MFA obligatoria y transición a Passkeys: Buenas prácticas

La Autenticación Multifactor (MFA) ha pasado de ser una función de seguridad para usuarios proactivos a una realidad innegociable y obligatoria para organizaciones de todo el mundo. Esta transformación no es una elección, sino una necesidad impulsada por los incesantes ciberataques basados en credenciales y la creciente presión regulatoria. Industrias que van desde los servicios financieros hasta el sector público operan ahora bajo marcos que hacen de la MFA un requisito básico para el cumplimiento. Esta nueva era, donde la MFA se impone en lugar de ofrecerse, introduce una cascada de desafíos complejos que van mucho más allá de la implementación técnica inicial.

Cuando todos los usuarios deben usar MFA, surge una nueva serie de preguntas críticas que toda organización debe responder. Este artículo explorará estos desafíos en profundidad, proporcionando un camino claro a seguir. Abordaremos:

1. ¿Cuáles son los costos operativos ocultos y las trampas en la experiencia de usuario al imponer la MFA a gran escala?

2. Cuando se les da a elegir, ¿qué métodos de MFA adoptan realmente los usuarios y qué riesgos de seguridad crea esto?

3. ¿Cómo se convierte la recuperación de cuentas en el nuevo desafío principal en un entorno de obligatoriedad y cuáles son las concesiones para resolverlo?

4. ¿Por qué las passkeys son la solución estratégica a los mismos problemas creados por la MFA obligatoria, y no solo una opción más?

5. ¿Cuál es un plan práctico y paso a paso para una transición exitosa de la MFA tradicional obligatoria a la seguridad y experiencia de usuario superiores de las passkeys?

Este análisis proporcionará un plan claro y práctico para una transición exitosa de la autenticación de un solo factor a la MFA obligatoria (y, finalmente, a las passkeys obligatorias).

Antes de explorar los desafíos de la obligatoriedad, es crucial establecer un entendimiento claro del panorama de la autenticación y por qué las imposiciones lo alteran fundamentalmente. La terminología en sí misma puede ser una fuente de confusión, pero las distinciones son críticas para cualquier estrategia de seguridad o de producto.

La evolución de la autenticación es una respuesta directa a la debilidad inherente de su forma más básica.

• Autenticación de un solo factor (SFA): La familiar combinación de nombre de usuario y contraseña. Se basa en un único factor de "conocimiento", algo que el usuario sabe. Su vulnerabilidad al phishing, al credential stuffing y a los ataques de fuerza bruta es el principal motor para buscar métodos más robustos.

• Verificación en dos pasos (2SV): A menudo utilizada indistintamente con MFA, la 2SV es un proceso distinto y más débil. Requiere dos pasos de verificación, pero puede usar dos factores de la misma categoría. Un ejemplo común es una contraseña seguida de una pregunta de seguridad, ambos factores de "conocimiento". Aunque es mejor que la SFA, no cumple los criterios de una verdadera seguridad multifactor.

• Autenticación Multifactor (MFA): El estándar de oro en seguridad. La MFA requiere la verificación de al menos dos categorías diferentes de factores de autenticación. Las tres categorías principales son:

  • Conocimiento: Algo que el usuario sabe (ej., una contraseña, un PIN).

  • Posesión: Algo que el usuario tiene (ej., un teléfono móvil que recibe un código, una llave de seguridad de hardware).

  • Inherencia: Algo que el usuario es (ej., una huella dactilar, reconocimiento facial).

La transición de una MFA opcional a una obligatoria es un cambio de paradigma. Un sistema opcional permite una adopción gradual por parte de los usuarios más conscientes de la seguridad, ocultando los verdaderos puntos de fricción. Una imposición obliga a toda la base de usuarios, desde los más tecnológicos hasta los menos familiarizados con la tecnología, a adoptar el nuevo sistema simultáneamente, exponiendo cada fallo en la experiencia de usuario y en la estructura de soporte.

Este cambio se ha acelerado por catalizadores regulatorios, especialmente la segunda Directiva de Servicios de Pago de Europa (PSD2) y su requisito de Autenticación Reforzada de Cliente (SCA). Esta regulación reformó fundamentalmente el panorama de los pagos en Europa al hacer obligatoria la MFA para la mayoría de las transacciones en línea. Al forzar a las instituciones financieras a adoptar APIs abiertas y una seguridad más robusta, la PSD2 ofrece un caso de estudio masivo y real sobre la autenticación forzada.

El objetivo principal de la SCA era reducir el fraude exigiendo dos factores de autenticación independientes para los pagos electrónicos. Sin embargo, el despliegue inicial generó una fricción significativa, y algunos comerciantes europeos llegaron a perder casi el 40 % de las transacciones debido a la confusión de los usuarios y al abandono del carrito. Con el tiempo, el ecosistema se adaptó, y un informe de agosto de 2024 del Banco Central Europeo confirmó que las transacciones autenticadas con SCA ahora tienen tasas de fraude significativamente más bajas. Esto demuestra el beneficio de seguridad a largo plazo, pero también destaca la necesidad crítica de equilibrar la seguridad con la experiencia del usuario.

Si bien estas imposiciones crean fricción al principio, también producen un entorno de educación masiva involuntaria. Cuando millones de usuarios son obligados por sus bancos a aprobar una transacción con una huella dactilar o un código, se familiarizan con el concepto de un segundo factor. Esta normalización, impulsada por la regulación, paradójicamente allana el camino para otras organizaciones. La conversación puede evolucionar de "¿Qué es la MFA y por qué la necesito?" a "Aquí está nuestra nueva y más fácil forma de hacer el paso de seguridad que ya conoces". Esto crea la base perfecta para introducir una experiencia superior como las passkeys.

Si quieres leer más sobre los detalles de estas regulaciones y su relación con las passkeys, puedes explorar estos recursos:

• Análisis de los requisitos de PSD2 y SCA

• Qué significan los requisitos de SCA para las Passkeys

• Passkeys y PSD2: MFA resistente al phishing y compatible con PSD2

• Implicaciones de PSD3 / PSR para las Passkeys

• Autenticación delegada y Passkeys bajo PSD3 / PSR

Imponer la MFA a toda una base de usuarios descubre una serie de desafíos prácticos que a menudo se subestiman durante la planificación inicial. Estos problemas afectan la experiencia del usuario, la postura de seguridad y los costos operativos.

Cuando el registro es obligatorio, una mala experiencia de usuario ya no es solo una molestia; se convierte en un obstáculo directo para las operaciones comerciales. Las organizaciones suelen elegir entre dos estrategias: el registro forzado, que requiere la configuración de la MFA en el siguiente inicio de sesión, o el registro progresivo, que lo solicita a los usuarios a lo largo del tiempo. Si bien el registro forzado logra el cumplimiento más rápido, corre el riesgo de una mayor frustración y abandono por parte del usuario si el proceso no es fluido. El éxito depende de seguir las mejores prácticas de UX, como ofrecer múltiples métodos de autenticación, proporcionar instrucciones claras y garantizar la accesibilidad para todos los usuarios, por ejemplo, proporcionando una clave secreta basada en texto junto con un código QR para las aplicaciones de autenticación.

Una vez que la MFA está activa en una cuenta, perder un segundo factor significa quedar completamente bloqueado. En un mundo donde es obligatoria, esto no es un incidente aislado para unos pocos usuarios preocupados por la seguridad; se convierte en un desafío generalizado y crítico para toda la base de usuarios y los equipos de soporte que los atienden. Esto hace que la recuperación de la cuenta sea el mayor desafío.

Las implicaciones financieras son altas: un solo restablecimiento de contraseña o MFA gestionado por el servicio de soporte puede costarle a una empresa un promedio de 70 dólares. Para una organización con cientos de miles de usuarios, incluso un pequeño porcentaje que necesite recuperación puede traducirse en millones de dólares en costos operativos y pérdida de productividad.

Las organizaciones se enfrentan a un difícil equilibrio entre seguridad, costo y conveniencia:

• Recuperación asistida por soporte: Un agente de soporte puede verificar la identidad del usuario a través de una videollamada u otros medios. Es un proceso seguro y verificado por humanos, pero es prohibitivamente caro y lento de escalar, lo que lo hace insostenible para la mayoría de las empresas.

• Recuperación por correo electrónico/SMS: Es el método más común debido a su bajo costo y a que los usuarios están familiarizados con él. Sin embargo, también es una vulnerabilidad de seguridad crítica. Si un atacante ya ha comprometido la cuenta de correo electrónico de un usuario, un precursor común de otros ataques, puede interceptar fácilmente el código de recuperación y eludir la MFA por completo. Este método anula los beneficios de seguridad que la obligatoriedad pretendía proporcionar.

• Códigos de respaldo pre-registrados: A los usuarios se les da un conjunto de códigos de respaldo de un solo uso durante el registro. Aunque es más seguro que la recuperación por correo electrónico, este enfoque añade fricción a la configuración inicial. Además, los usuarios a menudo no guardan estos códigos de forma segura o los pierden, lo que finalmente los lleva de nuevo al mismo problema de bloqueo.

• Verificación con selfie e ID: Este método de alta seguridad requiere que el usuario se tome una selfie en vivo y una foto de un documento de identidad emitido por el gobierno (como un carnet de conducir o pasaporte). Los sistemas impulsados por IA comparan el rostro con el documento para confirmar la identidad. Aunque es común en la banca y los servicios financieros, donde la identidad se verifica durante el onboarding, plantea preocupaciones de privacidad para algunos usuarios y requiere que tengan su documento de identidad físico a mano.

• Credenciales y wallets digitales: Una opción emergente y de futuro implica el uso de credenciales digitales verificables almacenadas en una wallet digital. Un usuario podría presentar una credencial de un emisor de confianza (como un gobierno o un banco) para demostrar su identidad sin pasar por un flujo de recuperación específico del servicio. Este método aún está en sus primeras etapas, pero apunta a un futuro de verificación de identidad más portable y controlada por el usuario.

Un punto de fallo frecuente y crítico en cualquier sistema de MFA es el ciclo de vida del dispositivo. Cuando un usuario adquiere un teléfono nuevo, la continuidad de su método de autenticación es primordial.

• SMS: Este método es relativamente portable, ya que un número de teléfono se puede transferir a un nuevo dispositivo mediante una nueva tarjeta SIM. Sin embargo, este mismo proceso es el vector de ataque explotado en los ataques de SIM-swapping, donde un estafador convence a un operador móvil de transferir el número de la víctima a una SIM que él controla.

• Aplicaciones de autenticación (TOTP): Esta es una fuente importante de fricción para el usuario. A menos que el usuario haya habilitado proactivamente una función de copia de seguridad en la nube dentro de su aplicación de autenticación (una función que no es universal y no siempre se usa), las claves secretas que generan los códigos se pierden con el dispositivo antiguo. Esto obliga al usuario a un proceso de recuperación de cuenta completo, y a menudo doloroso, para cada servicio que había protegido.

• Notificaciones push: Al igual que las aplicaciones TOTP, la MFA basada en notificaciones push está vinculada a una instalación de aplicación específica en un dispositivo registrado. Un teléfono nuevo requiere un nuevo registro, lo que desencadena los mismos desafíos de recuperación.

Cuando una organización impone la MFA y ofrece una elección de métodos, surge un patrón predecible: más del 95 % de los usuarios gravitan hacia lo que es más familiar y se percibe como más fácil, que a menudo son los códigos de un solo uso (OTP) basados en SMS. Este comportamiento crea una paradoja. Un CISO puede imponer la MFA para mejorar la seguridad. Sin embargo, si muchos usuarios continúan dependiendo de un método vulnerable al phishing como el SMS, la organización puede lograr un cumplimiento del 100 % sin mejorar materialmente sus defensas contra ataques sofisticados. Reconociendo esto, plataformas como Microsoft han introducido la "MFA preferida por el sistema", que empuja activamente a los usuarios hacia opciones más seguras como las aplicaciones de autenticación en lugar de los SMS o las llamadas de voz. Esto resalta una lección crítica: simplemente imponer la MFA no es suficiente. El tipo de MFA importa profundamente, y las organizaciones deben alejar activamente a los usuarios de los factores más débiles y vulnerables al phishing.

La decisión de imponer la MFA tiene un impacto directo y medible en los recursos operativos. Inevitablemente, desencadena un aumento en los tickets de soporte relacionados con problemas de registro, pérdida de autenticadores y solicitudes de recuperación. La investigación de Gartner indica que entre el 30 % y el 50 % de todas las llamadas de soporte de TI ya son por problemas relacionados con contraseñas; la MFA obligatoria, especialmente cuando se combina con flujos de recuperación engorrosos, exacerba significativamente esta carga. Esto se traduce en costos directos que los CTO y los gerentes de proyecto deben anticipar. Además, el propio servicio de soporte se convierte en un objetivo principal para los ataques de ingeniería social, donde los atacantes se hacen pasar por usuarios frustrados y bloqueados para engañar a los agentes de soporte y hacer que restablezcan los factores de MFA en su nombre.

Examinar las implementaciones a gran escala y en el mundo real de la MFA obligatoria proporciona lecciones invaluables sobre lo que funciona y lo que crea una fricción significativa. En lugar de centrarnos en empresas específicas, podemos destilar estas experiencias en varias verdades universales.

• La fricción inicial es inevitable, pero manejable: El despliegue de la SCA en Europa demostró que forzar un cambio importante en el comportamiento del usuario, incluso por seguridad, perjudicará inicialmente las tasas de conversión. Sin embargo, también mostró que con procesos refinados y la habituación del usuario, estos efectos negativos pueden mitigarse con el tiempo. La clave es anticipar esta fricción y diseñar el flujo más ágil y amigable para el usuario posible desde el principio.

• La elección del usuario es un arma de doble filo: Cuando se les dan opciones, los usuarios eligen consistentemente el camino de menor resistencia, lo que a menudo significa seleccionar métodos de MFA familiares pero menos seguros como el SMS. Esto lleva a un estado de "teatro de cumplimiento", donde la organización cumple con la letra de la norma pero no con su espíritu, permaneciendo vulnerable al phishing. Una estrategia exitosa debe guiar activamente a los usuarios hacia opciones más robustas y resistentes al phishing.

• La recuperación se convierte en el talón de Aquiles: En un mundo de obligatoriedad, la recuperación de la cuenta se transforma de un caso aislado a una carga operativa principal y una vulnerabilidad de seguridad crítica. Depender del correo electrónico o SMS para la recuperación socava todo el modelo de seguridad, mientras que la recuperación asistida por soporte es financieramente insostenible. Un proceso de recuperación robusto, seguro y fácil de usar no es una ocurrencia tardía; es un requisito fundamental para cualquier imposición exitosa.

• Los despliegues por fases reducen drásticamente el riesgo: Intentar un despliegue "big bang" a toda una base de usuarios es una estrategia de alto riesgo. Un enfoque más prudente, probado en grandes implementaciones empresariales, es pilotar el nuevo sistema primero con grupos de usuarios más pequeños y no críticos. Esto permite al equipo del proyecto identificar y resolver errores, refinar la experiencia del usuario y recopilar comentarios en un entorno controlado antes de un despliegue a gran escala.

• Una plataforma de identidad centralizada es un poderoso facilitador: Las organizaciones con una plataforma preexistente y centralizada de Identidad y Gestión de Acceso (IAM) o de Inicio de Sesión Único (SSO) están mucho mejor posicionadas para un despliegue sin problemas. Un sistema de identidad central permite la aplicación rápida y consistente de nuevas políticas de autenticación en cientos o miles de aplicaciones, reduciendo significativamente la complejidad y el costo del proyecto.

Las passkeys, basadas en el estándar WebAuthn de la Alianza FIDO, no son solo una mejora incremental sobre la MFA tradicional. Su arquitectura subyacente, basada en criptografía de clave pública, está diseñada específicamente para resolver los problemas más dolorosos y persistentes creados por la MFA obligatoria.

• Solucionando la pesadilla de la recuperación: El mayor desafío de la MFA obligatoria es la recuperación de la cuenta. Las passkeys abordan esto de frente. Una passkey es una credencial criptográfica que se puede sincronizar entre los dispositivos de un usuario a través del ecosistema de su plataforma (como el Llavero de iCloud de Apple o el Administrador de contraseñas de Google). Si un usuario pierde su teléfono, la passkey sigue disponible en su portátil o tableta. Esto reduce drásticamente la frecuencia de los bloqueos y disminuye la dependencia de canales de recuperación inseguros como el correo electrónico o las costosas intervenciones del servicio de soporte.

• Solucionando el problema del ciclo de vida del dispositivo: Debido a que las passkeys se sincronizan, la experiencia de obtener un nuevo dispositivo se transforma de un punto de alta fricción a una transición fluida. Cuando un usuario inicia sesión en su cuenta de Google o Apple en un teléfono nuevo, sus passkeys se restauran automáticamente y están listas para usar. Esto elimina el doloroso proceso de reinscripción aplicación por aplicación que requieren las aplicaciones de autenticación tradicionales vinculadas al dispositivo.

• Solucionando la paradoja de la preferencia del usuario: Las passkeys resuelven el clásico dilema entre seguridad y conveniencia. El método de autenticación más seguro disponible, la criptografía de clave pública resistente al phishing, es también el más rápido y fácil para el usuario. Un solo gesto biométrico o el PIN del dispositivo es todo lo que se necesita. No hay incentivo para que un usuario elija una opción más débil y menos segura, porque la opción más fuerte es también la más conveniente.

• Solucionando la vulnerabilidad al phishing: Las passkeys son resistentes al phishing por diseño. El par de claves criptográficas creado durante el registro está vinculado al origen específico del sitio web o la aplicación (por ejemplo, corbado.com). Un usuario no puede ser engañado para usar su passkey en un sitio de phishing de apariencia similar (por ejemplo, corbado.estafa.com) porque el navegador y el sistema operativo reconocerán la discrepancia de origen y se negarán a realizar la autenticación. Esto proporciona una garantía de seguridad fundamental que ningún método basado en secretos compartidos (como contraseñas o OTP) puede ofrecer.

• Solucionando la fatiga de MFA: Una única y simple acción del usuario, como un escaneo de Face ID o un toque de huella dactilar, demuestra simultáneamente la posesión de la clave criptográfica en el dispositivo ("algo que tienes") y la inherencia a través de la biometría ("algo que eres"). Esto se siente como un solo paso sin esfuerzo para el usuario, pero satisface criptográficamente el requisito de autenticación multifactor. Esto permite a las organizaciones cumplir con estrictos estándares de cumplimiento sin añadir los pasos adicionales y la carga cognitiva asociados con la MFA tradicional.

La transición de la MFA tradicional a una estrategia centrada en passkeys requiere un enfoque deliberado y de varias etapas que aborde la tecnología, la experiencia del usuario y los objetivos comerciales.

Antes de poder imponer las passkeys, debes comprender la capacidad técnica de tu base de usuarios para adoptarlas. Este es un primer paso crítico para medir la viabilidad y el cronograma de un despliegue.

• Analiza tu panorama de dispositivos: Utiliza herramientas de análisis web existentes para recopilar datos sobre los sistemas operativos (iOS, Android, versiones de Windows) y los navegadores que prefieren tus usuarios.

• Implementa una herramienta de preparación para passkeys: Para obtener datos más precisos, una herramienta ligera y que preserve la privacidad como el Analizador de Passkeys de Corbado puede integrarse en tu sitio web o aplicación. Proporciona análisis en tiempo real sobre el porcentaje de tus usuarios cuyos dispositivos admiten autenticadores de plataforma (como Face ID, Touch ID y Windows Hello) y mejoras cruciales de UX como la IU Condicional, que permite el autocompletado de passkeys. Estos datos son esenciales para construir un modelo de adopción realista.

La transición a las passkeys será gradual, no instantánea. Una estrategia exitosa requiere un sistema híbrido que promueva las passkeys como el método principal y preferido, al tiempo que proporciona un respaldo seguro para los usuarios en dispositivos incompatibles o para aquellos que aún no se han registrado.

• Elige un patrón de integración:

  • Primero el identificador (Identifier-First): El usuario introduce su correo electrónico o nombre de usuario. El sistema verifica si hay una passkey registrada para ese identificador y, de ser así, inicia el flujo de inicio de sesión con passkey. Si no, recurre sin problemas a una contraseña u otro método seguro. Este enfoque ofrece la mejor experiencia de usuario y generalmente conduce a tasas de adopción más altas.

  • Botón dedicado para passkey: Se coloca un botón "Iniciar sesión con una passkey" junto al formulario de inicio de sesión tradicional. Es más simple de implementar, pero pone la responsabilidad en el usuario de seleccionar el nuevo método, lo que puede resultar en un menor uso.

• Asegúrate de que los respaldos sean seguros: Tu mecanismo de respaldo no debe socavar tus objetivos de seguridad. Evita recurrir a métodos inseguros como los OTP por SMS. Una alternativa más robusta es usar un código de un solo uso sensible al tiempo o un enlace mágico enviado a la dirección de correo electrónico verificada del usuario, que sirve como factor de posesión para una sesión específica.

Una comunicación efectiva es primordial para un despliegue sin problemas. El objetivo es presentar las passkeys no como otra molestia de seguridad, sino como una mejora significativa en la experiencia del usuario.

• Mensajes orientados a los beneficios: Usa un lenguaje claro y simple que se centre en los beneficios para el usuario: "Inicia sesión más rápido y de forma más segura", "Dile adiós a las contraseñas olvidadas" y "Tu huella dactilar es ahora tu llave". Utiliza consistentemente el icono oficial de passkey de FIDO para generar reconocimiento.

• Estrategia de despliegue por fases:

  1. Comienza con la adopción "pull": Inicialmente, ofrece la creación de passkeys como una opción dentro de la página de Configuración de la cuenta del usuario. Esto permite que los primeros adoptantes y los usuarios con conocimientos técnicos se unan sin interrumpir el flujo para los demás.

  2. Pasa a la adopción "push": Una vez que el sistema esté estable, comienza a solicitar proactivamente a los usuarios que creen una passkey inmediatamente después de que inicien sesión con éxito con su antigua contraseña. Esto captura a los usuarios cuando ya están en una "mentalidad de autenticación".

  3. Intégralo en el onboarding: Finalmente, haz de la creación de passkeys una opción principal y recomendada para todos los nuevos registros de usuarios.

Un enfoque basado en datos es esencial para validar la inversión en passkeys y para optimizar continuamente la experiencia. Todos los equipos deben hacer un seguimiento de las métricas relevantes para sus roles.

• Métricas de adopción e interacción:

  • Tasa de creación de passkeys: El porcentaje de usuarios elegibles que crean una passkey.

  • Tasa de uso de passkeys: El porcentaje del total de inicios de sesión que se realizan con una passkey.

  • Tiempo hasta la primera acción clave: Cuán rápido realizan los nuevos usuarios una acción crítica después de adoptar las passkeys.

• Métricas de negocio y operativas:

  • Reducción de tickets por restablecimiento de contraseña: Una medida directa de la reducción de costos del servicio de soporte.

  • Reducción de costos de OTP por SMS: Ahorros de costos tangibles al eliminar un factor tradicional.

  • Tasa de éxito de inicio de sesión: Comparar la tasa de éxito de los inicios de sesión con passkey frente a los de contraseña/MFA.

  • Disminución de incidentes de robo de cuentas: La medida definitiva de la efectividad de la seguridad.

Las siguientes tablas proporcionan un resumen conciso, comparando los métodos de autenticación y mapeando las soluciones de passkeys directamente a los puntos de dolor comunes del negocio.

Cómo las passkeys solucionan los problemas de la MFA obligatoria

La era de la Autenticación Multifactor obligatoria ha llegado para quedarse. Aunque nacieron de la necesidad crítica de defenderse contra los ataques basados en credenciales, estas imposiciones han creado sin darse cuenta un nuevo panorama de desafíos.

Hemos visto que imponer la MFA introduce cargas operativas significativas, desde los costos directos de las tarifas de SMS hasta el aumento de los tickets de soporte de usuarios que luchan con el registro y los cambios de dispositivo. Hemos aprendido que, cuando se les da a elegir, los usuarios gravitan hacia métodos familiares pero vulnerables al phishing como el SMS, logrando el cumplimiento en el papel pero dejando a la organización expuesta a ataques del mundo real. Y lo más importante, hemos establecido que en un mundo de obligatoriedad, la recuperación de la cuenta se convierte en el mayor punto de fallo, una fuente de inmensa frustración para el usuario y una enorme brecha de seguridad cuando se maneja incorrectamente.

Los métodos de MFA tradicionales no pueden resolver estos problemas. Pero las passkeys sí pueden. Hemos demostrado que las passkeys son la respuesta definitiva, solucionando directamente los problemas interconectados de recuperación, fricción del usuario y seguridad. Su naturaleza sincronizada elimina la mayoría de los escenarios de bloqueo, su facilidad de uso biométrica elimina el incentivo para elegir opciones más débiles, y su diseño criptográfico las hace inmunes al phishing. Finalmente, hemos presentado un plan claro de cuatro pasos, desde la auditoría de la preparación hasta la medición del éxito, que proporciona un camino práctico para que cualquier organización realice esta transición estratégica.

Ver este cambio únicamente como un dolor de cabeza de cumplimiento es perder la oportunidad estratégica que presenta. Los pioneros de la Autenticación Reforzada de Cliente en la banca europea, a pesar de las dificultades iniciales, finalmente moldearon las expectativas de los usuarios para toda una industria. Hoy, los pioneros de las passkeys tienen la misma oportunidad. Al adoptar esta transición, las organizaciones pueden transformar un mandato de seguridad de una obligación onerosa a una ventaja competitiva poderosa y duradera. Es el momento de planificar tu paso de la obligación al impulso.