Passkeys de PayPal: Implementa passkeys como PayPal

• Disponibles por primera vez en el cuarto trimestre de 2022 en EE. UU. y luego implementadas gradualmente en diferentes países y plataformas.
• Las passkeys de PayPal mejoran la seguridad del inicio de sesión de PayPal contra el phishing y el credential stuffing mientras ofrecen una experiencia más conveniente.
• Actualmente, las passkeys son principalmente para inicios de sesión en cuentas existentes, no para el registro inicial de cuentas completamente sin contraseña.
• La configuración de las passkeys de PayPal se realiza manualmente a través de la sección "Inicio de sesión y seguridad" en la configuración de la cuenta.
• PayPal fue pionero en la sincronización de passkeys entre su sitio web y sus aplicaciones nativas, admitiendo tanto passkeys sincronizadas como vinculadas a dispositivos (aunque las sincronizadas son más comunes).
• Aunque ofrece una experiencia optimizada a nivel mundial, la implementación en Europa cumple con la PSD2/SCA, lo que a veces requiere pasos de verificación adicionales a pesar de usar una passkey (contexto de 2FA de la passkey de PayPal). PayPal aprovecha la Conditional UI para un inicio de sesión de autocompletado sin interrupciones y proporciona una educación clara al usuario. El éxito inicial incluye mejores tasas de inicio de sesión y una reducción del fraude, posicionando a PayPal como un líder a seguir para otras instituciones financieras.

Cada vez más empresas de una amplia gama de industrias están entrando en un mundo sin contraseñas e implementando passkeys. A través de esta serie de artículos, nuestro objetivo es proporcionar una visión general completa de la experiencia de usuario de las passkeys de esas empresas. Esto debería permitirte incorporar estos hallazgos y mejorar el inicio de sesión de tu producto en consecuencia. En cada artículo, nos centramos en una sola empresa. Hoy, nos sumergimos en PayPal.

Desde octubre de 2022, los usuarios de PayPal en EE. UU. han podido crear passkeys para sus cuentas, marcando un paso significativo hacia la autenticación sin contraseña en la industria de pagos. Tras este lanzamiento inicial, las passkeys de PayPal se han implementado sucesivamente en países adicionales desde principios de 2023. Como una de las principales plataformas de pago digital del mundo con más de 400 millones de usuarios, la adopción de passkeys por parte de PayPal demuestra un fuerte compromiso para hacer que los pagos y transferencias en línea sean más seguros y fáciles de usar. PayPal se destaca como uno de los primeros pioneros en el espacio de pagos, estableciendo un ejemplo positivo para otros bancos e instituciones financieras.

Descargo de responsabilidad:

1. El estado del análisis inicial era de agosto de 2023. Esta publicación de blog se actualizó a finales de abril de 2025 para reflejar los últimos cambios en la implementación de passkeys de PayPal, señalando lo que ha cambiado desde el análisis inicial.
2. Por favor, consulta los casos de uso para encontrar los dispositivos utilizados para el análisis.
3. En esta última actualización (abril de 2025), nos centramos en las principales combinaciones de sistemas operativos y plataformas y no probamos cada variante en detalle.

La decisión de PayPal de adoptar passkeys se basa en un claro imperativo estratégico impulsado por los desafíos inherentes de la autenticación tradicional basada en contraseñas en el panorama de los pagos digitales.

• Combatir las amenazas cibernéticas: El entorno de pagos digitales está bajo el asalto constante de ataques de phishing, credential stuffing (uso de listas de contraseñas robadas para intentar iniciar sesión en otros sitios) y fraude de toma de control de cuentas (ATO). Las contraseñas son el eslabón más débil, vulnerables a estas amenazas generalizadas. Al adoptar passkeys, que están vinculadas criptográficamente al sitio web y al dispositivo específicos, PayPal reduce drásticamente la superficie de ataque para estas formas comunes de fraude.
• Reducir la fricción y el abandono del usuario: Los flujos de inicio de sesión tradicionales, que a menudo involucran contraseñas complejas seguidas de códigos de un solo uso (OTP) o preguntas de seguridad, crean una fricción significativa para los usuarios. Las contraseñas olvidadas conducen a procesos de recuperación frustrantes, y la autenticación de varios pasos puede hacer que los usuarios abandonen las transacciones, especialmente en dispositivos móviles. Esta fricción perjudica directamente las tasas de conversión en el proceso de pago. Las passkeys ofrecen una experiencia de inicio de sesión optimizada con un solo toque utilizando la autenticación biométrica familiar o el PIN del dispositivo, reduciendo drásticamente estos puntos débiles.
• Mejorar la seguridad y la experiencia del usuario: Fundamentalmente, PayPal busca resolver la tensión de larga data entre seguridad y conveniencia. Las passkeys proporcionan una forma de ofrecer una seguridad significativamente más fuerte que las contraseñas, al mismo tiempo que ofrecen una experiencia de usuario más simple y rápida. Este doble beneficio es fundamental para una plataforma que maneja transacciones financieras sensibles.
• Liderazgo en la industria: Como miembro fundador de la Alianza FIDO, la fuerza impulsora detrás del estándar de passkeys, PayPal se compromete a liderar la industria hacia una autenticación más segura y fácil de usar. Ser una de las primeras plataformas de pago importantes en implementar passkeys refuerza esta posición de liderazgo y establece un punto de referencia para competidores y socios.

Al abordar estos desafíos clave y aprovechar su posición como líder de FIDO, PayPal posicionó las passkeys como una tecnología fundamental para su futura estrategia de autenticación.

La implementación de passkeys de PayPal incluye varias características y decisiones de diseño notables que impactan la experiencia del usuario y la seguridad.

PayPal inició su viaje con las passkeys con un despliegue por fases. La disponibilidad se introdujo por primera vez en EE. UU. en el cuarto trimestre de 2022, inicialmente para un subconjunto de usuarios a través de pruebas A/B, centrándose principalmente en dispositivos Apple (iOS, iPadOS, macOS) que accedían al sitio web. Esta fase inicial permitió a PayPal recopilar comentarios e identificar posibles problemas en un entorno controlado.

Los despliegues sucesivos comenzaron a principios de 2023, expandiéndose a dispositivos Android (Android 9+) en EE. UU. y más tarde a mercados europeos clave como Alemania y el Reino Unido a mediados de 2023. Esta estrategia de expansión gradual permitió a PayPal adaptarse a diferentes plataformas y requisitos regulatorios regionales mientras minimizaba el riesgo. El despliegue ha continuado desde entonces, con PayPal trabajando activamente para acelerar la disponibilidad global a lo largo de 2025, citando resultados positivos de la adopción temprana.

Un punto destacado significativo de la implementación de PayPal es la capacidad de crear y usar passkeys dentro de sus aplicaciones móviles nativas tanto para dispositivos Apple como Android. Además, PayPal fue uno de los primeros en permitir la sincronización perfecta de passkeys entre el sitio web al que se accede a través de un navegador y la aplicación móvil nativa correspondiente en el mismo o diferentes dispositivos (a través de llaveros en la nube como el Llavero de iCloud o el Administrador de contraseñas de Google).

Esta sincronización significa que un usuario que crea una passkey en su iPhone dentro de la aplicación de PayPal puede usar esa misma passkey para iniciar sesión a través de Safari en su MacBook o incluso en Chrome en una PC con Windows (si está sincronizada a través del Administrador de contraseñas de Google), siempre que tenga su iPhone cerca para aprobar el inicio de sesión de PayPal entre dispositivos. Esto mejora enormemente la comodidad y flexibilidad del usuario. Los usuarios también pueden optar por usar passkeys vinculadas al dispositivo, potencialmente almacenadas en una llave de seguridad de hardware, aunque las passkeys sincronizadas son el enfoque más común para la mayoría de los usuarios debido a la facilidad de uso y la disponibilidad a través de los llaveros del dispositivo.

PayPal integró rápidamente la Conditional UI, lo que mejora significativamente la experiencia de inicio de sesión de PayPal. Cuando un usuario navega a la página de inicio de sesión de PayPal y hace clic en el campo de entrada del nombre de usuario, el aviso de passkey nativo del navegador o del sistema operativo aparece automáticamente, sugiriendo la passkey almacenada para ese sitio.

Esto elimina la necesidad de que el usuario recuerde o escriba manualmente su nombre de usuario, y mucho menos su contraseña. Proporciona una experiencia de inicio de sesión optimizada, casi de un solo toque, aprovechando las capacidades de autocompletado inherentes al estándar de passkeys. Este enfoque en la comodidad del usuario desde el principio ha sido un factor clave para promover la adopción de passkeys en la plataforma de PayPal.

Dentro de la configuración de la cuenta, específicamente en la sección 'Inicio de sesión y seguridad', PayPal proporciona a los usuarios una visión clara de sus passkeys registradas. Para cada passkey, se muestran detalles como el dispositivo en el que se creó, su estado de sincronización (p. ej., sincronizado a través del Llavero de iCloud) y la marca de tiempo de creación. Esta transparencia ayuda a los usuarios a gestionar sus passkeys y a comprender dónde y cuándo habilitaron este método de inicio de sesión.

PayPal también proporciona una guía clara sobre cómo eliminar las passkeys, explicando que a menudo deben eliminarse tanto localmente del dispositivo/llavero como del servidor de PayPal para ser completamente desregistradas.

Reconociendo que las passkeys son un concepto nuevo para muchos usuarios, PayPal ha invertido en la educación del usuario. Utilizan consistentemente el término "passkeys" y proporcionan explicaciones detalladas dentro del flujo de configuración y en su sección de preguntas frecuentes dedicada. Esto incluye información sobre qué son las passkeys, cómo funcionan, el proceso de configuración, la sincronización y la eliminación. Al abordar de manera proactiva las posibles preguntas y preocupaciones de los usuarios, PayPal tiene como objetivo generar confianza y fomentar la adopción de este nuevo método de autenticación.

Consulta la siguiente captura de pantalla que proporciona más información sobre el proceso correcto de eliminación de passkeys en dos fases.

• Limitaciones ocasionales de plataforma/navegador (históricamente): Como se señaló en el análisis inicial (agosto de 2023), las passkeys no estaban universalmente disponibles en todas las combinaciones de dispositivos y navegadores. Por ejemplo, el soporte para Windows inicialmente era deficiente. Actualización de abril de 2025: Esta limitación se ha solucionado en gran medida. Las passkeys de PayPal ahora son compatibles con la mayoría de los principales sistemas operativos (iOS, macOS, Android, Windows 10+) y navegadores (Chrome, Safari, Edge, Firefox), mejorando significativamente la disponibilidad y la consistencia.
• La eliminación local no siempre se reconoce: Un inconveniente técnico menor observado es que si un usuario elimina una passkey únicamente de su dispositivo local sin eliminarla también de la configuración de su cuenta de PayPal, el botón de inicio de sesión de un solo toque podría seguir apareciendo, lo que podría confundir al usuario. Idealmente, la visualización debería actualizarse inmediatamente tras la primera detección de la eliminación local.
• Sin un verdadero flujo de "primero el identificador" en Android (principalmente Conditional UI / Un solo toque): En Android, aunque aprovechar la Conditional UI es excelente para la experiencia del usuario, el flujo de inicio de sesión principal de PayPal parece estar muy orientado hacia esto o un botón de passkey dedicado, en lugar de ofrecer un flujo tradicional de "primero el identificador" que se degrada elegantemente si no se encuentra ninguna passkey. Si bien esto protege contra la enumeración de cuentas, una implementación más robusta podría ofrecer rutas más claras para los usuarios sin una passkey registrada en ese dispositivo específico. Además, no está claro por qué en iOS se implementa correctamente y en Android no.

La adopción y el despliegue tempranos de passkeys por parte de PayPal han arrojado resultados positivos, demostrando los beneficios tangibles de esta tecnología tanto para la seguridad como para la experiencia del usuario.

• Aumento de las tasas de éxito de inicio de sesión: Los informes iniciales indicaron un aumento significativo en las tasas de éxito de inicio de sesión (+10%) para los usuarios que optaron por las passkeys en comparación con los métodos de contraseña tradicionales. Esto destaca la reducción de la fricción y los menores errores asociados con la entrada y recuperación de contraseñas.
• Reducción del fraude de toma de control de cuentas (ATO): Las passkeys son altamente resistentes al phishing y al credential stuffing, que son los principales vectores para el fraude de ATO. PayPal informó una reducción sustancial en los intentos y éxitos de fraude de ATO (-70% informado en 2023) para los usuarios que habían habilitado las passkeys, mostrando los fuertes beneficios de seguridad.
• Tiempos de pago más rápidos: Para los usuarios que aprovechan las passkeys para iniciar sesión durante el proceso de pago, el flujo de autenticación optimizado reduce significativamente el tiempo necesario para completar la transacción, con informes que sugieren que los tiempos de pago podrían reducirse a alrededor de 5 segundos en escenarios ideales.

Estos primeros KPIs subrayan el convincente caso de negocio para las passkeys, demostrando que no solo mejoran la seguridad, sino que también mejoran métricas comerciales críticas como la conversión y la reducción del fraude.

La implementación de passkeys en Europa como banco, proveedor de pagos u organización de servicios financieros presenta desafíos únicos en comparación con regiones como EE. UU., principalmente debido a los estrictos requisitos de la Segunda Directiva de Servicios de Pago (PSD2) de la Unión Europea y su mandato de Autenticación Reforzada de Cliente (SCA).

La PSD2 tiene como objetivo mejorar la seguridad de los pagos electrónicos dentro del Espacio Económico Europeo (EEE) y el Reino Unido (que ha incorporado reglas similares). Su piedra angular es la SCA, que requiere que la mayoría de las iniciaciones de pagos electrónicos y ciertas acciones de acceso a cuentas se autentiquen utilizando al menos dos factores independientes de tres categorías:

• Conocimiento: Algo que solo el usuario sabe (p. ej., contraseña, PIN, aunque las contraseñas estáticas por sí solas a menudo son insuficientes).
• Posesión: Algo que solo el usuario posee (p. ej., un dispositivo de confianza, un token, un teléfono que recibe un OTP).
• Inherencia: Algo que el usuario es (p. ej., datos biométricos como huella dactilar o reconocimiento facial).

Además, para las transacciones remotas, la SCA a menudo requiere un Enlace Dinámico, lo que significa que la autenticación debe estar específicamente vinculada al monto y al beneficiario de la transacción.

Las passkeys sincronizadas están técnicamente bien equipadas para cumplir con los requisitos de la SCA. Una sola acción de autenticación con passkey combina inherentemente dos factores:

• Posesión: El usuario posee el dispositivo que almacena la clave privada.
• Inherencia (o Conocimiento): El usuario desbloquea ese dispositivo usando biometría (Inherencia) o un PIN/contraseña del dispositivo (Conocimiento) para autorizar el uso de la passkey.

Sin embargo, no existe una guía oficial por parte de los reguladores sobre cómo la naturaleza sincronizada de las passkeys y el factor de posesión coinciden. Por lo tanto, muchas organizaciones de servicios financieros europeas se abstienen de implementar passkeys (por ahora) debido a esta incertidumbre.

Consulta también nuestras otras publicaciones de blog sobre PSD2 y passkeys para una lectura detallada:

• Passkeys vinculadas al dispositivo vs. sincronizadas
• Análisis de los requisitos de PSD2 y SCA
• Qué significan los requisitos de SCA para las passkeys
• Implicaciones de PSD3 / PSR para las passkeys

La implementación de PayPal en Europa parece adaptada para encajar dentro de su infraestructura de cumplimiento de SCA existente. A diferencia del potencial de un inicio de sesión con passkey de un solo paso en EE. UU., los usuarios europeos a veces pueden experimentar un proceso de varios pasos para el inicio de sesión o acciones sensibles:

1. Autenticarse con Passkey: Esto reemplaza la entrada de la contraseña y satisface dos factores (Posesión + Inherencia / Conocimiento).
2. Verificación adicional (si se activa): Dependiendo de la evaluación de riesgos o de nuevos dispositivos, el monto de la transacción u otros desencadenantes de SCA, PayPal aún podría requerir un paso de verificación adicional, como:

• Ingresar un OTP entregado por SMS.
• Aprobar una notificación push a través de la aplicación móvil de PayPal.

Esto significa que en ciertos escenarios europeos, la passkey actúa como una parte del proceso de autenticación, pero podría no eliminar siempre la necesidad de un factor distinto posterior para cumplir plenamente con cómo se interpreta y aplica la SCA para casos de uso específicos. Esto contrasta con la experiencia ideal sin fricciones donde la passkey es la autenticación completa.

PayPal utiliza el almacenamiento local o las cookies para recordar los dispositivos de confianza donde se ha utilizado una passkey sincronizada, lo que reduce la frecuencia de estas comprobaciones adicionales de SCA en interacciones posteriores, pero los inicios de sesión iniciales o de alto riesgo a menudo requieren la prueba de posesión adicional.

PayPal reconoce la posible fricción que este enfoque por capas introduce en Europa en comparación con otras regiones. Como resultado, están abogando activamente por una evolución de las reglas de la SCA. A principios de 2025, PayPal recomendó públicamente que las regulaciones de la SCA deberían fomentar métodos de autenticación que puedan realizarse completamente en un solo dispositivo (como las passkeys aprovechadas a través del autenticador integrado de un dispositivo), sin exigir la interacción con un dispositivo separado (como recibir un OTP por SMS). PayPal llama a esto autenticación reforzada de cliente basada en resultados.

Esta defensa señala el objetivo estratégico de PayPal de armonizar la experiencia del usuario a nivel mundial y alcanzar el máximo potencial de reducción de fricción de las passkeys dentro del marco regulatorio europeo.

Es importante distinguir las passkeys de PayPal de la autenticación biométrica puramente local dentro de la aplicación nativa de PayPal para iOS / Android. Si bien las passkeys a menudo se basan en la autenticación biométrica (como Face ID o Touch ID en dispositivos Apple, o huella dactilar / escaneo facial en Android) para autorizar el uso de la clave privada almacenada de forma segura en el dispositivo, la passkey en sí es más que un simple escaneo biométrico.

• Autenticación biométrica local: Este método autentica al usuario en el dispositivo o aplicación local utilizando biometría. Sin embargo, esto por sí solo no verifica criptográficamente la identidad del usuario ante un servicio en línea como PayPal de una manera resistente al phishing. Solo prueba que la persona que usa el dispositivo es el propietario legítimo.
• Passkeys de PayPal: Las passkeys utilizan criptografía de clave pública. El escaneo biométrico (o el PIN del dispositivo) desbloquea el Secure Enclave en el dispositivo para acceder a la clave privada. Esta clave privada se utiliza luego para firmar un desafío del servidor de PayPal, demostrando la posesión del par de claves. Este proceso criptográfico es resistente al phishing y verifica la identidad del usuario ante PayPal.

Por lo tanto, aunque la biometría suele ser el desencadenante fácil de usar para un inicio de sesión con passkey, la tecnología subyacente de la passkey proporciona la autenticación en línea fuerte y resistente al phishing, a diferencia de la autenticación biométrica local por sí sola.

Consulta también nuestra publicación de blog sobre passkeys vs. biometría local para más detalles.

La autenticación con passkey de PayPal no se limita a los inicios de sesión directos en la cuenta de PayPal. También se puede utilizar a través del SDK del proveedor de pagos de PayPal en los flujos de pago de terceros en los sitios web y aplicaciones de los comerciantes. Esto permite a los comerciantes que utilizan PayPal para el procesamiento de pagos ofrecer a sus clientes una experiencia de autenticación sin contraseña segura y sin interrupciones directamente dentro de sus flujos de pago. Utilizar passkeys a través del SDK de PayPal agiliza significativamente el proceso de pago, reduce la fricción y mejora la seguridad al mitigar los riesgos de phishing y los ataques de credential stuffing. Para una guía completa y detalles técnicos sobre la implementación de passkeys en contextos de terceros, consulta nuestro artículo dedicado sobre la integración de SDK de terceros con passkeys.

La implementación técnica de PayPal se centra en gran medida en aprovechar las características modernas de las passkeys para agilizar la experiencia del usuario, principalmente a través de la Conditional UI y botones de passkey dedicados.

• Conditional UI / Inicio de sesión con un solo toque: Como se discutió, PayPal habilita la Conditional UI en su página de inicio de sesión. Cuando un usuario se enfoca en el campo de entrada del nombre de usuario, el navegador/SO ofrece automáticamente la passkey como una opción de autocompletado, presentando el correo electrónico del usuario vinculado a la passkey. PayPal también utiliza un botón dedicado "Iniciar sesión con Passkey", particularmente visible cuando no se ha prellenado ningún nombre de usuario o en inicios de sesión posteriores. Esto permite un inicio de sesión en PayPal sin escribir primero ningún identificador.
• Sin flujo tradicional de "primero el identificador" en Android: En Android, el flujo de PayPal parece diseñado en torno a la passkey como el método principal si existe una. No hay un flujo prominente y explícito de "primero el identificador" donde un usuario escribe su correo electrónico y luego el sistema busca una passkey y potencialmente recurre a una contraseña si no se encuentra ninguna. Si bien este diseño ayuda a prevenir la enumeración de cuentas (atacantes adivinando direcciones de correo electrónico válidas), podría ser menos intuitivo para los usuarios que proporcionan su identificador y luego necesitan elegir un método de inicio de sesión (o en el caso de PayPal no pueden usar passkeys sino solo una contraseña). Para iOS, el flujo de "primero el identificador" con el inicio automático del inicio de sesión con passkey se implementó correctamente.
• Implementación en la aplicación nativa: En las aplicaciones nativas de PayPal, la experiencia con passkeys está aún más integrada. La Conditional UI a menudo se activa automáticamente cuando se abre la aplicación o se navega a la pantalla de inicio de sesión, presentando inmediatamente el correo electrónico del usuario asociado con la passkey y solicitando autenticación biométrica o PIN.
• Recordar dispositivo y SCA posterior: PayPal implementa una lógica para "recordar" un dispositivo de confianza después de un inicio de sesión con passkey exitoso, particularmente en Europa para gestionar el cumplimiento de la SCA. Esto se basa en el almacenamiento local (cookies o almacenamiento de la aplicación). Si el usuario borra el almacenamiento o desactiva explícitamente la función "recordar este dispositivo", los inicios de sesión posteriores con passkey en ese dispositivo podrían activar pasos adicionales de la SCA.

PayPal ha publicado una completa sección de preguntas frecuentes que proporciona una explicación detallada de las passkeys y guía a los usuarios a través del proceso de configuración. Esto refleja su reconocimiento de la necesidad de educar a los usuarios sobre la tecnología y la funcionalidad detrás de las passkeys, ya que no todos pueden estar familiarizados con ellas todavía.

Para registrar nuevas passkeys para tu cuenta de PayPal, sigue estos pasos:

1. Haz clic en el icono de configuración (navegador web) o en el icono de perfil (aplicación) en la esquina superior derecha.
2. Haz clic en Seguridad (navegador web) o Inicio de sesión y seguridad (aplicación).

3. Haz clic en Passkey.

4. Haz clic en el botón Crear una passkey.

Explicación de la creación de Passkey de agosto de 2023

Con el tiempo, PayPal mejoró sus mensajes y el texto para el usuario al crear una passkey a lo siguiente:

Explicación de la creación de Passkey de abril de 2025

Ten en cuenta que solo hemos realizado los casos de uso con dispositivos compatibles con passkeys (p. ej., ningún iPhone anterior a iOS 16.0, ningún MacBook anterior a macOS Ventura, ningún dispositivo Windows anterior a Windows 10). Usamos la misma cuenta de PayPal para cada caso de uso.

Para configurar inicialmente la primera passkey para nuestra cuenta de PayPal, hacemos clic en 'Crear una Passkey' como se mostró anteriormente en la sección 3.

Es de destacar que en este punto se informa nuevamente al usuario sobre qué son las passkeys. Esto demuestra que PayPal quiere educar a los usuarios que aún no conocen las passkeys.

Después de hacer clic en 'Crear una Passkey', PayPal requiere la confirmación de nuestra identidad a través de la autenticación de dos factores.

Agosto de 2023

Abril de 2025

Una vez que esto se ha verificado con éxito, se puede crear una passkey, y aparece el pop-up predeterminado de passkey de Apple que nos pide usar Face ID.

Una vez registrada con éxito, recibimos una notificación confirmando la generación exitosa de la passkey.

En la configuración de 'Inicio de sesión y seguridad', ahora podemos ver detalles sobre la passkey o incluso eliminarla de nuevo. Las propiedades incluyen información sobre el dispositivo en el que se creó la passkey y si se sincronizó, junto con una marca de tiempo de creación.

Si quieres eliminar una passkey, PayPal ofrece una excelente guía a los usuarios de que las passkeys deben eliminarse localmente y en el lado del servidor.

Al usar la misma combinación de navegador y sistema operativo para la cual ya se ha almacenado una passkey, PayPal lo detecta y no muestra la opción 'Crear una Passkey'. Solo después de que la passkey se haya eliminado nuevamente del dispositivo, puedes instalar una nueva.

Si queremos iniciar sesión en la aplicación de PayPal para iOS, usamos la passkey creada previamente en este dispositivo. Tan pronto como abrimos la aplicación, aparece el pop-up predeterminado de passkey de Apple que nos pide usar Face ID para iniciar sesión. Si el campo de entrada del nombre de usuario está vacío, la ventana de la passkey no aparecerá inmediatamente, pero debido a la conditional UI habilitada, la passkey almacenada se sugerirá y prellenará automáticamente tan pronto como hagamos clic en el campo.

Después de verificar nuestra identidad con Face ID, la passkey se recupera con éxito, otorgándonos acceso a nuestra cuenta.

En agosto de 2023, aún no era posible crear una passkey en un MacBook (esto se solucionó en abril de 2025). Sin embargo, podíamos iniciar sesión con una que estuviera sincronizada en el Llavero de Apple. En este caso de uso, recuperamos la passkey que registramos en nuestro iPhone en el caso de uso 1.

Tan pronto como ingresamos a la página de PayPal en el navegador, se nos presenta el familiar pop-up de passkey de Safari. Aquí, seleccionamos 'Dispositivo iPhone, iPad o Android', que incluye el iPhone en el llavero que contiene la passkey del caso de uso 1.

Escaneamos el código QR con el dispositivo donde está almacenada nuestra passkey (en este caso, del caso de uso 1).

Después de iniciar sesión con la passkey en el iPhone, todavía necesitamos confirmar nuestra identidad con 2FA cuando la usamos por primera vez para nuestro MacBook también, antes de iniciar sesión en nuestra cuenta de PayPal.

En este caso de uso, generamos una passkey en un dispositivo Android usando la aplicación de PayPal y la almacenamos en el Administrador de contraseñas de Google. El proceso para generar la passkey para la aplicación de PayPal en Android es el mismo que para la aplicación de PayPal en iOS para iPhone, con la única diferencia de que creamos la passkey en Android usando las capacidades biométricas táctiles de Android en lugar de Face ID y que en este paso es posible especificar la cuenta de Google donde se almacenará la clave maestra creada. Una vez que nuestra huella dactilar fue registrada con éxito, recibimos una notificación confirmando la generación exitosa de la passkey. La passkey ahora se muestra en la sección Passkeys en la configuración de inicio de sesión y seguridad.

A diferencia del iPhone, el teléfono Android no reconoce que ya existe una passkey en el dispositivo y continúa mostrando la opción 'Crear una Passkey'. Si los usuarios luego quieren configurar una passkey, PayPal lo detecta y evita la creación de una nueva y la sobrescritura de una passkey existente.

Además, en agosto de 2023, el teléfono no reconocía si ya había una passkey para otro teléfono Android almacenada en el Administrador de contraseñas de Google y permitía la creación de una segunda passkey. Esto se ha solucionado para abril de 2025.

Si queremos iniciar sesión en la aplicación de PayPal para Android, usamos la passkey creada previamente en este dispositivo. Tan pronto como abrimos la aplicación, aparece el pop-up predeterminado de passkey de Android que nos pide usar Touch ID para iniciar sesión. Si el campo de entrada del nombre de usuario está vacío, la ventana de la passkey no aparecerá inmediatamente, pero debido a la Conditional UI habilitada, la passkey almacenada se sugerirá y prellenará automáticamente tan pronto como hagamos clic en el campo.

Android y Chrome

App nativa de iOS

iOS y Safari al empezar a escribir el nombre de usuario

iOS y Safari al cargar la página

Después de verificar nuestra identidad con Face ID, la passkey se recupera con éxito, otorgándonos acceso a nuestra cuenta.

PayPal se ha establecido como un claro líder en la adopción de passkeys dentro de las industrias de servicios financieros y pagos. Su lanzamiento temprano, su despliegue global por fases y su compromiso con las características principales de las passkeys como la Conditional UI y la provisión de una experiencia de inicio de sesión con passkey de un solo toque demuestran un enfoque con visión de futuro para mejorar tanto la seguridad como la experiencia del usuario.

Al posicionar estratégicamente las passkeys como un reemplazo de las contraseñas, PayPal aborda directamente amenazas prevalentes como el phishing y el credential stuffing, lo que conduce a beneficios tangibles como la reducción del fraude y el aumento de las tasas de éxito de inicio de sesión. El proceso de inicio de sesión optimizado de PayPal, que a menudo implica solo un rápido escaneo biométrico, ofrece una mejora significativa en la usabilidad en comparación con los flujos tradicionales de contraseña y OTP.

Si bien la integración de passkeys en Europa requiere lidiar con las complejidades de la PSD2 y la SCA, lo que a veces resulta en flujos de autenticación de varios pasos que difieren de la experiencia ideal de passkey, la defensa activa de PayPal por la evolución regulatoria destaca su compromiso de lograr una experiencia global más armonizada y sin fricciones. Su implementación técnica, centrada en la Conditional UI y la integración en aplicaciones nativas, muestra las mejores prácticas para el despliegue de passkeys.

El viaje de PayPal con las passkeys proporciona un modelo convincente para otros bancos, proveedores de pagos e instituciones financieras. Demuestra que adoptar este estándar de autenticación moderno no solo es factible en un entorno altamente regulado, sino que también ofrece ventajas significativas en seguridad, negocio y experiencia del usuario. A medida que PayPal continúa acelerando su despliegue global de passkeys en 2025 y más allá, allanan el camino para un futuro más seguro y sin contraseñas para los pagos en línea. Con suerte, muchos otros seguirán su ejemplo. No dudes en contactarnos para preguntas sobre passkeys relacionadas con pagos.

¿Qué son las passkeys de PayPal?

Las passkeys de PayPal son una forma moderna y segura de iniciar sesión en tu cuenta de PayPal sin necesidad de una contraseña. Utilizan criptografía y se almacenan de forma segura en tu dispositivo (como tu smartphone o computadora) o en un gestor de passkeys sincronizadas en la nube (como el Llavero de iCloud o el Administrador de contraseñas de Google).

¿Cómo mejoran la seguridad las passkeys de PayPal?

Las passkeys de PayPal son resistentes al phishing porque están vinculadas al sitio web específico de PayPal y no pueden ser engañadas para funcionar en sitios falsos. También protegen contra el credential stuffing y las violaciones de datos, ya que tu clave privada nunca abandona tu dispositivo. Esto proporciona una seguridad más fuerte que las contraseñas tradicionales y puede reemplazar métodos menos seguros como los OTP por SMS, actuando como una forma robusta de 2FA.

¿Cómo configuro una passkey de PayPal?

Puedes configurar una passkey desde la sección "Inicio de sesión y seguridad" dentro de la configuración de tu cuenta de PayPal en el sitio web de PayPal o en la aplicación móvil nativa. El proceso implica verificar tu identidad y luego usar el método de desbloqueo de pantalla de tu dispositivo (como huella dactilar, escaneo facial o PIN del dispositivo) para crear y guardar la passkey.

¿Puedo usar las passkeys de PayPal en múltiples dispositivos?

Sí, si usas un gestor de passkeys que se sincroniza entre dispositivos (como el Llavero de iCloud para dispositivos Apple o el Administrador de contraseñas de Google para Android y Chrome), tu passkey de PayPal se puede usar para un inicio de sesión sin interrupciones en PayPal en todos tus dispositivos sincronizados. Es posible que necesites aprobar el inicio de sesión en otro dispositivo cercano en algunos casos.

¿Las passkeys de PayPal reemplazan las contraseñas por completo?

Para los usuarios que han configurado una passkey, esta proporciona un inicio de sesión sin contraseña en PayPal. Actualmente, las passkeys son principalmente para iniciar sesión en cuentas existentes y no puedes registrarte para una nueva cuenta de PayPal sin establecer inicialmente una contraseña. Sin embargo, el objetivo estratégico es avanzar hacia un futuro sin contraseñas donde las passkeys sean el método de autenticación principal.

¿Son las passkeys de PayPal un tipo de 2FA?

Las passkeys proporcionan inherentemente una autenticación de múltiples factores (algo que tienes: el dispositivo con la clave, y algo que eres: biometría, o algo que sabes: PIN del dispositivo). Cuando se usan para iniciar sesión en PayPal, reemplazan la contraseña y sirven como un método de autenticación muy fuerte que puede cumplir con los requisitos de 2FA. En Europa, debido a las reglas de la SCA, a veces se puede requerir un paso adicional incluso después de usar una passkey.

¿Puedo usar una llave de seguridad física como passkey de PayPal?

Sí, el estándar de passkeys admite el uso de llaves de seguridad FIDO2 (como las YubiKeys) para almacenar passkeys. Aunque es menos común para el usuario promedio en comparación con las passkeys sincronizadas en la nube, este es un método compatible para aquellos que prefieren una passkey respaldada por hardware.

¿Están disponibles las passkeys de PayPal en mi país?

PayPal comenzó a implementar las passkeys en EE. UU. a finales de 2022 y se ha estado expandiendo gradualmente a otros países, incluidos mercados europeos clave como Alemania y el Reino Unido desde mediados de 2023. PayPal está acelerando el despliegue global en 2025. Consulta la configuración de tu cuenta o el centro de ayuda de PayPal para conocer la última disponibilidad en tu región.

¿Qué debo hacer si mi passkey de PayPal no funciona?

Si tu passkey de PayPal no funciona, primero confirma la compatibilidad de tu dispositivo y navegador (Chrome, Safari, Edge, Firefox con las últimas actualizaciones). Intenta eliminar y volver a agregar tu passkey a través de la configuración de tu cuenta. Limpiar la caché o reiniciar tu navegador/dispositivo también puede resolver problemas comunes.

¿Están disponibles las passkeys de PayPal en Australia?

Sí, PayPal ha expandido gradualmente la disponibilidad de passkeys a Australia desde principios de 2024. Los usuarios australianos pueden habilitar las passkeys a través de la sección "Inicio de sesión y seguridad" en la configuración de su cuenta de PayPal. Asegúrate de que tu dispositivo sea compatible con passkeys (iOS 16+, Android 9+, macOS Ventura, Windows 10+) para la mejor experiencia.

¿Qué navegadores admiten las passkeys de PayPal?

Las passkeys de PayPal son ampliamente compatibles con los navegadores modernos, incluidos Chrome, Safari, Edge y Firefox. Asegúrate de que tu navegador esté actualizado a la última versión para una compatibilidad y seguridad óptimas.

¿Cómo habilito el inicio de sesión con passkey para PayPal?

Para habilitar las passkeys de PayPal, inicia sesión en tu cuenta, navega a "Inicio de sesión y seguridad", selecciona "Passkeys" y sigue las instrucciones para crear y registrar tu passkey utilizando la autenticación biométrica o el PIN integrados de tu dispositivo.

¿Puedo usar las passkeys de PayPal con Firefox?

Sí, las passkeys de PayPal son compatibles con Firefox. Asegúrate de que tu navegador Firefox esté actualizado a la última versión. Puedes crear y administrar passkeys a través de la configuración de tu cuenta de PayPal, utilizando el soporte nativo de passkeys de Firefox.

¿Cómo funciona el inicio de sesión con código QR de la passkey de PayPal?

Al iniciar sesión en PayPal desde un dispositivo sin una passkey almacenada, puedes escanear un código QR que se muestra en la pantalla utilizando un dispositivo que sí tenga tu passkey. El código QR activa la autenticación en tu dispositivo principal, iniciando sesión de forma segura sin introducir contraseñas.

¿Está disponible la passkey de PayPal en el Reino Unido?

Sí, las passkeys de PayPal están disponibles en el Reino Unido desde mediados de 2023. Los usuarios del Reino Unido pueden configurar passkeys a través de la configuración de su cuenta de PayPal y disfrutar de inicios de sesión seguros y sin contraseña en los dispositivos compatibles.

¿Puedo usar YubiKey para las passkeys en PayPal?

Sí, PayPal admite llaves de seguridad de hardware como YubiKey para la autenticación con passkey. Puedes registrar tu YubiKey a través de la configuración de passkeys de PayPal en "Inicio de sesión y seguridad", proporcionando una seguridad robusta y respaldada por hardware para tu cuenta.

¿Por qué necesito proporcionar un código 2FA después de usar passkeys?

En ciertas regiones como Europa, los requisitos regulatorios bajo PSD2/SCA pueden exigir un paso de verificación adicional incluso después de una autenticación exitosa con passkey. Este paso adicional de 2FA garantiza el cumplimiento y mejora la seguridad de la cuenta, especialmente para inicios de sesión en dispositivos nuevos o de alto riesgo.