Comprenda las ventajas de usar passkeys junto con la biometría local para una seguridad óptima de la aplicación y un acceso de usuario sin fricciones.
Vincent
Created: June 3, 2025
Updated: June 20, 2025
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Después de que la biometría en los teléfonos móviles se generalizara, muchas aplicaciones nativas comenzaron a usar funciones como Face ID o Touch ID (o el equivalente de Android) para proteger el acceso a la aplicación. Esta protección biométrica local mejora significativamente la comodidad del usuario al permitir un acceso rápido y sin fricciones. A primera vista, las passkeys y la biometría local pueden parecer redundantes porque ambas implican la verificación del usuario. Pero sirven para propósitos fundamentalmente diferentes. Este artículo explorará:
Al final, tendremos una mejor comprensión de cuándo y cómo aprovechar estas soluciones juntas para crear una experiencia de aplicación más segura, fácil de usar y fluida. También describiremos escenarios prácticos en los que la combinación de passkeys y biometría local puede mejorar tanto la seguridad como la comodidad, asegurando que los desarrolladores puedan tomar decisiones informadas para satisfacer las necesidades de los usuarios de manera efectiva.
Recent Articles
📖
Passkeys en aplicaciones nativas: Implementación nativa frente a WebView
👤
Resolución de problemas con passkeys: Soluciones para incidencias y errores
👤
Cómo habilitar las passkeys en Windows
⚙️
Tutorial de Passkeys: Cómo Implementar Passkeys en Aplicaciones Web
⚙️
Pruebas E2E de Passkeys con Playwright mediante el Autenticador Virtual WebAuthn
Los métodos de autenticación biométrica locales, como Face ID, Touch ID de Apple o las capacidades biométricas de Android, aprovechan rasgos físicos únicos (p. ej., rasgos faciales o huellas dactilares) para verificar la identidad de un usuario. A diferencia de los PIN o contraseñas tradicionales, que se basan en algo que el usuario sabe, la biometría se basa en algo inherente al usuario. Este cambio elimina la necesidad de teclear repetidamente un código, reduciendo significativamente la fricción y haciendo que el acceso diario a las aplicaciones sea rápido y seguro.
Antes de que la biometría ganara popularidad en los teléfonos móviles, las aplicaciones que buscaban proteger contenido sensible a menudo pedían a los usuarios que introdujeran un PIN o contraseña adicional cada vez que se iniciaban. Aunque este enfoque aumentaba la seguridad, también introducía inconvenientes adicionales, especialmente cuando el usuario ya se había autenticado al inicio de su sesión. La llegada de las tecnologías de reconocimiento facial y escaneo de huellas dactilares basadas en el dispositivo simplificó este proceso. En lugar de teclear repetidamente un código, un usuario ahora podía desbloquear la aplicación con un rápido escaneo facial o un breve toque. Si, por cualquier motivo, la verificación biométrica falla o el usuario prefiere no habilitarla, sigue estando disponible un PIN, código de acceso o contraseña de respaldo. Este diseño garantiza tanto la comodidad como la accesibilidad sin comprometer la seguridad.
Es crucial distinguir las verificaciones biométricas locales de los eventos de autenticación remota completos. La autenticación remota ocurre al inicio de una nueva sesión, verificando la identidad del usuario contra los sistemas de backend del servicio utilizando credenciales como contraseñas o passkeys. Este paso establece la confianza entre el usuario y el servicio.
La biometría local, en cambio, se centra en volver a verificar la identidad durante una sesión autenticada en curso. En lugar de pedir al usuario que vuelva a introducir contraseñas u otras credenciales cuando abandona brevemente la aplicación o bloquea su teléfono, la biometría local confirma que el mismo usuario autorizado sigue teniendo el control del dispositivo. Esta verificación centrada en el dispositivo no requiere una conexión a Internet ni interacción con servidores remotos, lo que la hace rápida, fiable y fluida en el uso diario.
Los datos biométricos se almacenan y procesan de forma segura dentro de módulos de seguridad de hardware dedicados, como el Secure Enclave en iOS o el Trusted Execution Environment (TEE) en Android. Estos módulos de confianza están diseñados para mantener los datos biométricos sensibles a salvo de manipulaciones, extracciones o transferencias.
Debido a este anclaje a nivel de hardware, la verificación biométrica no se puede compartir fácilmente entre dispositivos o servicios. Las plantillas biométricas de cada dispositivo siguen siendo únicas para esa unidad en particular, lo que garantiza que si un usuario cambia a un nuevo teléfono, debe volver a registrar su biometría desde cero. Aunque esto añade un pequeño paso de incorporación al cambiar de dispositivo, protege contra el acceso no autorizado y previene ataques remotos que podrían explotar datos biométricos almacenados centralmente. Además, la biometría local funciona sin necesidad de una conexión a Internet, lo que la hace fiable incluso cuando el dispositivo está desconectado.
La biometría local agiliza la seguridad al verificar que la persona que maneja actualmente el dispositivo es, de hecho, el usuario legítimo y ya autenticado, sin requerir la introducción repetida de un PIN o contraseña personalizados en caso de que la aplicación tenga una funcionalidad importante como banca, seguros u otros datos personales.
Mantienen la comodidad al funcionar de manera fluida e instantánea en el dispositivo, operan sin conexión y se basan en enclaves de hardware seguros para proteger los datos biométricos sensibles. Aunque no pueden reemplazar la necesidad de una autenticación remota inicial (como una passkey o una contraseña) para establecer la identidad del usuario en primer lugar, son muy buenas para gestionar y proteger las sesiones posteriores y en curso.
Sus limitaciones, como la falta de portabilidad y la necesidad de volver a registrarse en nuevos dispositivos, son concesiones hechas en aras de una mayor comodidad y una estricta seguridad a nivel de dispositivo. En última instancia, la biometría local sirve como un método potente y fácil de usar para garantizar la confianza continua en una sesión de la aplicación una vez que esa confianza se ha establecido inicialmente.
Las passkeys cambian la naturaleza de la autenticación al reemplazar secretos compartidos como las contraseñas con credenciales criptográficas asimétricas. A diferencia de la biometría local, que solo verifica localmente a un usuario ya autenticado, las passkeys sirven como un método principal para identificar a los usuarios ante un servicio remoto. Esto garantiza una experiencia de inicio de sesión segura y resistente al phishing, incluso en un escenario en el que el usuario y el dispositivo son inicialmente desconocidos para el backend de la aplicación.
Antes de las passkeys, el enfoque común para establecer la confianza con un servicio remoto implicaba contraseñas, secretos compartidos conocidos tanto por el usuario como por el servidor. Aunque las contraseñas son sencillas de implementar, son vulnerables a amenazas como el phishing, el credential stuffing y la reutilización de contraseñas.
Las passkeys abordan estos desafíos utilizando un par de claves criptográficas: una clave privada almacenada de forma segura en el dispositivo del usuario y una clave pública correspondiente registrada en el servicio. Cuando se produce un intento de inicio de sesión, el servicio envía un desafío que solo puede ser resuelto por la clave privada del usuario. Esto garantiza que, incluso si los atacantes interceptan datos o intentan engañar a los usuarios para que revelen sus credenciales, no puedan obtener acceso no autorizado.
Las passkeys emplean criptografía asimétrica:
Esto es especialmente importante para los sistemas en los que, además de las aplicaciones nativas, también se utilizan sitios web donde el phishing es un gran problema. Las passkeys creadas en un dispositivo móvil se pueden utilizar mediante la autenticación entre dispositivos también en sitios web en un ordenador de sobremesa.
Una de las ventajas principales de las passkeys es su portabilidad fluida entre los dispositivos de un usuario. Los sistemas operativos modernos pueden sincronizar las passkeys a través de un almacenamiento seguro en la nube (p. ej., iCloud Keychain, Google Password Manager), lo que permite a los usuarios iniciar sesión desde múltiples dispositivos sin necesidad de volver a registrarse o recordar contraseñas para la primera instalación de la aplicación. Además, las passkeys también se pueden utilizar en escenarios en los que se requeriría un segundo factor para proporcionar una protección similar a la de dos factores sin introducir fricción. Esta sinergia permite inicios de sesión rápidos y seguros sin importar qué dispositivo elija el usuario, reforzando un ecosistema donde la autenticación segura es universalmente accesible y fácil de mantener.
Las passkeys representan un método potente y resistente al phishing para autenticar a usuarios desconocidos en servicios remotos. Al aprovechar la criptografía asimétrica y abandonar los secretos compartidos en favor de las claves privadas residentes en el dispositivo, eliminan muchas de las debilidades que plagaban los sistemas basados en contraseñas. Las passkeys combinan una seguridad robusta, portabilidad global e integración directa con componentes de seguridad de hardware. Como resultado, sirven como una base sólida para establecer la identidad del usuario, algo que la biometría local por sí sola no puede proporcionar. En el contexto de las aplicaciones nativas, las passkeys son el primer paso crítico para crear una sesión segura, después de lo cual se puede emplear la biometría local para mantener un acceso rápido y conveniente para el usuario.
Cuando se trata de la autenticación en aplicaciones nativas, las passkeys y la biometría local desempeñan roles importantes pero diferentes. Aunque ambas mejoran la experiencia del usuario y la seguridad, abordan problemas fundamentalmente distintos:
Comprender estas diferencias es vital para los desarrolladores que buscan crear flujos de autenticación robustos que sean tanto seguros como fáciles de usar.
Para comprender mejor las distinciones y los roles complementarios de las passkeys y la biometría local, la siguiente tabla compara sus características clave en varias dimensiones, incluyendo propósito, casos de uso, seguridad y portabilidad. Esta comparación destaca cómo estas tecnologías abordan problemas fundamentalmente diferentes mientras trabajan juntas para mejorar tanto la seguridad como la comodidad del usuario.
Aspecto | Passkeys | Biometría local |
---|---|---|
Fase | Después de la instalación de la aplicación Re-Login Tiempo de espera de la sesión | La aplicación está instalada y con la sesión iniciada |
Propósito principal | Autenticar a un usuario desconocido (inicio de sesión inicial) | Verificar que el usuario actualmente activo (que ya está autenticado) es el propietario legítimo del dispositivo/aplicación |
Protege | Acceso a la cuenta de usuario | Acceso a la aplicación con sesión iniciada |
Caso de uso | Ideal para los primeros inicios de sesión o después de reinstalaciones, estableciendo confianza con los servicios y permitiendo inicios de sesión multiplataforma y multidispositivo | Ideal para volver a verificar si el poseedor del dispositivo es el propietario del mismo, desbloqueando la aplicación rápidamente sin volver a introducir contraseñas/passkeys |
Modelo de autenticación | Autenticación remota: verifica la identidad contra un sistema de backend | Verificación local: comprueba los datos biométricos almacenados de forma segura en el dispositivo, no contacta con un servidor remoto |
MFA | Sí + resistente al phishing | No |
Biometría nativa | Sí (p. ej., Face ID, Touch ID, Biometría de Android) | Sí (p. ej., Face ID, Touch ID, Biometría de Android) |
Alcance y portabilidad | Usabilidad multidispositivo, multiplataforma y multiaplicación (aplicaciones nativas + web) gracias a la sincronización segura en la nube de las claves | Específico del dispositivo, no transferible: las plantillas biométricas deben volver a registrarse en nuevos dispositivos No se puede mover fácilmente entre plataformas |
Almacenamiento y seguridad de datos | Claves privadas almacenadas en un secure enclave Claves públicas almacenadas en el lado del servidor No se transmiten secretos compartidos Resistente al phishing | Plantillas biométricas almacenadas en un enclave de hardware seguro en el dispositivo Nunca salen del dispositivo Protegidas por el hardware del dispositivo |
Requisito de Internet | Requiere conexión a Internet para autenticarse con el servicio remoto y registrar las claves. | No se requiere conexión a Internet; la verificación es totalmente local, lo que la hace útil incluso sin conexión y si la aplicación tiene un caso de uso sin conexión |
Copia de seguridad y recuperación | Las claves se pueden respaldar y restaurar mediante sincronización en la nube (p. ej., iCloud Keychain, Google Password Manager), lo que garantiza una fácil recuperación si se pierde o reemplaza un dispositivo | No hay un mecanismo de copia de seguridad integrado para la biometría; si el dispositivo falla, los usuarios deben volver a registrar sus datos biométricos en un nuevo dispositivo |
Integración con sitios web y aplicaciones | Se puede utilizar tanto para aplicaciones nativas como para sitios web. Las passkeys simplifican los flujos de inicio de sesión al autenticar a los usuarios sin revelar credenciales, mejorando la seguridad en todos los ámbitos | Limitado al dispositivo y a la aplicación instalada localmente. |
Implementación para desarrolladores | Integrar utilizando estándares web (WebAuthn, FIDO2) y API de plataforma nativa El backend debe manejar claves públicas y desafíos. | Aprovechar los SDK de la plataforma (iOS, Android) para las solicitudes biométricas No se requiere un manejo especial del backend. |
Experiencia de usuario | Después de la configuración inicial, los usuarios pueden iniciar sesión rápidamente sin recordar el correo electrónico o las contraseñas, incluso en dispositivos nuevos Incorporación optimizada con fricción reducida | Proporciona un re-acceso instantáneo y sin contraseña a las aplicaciones una vez que el usuario ya se ha autenticado. |
Aunque la tabla destaca las diferencias principales, es importante reconocer que las passkeys y la biometría local no son tecnologías competidoras, son complementarias. Juntas, proporcionan una experiencia de autenticación por capas:
Al combinar passkeys y biometría local, los desarrolladores pueden ofrecer un flujo de autenticación seguro, fluido y fácil de usar.
Al combinar passkeys y biometría local, los desarrolladores pueden crear un flujo de autenticación robusto que:
Esta sinergia garantiza que las aplicaciones puedan proporcionar tanto una autenticación fuerte como una comodidad fluida, una combinación ganadora para las expectativas de los usuarios modernos.
Para comprender mejor cómo funcionan los ejemplos y combinaciones del mundo real, examinaremos dos implementaciones diferentes: una que aprovecha solo las passkeys y otra que utiliza un enfoque combinado.
La aplicación Kayak demuestra una implementación de passkeys para la autenticación de usuarios. Las passkeys se integran perfectamente en el proceso de inicio de sesión, ofreciendo a los usuarios la opción de autenticarse sin necesidad de recordar su dirección de correo electrónico o contraseña. Como se muestra en la pantalla de autenticación, los usuarios pueden seleccionar directamente una passkey para iniciar sesión. Este enfoque simplifica significativamente la experiencia del usuario al reducir la carga cognitiva y eliminar la fricción relacionada con las contraseñas.
Una vez autenticado mediante una passkey, el usuario obtiene acceso sin restricciones a la aplicación sin necesidad de reautenticación. Este diseño es particularmente adecuado para Kayak, una aplicación de viajes que gestiona principalmente el historial de reservas e itinerarios, que no se consideran datos altamente sensibles o críticos.
Puntos clave del enfoque de Kayak:
Esta implementación demuestra cómo las passkeys pueden agilizar el proceso de autenticación eliminando la necesidad de contraseñas, proporcionando una experiencia sin fricciones para los usuarios. Sin embargo, en escenarios donde se realizan acciones más sensibles o críticas dentro de la aplicación, pueden ser necesarias capas adicionales de seguridad, como la biometría local. Exploremos cómo GitHub aprovecha tanto las passkeys como la biometría para garantizar la seguridad sin comprometer la usabilidad.
GitHub equilibra la integración de passkeys para un inicio de sesión seguro con la biometría local para proteger el contenido de la aplicación en el estado de sesión iniciada. Las passkeys se ofrecen como una opción de inicio de sesión rápida y resistente al phishing, lo cual es particularmente importante dados los requisitos de autenticación multifactor (MFA) de GitHub. Esto elimina la necesidad de que los usuarios gestionen contraseñas o códigos de un solo uso, proporcionando una experiencia de inicio de sesión fluida y segura. Pero para los fines de este artículo, no analizaremos su implementación de passkeys.
La capa adicional de seguridad de GitHub con biometría local: Debido a que GitHub también ofrece operaciones sensibles como la fusión de pull requests, GitHub permite a los usuarios habilitar la protección biométrica local si lo consideran necesario. En este ejemplo, se utiliza Face ID para bloquear la aplicación en iOS, asegurando que solo el propietario del dispositivo pueda acceder o ejecutar la aplicación de GitHub. La aplicación solicita explícitamente los privilegios necesarios del sistema operativo para activar la biometría y ofrece intervalos configurables (p. ej., inmediato o después de un tiempo de espera definido).
Puntos clave del enfoque de GitHub:
Juntos, estos ejemplos ilustran cómo las passkeys y la biometría local pueden adaptarse a las necesidades de diferentes aplicaciones, equilibrando la comodidad del usuario con las medidas de seguridad adecuadas.
A continuación se presentan cuatro recomendaciones adaptadas a escenarios comunes en los que se podrían implementar la biometría local y las passkeys. Las recomendaciones están estructuradas para que los desarrolladores, gerentes de producto y responsables de la toma de decisiones puedan identificar rápidamente qué enfoque se adapta mejor a su situación. A continuación, se presenta una tabla resumen que facilita la correspondencia de cada recomendación con un escenario determinado:
Aunque las recomendaciones anteriores cubren una gama de escenarios comunes, existen innumerables otras situaciones en las que la elección de implementar biometría local, passkeys o ambas puede variar. Cada aplicación tiene necesidades únicas de seguridad, usabilidad y cumplimiento, y es esencial que los desarrolladores, gerentes de producto y líderes empresariales evalúen a fondo estos factores antes de decidirse por un enfoque. Al sopesar cuidadosamente sus casos de uso específicos, requisitos regulatorios y expectativas de los usuarios, puede diseñar una estrategia de autenticación que no solo proteja a sus usuarios y sus datos, sino que también ofrezca la experiencia fluida y fácil de usar que los clientes de hoy en día esperan.
Como hemos visto, la biometría local y las passkeys desempeñan roles fundamentalmente diferentes pero complementarios en las estrategias de autenticación modernas. La biometría local simplifica la verificación continua de la sesión aprovechando los rasgos inherentes del usuario para comprobaciones rápidas en el dispositivo, mientras que las passkeys establecen una relación de confianza segura y resistente al phishing con los servicios remotos. Al combinar cuidadosamente estos métodos, los desarrolladores pueden crear una experiencia de usuario que es a la vez sin fricciones y altamente segura, satisfaciendo eficazmente las necesidades de un panorama digital diverso y exigente. Volviendo a las preguntas de la Introducción:
Al reconocer los roles distintos pero mutuamente beneficiosos de las passkeys y la biometría local, los desarrolladores y los responsables de la toma de decisiones pueden implementar un enfoque de autenticación integral que equilibre la seguridad, la comodidad y la satisfacción del usuario. Al hacerlo, las aplicaciones se vuelven más resistentes a las amenazas, más fáciles de navegar y más adaptables a las cambiantes exigencias de los usuarios y las regulaciones, ofreciendo en última instancia un entorno digital fluido y fiable.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents