Passkeys de Revolut: un paso audaz con margen de mejora

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

En la banca digital, la necesidad de una seguridad robusta sin sacrificar la experiencia de usuario ha dado lugar a soluciones innovadoras. Entre ellas, destacan las passkeys como el nuevo estándar para la autenticación de usuarios. Revolut, un neobanco líder con sede en Londres, ha comenzado recientemente y de forma silenciosa a implementar passkeys tanto para cuentas Personales como Business. Este movimiento estratégico no solo se alinea con la creciente demanda de experiencias digitales más seguras y cómodas, sino que también posiciona a Revolut como pionero en la adopción de passkeys en el sector bancario.

Get a free passkey assessment in 15 minutes.

Book free consultation

Con el lanzamiento de las passkeys, Revolut sigue la tendencia de los gigantes tecnológicos, con Coinbase, WhatsApp, Nintendo y Uber liderando la ola de las passkeys. En el sector financiero, Revolut es uno de los primeros bancos, si no el más grande hasta la fecha, en implementar las passkeys.

Aviso: Esperamos que en las próximas semanas las passkeys se implementen de forma gradual a una escala mayor y se corrijan los errores. Actualizaremos el artículo en consecuencia. La versión actual es del 7 de febrero de 2024.

Las passkeys representan la siguiente etapa en la autenticación sin contraseña, ofreciendo a los usuarios una forma fluida y segura de acceder a sus cuentas. A diferencia de las contraseñas tradicionales, las passkeys eliminan la necesidad de recordar contraseñas complejas, basándose en su lugar en la criptografía asimétrica con claves únicas para cada usuario y dispositivo. Este método no solo mejora la seguridad al reducir el riesgo de ataques de phishing y filtraciones de datos, sino que también simplifica el proceso de inicio de sesión, ya que los usuarios solo necesitan usar Face ID, Touch ID o Windows Hello, mejorando así la experiencia de usuario general.

Revolut está introduciendo las passkeys por fases y, además, no implementa las funciones simultáneamente para las cuentas Business y Personales. Las principales diferencias que detectamos durante nuestra investigación se detallan en la siguiente tabla:

Los siguientes aspectos de la integración de passkeys de Revolut merecen una mención positiva:

• Liderazgo digital seguro en el sector bancario: Al liderar la adopción de passkeys, Revolut no solo afianza su posición como líder digital en el panorama bancario, sino que también anima a otras instituciones financieras a seguir su ejemplo.
• Mejora de la experiencia de usuario: Las passkeys son la forma más sencilla de autenticación de usuario, ya que los usuarios no necesitan un segundo dispositivo para la MFA ni recordar contraseñas complejas.
• Ahorro en costes de OTP por SMS: Uno de los impulsores de las iniciativas de passkeys a nivel empresarial no solo son las mejoras en la experiencia de usuario y la seguridad, sino también el ahorro de costes significativos en los anticuados y poco seguros OTP por SMS (que todavía están muy extendidos entre los bancos).

Aunque el audaz paso de Revolut hacia la integración de passkeys es loable, el lanzamiento no ha estado exento de fallos.

• Falta de recursos informativos sobre passkeys: La ausencia de preguntas frecuentes o guías oficiales sobre passkeys para los usuarios (no encontramos ninguna) indica una brecha en la comunicación del lanzamiento, a pesar de que las funciones ya se están ofreciendo. Proporcionar documentación detallada puede ayudar a desmitificar las passkeys, facilitando una transición más fluida para todos los usuarios.
• Experiencia de usuario de passkeys inconsistente: Hemos observado que la disponibilidad y funcionalidad de las características de las passkeys varían entre dispositivos y plataformas. Garantizar una experiencia de usuario consistente, donde los ajustes de passkeys se muestren de forma fiable y las ventanas emergentes de promoción conduzcan a ceremonias reales de creación de passkeys (durante nuestras pruebas solo funcionó en Windows 11), mejoraría la confianza del usuario.
• Ausencia de IU condicional: La introducción de una IU condicional podría cambiar las reglas del juego. Mejorar la experiencia de usuario ofreciendo inicios de sesión no solo sin contraseña, sino también sin nombre de usuario, agilizaría aún más el proceso y lo haría más intuitivo.
• Sin integración en la aplicación nativa: Actualmente, el enfoque "mobile-first" de Revolut no se extiende al soporte de passkeys en sus aplicaciones nativas de iOS y Android. Integrar las passkeys en las aplicaciones nativas aprovecharía la alta preparación de los dispositivos iOS y Android para las passkeys.
• Sin autenticación unificada entre plataformas: Cerrar la brecha entre la autenticación con passkeys en la web y en la aplicación nativa presenta un desafío complejo (lee este artículo para más detalles técnicos sobre una configuración de ejemplo). Sin embargo, crear un mecanismo de autenticación unificado que permita compartir passkeys entre la aplicación web, la de iOS y la de Android podría mejorar la seguridad y la comodidad del usuario.

Revolut has introduced passkeys

Join them

A continuación, profundizamos en las cuentas Revolut Personal y Business y en cómo se están implementando las passkeys en determinados dispositivos y plataformas.

Comenzamos el análisis de las passkeys de Revolut Business examinando de cerca la aplicación web antes de analizar las aplicaciones nativas.

Para ser concisos, a continuación solo destacaremos ciertas combinaciones de plataforma, dispositivo y navegador.

Ten en cuenta que la ventana emergente de passkey de Revolut solo aparece una vez, después de iniciar sesión con éxito con los métodos de autenticación existentes. Para que vuelva a aparecer, necesitas borrar las cookies de Revolut o acceder al sitio en modo Incógnito / Navegación privada.

Al acceder a la página de inicio de sesión de Revolut Business, notarás inmediatamente una nueva opción destacada debajo del campo de correo electrónico y encima de los inicios de sesión sociales de Google / Apple, con la etiqueta: Continuar con passkey.

La ventana emergente de promoción de passkeys tiene el siguiente aspecto:

Curiosamente, para Revolut Business, aunque el identificador de usuario principal es la dirección de correo electrónico, las passkeys están vinculadas al número de teléfono, probablemente porque las cuentas de Revolut Personal se crean primero con un número de teléfono.

Ahora que has creado con éxito una passkey en Windows 11 y Chrome, puedes cerrar sesión y hacer clic en Continuar con passkey en la página de inicio de sesión. A continuación, aparecerá la interfaz de usuario del navegador para gestionar la autenticación con passkey:

A diferencia del procedimiento de inicio de sesión actual de Revolut Business, donde necesitas introducir una contraseña y confirmar tu identidad mediante una notificación push en la aplicación nativa o un enlace mágico por correo electrónico como segundo factor, no se necesita ningún método de autenticación adicional para los inicios de sesión con passkey, ya que las passkeys sirven inherentemente como 2FA. Esto representa una mejora significativa en la experiencia de usuario, especialmente en dispositivos de escritorio, ya que elimina la necesidad de cambiar de contexto o usar un segundo dispositivo.

En Android 14 y en Chrome 121, el botón de inicio de sesión Continuar con passkey es muy prominente.

En iOS 17.3 y en Safari, el botón de inicio de sesión Continuar con passkey también es muy prominente.

Las aplicaciones nativas de iOS y Android para Revolut Business aún no son compatibles con las passkeys. Por lo tanto, no hay ninguna opción de Passkey en la sección de Seguridad y privacidad de la aplicación de iOS (ver captura de pantalla) o Android:

Una de las diferencias iniciales a destacar es que Revolut Personal utiliza el número de teléfono como identificador de usuario principal. En lugar de una contraseña, la autenticación se gestiona mediante un código de acceso de 6 a 12 dígitos, mientras que Revolut Business utiliza un código de acceso de 4 dígitos y usa la contraseña en el proceso de inicio de sesión predeterminado.

Para ser concisos, a continuación solo destacaremos ciertas combinaciones de plataforma, dispositivo y navegador.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

La siguiente ventana emergente de promoción de passkey se muestra la primera vez que inicias sesión (o después de borrar las cookies / estar en modo de Navegación privada):

Por alguna razón, después de hacer clic en Añadir passkey en la pantalla anterior, fuimos redirigidos directamente a la página de sesión iniciada, sin tener la oportunidad de iniciar la ceremonia de passkey con Touch ID. Al investigar el problema, encontramos la llamada a la API correspondiente (https://sso.revolut.com/api/challenges/webauthn) en la pestaña de red de las herramientas para desarrolladores de Safari. Sin embargo, esta llamada a la API devolvió un código de estado HTTP 403, lo que indica que, al parecer, la función aún no se ha implementado por completo.

A diferencia de la cuenta de Revolut Business, la configuración de la cuenta en Revolut Personal sí tiene una sección para passkeys:

La siguiente ventana emergente de promoción de passkey se muestra la primera vez que inicias sesión (o después de borrar las cookies / estar en modo de Navegación privada):

Las aplicaciones nativas de iOS y Android para Revolut Personal aún no son compatibles con las passkeys. Sin embargo, tanto la aplicación de iOS como la de Android (ver las capturas de pantalla a continuación) tienen una sección de configuración de seguridad para passkeys:

A continuación, profundizamos en algunos aspectos técnicos.

Become part of our Passkeys Community for updates & support.

Join

Examinamos los detalles de la implementación técnica. Principalmente, cada vez que se carga la página de inicio de sesión, se envía un client_id al backend, que devuelve diferentes opciones de autenticación según el tipo de cuenta:

• Cuenta Business: Inicio de sesión con Apple, Google, Passkeys (WebAuthn)
• Cuenta Personal: Inicio de sesión con Apple, Google

Curiosamente, la opción de passkey para las cuentas de Revolut Personal está preparada pero aún no activada (ver captura de pantalla a continuación), lo que indica que un lanzamiento podría ser inminente e implementarse rápidamente, habilitando también un botón "Continuar con passkey" para las cuentas Personales.

La decisión de mostrar las opciones de inicio de sesión se basa en el client_id. Por ejemplo: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde Con fines experimentales, alteramos el client_id a un valor aleatorio, lo que reveló todas las opciones de inicio de sesión (incluida la posibilidad de cambiar entre el número de teléfono y el correo electrónico como identificador de inicio de sesión) en Windows 11 con Chrome.

Durante la ceremonia de inicio de sesión, analizamos las PublicKeyCredentialRequestOptions. Notablemente, no se estableció allowCredentials, mientras que el ID de relying party se fijó como "sso.revolut.com". Establecer userVerification como "preferred" es una elección prudente desde el punto de vista de la seguridad.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

También analizamos cómo podría ser un lanzamiento en las aplicaciones nativas de iOS y Android y, para ello, utilizamos el ID de relying party de sso.revolut.com y añadimos las rutas a los archivos assetlinks.json (Android) y apple-app-site-association (iOS) para ver qué información podrían contener ya estos archivos sobre el lanzamiento de las passkeys.

Intentar acceder a https://sso.revolut.com/.well-known/assetlinks.json resulta en un error 404 de nginx, lo que sugiere el uso de un proxy inverso para la gestión de archivos. Usando el dominio https://app.revolut.com, localizamos el archivo assetlinks.json en https://app.revolut.com/.well-known/assetlinks.json, que proporcionó información reveladora para Revolut Personal:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

A través de https://well-known.dev, también descubrimos el archivo de asociación para Revolut Business en https://business.revolut.com/.well-known/assetlinks.json:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Dado que ni el archivo assetlinks.json para Revolut Personal ni el de Revolut Business se encuentran en la ruta designada por el ID de la relying party para asociar la aplicación nativa de Android con la aplicación web, es interesante considerar qué cambios son necesarios para permitir que las passkeys funcionen tanto en la web como en las aplicaciones nativas de Android.

El archivo apple-app-site-association para Revolut Personal es accesible en https://revolut.com/.well-known/apple-app-site-association, sin que se hayan añadido todavía detalles sobre las credenciales web:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

En cambio, el archivo apple-app-site-association de Revolut Business contiene información más completa, especialmente en lo que respecta a las credenciales web. Esto indica que la aplicación de iOS QUZEZSEARC.com.revolut.business está configurada para compartir credenciales con la aplicación web de Revolut Business. Es accesible en https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Al igual que con Android, sigue siendo intrigante cómo se puede implementar el uso compartido de passkeys entre las aplicaciones nativas y web, dado que el ID de la relying party para la aplicación web (sso.revolut.com) no tiene los archivos de asociación en las ubicaciones esperadas.

En conclusión, el lanzamiento de passkeys de Revolut es un paso significativo hacia la revolución de la autenticación de usuarios en el sector bancario. Al adoptar las passkeys, Revolut no solo mejora la seguridad al abandonar las contraseñas tradicionales, sino que también optimiza significativamente la experiencia de usuario a través de un proceso de inicio de sesión más simple. A pesar de los desafíos en el lanzamiento inicial, como las inconsistencias entre dispositivos y la ausencia de soporte en la aplicación nativa, los esfuerzos de Revolut subrayan un compromiso con la innovación digital y el diseño centrado en el usuario.

El análisis técnico revela que, si bien se han sentado las bases para una integración fluida de las passkeys, hay áreas con un claro margen de mejora. Mejorar la comunicación, garantizar la consistencia entre plataformas y ampliar el soporte para incluir las aplicaciones móviles nativas son los siguientes pasos críticos. Abordar estas áreas no solo perfeccionará la implementación de Revolut, sino que también establecerá un punto de referencia para el sector, animando a otras instituciones financieras a adoptar las passkeys pronto (consulta también nuestro artículo sobre la compatibilidad de las passkeys con la PSD2).