Panorama de las Passkeys de Pago: 4 Modelos Clave de Integración

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

El panorama mundial de los pagos se encuentra en un punto de inflexión crítico. Durante décadas, el sector ha lidiado con la tensión inherente entre la seguridad y la comodidad del usuario, un desafío que se siente con mayor intensidad en el entorno digital de tarjeta no presente (CNP). El aumento del fraude sofisticado ha hecho necesarias medidas de autenticación más robustas, mientras que las expectativas de los consumidores exigen experiencias de pago cada vez más fluidas. Este informe ofrece un análisis exhaustivo de este ecosistema en evolución, con un enfoque específico en identificar los puntos de integración estratégicos para la tecnología de passkeys. Está diseñado para servir como una guía definitiva para proveedores de tecnología, proveedores de servicios de pago, instituciones financieras y comercios que buscan navegar la transición hacia un futuro sin contraseñas.

El panorama de los pagos está experimentando un cambio fundamental, impulsado por la necesidad de una seguridad más robusta, como la Autenticación Reforzada de Cliente (SCA), y la demanda comercial de experiencias de usuario fluidas. Las passkeys resistentes al phishing han surgido como la tecnología clave para resolver esta tensión. Nuestro análisis muestra que el sector está convergiendo en torno a cuatro modelos de arquitectura distintos para la integración de passkeys, cada uno representando una visión competitiva para el futuro de la autenticación de pagos:

1. El Modelo Centrado en el Emisor (p. ej., a través de SPC): Aunque es técnicamente elegante, este modelo se ve obstaculizado por una falta crítica de soporte en navegadores, especialmente por parte de Apple, lo que lo convierte en una solución poco práctica en el futuro cercano.
2. El Modelo Centrado en el Comercio (Autenticación Delegada): Este potente modelo permite a los grandes comercios aprovechar sus relaciones directas con los clientes, adelantando la autenticación para crear un proceso de pago fluido, pero conlleva una responsabilidad significativa y requiere la confianza directa del emisor.
3. El Modelo Centrado en la Red (Click to Pay): Una importante jugada estratégica de las redes de tarjetas como Visa y Mastercard para adueñarse de la experiencia de pago de invitados, ofreciendo una passkey portátil a nivel de red para los consumidores.
4. El Modelo Centrado en el PSP (Billeteras): Un modelo dominante donde grandes Proveedores de Servicios de Pago como PayPal utilizan passkeys para asegurar y agilizar la experiencia dentro de sus vastos y establecidos ecosistemas de billeteras.

Cada modelo presenta una respuesta diferente a la pregunta estratégica central: "¿Quién se convertirá en el Relying Party principal para los pagos?". Este informe analiza en detalle estas arquitecturas competidoras, mapeándolas con los actores del ecosistema para proporcionar una hoja de ruta clara para navegar el futuro de la autenticación de pagos.

Para entender dónde y cómo se pueden integrar las passkeys, primero es esencial establecer un mapa claro y detallado de los actores del ecosistema de pagos y sus roles distintivos. El flujo de una sola transacción en línea implica una interacción compleja entre múltiples entidades, cada una desempeñando una función específica en el movimiento de datos y fondos.

En el corazón de cada transacción hay cinco participantes fundamentales que forman la base de la cadena de valor de los pagos.

1. Cliente / Titular de la tarjeta:

   • Descripción: La persona u organización que inicia una compra. El titular de la tarjeta obtiene una tarjeta de pago (crédito o débito) de un banco emisor y es responsable de pagar cualquier cargo incurrido.
   • Objetivo: Una experiencia de pago rápida, simple y segura.
   • Ejemplos: Cualquier persona con una cuenta bancaria y/o una tarjeta de pago.

2. Comercio:

   • Descripción: El negocio que vende bienes o servicios y acepta pagos electrónicos. Para ello, el comercio debe tener la infraestructura necesaria, generalmente proporcionada por un banco adquirente o un proveedor de servicios de pago (PSP), para aceptar y procesar pagos con tarjeta.
   • Objetivo: Maximizar la conversión de ventas minimizando la fricción en el proceso de pago mientras se mitiga el fraude.
   • Ejemplos: Un sitio web de comercio electrónico, una tienda minorista, un servicio de suscripción.

3. Banco Emisor (Issuer):

   • Descripción: El banco o institución financiera del titular de la tarjeta. El emisor proporciona la tarjeta de pago al cliente, asume el riesgo de crédito asociado y es responsable en última instancia de aprobar o rechazar una transacción basándose en el estado de la cuenta del titular y una evaluación de riesgos.
   • Objetivo: Recibir la solicitud de autorización y enviar un código de respuesta a través de las redes de tarjetas.
   • Ejemplos: Bank of America, Chase, Barclays.

4. Banco Adquirente (Acquirer):

   • Descripción: El banco del comercio, también conocido como banco del comercio. El adquirente mantiene la cuenta del comercio y facilita el procesamiento de las transacciones con tarjeta en nombre del comercio.
   • Objetivo: Recibir los detalles de pago del comercio, enrutarlos a través de la red de tarjetas hasta el emisor y, tras la aprobación, liquidar los fondos en la cuenta del comercio.
   • Ejemplos: Wells Fargo Merchant Services, Worldpay (de FIS).

5. Redes de Tarjetas (Esquemas):

   • Descripción: La columna vertebral tecnológica que conecta a todos los demás participantes. Empresas como Visa, Mastercard, American Express y Discover operan estas vastas redes. No emiten tarjetas ni abren cuentas de comercio, pero proporcionan la infraestructura crítica, las reglas y los estándares que rigen las transacciones.
   • Objetivo: Facilitar el enrutamiento de las solicitudes de autorización y la compensación y liquidación de fondos entre emisores y adquirentes.
   • Ejemplos: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Entre los participantes principales se encuentra un ecosistema complejo y a menudo superpuesto de proveedores de tecnología y servicios. Entender las distinciones entre estos intermediarios es crucial, ya que a menudo son los principales puntos de integración para nuevas tecnologías como las passkeys. Las líneas entre estos roles se han difuminado significativamente en los últimos años, a medida que los proveedores modernos buscan ofrecer soluciones más completas y "todo en uno".

1. Pasarela de Pago:

   • Descripción: Una pasarela de pago es la tecnología que actúa como el portal digital seguro para una transacción. Su función principal es capturar los detalles de pago sensibles del cliente desde el sitio web del comercio o el sistema de punto de venta (POS), cifrarlos y transmitirlos de forma segura al procesador de pagos o al banco adquirente. Es la "puerta de entrada" de la transacción, responsable de la transmisión segura de datos pero no del movimiento de fondos en sí.
   • Objetivo: Proporcionar a los comercios una forma segura y fiable de aceptar pagos en línea.
   • Ejemplos: Authorize.net (una solución de Visa), Braintree, Stripe Payment Gateway.

2. Procesador de Pagos:

   • Descripción: Un procesador de pagos es la entidad que ejecuta los mensajes de la transacción entre las distintas partes. Después de recibir los datos seguros de la pasarela de pago, el procesador se comunica con la red de tarjetas y, por extensión, con los bancos emisor y adquirente para facilitar la autorización y liquidación de la transacción. Se puede pensar en el procesador como el motor operativo que maneja la comunicación técnica necesaria para que el pago ocurra, mientras que la pasarela es el canal seguro para esa comunicación.
   • Objetivo: Ejecutar de manera fiable y eficiente los mensajes de pago, gestionar la liquidación de transacciones y manejar la resolución de disputas entre los bancos emisor y adquirente.
   • Ejemplos: First Data (ahora Fiserv), TSYS, Worldpay.

3. Proveedor de Servicios de Pago (PSP):

   • Descripción: Un Proveedor de Servicios de Pago es una empresa que ofrece a los comercios una solución integral y empaquetada para aceptar pagos electrónicos. Un PSP moderno generalmente combina las funciones de una pasarela de pago y un procesador de pagos, y a menudo también proporciona la cuenta de comercio, todo bajo un único contrato. Este modelo "todo en uno" simplifica enormemente el proceso para los comercios, que ya no necesitan establecer relaciones separadas con un proveedor de pasarela y un banco adquirente. En algunos contextos, los PSP que agregan varios métodos de pago para los comercios también se conocen como Agregadores de Pagos.
   • Objetivo: Ofrecer a los comercios una solución única para todas sus necesidades de pago, abstraer la complejidad y simplificar la aceptación de pagos.
   • Ejemplos: Stripe, Adyen, PayPal, Mollie.

4. Proveedores de Cuenta a Cuenta (A2A) / Open Banking:

   • Descripción: Esta es una categoría de proveedores de pago en rápido crecimiento que evita por completo las redes de tarjetas tradicionales. Los pagos A2A mueven fondos directamente desde la cuenta bancaria de un consumidor a la cuenta bancaria de un comercio. Esto a menudo es posible gracias a las regulaciones de "Open Banking" (como la PSD2 en Europa), que exigen que los bancos proporcionen acceso seguro a través de API a los datos de las cuentas de los clientes y a los servicios de iniciación de pagos para proveedores externos con licencia. Estos proveedores construyen interfaces fáciles de usar sobre estas API, permitiendo a los consumidores autenticarse con su banco y aprobar un pago en un flujo fluido.
   • Objetivo: Ofrecer una alternativa de menor costo y alta seguridad a los pagos con tarjeta, eliminando las comisiones de intercambio y reduciendo el fraude mediante la autenticación a nivel bancario.
   • Ejemplos: Trustly, Plaid, Tink, GoCardless, Fintecture.

Esta consolidación de roles tiene profundas implicaciones. Aunque académicamente distintos, en la práctica, el único punto de contacto de un comercio es a menudo un PSP que abstrae la complejidad de las relaciones subyacentes con la pasarela, el procesador y el adquirente. Sin embargo, las capacidades de estos PSP pueden variar drásticamente. Un PSP que es meramente un revendedor de los servicios de pasarela de otra empresa tiene capacidades técnicas e intereses estratégicos muy diferentes a los de un PSP completo con su propia infraestructura de procesamiento y licencias de adquirencia. Esta distinción es importante al evaluar oportunidades de integración para métodos de autenticación avanzados.

Además, un análisis más profundo del flujo de pago revela un concepto fundamental que aclara las motivaciones estratégicas detrás de las nuevas tecnologías de autenticación: el rol del Relying Party (RP). En el contexto de la autenticación FIDO y las passkeys, el Relying Party es la entidad que es responsable en última instancia de verificar la identidad de un usuario. En una transacción de pago estándar, el emisor asume el riesgo financiero del fraude y, por lo tanto, es el Relying Party por defecto; es su decisión aprobar o rechazar el pago.

Los modelos de arquitectura emergentes para la integración de passkeys pueden entenderse mejor como una negociación estratégica sobre quién actúa como el Relying Party. En el modelo de Secure Payment Confirmation (SPC), el emisor sigue siendo el RP pero permite que el comercio invoque la ceremonia de autenticación. En la Autenticación Delegada (DA), el emisor delega explícitamente la función de RP al comercio o a su PSP. Y en el modelo centrado en la red, Visa y Mastercard se posicionan a sí mismos como un Relying Party federado para las transacciones de pago de invitados. Por lo tanto, la pregunta central para cualquier proveedor de pagos que considere la integración de passkeys se convierte en:

La respuesta apunta directamente a la oportunidad de integración, al tomador de decisiones clave y al objetivo estratégico subyacente.

Para proporcionar una representación visual clara de estas relaciones, un diagrama de flujo que ilustre el ciclo de vida del pago es esencial. Dicho diagrama representaría dos caminos distintos pero interconectados:

1. El Flujo de Datos (Autorización): Este camino traza el recorrido de la solicitud de autorización. Comienza con el cliente enviando los detalles de pago en el sitio del comercio, fluyendo a través de la pasarela de pago hacia el procesador/adquirente, luego a través de la red de tarjetas hasta el emisor para una decisión de riesgo, y finalmente, la respuesta de aprobación o rechazo viaja de regreso hasta el comercio y el cliente. Todo este proceso ocurre en cuestión de segundos.

2. El Flujo de Valor (Liquidación): Este camino ilustra el movimiento de dinero, que ocurre después de la autorización. Muestra las transacciones agrupadas siendo compensadas, con los fondos fluyendo desde el emisor, a través de la red, hasta el adquirente (menos las comisiones de intercambio), y finalmente siendo depositados en la cuenta del comercio, un proceso que generalmente toma unos pocos días hábiles. (Procesamiento de pagos: Cómo funciona el procesamiento de pagos | Stripe)

Esta visualización permite a cualquier participante en el ecosistema localizar inmediatamente su posición y entender sus relaciones directas e indirectas con todas las demás partes, preparando el escenario para un análisis detallado de dónde pueden ocurrir las intervenciones de autenticación.

sequenceDiagram
    participant C as Cliente
    participant M as Comercio
    participant P as Pasarela/Adquirente
    participant N as Red de Tarjetas
    participant I as Emisor

    C->>M: 1. Enviar Detalles de Pago
    M->>P: 2. Transmitir Detalles de Forma Segura
    P->>N: 3. Solicitud de Autorización
    N->>I: 4. Enrutar al Emisor para Verificación
    I-->>N: 5. Respuesta de Aprobación/Rechazo
    N-->>P: 6. Transmitir Respuesta
    P-->>M: 7. Transmitir Respuesta
    M-->>C: 8. Confirmar Pedido o Solicitar Nuevo Pago

    M->>P: 9. Enviar Lote de Transacciones Aprobadas
    P->>N: 10. Solicitud de Compensación
    N->>I: 11. Solicitar Fondos del Emisor
    I-->>N: 12. Transferir Fondos (menos comisiones de intercambio)
    N-->>P: 13. Acreditar Fondos al Adquirente
    P-->>M: 14. Depositar Fondos al Comercio (menos comisiones de procesamiento)

Aunque el ecosistema de pagos contiene actores de todos los tamaños, el mercado de procesamiento y adquirencia se concentra en varios grandes actores que varían según la región. Los gigantes globales a menudo compiten con fuertes campeones nacionales y regionales. La siguiente tabla proporciona una instantánea de los actores clave en diferentes geografías.

Cada compra en línea desencadena una secuencia de eventos compleja y de alta velocidad que se puede dividir en dos fases principales: autorización y liquidación. Superpuesto a este proceso hay un protocolo de seguridad crítico conocido como 3-D Secure, que es central para entender los desafíos modernos de la autenticación de pagos en línea.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

El ciclo de vida de una sola transacción CNP implica un intercambio de datos casi instantáneo seguido de una transferencia de fondos más lenta.

La autorización es el proceso de verificar que el titular de la tarjeta tiene fondos o crédito suficientes para completar la compra y que la transacción es legítima. Esta fase ocurre en segundos y sigue un camino preciso de varios pasos (Procesamiento de pagos: Cómo funciona el procesamiento de pagos | Stripe):

1. Iniciación de la transacción: El cliente selecciona sus artículos, procede al pago e introduce los detalles de su tarjeta de pago (número de tarjeta, fecha de vencimiento, CVV) en el formulario de pago en línea del comercio.

2. Transmisión segura: El sitio web del comercio pasa esta información de forma segura a su pasarela de pago. La pasarela cifra los datos para protegerlos durante el tránsito.

3. Enrutamiento al Procesador/Adquirente: La pasarela reenvía los detalles de la transacción cifrados al procesador de pagos y/o al banco adquirente del comercio.

4. Comunicación de red: El adquirente envía la solicitud de autorización a la red de tarjetas apropiada (p. ej., Visa, Mastercard).

5. Verificación del emisor: La red de tarjetas enruta la solicitud al banco emisor del titular de la tarjeta. Los sistemas del emisor realizan una serie de comprobaciones: verificando la validez de la tarjeta, comprobando el saldo disponible o el límite de crédito, y pasando la transacción por sus motores de detección de fraude.

6. Respuesta de autorización: Basándose en estas comprobaciones, el emisor aprueba o rechaza la transacción. Esta decisión, en forma de un código de respuesta, se envía de vuelta por el mismo camino: del emisor a la red de tarjetas, al adquirente, al procesador/pasarela, y finalmente al sitio web del comercio.

7. Finalización: Si se aprueba, el comercio completa la venta e informa al cliente. Si se rechaza, el comercio pide al cliente un método de pago alternativo.

La liquidación es el proceso de mover realmente el dinero del emisor al comercio. A diferencia de la autorización, esto no es instantáneo y generalmente ocurre en lotes.(Procesamiento de pagos: Cómo funciona el procesamiento de pagos | Stripe)

1. Agrupación en lotes: Al final del día hábil, el comercio envía un archivo de lote de todas sus autorizaciones aprobadas a su adquirente.
2. Compensación: El adquirente envía el lote a la red de tarjetas para su compensación. La red clasifica las transacciones y las reenvía a los respectivos bancos emisores.
3. Transferencia de fondos: Los bancos emisores transfieren los fondos de las transacciones aprobadas al banco adquirente, menos las comisiones de intercambio, que son las comisiones que el adquirente paga al emisor por cada transacción.
4. Depósito al comercio: El adquirente luego deposita los fondos en la cuenta del comercio, menos sus propias comisiones de procesamiento. Todo este proceso de liquidación suele tardar de 1 a 3 días hábiles.

Superpuesto a cada transacción CNP hay un protocolo de seguridad crítico conocido como 3-D Secure (3DS). Gestionado por EMVCo, su propósito es permitir que el emisor autentique al titular de la tarjeta, reduzca el fraude y traslade la responsabilidad de los contracargos del comercio al emisor.

El 3DS moderno (también llamado 3DS2) funciona intercambiando un rico conjunto de datos entre el comercio y el Servidor de Control de Acceso (ACS) del emisor. Estos datos permiten al ACS realizar una evaluación de riesgos, lo que lleva a dos resultados:

• Flujo sin fricción: Si la transacción se considera de bajo riesgo, se aprueba silenciosamente en segundo plano sin interacción del usuario. Este es el objetivo para la mayoría de las transacciones.
• Flujo de desafío: Si la transacción es de alto riesgo o está exigida por regulaciones como PSD2, se desafía activamente al usuario a demostrar su identidad, generalmente con un OTP o una notificación de la aplicación bancaria.

Este "desafío" es un punto de fricción importante y un campo de batalla clave para las tasas de conversión. El objetivo del sector es maximizar los flujos sin fricción mientras se hacen los desafíos lo más fluidos posible. Es este desafío de alta fricción el que las passkeys están perfectamente posicionadas para resolver, convirtiendo un punto potencial de fallo en un paso seguro y fluido.

graph TD
    A[Inicio: Cliente Procede a Pagar] --> B{Comercio Inicia Verificación 3DS};
    B --> C[El SDK del Comercio envía datos de transacción y dispositivo al ACS del Emisor];
    C --> D{Motor de Riesgo del ACS Analiza Datos};
    D --> E{¿Es la transacción de alto riesgo o se requiere SCA?};
    subgraph Flujo sin Fricción
    E -- No --> F[Autenticación Aprobada Pasivamente - Sin interacción del usuario];
    end
    subgraph Flujo de Desafío
    E -- Sí --> G[Se solicita al usuario un desafío de autenticación];
    G --> H{¿Usuario Completa el Desafío? - p. ej., OTP, Push de App, SPC/Passkey};
    H -- Sí --> I[Autenticación Aprobada];
    H -- No --> J[Autenticación Fallida];
    end
    F --> K[La Transacción Procede con Traslado de Responsabilidad al Emisor];
    I --> K;
    J --> L[La Transacción es Bloqueada];

La llegada de las passkeys, basadas en el estándar WebAuthn resistente al phishing de la FIDO Alliance, está catalizando un rediseño fundamental de la autenticación de pagos. Esto está sucediendo junto a una potente tendencia del sector: los comercios ya están adoptando passkeys para la autenticación de usuarios estándar (registro e inicio de sesión) para combatir el fraude de apropiación de cuentas y mejorar la experiencia del usuario. Esta inversión existente crea una base natural sobre la cual se pueden construir modelos de passkeys específicos para pagos.

En este modelo, el banco del usuario (el emisor) es el Relying Party (RP) final para la autenticación. La passkey está vinculada al dominio del banco (p. ej., banco.com), y el usuario se autentica directamente con su banco para aprobar una transacción. Este modelo tiene dos variantes principales, dependiendo de si el pago se realiza a través de las redes de tarjetas o mediante transferencias directas de cuenta a cuenta.

En este modelo, el banco emisor mantiene el control de la autenticación, y la passkey está criptográficamente vinculada al dominio del emisor (p. ej., banco.com). Aunque una simple redirección al sitio web del banco es posible, crea una mala experiencia de usuario.

¿Quién es el propietario de la passkey? En el modelo centrado en el emisor, el Emisor es el Relying Party (RP).

Círculo virtuoso de adopción y efectos de red: La reutilización de la passkey de un emisor crea un potente círculo virtuoso. Una vez que un usuario crea una passkey para su banco, esa única passkey puede ser utilizada para aprobar sin problemas transacciones desafiadas en cualquier comercio que utilice el protocolo 3DS. Esto aumenta el valor de la tarjeta del emisor tanto para los consumidores (mejor UX) como para los comercios (mayor conversión).

La solución diseñada por la industria para esto es Secure Payment Confirmation (SPC), un estándar web que permite a un comercio llamar a la passkey del banco directamente en la página de pago, evitando una redirección. Este proceso también utiliza la vinculación dinámica para ligar la autenticación a los detalles de la transacción, lo cual es crucial para la SCA.

El fallo estratégico: A pesar de su elegancia técnica, SPC no es una estrategia viable hoy en día. Requiere soporte de navegador que no existe en Safari de Apple. Sin Safari, SPC no puede ser una solución universal, lo que lo hace impracticable para cualquier implementación a gran escala.

sequenceDiagram
    participant U as Usuario
    participant M as Sitio Web del Comercio
    participant I as ACS del Emisor

    Note over M,I: Una verificación 3DS determina que se necesita un desafío.
    M->>I: Solicitud de Autorización (Alto Riesgo)
    I-->>M: Iniciar Desafío SPC
    Note over U,M: El navegador muestra una solicitud nativa al usuario.
    M->>U: Activar API de SPC para el dominio del emisor (p. ej., banco.com)
    U->>U: El usuario se autentica con la biometría del dispositivo (Face ID, etc.)
    U-->>M: El navegador recibe una aserción firmada para banco.com
    M->>I: Reenviar la aserción firmada para validación
    I-->>M: Autenticación Exitosa

Mientras que los modelos anteriores se centran en el ecosistema de tarjetas, los pagos de Cuenta a Cuenta (A2A), impulsados por el Open Banking, presentan un paradigma potente y distinto. Este modelo evita por completo las redes de tarjetas, y su integración con passkeys es singularmente directa y efectiva.

En este modelo, el usuario se autentica directamente con su propio banco para aprobar un pago. La fricción de este proceso —que a menudo implica una torpe redirección y un inicio de sesión con contraseña— ha sido una barrera importante para la adopción de A2A. Las passkeys resuelven este problema central directamente.

¿Quién es el propietario de la passkey? El Banco es el Relying Party (RP). La passkey es la que el usuario ya ha creado para su banca en línea diaria con mibanco.com.

Círculo virtuoso de adopción y efectos de red: El círculo virtuoso es inmenso y está impulsado por los propios bancos. A medida que los bancos animan a sus usuarios a cambiar de contraseñas a passkeys para iniciar sesión en su aplicación o sitio web bancario principal, esas passkeys están automáticamente listas para ser utilizadas en cualquier pago de Open Banking. El usuario no necesita hacer nada extra. Esto hace que el flujo de pago A2A sea tan simple como un escaneo biométrico, aumentando drásticamente su atractivo y competitividad frente a las tarjetas.

Cómo funciona:

1. En el proceso de pago, el usuario selecciona un proveedor de A2A (p. ej., Trustly, Plaid) o su propio banco.
2. Se le solicita al usuario que autorice el pago con su banco.
3. El banco, como RP, activa un desafío de autenticación con passkey.
4. El usuario se autentica con Face ID, huella dactilar o PIN.
5. El banco confirma de forma segura el pago, y los fondos se transfieren directamente a la cuenta del comercio.

Este modelo no encaja en los otros cuatro porque no implica una red de tarjetas, 3DS, SPC o Autenticación Delegada. Es un flujo centrado en el banco donde el proveedor de A2A actúa como la capa de orquestación entre el comercio y el propio sistema de autenticación del banco, ahora habilitado para passkeys.

sequenceDiagram
    participant U as Usuario
    participant M as Sitio Web del Comercio
    participant A2A as Proveedor A2A (p. ej. Trustly)
    participant B as Banco del Usuario

    U->>M: Selecciona "Pagar desde el Banco"
    M->>A2A: Iniciar Pago A2A
    A2A->>U: Solicitar al usuario que seleccione su banco
    U->>A2A: Selecciona Banco
    A2A->>B: Solicitar Autorización de Pago
    Note over B,U: El banco solicita al usuario la autenticación con passkey
    U->>B: Autenticarse con Passkey para mibanco.com
    B-->>A2A: Autenticación Exitosa, Pago Autorizado
    A2A-->>M: Confirmar Pago
    M-->>U: Confirmar Pedido

La Autenticación Delegada representa una ruptura más radical con el modelo tradicional. Habilitada por la versión 2.2 de 3DS y respaldada por programas específicos de esquemas de tarjetas, la DA es un marco donde un emisor puede delegar formalmente la responsabilidad de realizar la SCA a un tercero de confianza, más comúnmente un gran comercio, PSP o proveedor de billetera digital.

¿Quién es el propietario de la passkey? En este modelo, el Comercio o su PSP es el Relying Party (RP). La passkey se crea para el dominio del comercio (p. ej., amazon.com) y se utiliza para el inicio de sesión en la cuenta.

Para calificar para la DA, la autenticación inicial realizada por el comercio debe ser totalmente compatible con los requisitos de SCA. Según las directrices de la Autoridad Bancaria Europea sobre la Autenticación Reforzada de Cliente, esto no es solo un simple inicio de sesión; debe tener la misma fortaleza que una autenticación que el emisor realizaría por sí mismo. Las passkeys, con sus fuertes propiedades criptográficas, son una tecnología ideal para cumplir con este alto estándar. Sin embargo, un punto crucial de incertidumbre regulatoria permanece con respecto a las passkeys sincronizadas. Mientras que las passkeys vinculadas al dispositivo cumplen claramente con el elemento de "posesión" de la SCA, los reguladores como la EBA aún no han emitido una opinión definitiva sobre si las passkeys sincronizadas, que son portátiles a través de la cuenta en la nube de un usuario, cumplen el estricto requisito de estar vinculadas de forma única a un solo dispositivo. Esta es una consideración clave para cualquier estrategia de DA en Europa.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

En este modelo, el evento de autenticación se adelanta en el recorrido del cliente. En lugar de ocurrir al final del proceso de pago como un desafío 3DS, sucede al principio, cuando el cliente inicia sesión en su cuenta en el sitio web o la aplicación del comercio. Si el comercio utiliza una passkey para iniciar sesión, puede pasar la evidencia de esta autenticación exitosa y compatible con SCA al emisor dentro del intercambio de datos 3DS. El emisor, habiendo preestablecido una relación de confianza con ese comercio, puede entonces usar esta información para otorgar una exención y omitir por completo su propio flujo de desafío. Esto puede resultar en un proceso de pago biométrico verdaderamente fluido y de un solo clic para los usuarios que han iniciado sesión.

Círculo virtuoso de adopción y efectos de red: El círculo virtuoso aquí es impulsado por la relación directa del comercio con el cliente. A medida que los comercios adoptan passkeys para el inicio de sesión para reducir el fraude de apropiación de cuentas y mejorar la UX, construyen una base de usuarios habilitados para passkeys. Esto crea un camino natural para aprovechar estas passkeys para la DA en los pagos, desbloqueando una experiencia de pago superior. El efecto de red es más fuerte para los PSP que pueden actuar como el RP para múltiples comercios, permitiendo potencialmente que una sola passkey se use en una red de tiendas, creando un poderoso incentivo para que otros comercios se unan al ecosistema de ese PSP.

Las redes de tarjetas están fomentando activamente este modelo a través de programas dedicados. El marco de Autenticación Guiada de Visa, por ejemplo, está diseñado para ser utilizado con DA para empoderar a los comercios a realizar la SCA en nombre del emisor. De manera similar, el programa Identity Check Express de Mastercard permite a los comercios autenticar al consumidor dentro del propio flujo del comercio. Este modelo refleja la visión estratégica de los grandes comercios y PSP:

Sin embargo, este poder conlleva responsabilidad. Bajo las regulaciones europeas, la DA se trata como "externalización", lo que significa que el comercio o el PSP asume la responsabilidad por las transacciones fraudulentas y debe adherirse a estrictos requisitos de cumplimiento y gestión de riesgos.

sequenceDiagram
    participant U as Usuario
    participant M as Sitio Web del Comercio
    participant I as ACS del Emisor

    Note over U,M: Paso 1: El usuario inicia sesión en el sitio del comercio.
    U->>M: Autenticarse con passkey para comercio.com
    M-->>U: Inicio de Sesión Exitoso (se ha realizado la SCA)

    Note over U,I: Paso 2: Más tarde, en el proceso de pago...
    U->>M: Hace clic en "Pagar"
    M->>I: Solicitud de Autorización (incluyendo prueba de SCA previa)
    I->>I: Verifica la prueba de autenticación delegada
    I-->>M: Aprobar Transacción (No se necesita desafío 3DS)

Este modelo es una importante iniciativa estratégica impulsada por las redes de tarjetas (Visa, Mastercard) para adueñarse y estandarizar la experiencia de pago de invitados. Han construido sus propios servicios de passkey basados en FIDO, como el Servicio de Passkey de Pago de Visa, sobre el marco de Click to Pay.

¿Quién es el propietario de la passkey? En el modelo centrado en la red, la Red de Tarjetas es el Relying Party. La passkey se crea para el dominio de la red (p. ej., visa.com).

Círculo virtuoso de adopción y efectos de red: Este modelo posee el efecto de red más potente. Una sola passkey creada para una red de tarjetas es instantáneamente reutilizable en cada comercio que soporta Click to Pay, creando un inmenso valor para el consumidor e impulsando un clásico círculo virtuoso de mercado de dos lados.

sequenceDiagram
    participant U as Usuario
    participant M as Sitio Web del Comercio
    participant N as Red de Tarjetas (Click to Pay)
    participant I as Emisor

    Note over M,U: Flujo de Pago de Invitado
    U->>M: Hace clic en el botón "Click to Pay"
    M->>N: Iniciar flujo de Click to Pay
    Note over N,U: Se solicita al usuario que se autentique en la Red.
    N->>U: El navegador activa la solicitud de passkey para red.com
    U->>U: El usuario se autentica con la biometría del dispositivo
    U-->>N: Aserción firmada devuelta a la Red
    N->>N: Valida al usuario, recupera el token de tarjeta almacenado
    N->>I: Solicitud de Autorización con token de red
    I-->>N: Aprobar/Rechazar
    N-->>M: Enviar respuesta de autenticación al comercio

Este modelo se centra en grandes Proveedores de Servicios de Pago (PSP) que operan sus propias billeteras orientadas al consumidor, como PayPal o Stripe (con Link). En este enfoque, el PSP es el Relying Party, y son dueños de todo el flujo de autenticación y pago.

¿Quién es el propietario de la passkey? En el modelo centrado en el PSP, el PSP es el Relying Party (RP). La passkey se crea para el dominio del PSP (p. ej., paypal.com) y asegura la cuenta del usuario dentro del ecosistema de ese PSP.

Círculo virtuoso de adopción y efectos de red: Este modelo también tiene un efecto de red extremadamente fuerte. Una passkey creada para la billetera de un PSP importante es reutilizable en cada comercio que acepta a ese PSP, creando un poderoso incentivo para que usuarios y comercios se unan al ecosistema del PSP.

sequenceDiagram
    participant U as Usuario
    participant M as Sitio Web del Comercio
    participant P as PSP / Billetera (p. ej. PayPal)

    U->>M: Selecciona "Pagar con PSP" en el Proceso de Pago
    M->>U: Redirige o muestra una ventana emergente para el inicio de sesión del PSP
    Note over P,U: El usuario se autentica directamente en el PSP
    U->>P: Autenticarse con Passkey para psp.com
    P-->>U: Autenticación Exitosa
    P-->>M: Enviar Garantía de Pago / OK al Comercio
    M-->>U: Confirmar Pedido

Una pregunta común y crítica es si una passkey creada para un modelo puede reutilizarse en otro. Por ejemplo, ¿puede una passkey que un usuario crea para su banco para usar con SPC ser utilizada para iniciar sesión en el sitio web de un comercio en un flujo de DA? La respuesta es no, y resalta el papel central del Relying Party (RP).

A passkey es fundamentalmente una credencial criptográfica que vincula a un usuario con un RP específico. La clave pública se registra en los servidores del RP, y la clave privada permanece en el dispositivo del usuario. La autenticación es el acto de demostrar la posesión de esa clave privada a ese RP específico.

• En el modelo Centrado en el Emisor (SPC), el RP es el Emisor (p. ej., chase.com). La passkey se registra con el banco.
• En el modelo Centrado en el Comercio (DA), el RP es el Comercio o su PSP (p. ej., amazon.com o stripe.com). La passkey se registra con el comercio para el inicio de sesión.
• En el modelo Centrado en la Red, el RP es la Red de Tarjetas (p. ej., visa.com). La passkey se registra con la red para Click to Pay.
• En el modelo Centrado en el PSP, el RP es el Proveedor de Servicios de Pago (p. ej., paypal.com). La passkey se registra con la billetera o servicio del PSP.

Debido a que la passkey está criptográficamente vinculada al dominio del RP, una passkey registrada con chase.com no puede ser validada por amazon.com. Son identidades digitales distintas desde un punto de vista técnico. Un usuario necesitará crear una passkey separada para cada Relying Party con el que interactúe.

La "reutilización" y "portabilidad" que hacen poderosas a las passkeys provienen de dos áreas:

1. Sincronización de Passkeys: Servicios como iCloud Keychain y Google Password Manager sincronizan las passkeys a través de los dispositivos de un usuario. Así, una passkey creada para chase.com en un teléfono está automáticamente disponible en el portátil del usuario, pero sigue siendo solo para chase.com.
2. Federación: Este es el modelo utilizado por Click to Pay. Un comercio puede confiar en la Red (p. ej., Visa) para autenticar al usuario. El usuario se autentica en Visa (el RP), y Visa luego le indica al comercio que el usuario es legítimo. Esto es análogo a "Iniciar sesión con Google", donde un sitio web confía en Google para manejar el inicio de sesión. La passkey no está siendo reutilizada por el comercio; el evento de autenticación lo está.

Por lo tanto, los cuatro modelos no son solo diferentes caminos técnicos, sino estrategias de identidad competitivas. Cada uno propone una entidad diferente para ser el Relying Party principal para la autenticación de pagos, y los usuarios probablemente terminarán con passkeys para sus emisores, comercios favoritos, billeteras de PSP y redes de tarjetas.

Aunque estos modelos ofrecen nuevas y potentes formas de autenticar, también introducen un desafío operativo crítico que a menudo se pasa por alto: la restauración de passkeys y la recuperación de cuentas. Las passkeys sincronizadas, gestionadas por plataformas como iCloud Keychain y Google Password Manager, mitigan el problema de la pérdida de un solo dispositivo. Sin embargo, no resuelven el problema de un usuario que pierde todos sus dispositivos o cambia entre ecosistemas (p. ej., de iOS a Android). En estos escenarios, un proceso seguro y fácil de usar para que el usuario demuestre su identidad por otros medios y registre una passkey en un nuevo dispositivo es un requisito previo no negociable para cualquier despliegue a gran escala. Como señala la propia documentación de Mastercard, un usuario que cambie de dispositivo necesitará crear una nueva passkey, un proceso que puede requerir la validación de identidad por parte de su banco.(Mastercard® payment passkeys – Frequently asked questions) Esto resalta que una solución completa de passkeys debe abarcar no solo la ceremonia de autenticación en sí, sino también todo el ciclo de vida de la gestión de passkeys, incluyendo flujos de recuperación robustos.

Los cuatro modelos arquitectónicos - Centrado en el Emisor (SPC), Centrado en el Comercio (DA), Centrado en la Red (Click to Pay) y Centrado en el PSP - se traducen en distintas oportunidades de integración para diferentes actores en el ecosistema de pagos. Cada enfoque presenta un conjunto único de compromisos entre la experiencia del usuario, la complejidad de la implementación, la responsabilidad y el control. Esta sección proporciona un análisis pragmático de estos puntos de integración para guiar la toma de decisiones estratégicas.

• Oportunidad: La oportunidad principal para los emisores y los proveedores de Servidores de Control de Acceso (ACS) que les sirven es mejorar el "flujo de desafío" de 3DS reemplazando métodos heredados como OTPs y contraseñas con Secure Payment Confirmation (SPC).
• Cliente objetivo: Esta integración está dirigida a proveedores de ACS (p. ej., Netcetera, CA Technologies/Arcot), proveedores de tecnología que sirven al espacio de los emisores, y grandes bancos emisores que operan sus propias plataformas ACS internas.
• Rol del proveedor: Un proveedor de passkey-como-servicio como Corbado ofrecería un servidor FIDO integrable o un módulo de software que sea totalmente compatible con la especificación SPC. Este módulo se integraría en la plataforma ACS principal, permitiendo al ACS activar un flujo SPC cuando su motor de riesgo determine que es necesario un desafío.
• Pros:
  • Alta Seguridad y Cumplimiento Regulatorio: El uso de la vinculación dinámica criptográfica de SPC proporciona una prueba fuerte y auditable del consentimiento del usuario para detalles de transacción específicos, abordando directamente los requisitos clave de regulaciones como la SCA de PSD2.
  • Experiencia de Usuario Mejorada sobre los OTPs: Autenticarse con un rápido escaneo biométrico es significativamente más rápido y menos propenso a errores que introducir manualmente un código recibido por SMS, lo que puede llevar a un aumento medible en las tasas de conversión de los desafíos.
  • Modelo de Responsabilidad Claro: Este modelo encaja perfectamente dentro del marco 3DS existente. Cuando una transacción se autentica con éxito a través de SPC, la responsabilidad por los contracargos fraudulentos se traslada del comercio al emisor, tal como sucede con otros métodos de desafío 3DS.
• Contras:
  • Sigue siendo un Flujo de "Desafío": Aunque SPC mejora la experiencia del desafío, no lo elimina. El usuario todavía es interrumpido en el proceso de pago con un paso de autenticación. Esta experiencia, aunque mejor, es inherentemente más friccional que un flujo "sin fricción" completamente pasivo o un flujo de Autenticación Delegada exitoso.
  • Dependiente de la Lógica de Riesgo del Emisor: La adopción y frecuencia del uso de SPC son totalmente dependientes del ACS del emisor y su motor de RBA. El ACS todavía decide si y cuándo activar un desafío.
  • Retraso en la Preparación del Ecosistema: El uso generalizado requiere que el ecosistema adopte EMV 3DS versión 2.3 o superior, y que los navegadores de los usuarios soporten la API web de SPC. Como se discutió, la falta de soporte universal, especialmente en plataformas móviles como iOS, es un inhibidor significativo.

• Oportunidad: Implementar la Autenticación Delegada (DA), permitiendo al comercio o a su PSP realizar la SCA en el momento del inicio de sesión del cliente, creando así una experiencia de pago completamente fluida para los usuarios recurrentes y autenticados.
• Cliente objetivo: Esto es más relevante para grandes comercios de comercio electrónico, PSP completos (como Stripe o Adyen) y proveedores de billeteras digitales que tienen una relación directa con el consumidor y ya han invertido en un sistema seguro de cuenta e inicio de sesión.
• Rol del proveedor: Un proveedor de passkeys suministraría la solución de autenticación con passkey principal para el flujo de inicio de sesión del comercio. Crucialmente, la solución también debe proporcionar las salidas de datos y pruebas criptográficas necesarias que puedan ser empaquetadas en la solicitud de autenticación 3DS para señalar al emisor que ya ha ocurrido una SCA compatible.
• Pros:
  • Experiencia de Usuario Óptima: Este modelo ofrece el flujo de pago más fluido posible para los usuarios autenticados. Mueve el paso de autenticación a una parte natural y familiar del recorrido del usuario (inicio de sesión en la cuenta) y puede eliminar el desafío 3DS por completo, permitiendo un verdadero pago con un solo clic.
  • Mayor Potencial de Conversión: Al eliminar el punto final de fricción en el proceso de pago, la DA tiene el potencial de ofrecer el aumento más significativo en las tasas de conversión de pagos. Un piloto de Stripe con titulares de tarjetas Wise reportó un aumento de conversión del 7% para las transacciones que utilizan su solución de DA.
  • Fortalece la Relación Comercio-Cliente: Toda la experiencia de autenticación y pago permanece dentro del entorno de marca del comercio, reforzando su relación directa con el cliente.
• Contras:
  • Comerciales y Responsabilidad Complejos: La DA no es un simple cambio técnico. Requiere acuerdos explícitos, a menudo bilaterales, entre los emisores y los comercios/PSP en los que eligen confiar. Además, la parte que realiza la autenticación delegada asume la responsabilidad por el fraude, y el acuerdo está sujeto a una estricta supervisión regulatoria como una forma de "externalización", lo que conlleva una carga de cumplimiento significativa.
  • Dependiente de la Confianza del Emisor: Todo el modelo depende de la voluntad de un emisor de confiar en el proceso de autenticación del comercio. Esta confianza probablemente se extenderá solo a los socios más grandes, seguros y estratégicos inicialmente.
  • Adopción Fragmentada: A diferencia de un estándar universal, la DA se adoptará por emisor y por comercio, lo que llevará a un panorama fragmentado donde la experiencia no es consistente para todos los titulares de tarjetas en todos los comercios.

• Oportunidad: Habilitar la experiencia de passkey con la marca de la red para el masivo volumen de transacciones de pago de invitados.
• Cliente objetivo: Pasarelas de Pago y PSP que quieran ofrecer una solución de pago de invitados moderna y estandarizada a su base de clientes comerciales.
• Rol del proveedor: El proveedor puede actuar como un socio de integración crucial. Dado que Visa y Mastercard han desarrollado servicios de passkey separados y propietarios, un proveedor de passkeys puede ofrecer un SDK unificado o una "capa de orquestación" que abstraiga las complejidades de la integración con las distintas API de cada red, proporcionando un único y simplificado punto de integración para el PSP.
• Pros:
  • Solución Estandarizada para Pagos de Invitados: Click to Pay con passkeys resuelve un importante punto de dolor de la industria: el pago de invitados de alta fricción y alto abandono. Ofrece una experiencia consistente, reconocible y de confianza.
• Adopción Impulsada por la Red: Visa y Mastercard están poniendo todo su peso detrás de esta iniciativa, lo que impulsará una rápida adopción por parte de emisores, comercios y consumidores. Los PSP enfrentarán presión competitiva para soportarlo.
• Carga de Responsabilidad y Seguridad Simplificada: La red de tarjetas, actuando como el Relying Party federado, asume la carga principal de construir y asegurar la infraestructura de autenticación FIDO, simplificando la postura de seguridad y responsabilidad para el comercio.
• Contras:
  • Pérdida de Control y Marca: La principal desventaja es que el comercio y su PSP ceden el control sobre la experiencia de usuario del pago a la red de tarjetas. El pago se convierte en un "pago de Visa" o un "pago de Mastercard", presentando su marca e interfaz de usuario.
  • Potencial de Desintermediación: Al convertirse en el proveedor de identidad central para el comercio electrónico, las redes podrían debilitar la relación directa de datos y marca entre el comercio y el cliente con el tiempo.
  • Implementación de "Caja Negra": El funcionamiento interno del servidor FIDO de la red, los motores de riesgo y la lógica de autenticación son opacos para el comercio y el PSP. Están integrándose con un servicio cuyas reglas y experiencia de usuario no controlan.

La transición a la autenticación de pagos basada en passkeys no es un ejercicio teórico; está siendo impulsada activamente por los mayores actores de la industria. Sus estrategias, programas piloto y declaraciones públicas ofrecen una visión clara de la dinámica competitiva y la trayectoria probable de adopción.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: Como miembro fundador de la FIDO Alliance y un proveedor de pagos nativo digital, PayPal ha sido uno de los primeros y más agresivos adoptantes de passkeys. Comenzaron un despliegue global por fases a finales de 2022, comenzando en EE. UU. y expandiéndose a Europa y otras regiones. Su implementación es un estudio de caso de buenas prácticas, aprovechando características como la IU Condicional para crear una experiencia de inicio de sesión con un solo toque que solicita automáticamente una passkey cuando el usuario interactúa con el campo de inicio de sesión. PayPal ha reportado un éxito temprano significativo, incluyendo un aumento en las tasas de éxito de inicio de sesión y una reducción sustancial en el fraude de apropiación de cuentas (ATO). Su estrategia también incluye abogar activamente por la evolución regulatoria en Europa, presionando por un enfoque basado en resultados para la SCA que reconozca la seguridad inherente de las passkeys sincronizadas.

• Visa: La estrategia de Visa se centra en su Servicio de Passkey de Pago de Visa, una plataforma integral construida sobre su propia infraestructura de servidor FIDO. Este servicio está diseñado como un modelo federado, donde Visa maneja la complejidad de la autenticación en nombre de sus socios emisores. El vehículo principal para este servicio es Click to Pay, posicionando a Visa para adueñarse de la experiencia de pago de invitados. El mensaje de Visa se extiende más allá de los simples pagos, enmarcando su servicio de passkey como un elemento fundamental de una solución de identidad digital más amplia que puede ser utilizada en todo el ecosistema de comercio. Están pilotando activamente la tecnología, incluyendo SPC, y reportan que la autenticación biométrica puede reducir las tasas de fraude en un 50% en comparación con los OTP por SMS.

• Mastercard: Mastercard ha reflejado el enfoque estratégico de Visa en un servicio a nivel de red, lanzando su propio Servicio de Passkey de Pago construido sobre su existente Servicio de Autenticación de Tokens (TAS). Su estrategia de salida al mercado se ha caracterizado por una serie de pilotos globales de alto perfil. En agosto de 2024, anunciaron un importante piloto en India, asociándose con los mayores agregadores de pagos del país (Juspay, Razorpay, PayU), un importante comercio en línea (bigbasket) y un banco líder (Axis Bank). A esto le siguieron lanzamientos en otros mercados clave, incluyendo América Latina con los socios Sympla y Yuno y los EAU con Tap Payments. Este enfoque revela una estrategia clara: asociarse con agregadores del ecosistema (PSPs, pasarelas) para alcanzar escala rápidamente. Mastercard ha hecho un audaz compromiso público de eliminar la entrada manual de tarjetas en Europa para 2030, pasando completamente a transacciones tokenizadas y autenticadas con passkey.

Las estrategias de estos pioneros revelan una dinámica crítica. La experiencia de pago de invitado, históricamente un área fragmentada y de alta fricción, se ha convertido en la cabeza de playa estratégica para las redes de tarjetas. Al crear una solución superior y habilitada para passkeys para los usuarios invitados a través de Click to Pay, las redes pueden establecer una relación de identidad directa con los consumidores. Una vez que un consumidor crea una passkey a nivel de red durante un pago de invitado, esa identidad se vuelve portátil a cualquier otro comercio que soporte Click to Pay. Esto permite a las redes efectivamente "adquirir" identidades de usuario y ofrecer una experiencia fluida en toda la web, un movimiento poderoso para capturar el rol central de proveedor de identidad para el comercio digital.

Los esfuerzos concertados de estos grandes actores, combinados con tendencias tecnológicas y regulatorias más amplias, apuntan hacia un cambio acelerado e inevitable en la autenticación de pagos.

• La inevitable desaparición de los OTPs: El impulso de toda la industria hacia las passkeys señala el principio del fin para los códigos de un solo uso basados en SMS como método de autenticación primario. Los OTPs se ven cada vez más como una responsabilidad debido tanto a su experiencia de usuario de alta fricción como a su creciente vulnerabilidad a ataques como el intercambio de SIM y sofisticadas campañas de phishing. A medida que las passkeys se generalicen, la dependencia de los OTPs quedará relegada a un mecanismo de respaldo o recuperación, en lugar de un método de desafío primario.

• Vientos de cola regulatorios: Aunque las regulaciones actuales como PSD2 crearon el mandato inicial para la SCA, sus definiciones rígidas y basadas en categorías han creado cierta incertidumbre en torno a nuevas tecnologías como las passkeys sincronizadas. Se espera que las próximas actualizaciones regulatorias, como PSD3 en Europa, adopten un enfoque más neutral en cuanto a tecnología y centrado en los resultados. Esto probablemente favorecerá los métodos de autenticación que sean demostrablemente resistentes al phishing, proporcionando una vía regulatoria más clara para la adopción generalizada de passkeys como un método de SCA compatible.

• El auge de la identidad de pago federada: Los movimientos estratégicos de Visa y Mastercard son más que solo asegurar los pagos; se trata de establecer un nuevo paradigma para la identidad digital. Al construir servicios de passkey federados, se están posicionando a sí mismos como los proveedores de identidad centrales y de confianza para todo el ecosistema de comercio digital. Esto puede verse como una respuesta estratégica directa a las poderosas plataformas de identidad controladas por Big Tech (p. ej., Apple ID, Cuenta de Google). El futuro de los pagos en línea está inextricablemente ligado a esta batalla más grande sobre quién poseerá y gestionará la identidad del consumidor en la web.

Aunque la transacción de pago principal es el enfoque principal, la tecnología de passkeys está preparada para eliminar la fricción y mejorar la seguridad en una amplia gama de servicios financieros adyacentes. Muchos procesos que todavía dependen de contraseñas o torpes OTPs son candidatos ideales para una actualización a passkeys.

• Aprovisionamiento de billeteras digitales: El proceso de agregar una tarjeta de crédito o débito a una billetera digital como Apple Pay o Google Pay a menudo requiere un paso de verificación, como un OTP por SMS enviado por el emisor. Este es un punto de fricción que puede ser reemplazado por un flujo de passkey.
• Open Banking y vinculación de cuentas: La base del open banking es permitir que aplicaciones de terceros (como aplicaciones de presupuesto u otros servicios fintech) accedan a los datos de la cuenta bancaria de un usuario. Esto requiere que el usuario se autentique con su banco, un proceso que a menudo es engorroso. Las passkeys ofrecen una forma mucho más fluida y segura de otorgar este consentimiento, reemplazando redirecciones incómodas y la entrada manual de contraseñas con una simple autenticación biométrica.
• Asegurar tokens de Card-on-File (CoF): Más allá de solo asegurar el inicio de sesión para una cuenta con una tarjeta guardada, las passkeys se pueden usar para asegurar el acto inicial de guardar la tarjeta. Un desafío en el momento en que un usuario agrega su tarjeta proporciona una fuerte evidencia de que el titular legítimo de la tarjeta está presente, reduciendo el fraude de números de tarjetas de crédito robados que se utilizan para crear perfiles CoF para un uso indebido posterior.
• BNPL y préstamos instantáneos: Los servicios de Compra Ahora, Paga Después y otras formas de crédito instantáneo implican tanto una incorporación inicial como evaluaciones de riesgo por transacción. Las passkeys ya son utilizadas por pioneros como Klarna para reemplazar las contraseñas para el inicio de sesión. También pueden ser utilizadas como un método de autenticación reforzada para compras de alto valor o cuando un usuario solicita una nueva línea de crédito, proporcionando una señal de intención del usuario más fuerte y de menor fricción que los métodos tradicionales.

El auge de las stablecoins (como USDC o EURC) presenta una nueva vía de pago basada en blockchain. Sin embargo, una barrera importante para la adopción masiva ha sido la mala experiencia de usuario y la seguridad de las billeteras de criptomonedas. Tradicionalmente, estas billeteras están aseguradas por una "frase semilla" (una lista de 12-24 palabras) que el usuario debe escribir y proteger. Esto es increíblemente poco amigable para el usuario y hace que la recuperación de la cuenta sea una pesadilla.

Las passkeys están preparadas para transformar completamente esta experiencia. La industria se está moviendo hacia un modelo donde la clave privada que controla los activos en la cadena está asegurada por la passkey del dispositivo.

• Eliminando las frases semilla: En lugar de escribir una frase semilla, la billetera de un usuario se crea y asegura con la seguridad integrada de su dispositivo. Para autorizar una transacción, como enviar stablecoins a un comercio, el usuario simplemente se autentica con Face ID o un escaneo de huella dactilar. Esto hace que un pago con criptomonedas se sienta tan fluido y seguro como usar Apple Pay.
• Habilitando la recuperación de cuentas: Al usar arquitecturas de billetera como "cuentas inteligentes" (o "abstracción de cuentas"), se pueden incorporar mecanismos de recuperación. Un usuario podría designar amigos, familiares o instituciones de confianza como "guardianes" que pueden ayudarle a recuperar su cuenta si pierde todos sus dispositivos, una gran mejora sobre la naturaleza de todo o nada de las frases semilla.

Esta evolución podría reducir significativamente la fricción y el riesgo asociados con el uso de stablecoins para pagos, convirtiéndolas potencialmente en una alternativa más viable y masiva a las vías de pago tradicionales.

El análisis del panorama de pagos y los modelos emergentes de integración de passkeys revela varias oportunidades distintas y accionables. Para una empresa de autenticación centrada en passkeys como Corbado, el objetivo es empoderar a cada actor en el ecosistema para que alcance sus objetivos estratégicos proporcionando la tecnología fundamental necesaria para navegar esta transición.

• El objetivo: Modernizar el flujo de desafío 3DS, reemplazando los OTPs de alta fricción para aumentar las tasas de conversión, mejorar la seguridad y cumplir con PSD2/PSD3 de frente.
• Cómo ayuda Corbado: Proporcionamos un módulo de autenticación con passkey integrable diseñado para una integración sencilla en las plataformas de Servidor de Control de Acceso (ACS) existentes. Nosotros ayudamos a los proveedores de ACS a ofrecer una experiencia de desafío de primera clase y baja fricción que beneficia a toda su red de bancos y comercios.

• El objetivo: Adueñarse del recorrido del cliente de principio a fin y ofrecer la experiencia de pago definitiva a través de la Autenticación Delegada (DA), eliminando el desafío 3DS para los usuarios que han iniciado sesión.
• Cómo ayuda Corbado: Corbado ofrece una solución integral de habilitación de DA. Esto incluye no solo un sistema de inicio de sesión con passkey de primera clase, sino también las herramientas y API para generar las pruebas criptográficas requeridas por los emisores para otorgar exenciones de DA. Actuamos como un socio tecnológico, permitiendo a los comercios y PSP maximizar la conversión y fortalecer su marca.

• El objetivo: Ofrecer sin esfuerzo las últimas características exigidas por la red como Click to Pay y mantener las plataformas competitivas sin costosos y duplicados esfuerzos de desarrollo.
• Cómo ayuda Corbado: Corbado ofrece una capa de "Orquestación de Passkeys". Ayudamos con la integración de los servicios de Visa y Mastercard y también proporcionamos formas en que los comercios pueden ofrecer simultáneamente su propia solución de passkey para ofrecer un pago de invitado moderno.

• El objetivo: Asegurar todo el ecosistema de la billetera, creando una experiencia de inicio de sesión y pago fluida y segura que sea portátil a través de toda la red de comercios del PSP.
• Cómo ayuda Corbado: Proporcionamos la infraestructura de passkey central que permite a los grandes PSP y proveedores de billeteras convertirse en el Relying Party central para sus usuarios. Al integrar nuestra solución, pueden reemplazar las contraseñas para los inicios de sesión de sus billeteras (p. ej., para PayPal, Stripe Link o Klarna). Esto no solo asegura la cuenta contra la apropiación, sino que también agiliza la autorización de pago en un paso biométrico de un solo clic, creando una potente experiencia de autenticación de marca que fideliza a los usuarios y atrae a los comercios.

Este análisis destaca un factor de éxito crítico para cualquier estrategia basada en passkeys: la adopción por parte del usuario. Una solución que pueda aumentar demostrablemente la creación de passkeys y su uso desde una línea base de ~10% a más del 50% aborda el principal desafío que enfrenta el despliegue de estos nuevos modelos de autenticación. Basado en el ecosistema y los objetivos estratégicos de sus actores, las siguientes organizaciones y sectores son candidatos principales para tal solución.

• Problema central: La alta fricción en el flujo de desafío 3DS conduce a carritos abandonados y pérdida de ingresos para los comercios, haciendo que la tarjeta de un emisor sea menos competitiva.
• Cómo ayuda la adopción: Una mayor adopción de passkeys se traduce directamente en más desafíos exitosos y de baja fricción. Esto mejora las tasas de conversión, aumenta la seguridad y hace que las credenciales de pago del emisor sean más valiosas tanto para los comercios como para los consumidores.
• Candidatos principales: Grandes bancos emisores (Bank of America, Chase, Barclays), y los proveedores de ACS que suministran su tecnología 3DS (Netcetera, CA Technologies).

• Problema central: El deseo de adueñarse del recorrido del cliente y eliminar la fricción en el pago a menudo se ve bloqueado por la necesidad de un desafío 3DS.
• Cómo ayuda la adopción: Todo el modelo de Autenticación Delegada (DA) se basa en la capacidad del comercio para autenticar fuertemente al usuario en el inicio de sesión. Una alta adopción de passkeys no es solo una mejora, sino un requisito previo para una estrategia de DA exitosa. Habilitar la DA para la mayoría de los usuarios es un potente diferenciador competitivo.
• Candidatos principales: Líderes mundiales del comercio electrónico (Amazon, Walmart), servicios de suscripción digital (Netflix, Spotify) y los PSP completos que les sirven (Stripe, Adyen, Checkout.com).

• Problema central: El éxito de los servicios de identidad estratégicos a nivel de red como Click to Pay depende directamente de la inscripción generalizada de los consumidores.
• Cómo ayuda la adopción: Una experiencia de creación de passkeys fácil y atractiva es esencial para el crecimiento de estas redes de identidad federadas. Las redes podrían integrar una solución centrada en la adopción en los SDK que proporcionan a los comercios y PSP, acelerando el despliegue y la aceptación de sus servicios de passkey propietarios.
• Candidatos principales: Visa (para su Servicio de Passkey de Pago de Visa) y Mastercard (para su Servicio de Autenticación de Tokens).

• Problema central: El valor de la billetera (p. ej., PayPal, Stripe Link, Klarna) está directamente ligado al número de usuarios activos y comprometidos. La fricción en el inicio de sesión o en el pago debilita el ecosistema.
• Cómo ayuda la adopción: Impulsar la adopción masiva de passkeys para el propio dominio de la billetera (paypal.com, etc.) es un objetivo estratégico central. Reduce el fraude, mejora la experiencia del usuario y fortalece el efecto de red, haciendo que la billetera sea más atractiva tanto para los consumidores como para los comercios.
• Candidatos principales: PSP globales con ofertas de billetera (PayPal, Stripe Link, Klarna), y grandes actores regionales (Mercado Pago, Block).

• Problema central: Los esquemas de pago nacionales enfrentan la presión de modernizar su infraestructura y proporcionar soluciones de identidad digital para seguir siendo competitivos frente a las empresas tecnológicas globales.
• Cómo ayuda la adopción: Estas redes deben asegurarse de que sus nuevos servicios de pago e identidad digital tengan un uso generalizado. Para un actor como Australian Payments Plus (AP+), impulsar la adopción de servicios como PayTo (para pagos en tiempo real) y ConnectID (para identidad digital) es un objetivo estratégico central. Una solución que impulse la inscripción en passkeys es un habilitador directo de esta estrategia.
• Candidatos principales: Australian Payments Plus (AP+) y otros organismos nacionales de infraestructura de pagos.

Las grandes empresas tecnológicas operan sofisticadas billeteras digitales que juegan un papel único y poderoso en el ecosistema de pagos. Se sitúan en la intersección del dispositivo del usuario, su identidad de plataforma y las vías de pago tradicionales, lo que les da una posición y estrategia distintas con respecto a la adopción de passkeys.

Apple Pay y Google Pay se entienden mejor como una capa de tecnología y autenticación que se encuentra sobre la infraestructura de tarjetas de pago existente. No emiten tarjetas ni procesan transacciones por sí mismos, sino que almacenan y transmiten de forma segura versiones tokenizadas de las tarjetas de pago existentes de un usuario.

• Posición en el ecosistema: Actúan como un "contenedor" seguro para las tarjetas de un usuario. Cuando un usuario paga en línea, en lugar de introducir los detalles de su tarjeta, selecciona Apple Pay o Google Pay. La billetera luego pasa un token seguro de un solo uso a la pasarela de pago del comercio. La transacción todavía fluye a través del adquirente, la red y el emisor como de costumbre.
• Cómo aprovechan las passkeys: Autentican al usuario con un escaneo facial o de huella dactilar a la billetera, autorizándola a liberar el token de pago. Este es un evento de autenticación potente y de baja fricción, pero es distinto de la autenticación 3DS/SCA de la que es responsable el emisor de la tarjeta. Un emisor todavía puede técnicamente activar un desafío 3DS en una transacción iniciada a través de Apple Pay, aunque la fuerte autenticación a nivel de dispositivo hace que esto sea menos probable.
• Oportunidades y cómo se benefician de la adopción:
  • Agilizando el aprovisionamiento de billeteras: El proceso de agregar una tarjeta a una billetera a menudo requiere un OTP del emisor. Este es un punto clave de fricción. Apple y Google podrían trabajar con los emisores para reemplazar esto con un flujo de passkey dentro de la aplicación, usando una passkey para verificar al usuario al instante. Una solución de adopción para sus socios emisores haría que sus billeteras fueran más fáciles de cargar y usar.
  • Convirtiéndose en una Autoridad Delegada: Su objetivo estratégico final es aprovechar su potente autenticación de plataforma para convertirse en el autenticador definitivo y de confianza para los pagos. Si los emisores reconocen formalmente la autenticación de Apple Pay o Google Pay como cumplimiento de los requisitos de SCA, podrían convertirse en Autoridades Delegadas, eliminando el desafío 3DS por completo. Una alta adopción de sus propias passkeys de plataforma es fundamental para hacer de esta una propuesta convincente para los emisores.

Amazon Pay y Meta Pay operan más como un comercio tradicional con una billetera de Card-on-File (CoF) muy grande que se puede usar en sitios de terceros y dentro de sus propios ecosistemas (p. ej., para el comercio social en Instagram).

• Posición en el ecosistema: Son un ejemplo clásico del modelo Centrado en el Comercio. Los usuarios almacenan sus tarjetas de pago directamente en su cuenta de Amazon o Meta. Cuando usan Amazon Pay o Meta Pay para pagar, se están autenticando en su cuenta principal, y esa plataforma procesa el pago en su nombre.
• Cómo aprovechan las passkeys: Su uso principal de passkeys es para asegurar el inicio de sesión de la cuenta principal del usuario (p. ej., la passkey para Amazon.com). Al mover sus vastas bases de usuarios de contraseñas a passkeys para el inicio de sesión de la cuenta, reducen drásticamente el riesgo de fraude de apropiación de cuentas y protegen las valiosas credenciales de pago almacenadas.
• Oportunidades y cómo se benefician de la adopción: Su beneficio es directo e inmediato. Una solución que impulse la adopción de passkeys para sus cuentas de usuario principales:
  1. Reduce el fraude: Disminuye masivamente la superficie de ataque para la apropiación de cuentas, una fuente importante de pérdidas financieras e insatisfacción del cliente.
  2. Reduce la fricción: Crea una experiencia de inicio de sesión y pago fluida y segura, lo que está demostrado que aumenta las tasas de conversión. Para estos actores, una solución que impulse la adopción de passkeys es una inversión directa en la seguridad y el rendimiento de su negocio de comercio principal. Por lo tanto, son candidatos principales para tal solución.

La industria de los pagos se encuentra en los albores de una nueva era de autenticación. El compromiso de larga data entre la seguridad y la conveniencia finalmente se está resolviendo con la maduración y adopción de la tecnología de passkeys. El análisis presentado en este informe demuestra que este no es un cambio monolítico, sino una transición compleja con múltiples visiones competitivas para el futuro. Los emisores buscan mejorar el marco 3DS existente con SPC; los grandes comercios y PSP aspiran a tomar el control de la experiencia a través de la Autenticación Delegada o construyendo sus propios ecosistemas de billeteras; y las redes de tarjetas están creando una nueva capa de identidad federada con Click to Pay. Cada modelo compite por convertirse en el nuevo estándar de confianza del usuario y conveniencia.