguridad en evolución.

Esta guía abordó las siguientes preguntas clave:

• ¿Qué componentes se necesitan para implementar passkeys y eliminar las contraseñas?

  Un despliegue exitoso de passkeys requiere una infraestructura FIDO2/WebAuthn, flujos de UX fluidos, mecanismos de fallback y opciones seguras de recuperación de cuentas. Las empresas también deben considerar la compatibilidad multiplataforma y el cumplimiento de la seguridad.

• ¿Debería implementar las passkeys internamente o usar un proveedor externo?

  Si bien el desarrollo interno ofrece control, conlleva una alta complejidad, costos de mantenimiento continuos y responsabilidades de seguridad. La mayoría de las organizaciones a gran escala orientadas al consumidor se benefician de una solución de passkeys externa que proporciona un despliegue rápido, menores costos operativos y una menor sobrecarga técnica.

• ¿Cuál es el beneficio de tener un proveedor de passkeys cuando existen librerías de código abierto?

  Las librerías de WebAuthn de código abierto proporcionan un punto de partida, pero carecen de seguridad de nivel empresarial, experiencia de usuario optimizada para passkeys y características que mejoran la adopción. Un proveedor de passkeys garantiza un despliegue fluido, escalabilidad y estrategias de adopción de usuarios optimizadas que brindan un mejor ROI, reduciendo la fricción tanto para los usuarios como para los desarrolladores.

• ¿Cuáles son los mayores desafíos al construir una solución de passkeys?

  Desarrollar un sistema de passkeys interno requiere una profunda experiencia en WebAuthn, soporte multidispositivo y adopción de passkeys. Mantener la complejidad continua de dispositivos y navegadores y garantizar altas tasas de adopción aumenta aún más la complejidad.

• ¿Cuáles son los riesgos de implementar passkeys internamente?

  Las empresas corren el riesgo de altos costos de desarrollo, plazos de despliegue prolongados y cargas continuas de mantenimiento de seguridad. Los fallos de cumplimiento, las vulnerabilidades de seguridad y la mala adopción por parte de los usuarios pueden descarrilar el éxito de un despliegue de passkeys. Una solución de passkeys gestionada por un proveedor mitiga estos riesgos al ofrecer una infraestructura de autenticación probada y escalable con seguridad y cumplimiento normativo integrados.