Passkeys de Mastercard: El Servicio de Passkeys de Pago de Mastercard

En los últimos años, el sector financiero ha mostrado un creciente interés en mejorar la seguridad y la experiencia de usuario con métodos de autenticación innovadores. Los passkeys están emergiendo como una solución muy atractiva y cada vez más preferida por bancos (p. ej., Revolut), fintechs (p. ej., Finom) y proveedores de pago (p. ej., PayPal).

En nuestras últimas publicaciones, hemos cubierto ampliamente las implicaciones de este cambio tecnológico, particularmente en el contexto de la directiva PSD2 / Autenticación Reforzada de Cliente (SCA):

• Passkeys vinculados a dispositivos y sincronizados
• Análisis de los requisitos de PSD2 y SDA
• Qué significan los requisitos de SCA para los passkeys
• Implicaciones de PSD3 / PSR para los passkeys
• Vinculación dinámica (Dynamic Linking)

Continuando con nuestro análisis del mundo de la autenticación segura, Mastercard ha presentado un nuevo servicio para passkeys: Mastercard Payment Passkeys. Este servicio, también conocido por el nombre de su marco técnico, Mastercard Token Authentication Service (TAS), representa un movimiento estratégico para reemplazar los métodos de autenticación obsoletos con un enfoque seguro, fluido y fácil de usar que aprovecha la biometría (p. ej., Face ID, Touch ID). El servicio tiene como objetivo agilizar el proceso de pago online, combinando seguridad con comodidad para millones de compradores en todo el mundo. La doble nomenclatura parece ser estratégica. Payment Passkeys comunica claramente a los consumidores y comerciantes el beneficio de un inicio de sesión biométrico simplificado, mientras que Token Authentication Service se alinea con los detalles de implementación técnica relevantes para los desarrolladores y socios que integran el sistema.

Este artículo analiza el enfoque de Mastercard, explorando la tecnología, la experiencia de usuario, los beneficios y las implicaciones para la industria de los Payment Passkeys.

La integración de los passkeys en el sector de los servicios financieros es un cambio hacia una autenticación más segura y fácil de usar.

La principal fuerza impulsora son las expectativas de los consumidores. Como Mastercard ha revelado en declaraciones anteriores, los consumidores odian las contraseñas:

• 7 de cada 10 consumidores se sienten abrumados por la cantidad de contraseñas que deben gestionar.
• Más del 80 % de las violaciones de datos confirmadas se debieron a contraseñas.

Mastercard reconoció que cualquier secreto compartido, incluidas las contraseñas de un solo uso (OTP), se está convirtiendo en un objetivo para los ciberdelincuentes. Es por eso que Mastercard quiere reemplazar la contraseña con factores basados en la persona. Los passkeys, al aprovechar la biometría del dispositivo (p. ej., Face ID, Touch ID), responden a esta necesidad de manera eficaz.

Además, los passkeys eliminan los puntos débiles de seguridad tradicionales asociados con las contraseñas, como los riesgos de phishing. Al reemplazar las contraseñas con claves criptográficas que son simples de usar pero difíciles de explotar, los passkeys ofrecen una solución convincente para las instituciones financieras que buscan tanto mejorar la seguridad como agilizar las interacciones del usuario.

El modelo de seguridad de los passkeys se alinea con los estrictos requisitos de las regulaciones financieras como la Autenticación Reforzada de Cliente (SCA) bajo la directiva PSD2. La SCA exige una autenticación multifactor para la mayoría de los pagos electrónicos y el acceso a cuentas, requiriendo la validación mediante al menos dos elementos independientes de tres categorías:

• Conocimiento (algo que el usuario sabe)
• Posesión (algo que el usuario posee)
• Inherencia (algo que el usuario es)

Los passkeys cumplen naturalmente con estos requisitos: la clave privada segura almacenada en el dispositivo representa el factor de "Posesión", mientras que la biometría utilizada para desbloquearla representa el factor de "Inherencia". Si se utiliza un PIN del dispositivo, puede satisfacer el factor de "Conocimiento". Sin embargo, existe un debate en curso en la industria sobre si los passkeys sincronizados necesitan proporcionar alguna garantía adicional con respecto a la vinculación del dispositivo.

Además, las regulaciones de pago a menudo requieren una vinculación dinámica (dynamic linking), asegurando que el proceso de autenticación vincule criptográficamente el monto específico de la transacción y el beneficiario a la aprobación del usuario. Las implementaciones de passkeys, particularmente cuando se integran con protocolos como EMV 3DS o utilizan extensiones como Secure Payment Confirmation (SPC), están diseñadas para incorporar estos detalles de la transacción en la firma criptográfica, cumpliendo con este requisito crítico.

La introducción de los Payment Passkeys por parte de Mastercard no es un evento aislado, sino la culminación de un compromiso estratégico a largo plazo para avanzar en la seguridad de los pagos y adoptar estándares de autenticación sin contraseña.

Mastercard es uno de los primeros miembros de la FIDO Alliance, la fuerza impulsora detrás de los passkeys y WebAuthn, a la que se unió ya en 2012.

En el pasado, Mastercard ya había lanzado el Mastercard Biometric Authentication Service, que fue un primer paso en la dirección de los passkeys. Este servicio ya estaba diseñado para cumplir con los estándares de FIDO.

En septiembre de 2023, Mastercard proporcionó una actualización sobre los passkeys y la Secure Payment Confirmation (SPC). En ella, Mastercard compartió su visión sobre los posibles procesos de passkey estándar vs. passkey SPC. Los bocetos ya estaban a un nivel detallado (como verás a continuación).

En agosto de 2024, Mastercard lanzó su Payment Passkey Service en India, un mercado caracterizado por un alto volumen de pagos digitales y una significativa adopción móvil. Este lanzamiento inicial probablemente sirvió como un banco de pruebas a gran escala para la escalabilidad y la eficacia, particularmente en un entorno donde el fraude basado en OTP es un problema conocido.

Tras el lanzamiento en India, Mastercard expandió el servicio a otras regiones clave, incluyendo Asia-Pacífico (inicialmente Singapur), América Latina (comenzando con Brasil) y Oriente Medio y África (MEA), empezando por los Emiratos Árabes Unidos. Este enfoque región por región permite a Mastercard adaptar su implementación y alianzas a las dinámicas del mercado local y los marcos regulatorios.

Un elemento fundamental de esta estrategia es el énfasis en las alianzas. En cada región de lanzamiento, Mastercard ha colaborado estrechamente con actores locales clave, incluidos agregadores de pago:

• Agregadores de pago:
  • India: Juspay, Razorpay o PayU
  • América Latina: Yuno
  • MEA: noon Payments, Tap Payments
• Comerciantes online:
  • India: bigbasket
  • América Latina: Sympla
• Bancos líderes: (como
  • India: Axis Bank
  • Singapur: DBS o UOB

Estas alianzas son esenciales para integrar el servicio de Payment Passkey en los ecosistemas de pago existentes, lidiar con las regulaciones locales y llegar a una amplia base de consumidores. Esto demuestra un modelo flexible y colaborativo en lugar de un enfoque vertical y único para todos.

A partir de junio de 2025, Mastercard ha avanzado significativamente en su estrategia de pago seguro en toda Europa. La compañía logró un progreso sustancial, impulsado principalmente por la adopción generalizada de la tokenización, con casi el 50 % de las transacciones de comercio electrónico europeas utilizando ahora esta tecnología. La tokenización reemplaza los números de tarjeta de pago sensibles con tokens digitales seguros, reduciendo la exposición de los detalles de pago del cliente y mejorando significativamente la seguridad.

Simultáneamente, Mastercard ha comenzado a implementar los passkeys de pago con notables alianzas tempranas que incluyen a Dintero, Netopia y Solidgate. Aunque los passkeys de pago todavía están en las primeras etapas en comparación con la tokenización, su introducción se alinea con la visión más amplia de Mastercard de un comercio electrónico sin contraseñas y sin fricciones.

Logros clave en Europa:

• Adopción de la tokenización: Casi la mitad del comercio electrónico de Europa ahora está asegurado mediante tokenización.
• Amplia cobertura:
  • Tokenización implementada en 45 países europeos.
  • Click to Pay (pago sin contraseña) activo en 26 mercados, con inscripciones que se duplicaron en un año.
• Implementación temprana de passkeys: Lanzamiento de passkeys de pago con proveedores de pago europeos seleccionados.

Estos desarrollos destacan la estrategia de doble vía de Mastercard: una sólida expansión de la tokenización hoy, complementada con una adopción estratégica y con visión de futuro de los passkeys de pago.

Los Payment Passkeys de Mastercard son posibles gracias al Mastercard Token Authentication Service (TAS). TAS es la infraestructura subyacente que permite a los comerciantes y billeteras digitales ofrecer a los consumidores la capacidad de autenticar sus transacciones online utilizando datos biométricos vinculados a su passkey de Mastercard, reemplazando las contraseñas tradicionales o las OTP. Este servicio no opera de forma aislada. Está profundamente integrado con otras tecnologías centrales de Mastercard, particularmente la tokenización y potencialmente el marco EMV 3DS, todo mientras se adhiere a los estándares globales.

Un aspecto esencial del servicio es su integración con el Servicio de Tokenización de Mastercard, a menudo denominado MDES (Mastercard Digital Enablement Service). La tokenización es una medida de seguridad crítica que reemplaza el Número de Cuenta Principal (PAN) real de 16 dígitos del consumidor con un identificador digital único o "token". Este token es específico para un dispositivo, comerciante o contexto de transacción en particular. Cuando ocurre una transacción, solo se transmite el token, lo que significa que el comerciante nunca necesita almacenar o manejar el PAN real, reduciendo significativamente el riesgo asociado con las violaciones de datos. Los Payment Passkeys de Mastercard sirven entonces como el mecanismo para autenticar la intención del usuario legítimo de usar esta credencial tokenizada para una transacción específica.

La autenticación en sí misma aprovecha el passkey almacenado en el dispositivo del usuario, desbloqueado mediante la biometría del dispositivo (huella dactilar, escaneo facial) o el PIN/código de acceso del dispositivo. Es fundamental entender que los datos biométricos utilizados para desbloquear el passkey permanecen de forma segura en el dispositivo del usuario y nunca se comparten con Mastercard, el comerciante ni ningún otro tercero. El mecanismo del passkey simplemente confirma una autenticación local exitosa (p. ej., Face ID, Touch ID) antes de permitir que proceda el proceso de firma criptográfica.

Aunque los detalles específicos de la implementación varían, los Payment Passkeys probablemente operan dentro o junto con el marco EMV 3-D Secure (3DS), el estándar de la industria para asegurar las transacciones de tarjeta no presente (CNP). EMV 3DS facilita el intercambio de datos de transacción enriquecidos entre el comerciante y el emisor de la tarjeta, permitiendo al emisor realizar evaluaciones de riesgo. Si la transacción se considera de alto riesgo, el emisor puede "desafiar" al usuario a realizar una autenticación adicional (SCA). Los Payment Passkeys de Mastercard proporcionan un método seguro y potencialmente mucho más fluido para cumplir con este desafío de SCA en comparación con los métodos tradicionales como las OTP. Los servicios relacionados de Mastercard, como Identity Check Express y Delegated Authentication para comerciantes, aprovechan explícitamente las capacidades de FIDO / WebAuthn dentro del flujo de EMV 3DS, permitiendo a los comerciantes (con el permiso del emisor) realizar la autenticación en nombre del emisor utilizando estos métodos modernos.

La sinergia entre los passkeys y la tokenización crea una arquitectura de seguridad de múltiples capas. Los passkeys aseguran el paso de autenticación del usuario, evitando que personas no autorizadas inicien transacciones. La tokenización protege la credencial de pago subyacente, minimizando el valor de cualquier dato potencialmente expuesto en brechas. Este enfoque combinado aborda el fraude desde múltiples ángulos, haciendo que todo el proceso de transacción sea significativamente más resistente. Además, integrar la autenticación con passkeys en la infraestructura establecida de EMV 3DS es un enfoque pragmático que facilita la adopción. Permite a los emisores y adquirentes mejorar la seguridad y la experiencia del usuario aprovechando sus inversiones existentes en la tecnología 3DS, en lugar de requerir el despliegue de sistemas de autenticación completamente separados.

Un objetivo principal de los Payment Passkeys de Mastercard es revolucionar la experiencia de pago online, haciéndola más rápida, simple y segura al eliminar la fricción asociada con las contraseñas y las OTP. El recorrido del usuario abarca tanto la creación inicial del passkey como su uso posterior para autenticar pagos.

A los usuarios se les puede solicitar que creen un Payment Passkey de Mastercard en varios puntos de su interacción con los servicios de Mastercard. Los escenarios comunes incluyen:

• Durante el pago: A menudo, la opción de crear un passkey se presenta después de que un usuario ha completado con éxito un paso de autenticación tradicional para una transacción, como un desafío EMV 3DS que involucra una OTP u otro método. Esta incorporación contextual aprovecha la experiencia inmediata del usuario con métodos de mayor fricción para destacar el beneficio de un futuro proceso de pago más fluido.
• Dentro de las aplicaciones del emisor: Los bancos que emiten tarjetas Mastercard pueden integrar el flujo de creación de passkeys directamente en sus aplicaciones de banca móvil, permitiendo a los usuarios vincular proactivamente un passkey a su tarjeta.
• Al agregar una tarjeta: La opción también podría presentarse cuando un usuario agrega su Mastercard a una billetera digital o la guarda como una tarjeta registrada (Card-on-File o CoF) con un comerciante o un servicio como Click to Pay.

Analicemos brevemente el ejemplo de creación de un passkey durante el pago.

Después de hacer clic en el botón "Pagar", el usuario es redirigido desde la tienda de ejemplo (https://decorshop.com) a una página web alojada por Mastercard (https://verify.mastercard.com). Este sitio es parte del proceso de autenticación EMV 3DS.

Una vez que este proceso se completa con éxito, el usuario tiene la opción de crear un passkey. Ten en cuenta que este passkey se creará para el Relying Party ID de Mastercard (p. ej., verify.mastercard.com o mastercard.com). Por lo tanto, el passkey no se registra con el comerciante al que el usuario quiere transferir el dinero. Esto permite que el mismo passkey se utilice en cualquier comerciante que use el servicio de Payment Passkey de Mastercard y no solo en este comerciante en particular.

Tomado de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Después de decidir crear un passkey, se realiza la autenticación local (aquí, un smartphone Android que almacenó el passkey en el Administrador de contraseñas de Google). Después de finalizar la creación del passkey, el usuario es redirigido desde el sitio web de Mastercard de vuelta a la tienda.

Tomado de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

Una vez que un usuario tiene un Payment Passkey de Mastercard asociado a su credencial de tarjeta, el proceso de pago en los comerciantes participantes se agiliza significativamente:

1. Selección de tarjeta: El usuario inicia el pago y selecciona su Mastercard. Podría ser una tarjeta almacenada de forma segura a través del servicio Click to Pay de Mastercard, guardada directamente con el comerciante (Secure Card on File - SCOF) o incluso ingresada durante un flujo de pago como invitado.
2. Solicitud de autenticación: En lugar de que se le pida una contraseña, CVV o OTP, se le solicita al usuario que se autentique usando su Payment Passkey de Mastercard. El flujo exacto puede variar:
   • Flujo de passkey estándar: El usuario podría experimentar una breve y fluida redirección a un dominio controlado por Mastercard (p. ej., verify.mastercard.com). Aquí, aparece la solicitud estándar de WebAuthn, pidiendo al usuario que confirme la transacción usando el sensor biométrico o el PIN de su dispositivo. Tras una autenticación local exitosa, se le redirige de nuevo al sitio del comerciante para completar la compra. Este flujo ocurre en un contexto de primera parte, donde el usuario se autentica directamente con Mastercard.
   • Flujo de Secure Payment Confirmation (SPC) (Potencial): Un flujo alternativo, potencialmente más fluido, involucra SPC. En este escenario, el usuario permanece en el sitio web del comerciante. Aparece una ventana emergente nativa del navegador, que muestra detalles clave de la transacción (nombre del comerciante, monto, información parcial de la tarjeta) y solicita la autenticación con passkey directamente. Esto elimina la redirección por completo y proporciona una fuerte vinculación dinámica al incrustar los detalles de la transacción en la solicitud de autenticación. Ten en cuenta que los passkeys de SPC todavía están en una fase conceptual y no está decidido si alguna vez alcanzarán la disponibilidad general (principalmente debido a que Apple no le ha dado el visto bueno). Este flujo operaría en un contexto de tercera parte, donde el comerciante invoca la autenticación para el passkey de Mastercard, probablemente usando credenciales compartidas a través de EMV 3DS.

Tomado de https://www.w3.org/2023/Talks/mc-passkeys-20230911.pdf

La sinergia entre los Payment Passkeys de Mastercard y Click to Pay es especialmente destacable. Click to Pay proporciona una forma estandarizada y segura para que los consumidores almacenen los detalles de su tarjeta tokenizada para un pago online más fácil en los comerciantes participantes. Los Payment Passkeys sirven como la capa de autenticación biométrica moderna para acceder y usar estas credenciales de Click to Pay almacenadas. Esta combinación es clave para lograr una verdadera experiencia de pago de "un solo clic", eliminando tanto la entrada manual de la tarjeta como los desafíos de contraseña/OTP. El primer lanzamiento mundial de un servicio integrado de Click to Pay con Payment Passkey por parte de Mastercard y Tap Payments subraya esta dirección estratégica. Esto aprovecha la infraestructura existente de Click to Pay y la red de comerciantes, proporcionando un poderoso mecanismo de escalado para la adopción de los Payment Passkeys.

La siguiente tabla resume las características clave de los posibles flujos de autenticación:

Para los comerciantes, adoptar el Payment Passkey Service / Token Authentication Service de Mastercard significa:

• Reducción de fraudes y contracargos: Este es posiblemente el beneficio más significativo. Al vincular la autenticación directamente a la biometría única del usuario o al PIN del dispositivo a través de passkeys resistentes al phishing, el riesgo de transacciones no autorizadas se desploma. El uso subyacente de la tokenización protege aún más los datos de la tarjeta. Esta autenticación más fuerte también puede llevar a cambios de responsabilidad para ciertos tipos de fraude, similar a los beneficios vistos con la adopción de EMV 3DS. Estudios de caso, como el que involucra a noon Payments, informan explícitamente una disminución en la incidencia de fraude después de implementar Payment Passkeys y Click to Pay.
• Aumento de las tasas de aprobación y conversión: La fricción en el proceso de pago es una causa principal del abandono del carrito. Eliminar la necesidad de recordar contraseñas o ingresar OTPs suaviza el flujo de pago, lo que lleva a tasas de finalización más altas. Además, la fuerte señal de autenticación proporcionada por los passkeys da a los bancos emisores una mayor confianza para aprobar transacciones, reduciendo la probabilidad de costosos rechazos falsos. Tasas de aprobación más altas se traducen directamente en un aumento de las ventas y los ingresos. Socios como Yuno han señalado que los passkeys impulsan tasas de conversión más altas.
• Mejora de la experiencia del cliente y la imagen de marca: Ofrecer un proceso de pago de vanguardia, seguro y sin esfuerzo mejora la satisfacción del cliente y construye confianza en la marca del comerciante. Proporcionar una forma demostrablemente más segura de pagar puede ser un diferenciador competitivo.

Para los consumidores, este servicio permite:

• Pago más rápido y sin interrupciones: El beneficio más inmediato es la eliminación de molestias. Los usuarios ya no necesitan recordar contraseñas complejas o esperar e ingresar manualmente OTPs. La autenticación ocurre rápidamente usando la misma biometría familiar (p. ej., Face ID, Touch ID) que usan para desbloquear su teléfono. La naturaleza de "inscríbete una vez, úsalo en todas partes" en los comerciantes participantes agrega una comodidad significativa.
• Seguridad mejorada y tranquilidad: Los Payment Passkeys ofrecen una seguridad fundamentalmente más fuerte que las contraseñas o las OTPs. Son resistentes al phishing y a muchas formas de fraude online. Saber que las transacciones están protegidas por biometría proporciona a los consumidores una mayor confianza y tranquilidad al comprar online.
• Protección de la privacidad: Como los datos biométricos permanecen en el dispositivo y la tokenización protege el número real de la tarjeta, se transmite menos información sensible durante la transacción.

La siguiente tabla resume la propuesta de valor para cada grupo de stakeholders:

Para los comerciantes y desarrolladores que buscan aprovechar los beneficios de los Payment Passkeys de Mastercard, la integración se realiza a través del Mastercard Token Authentication Service (TAS). TAS está diseñado para funcionar en conjunto con las soluciones de tokenización y pago existentes de Mastercard, principalmente Click to Pay y Secure Card on File (SCOF). Esencialmente, TAS proporciona la capa de autenticación biométrica avanzada para transacciones que utilizan credenciales ya tokenizadas y almacenadas a través de estos servicios.

Este enfoque de integrar la autenticación con passkeys en servicios establecidos como Click to Pay y SCOF tiene como objetivo minimizar las interrupciones para los comerciantes. En lugar de requerir una vía de integración completamente nueva, las empresas que ya utilizan estas soluciones de Mastercard pueden encontrar que agregar soporte para passkeys es un proceso más ágil, aprovechando su infraestructura existente.

Mastercard proporciona recursos para la integración a través del portal Mastercard Developers (developer.mastercard.com). Estos recursos incluyen SDKs y APIs diseñados para facilitar la implementación de las funcionalidades de TAS. Si bien las especificaciones técnicas detalladas requieren acceder al portal, fragmentos de la documentación revelan casos de uso específicos y llamadas a la API relacionadas con la gestión de passkeys en el contexto de los pagos, como "Crear Passkey después de ID&V" (Identidad y Verificación), "Crear Passkey después de la Autenticación de la Transacción" y "Usar Passkey para la Autenticación de la Transacción". La existencia de estas funciones definidas sugiere que hay un marco de integración estructurado y maduro disponible para los desarrolladores.

También hay un video oficial que explica el concepto:

Los comerciantes y desarrolladores interesados en implementar los Payment Passkeys de Mastercard deben consultar el portal Mastercard Developers para obtener documentación detallada, SDKs, APIs y guías de integración específicas relevantes para su plataforma elegida (p. ej., Click to Pay, SCOF) y su entorno técnico.

El lanzamiento del Payment Passkey Service de Mastercard es un avance significativo, que marca un claro compromiso por parte de una de las principales redes de pago para ir más allá de las contraseñas y las OTP hacia una autenticación biométrica más segura y fácil de usar. Esto se alinea con la visión más amplia de Mastercard para el futuro del comercio electrónico, que incluye la eliminación gradual de la entrada manual de tarjetas para 2030 en regiones como Europa, confiando en su lugar en la tokenización y métodos de autenticación fluidos como los passkeys.

Mastercard no está sola en este esfuerzo. Visa ha lanzado su propio servicio, con un nombre similar, Visa Payment Passkey Service. Al igual que la oferta de Mastercard, el servicio de Visa se basa en los estándares FIDO, utiliza la biometría del dispositivo, tiene como objetivo reemplazar las contraseñas/OTPs, se integra con la tokenización y Click to Pay, y enfatiza los beneficios duales de una seguridad mejorada (reducción del fraude) y una mejor experiencia de usuario. Visa destaca posibles reducciones en la tasa de fraude de hasta un 50 % en comparación con las OTP por SMS y señala un amplio soporte de sistemas operativos y navegadores para FIDO. Una posible distinción mencionada en los materiales de Visa es el concepto de "soporte de autenticación gestionado por Visa" o un "modelo federado", donde Visa maneja la complejidad central de la autenticación FIDO, simplificando potencialmente la integración para comerciantes y emisores. Las estrategias paralelas e incluso las nomenclaturas similares adoptadas por las dos redes de tarjetas más grandes sugieren una convergencia de toda la industria en torno a los passkeys de FIDO como el futuro estándar para autenticar los pagos online. Este impulso coordinado beneficia a todo el ecosistema al promover la interoperabilidad y reducir la fragmentación.

American Express también está incorporando activamente tecnologías de autenticación modernas. Si bien no han lanzado una marca distintiva de "Payment Passkey Service" como Visa y Mastercard (a mayo de 2025), han integrado capacidades biométricas basadas en FIDO/WebAuthn (reconocimiento facial y de huellas dactilares) directamente en su plataforma SafeKey existente. SafeKey en sí está construido sobre el estándar EMV 3-D Secure. American Express, también miembro de la junta de la FIDO Alliance, está aprovechando así la misma tecnología central sin contraseña, pero integrándola en su marco de seguridad establecido. Esto podría reflejar una estrategia de marca diferente, aprovechando el reconocimiento de SafeKey, o potencialmente diferencias arquitectónicas derivadas de su modelo de red. No obstante, la dirección es consistente: aprovechar la biometría en el dispositivo y los estándares FIDO para una autenticación online más fuerte y fluida.

La introducción del Mastercard Payment Passkey Service representa un punto de inflexión en la evolución de la seguridad y la experiencia de usuario en los pagos online. Al adoptar los estándares de passkeys de FIDO e integrarlos estrechamente con la tokenización y las soluciones de pago existentes como Click to Pay, Mastercard está abordando las deficiencias críticas de la autenticación tradicional basada en contraseñas y OTP.

Esta iniciativa ofrece beneficios sustanciales en todo el ecosistema de pagos. Para los comerciantes, promete una reducción significativa de las pérdidas por fraude y los contracargos, junto con mayores tasas de aprobación de transacciones y una mejor conversión gracias a un proceso de pago sin fricciones. Para los consumidores, ofrece una forma más rápida, conveniente y demostrablemente más segura de pagar online, aprovechando la biometría familiar del dispositivo y eliminando la necesidad de gestionar contraseñas o manejar OTPs.

Los fundamentos tecnológicos —combinando la autenticación resistente al phishing con la minimización de datos de la tokenización, todo dentro del marco de los estándares establecidos de EMVCo— crean una defensa fuerte y en capas contra el fraude. El despliegue global estratégico y basado en alianzas de Mastercard señala aún más la importancia y el compromiso a largo plazo detrás de esta tecnología.

Mientras Visa sigue un camino paralelo con su propio Payment Passkey Service y American Express integra capacidades biométricas similares en SafeKey, la dirección es clara: los passkeys se están convirtiendo rápidamente en el nuevo estándar para asegurar los pagos digitales.