Aplicaciones nativas: Passkeys vs. biometría local

Después de que la biometría en los teléfonos móviles se generalizara, muchas aplicaciones nativas comenzaron a usar funciones como Face ID o Touch ID (o el equivalente de Android) para proteger el acceso a la aplicación. Esta protección biométrica local mejora significativamente la comodidad del usuario al permitir un acceso rápido y sin fricciones. A primera vista, las passkeys y la biometría local pueden parecer redundantes porque ambas implican la verificación del usuario. Pero sirven para propósitos fundamentalmente diferentes. Este artículo explorará:

• Passkeys vs. biometría local: ¿En qué se diferencian la biometría local y las passkeys en sus roles y funcionalidades?
• Añadir passkeys a aplicaciones con biometría local: ¿Tiene sentido añadir passkeys a aplicaciones que ya utilizan la biometría? ¿Cuáles son los beneficios?

Al final, tendremos una mejor comprensión de cuándo y cómo aprovechar estas soluciones juntas para crear una experiencia de aplicación más segura, fácil de usar y fluida. También describiremos escenarios prácticos en los que la combinación de passkeys y biometría local puede mejorar tanto la seguridad como la comodidad, asegurando que los desarrolladores puedan tomar decisiones informadas para satisfacer las necesidades de los usuarios de manera efectiva.

Los métodos de autenticación biométrica locales, como Face ID, Touch ID de Apple o las capacidades biométricas de Android, aprovechan rasgos físicos únicos (p. ej., rasgos faciales o huellas dactilares) para verificar la identidad de un usuario. A diferencia de los PIN o contraseñas tradicionales, que se basan en algo que el usuario sabe, la biometría se basa en algo inherente al usuario. Este cambio elimina la necesidad de teclear repetidamente un código, reduciendo significativamente la fricción y haciendo que el acceso diario a las aplicaciones sea rápido y seguro.

Antes de que la biometría ganara popularidad en los teléfonos móviles, las aplicaciones que buscaban proteger contenido sensible a menudo pedían a los usuarios que introdujeran un PIN o contraseña adicional cada vez que se iniciaban. Aunque este enfoque aumentaba la seguridad, también introducía inconvenientes adicionales, especialmente cuando el usuario ya se había autenticado al inicio de su sesión. La llegada de las tecnologías de reconocimiento facial y escaneo de huellas dactilares basadas en el dispositivo simplificó este proceso. En lugar de teclear repetidamente un código, un usuario ahora podía desbloquear la aplicación con un rápido escaneo facial o un breve toque. Si, por cualquier motivo, la verificación biométrica falla o el usuario prefiere no habilitarla, sigue estando disponible un PIN, código de acceso o contraseña de respaldo. Este diseño garantiza tanto la comodidad como la accesibilidad sin comprometer la seguridad.

Es crucial distinguir las verificaciones biométricas locales de los eventos de autenticación remota completos. La autenticación remota ocurre al inicio de una nueva sesión, verificando la identidad del usuario contra los sistemas de backend del servicio utilizando credenciales como contraseñas o passkeys. Este paso establece la confianza entre el usuario y el servicio.

La biometría local, en cambio, se centra en volver a verificar la identidad durante una sesión autenticada en curso. En lugar de pedir al usuario que vuelva a introducir contraseñas u otras credenciales cuando abandona brevemente la aplicación o bloquea su teléfono, la biometría local confirma que el mismo usuario autorizado sigue teniendo el control del dispositivo. Esta verificación centrada en el dispositivo no requiere una conexión a Internet ni interacción con servidores remotos, lo que la hace rápida, fiable y fluida en el uso diario.

Los datos biométricos se almacenan y procesan de forma segura dentro de módulos de seguridad de hardware dedicados, como el Secure Enclave en iOS o el Trusted Execution Environment (TEE) en Android. Estos módulos de confianza están diseñados para mantener los datos biométricos sensibles a salvo de manipulaciones, extracciones o transferencias.

Debido a este anclaje a nivel de hardware, la verificación biométrica no se puede compartir fácilmente entre dispositivos o servicios. Las plantillas biométricas de cada dispositivo siguen siendo únicas para esa unidad en particular, lo que garantiza que si un usuario cambia a un nuevo teléfono, debe volver a registrar su biometría desde cero. Aunque esto añade un pequeño paso de incorporación al cambiar de dispositivo, protege contra el acceso no autorizado y previene ataques remotos que podrían explotar datos biométricos almacenados centralmente. Además, la biometría local funciona sin necesidad de una conexión a Internet, lo que la hace fiable incluso cuando el dispositivo está desconectado.

La biometría local agiliza la seguridad al verificar que la persona que maneja actualmente el dispositivo es, de hecho, el usuario legítimo y ya autenticado, sin requerir la introducción repetida de un PIN o contraseña personalizados en caso de que la aplicación tenga una funcionalidad importante como banca, seguros u otros datos personales.

Mantienen la comodidad al funcionar de manera fluida e instantánea en el dispositivo, operan sin conexión y se basan en enclaves de hardware seguros para proteger los datos biométricos sensibles. Aunque no pueden reemplazar la necesidad de una autenticación remota inicial (como una passkey o una contraseña) para establecer la identidad del usuario en primer lugar, son muy buenas para gestionar y proteger las sesiones posteriores y en curso.

Sus limitaciones, como la falta de portabilidad y la necesidad de volver a registrarse en nuevos dispositivos, son concesiones hechas en aras de una mayor comodidad y una estricta seguridad a nivel de dispositivo. En última instancia, la biometría local sirve como un método potente y fácil de usar para garantizar la confianza continua en una sesión de la aplicación una vez que esa confianza se ha establecido inicialmente.

Las passkeys cambian la naturaleza de la autenticación al reemplazar secretos compartidos como las contraseñas con credenciales criptográficas asimétricas. A diferencia de la biometría local, que solo verifica localmente a un usuario ya autenticado, las passkeys sirven como un método principal para identificar a los usuarios ante un servicio remoto. Esto garantiza una experiencia de inicio de sesión segura y resistente al phishing, incluso en un escenario en el que el usuario y el dispositivo son inicialmente desconocidos para el backend de la aplicación.

Antes de las passkeys, el enfoque común para establecer la confianza con un servicio remoto implicaba contraseñas, secretos compartidos conocidos tanto por el usuario como por el servidor. Aunque las contraseñas son sencillas de implementar, son vulnerables a amenazas como el phishing, el credential stuffing y la reutilización de contraseñas.

Las passkeys abordan estos desafíos utilizando un par de claves criptográficas: una clave privada almacenada de forma segura en el dispositivo del usuario y una clave pública correspondiente registrada en el servicio. Cuando se produce un intento de inicio de sesión, el servicio envía un desafío que solo puede ser resuelto por la clave privada del usuario. Esto garantiza que, incluso si los atacantes interceptan datos o intentan engañar a los usuarios para que revelen sus credenciales, no puedan obtener acceso no autorizado.

Las passkeys emplean criptografía asimétrica:

• Clave privada (lado del cliente): Almacenada de forma segura dentro del secure enclave del dispositivo, inaccesible para otras aplicaciones o incluso para el propio sistema operativo.
• Clave pública (lado del servidor): Registrada en el backend de la aplicación, pero inútil por sí sola sin la clave privada. Dado que el usuario nunca envía la clave privada a través de la red y nunca tiene un "secreto compartido" que teclear, los intentos de phishing se vuelven en gran medida ineficaces. Los atacantes no pueden engañar a los usuarios para que tecleen algo que no saben, e interceptar la clave pública no ofrece ninguna ventaja. Esta arquitectura, respaldada por estándares como FIDO2 y WebAuthn, garantiza que todo el flujo de autenticación se base en operaciones criptográficas demostrables en lugar de credenciales introducidas por el usuario.

Esto es especialmente importante para los sistemas en los que, además de las aplicaciones nativas, también se utilizan sitios web donde el phishing es un gran problema. Las passkeys creadas en un dispositivo móvil se pueden utilizar mediante la autenticación entre dispositivos también en sitios web en un ordenador de sobremesa.

Una de las ventajas principales de las passkeys es su portabilidad fluida entre los dispositivos de un usuario. Los sistemas operativos modernos pueden sincronizar las passkeys a través de un almacenamiento seguro en la nube (p. ej., iCloud Keychain, Google Password Manager), lo que permite a los usuarios iniciar sesión desde múltiples dispositivos sin necesidad de volver a registrarse o recordar contraseñas para la primera instalación de la aplicación. Además, las passkeys también se pueden utilizar en escenarios en los que se requeriría un segundo factor para proporcionar una protección similar a la de dos factores sin introducir fricción. Esta sinergia permite inicios de sesión rápidos y seguros sin importar qué dispositivo elija el usuario, reforzando un ecosistema donde la autenticación segura es universalmente accesible y fácil de mantener.

Las passkeys representan un método potente y resistente al phishing para autenticar a usuarios desconocidos en servicios remotos. Al aprovechar la criptografía asimétrica y abandonar los secretos compartidos en favor de las claves privadas residentes en el dispositivo, eliminan muchas de las debilidades que plagaban los sistemas basados en contraseñas. Las passkeys combinan una seguridad robusta, portabilidad global e integración directa con componentes de seguridad de hardware. Como resultado, sirven como una base sólida para establecer la identidad del usuario, algo que la biometría local por sí sola no puede proporcionar. En el contexto de las aplicaciones nativas, las passkeys son el primer paso crítico para crear una sesión segura, después de lo cual se puede emplear la biometría local para mantener un acceso rápido y conveniente para el usuario.

Cuando se trata de la autenticación en aplicaciones nativas, las passkeys y la biometría local desempeñan roles importantes pero diferentes. Aunque ambas mejoran la experiencia del usuario y la seguridad, abordan problemas fundamentalmente distintos:

• Passkeys: autentican a usuarios desconocidos en un servicio remoto, a menudo durante el primer inicio de sesión o al crear una nueva sesión.
• Biometría local: como Face ID o Touch ID, vuelve a verificar a un usuario ya autenticado localmente, garantizando la continuidad y la comodidad para las sesiones en curso.

Comprender estas diferencias es vital para los desarrolladores que buscan crear flujos de autenticación robustos que sean tanto seguros como fáciles de usar.

Para comprender mejor las distinciones y los roles complementarios de las passkeys y la biometría local, la siguiente tabla compara sus características clave en varias dimensiones, incluyendo propósito, casos de uso, seguridad y portabilidad. Esta comparación destaca cómo estas tecnologías abordan problemas fundamentalmente diferentes mientras trabajan juntas para mejorar tanto la seguridad como la comodidad del usuario.

Aunque la tabla destaca las diferencias principales, es importante reconocer que las passkeys y la biometría local no son tecnologías competidoras, son complementarias. Juntas, proporcionan una experiencia de autenticación por capas:

1. Passkeys para la autenticación inicial, el re-login y la MFA Las passkeys son importantes para establecer la confianza entre un usuario y un servicio remoto. Proporcionan una autenticación resistente al phishing, multiplataforma y multidispositivo mediante el uso de criptografía asimétrica. Esto garantiza que, incluso si los atacantes interceptan datos, no puedan acceder a las cuentas de los usuarios. Con una sincronización en la nube fluida (p. ej., iCloud Keychain o Google Password Manager), las passkeys permiten a los usuarios iniciar sesión sin esfuerzo en todos los dispositivos, lo que las hace ideales para los primeros inicios de sesión, reinstalaciones o escenarios de autenticación multifactor (MFA). También sirven como puente entre las aplicaciones móviles y los sitios web, ofreciendo una experiencia consistente y segura en todo un ecosistema. Para las aplicaciones que requieren una seguridad elevada, las passkeys pueden reemplazar los métodos tradicionales de segundo factor con una solución de MFA autónoma.
2. Biometría local para la verificación continua: Una vez autenticado, la biometría local ofrece un acceso rápido, seguro y sin fricciones a las aplicaciones al verificar que el mismo usuario autorizado está operando el dispositivo. A diferencia de las passkeys, las verificaciones biométricas locales están centradas en el dispositivo y funcionan sin conexión, basándose en enclaves de hardware seguros para almacenar y procesar datos. Esto garantiza que la información sensible nunca salga del dispositivo, añadiendo una capa de seguridad sin requerir una entrada constante del usuario. Al reducir la necesidad de volver a introducir credenciales, la biometría local mejora la experiencia del usuario, especialmente para aplicaciones que manejan información sensible como banca o salud. Protegen las sesiones en curso verificando al poseedor del dispositivo, garantizando la comodidad sin comprometer la seguridad.

Al combinar passkeys y biometría local, los desarrolladores pueden ofrecer un flujo de autenticación seguro, fluido y fácil de usar.

Al combinar passkeys y biometría local, los desarrolladores pueden crear un flujo de autenticación robusto que:

• Mejora la seguridad: Las passkeys protegen contra el phishing, el credential stuffing y el robo de contraseñas, mientras que la biometría local previene el acceso no autorizado a las sesiones autenticadas.
• Mejora la experiencia del usuario: La biometría local elimina la necesidad de introducir repetidamente contraseñas o passkeys, creando una experiencia sin fricciones después de la autenticación inicial. En caso de que se necesite una reautenticación debido a tiempos de espera o cierres de sesión, la reautenticación es tan fácil como desbloquear la aplicación.
• Simplifica el acceso multidispositivo: Las passkeys permiten la autenticación multiplataforma, mientras que la biometría local proporciona una cómoda seguridad a nivel de dispositivo. Si las passkeys se utilizan en la web, añadirlas a la aplicación nativa es un paso adicional importante para cerrar la brecha y ofrecer una experiencia de passkey de servicio completo para el usuario.

Esta sinergia garantiza que las aplicaciones puedan proporcionar tanto una autenticación fuerte como una comodidad fluida, una combinación ganadora para las expectativas de los usuarios modernos.

Para comprender mejor cómo funcionan los ejemplos y combinaciones del mundo real, examinaremos dos implementaciones diferentes: una que aprovecha solo las passkeys y otra que utiliza un enfoque combinado.

La aplicación Kayak demuestra una implementación de passkeys para la autenticación de usuarios. Las passkeys se integran perfectamente en el proceso de inicio de sesión, ofreciendo a los usuarios la opción de autenticarse sin necesidad de recordar su dirección de correo electrónico o contraseña. Como se muestra en la pantalla de autenticación, los usuarios pueden seleccionar directamente una passkey para iniciar sesión. Este enfoque simplifica significativamente la experiencia del usuario al reducir la carga cognitiva y eliminar la fricción relacionada con las contraseñas.

Una vez autenticado mediante una passkey, el usuario obtiene acceso sin restricciones a la aplicación sin necesidad de reautenticación. Este diseño es particularmente adecuado para Kayak, una aplicación de viajes que gestiona principalmente el historial de reservas e itinerarios, que no se consideran datos altamente sensibles o críticos.

Puntos clave del enfoque de Kayak:

• Inicio de sesión con passkey en la pantalla de autenticación: La aplicación ofrece inmediatamente el inicio de sesión con passkey, reduciendo los pasos y mejorando la comodidad del usuario.
• Sin protección biométrica local después del inicio de sesión: Dado que la aplicación no maneja datos personales sensibles, Kayak ha optado por no implementar protecciones biométricas locales, como Face ID o bloqueo por huella dactilar, para el estado de sesión iniciada. Esta decisión se alinea con las necesidades de seguridad de datos de la aplicación mientras mantiene una experiencia sin fricciones para los usuarios.

Esta implementación demuestra cómo las passkeys pueden agilizar el proceso de autenticación eliminando la necesidad de contraseñas, proporcionando una experiencia sin fricciones para los usuarios. Sin embargo, en escenarios donde se realizan acciones más sensibles o críticas dentro de la aplicación, pueden ser necesarias capas adicionales de seguridad, como la biometría local. Exploremos cómo GitHub aprovecha tanto las passkeys como la biometría para garantizar la seguridad sin comprometer la usabilidad.

GitHub equilibra la integración de passkeys para un inicio de sesión seguro con la biometría local para proteger el contenido de la aplicación en el estado de sesión iniciada. Las passkeys se ofrecen como una opción de inicio de sesión rápida y resistente al phishing, lo cual es particularmente importante dados los requisitos de autenticación multifactor (MFA) de GitHub. Esto elimina la necesidad de que los usuarios gestionen contraseñas o códigos de un solo uso, proporcionando una experiencia de inicio de sesión fluida y segura. Pero para los fines de este artículo, no analizaremos su implementación de passkeys.

La capa adicional de seguridad de GitHub con biometría local: Debido a que GitHub también ofrece operaciones sensibles como la fusión de pull requests, GitHub permite a los usuarios habilitar la protección biométrica local si lo consideran necesario. En este ejemplo, se utiliza Face ID para bloquear la aplicación en iOS, asegurando que solo el propietario del dispositivo pueda acceder o ejecutar la aplicación de GitHub. La aplicación solicita explícitamente los privilegios necesarios del sistema operativo para activar la biometría y ofrece intervalos configurables (p. ej., inmediato o después de un tiempo de espera definido).

Puntos clave del enfoque de GitHub:

• Inicio de sesión con passkey para el cumplimiento de MFA: GitHub aprovecha las passkeys para agilizar los inicios de sesión seguros sin comprometer los estándares de autenticación multifactor.
• Bloqueo biométrico para la protección de la aplicación: Al utilizar biometría local como Face ID, GitHub garantiza que las sesiones iniciadas no puedan ser abusadas o accedidas por personas no autorizadas. Esta capa adicional de seguridad es crucial para las aplicaciones que manejan datos o acciones sensibles del usuario.

Juntos, estos ejemplos ilustran cómo las passkeys y la biometría local pueden adaptarse a las necesidades de diferentes aplicaciones, equilibrando la comodidad del usuario con las medidas de seguridad adecuadas.

A continuación se presentan cuatro recomendaciones adaptadas a escenarios comunes en los que se podrían implementar la biometría local y las passkeys. Las recomendaciones están estructuradas para que los desarrolladores, gerentes de producto y responsables de la toma de decisiones puedan identificar rápidamente qué enfoque se adapta mejor a su situación. A continuación, se presenta una tabla resumen que facilita la correspondencia de cada recomendación con un escenario determinado:

1. Para aplicaciones con datos regulados, sensibles o de alto valor: Passkeys + Biometría local Si su aplicación maneja datos críticos, personales, regulados o de alta sensibilidad (p. ej., financieros, de salud, gubernamentales, de identificación personal), implemente la biometría local para una reautenticación segura y sin fricciones. Esto garantiza que, una vez que los usuarios han iniciado sesión, el acceso continuo a las funciones sensibles esté protegido por factores en el dispositivo (Face ID, Touch ID, escaneo de huellas dactilares) sin necesidad de volver a introducir credenciales. Al mismo tiempo, esto también es una fuerte indicación para implementar passkeys y hacer cumplir el requisito de MFA en todos los tipos de dispositivos. Aquí es donde la Suite de Passkey Empresarial de Corbado puede ayudarle, especialmente si se encuentra en un despliegue a gran escala y quiere asegurarse de que puede lograr una adopción de passkeys del 100%.
2. Aplicación de consumo a gran escala: Integración de passkeys en todos los dispositivos Incluso fuera de las áreas sensibles, una implementación de passkeys tiene sentido para evitar el phishing y eliminar el problema de las contraseñas. Al planificar un despliegue de passkeys, asegúrese de que sea parte de una estrategia de autenticación holística que abarque todos los tipos de dispositivos, incluyendo aplicaciones nativas, interfaces web y otros puntos finales conectados. No trate las passkeys como una característica aislada; en su lugar, intégralas de manera consistente en dispositivos móviles, de escritorio y web para proporcionar una experiencia de inicio de sesión unificada y fácil de usar. Cuando las passkeys ya forman parte de su autenticación web, es imperativo extender esta funcionalidad a sus aplicaciones nativas. Esto garantiza una experiencia de inicio de sesión consistente, segura y fácil de usar en todas las plataformas, aprovechando la fuerte seguridad y comodidad de las passkeys en todos los lugares donde se ofrece su servicio.
3. Aplicaciones nuevas (greenfield) o independientes: Para aplicaciones nuevas (greenfield) o aplicaciones independientes sin la carga de una autenticación heredada de la web, considere empezar con passkeys desde el principio. Al hacerlo, crea un esquema de autenticación preparado para el futuro que elimina los problemas de las contraseñas y sienta las bases para recorridos de usuario fluidos y seguros en todas las plataformas. Eche un vistazo a nuestra solución Corbado Complete.
4. Evite implementaciones parciales para ecosistemas multidispositivo: Si su servicio abarca múltiples tipos de dispositivos (p. ej., móvil, web y de escritorio), no introduzca passkeys en un solo entorno. Las implementaciones parciales reducen la consistencia y pueden confundir a los usuarios. En su lugar, adopte las passkeys de manera uniforme para garantizar una experiencia de inicio de sesión fluida y unificada en todas partes. Desplegarlas paso a paso o primero en los tipos de dispositivos más grandes y luego en la aplicación nativa es razonable, pero debe hacerse en un corto período de tiempo.

Aunque las recomendaciones anteriores cubren una gama de escenarios comunes, existen innumerables otras situaciones en las que la elección de implementar biometría local, passkeys o ambas puede variar. Cada aplicación tiene necesidades únicas de seguridad, usabilidad y cumplimiento, y es esencial que los desarrolladores, gerentes de producto y líderes empresariales evalúen a fondo estos factores antes de decidirse por un enfoque. Al sopesar cuidadosamente sus casos de uso específicos, requisitos regulatorios y expectativas de los usuarios, puede diseñar una estrategia de autenticación que no solo proteja a sus usuarios y sus datos, sino que también ofrezca la experiencia fluida y fácil de usar que los clientes de hoy en día esperan.

Como hemos visto, la biometría local y las passkeys desempeñan roles fundamentalmente diferentes pero complementarios en las estrategias de autenticación modernas. La biometría local simplifica la verificación continua de la sesión aprovechando los rasgos inherentes del usuario para comprobaciones rápidas en el dispositivo, mientras que las passkeys establecen una relación de confianza segura y resistente al phishing con los servicios remotos. Al combinar cuidadosamente estos métodos, los desarrolladores pueden crear una experiencia de usuario que es a la vez sin fricciones y altamente segura, satisfaciendo eficazmente las necesidades de un panorama digital diverso y exigente. Volviendo a las preguntas de la Introducción:

• Passkeys vs. biometría local: ¿En qué se diferencian la biometría local y las passkeys en sus roles y funcionalidades? La biometría local proporciona una re-verificación conveniente y centrada en el dispositivo para usuarios ya autenticados, asegurando que el propietario legítimo controle continuamente el dispositivo. En contraste, las passkeys reemplazan secretos compartidos como las contraseñas, permitiendo una autenticación remota inicial segura y una fácil portabilidad entre dispositivos, eliminando así los riesgos de phishing y ofreciendo una experiencia de inicio de sesión unificada en todas las plataformas y factores de forma.
• Añadir passkeys a aplicaciones con biometría local: ¿Tiene sentido añadir passkeys a aplicaciones que ya utilizan la biometría? Sí, a menudo tiene sentido. La biometría por sí sola no establece la identidad inicial del usuario con los servicios remotos, mientras que las passkeys sí lo hacen. Incorporar passkeys junto con la biometría local existente puede fortalecer la seguridad general manteniendo la comodidad del usuario. Las passkeys se encargan del paso crítico inicial de la autenticación y la portabilidad entre dispositivos, mientras que la biometría agiliza el acceso posterior y la verificación continua de la sesión.

Al reconocer los roles distintos pero mutuamente beneficiosos de las passkeys y la biometría local, los desarrolladores y los responsables de la toma de decisiones pueden implementar un enfoque de autenticación integral que equilibre la seguridad, la comodidad y la satisfacción del usuario. Al hacerlo, las aplicaciones se vuelven más resistentes a las amenazas, más fáciles de navegar y más adaptables a las cambiantes exigencias de los usuarios y las regulaciones, ofreciendo en última instancia un entorno digital fluido y fiable.