Protocolo de Intercambio de Credenciales (CXP) y Formato (CXF) de WebAuthn

Las passkeys se están convirtiendo rápidamente en el estándar de oro de la autenticación en línea, ofreciendo una alternativa segura y resistente al phishing a las contraseñas tradicionales. Respaldadas por la FIDO Alliance, las passkeys se basan en los estándares WebAuthn y FIDO2 y utilizan criptografía de clave pública para eliminar los riesgos de robo de credenciales.

Pero a medida que se acelera su adopción, ha surgido un desafío clave: ¿Cómo importamos o exportamos passkeys entre diferentes proveedores? Por ejemplo, de Bitwarden a 1Password o de iCloud Keychain de Apple a Google Password Manager.

A diferencia de las contraseñas, las passkeys no tienen un formato que se pueda exportar o importar fácilmente. Esta falta de interoperabilidad crea fricción para los usuarios y aumenta el riesgo de dependencia de un proveedor.

Ahí es donde entran en juego dos nuevos estándares:

• El Protocolo de Intercambio de Credenciales (CXP): define un mecanismo seguro para transferir passkeys entre proveedores.

• El Formato de Intercambio de Credenciales (CXF): define un formato de datos estandarizado para las propias credenciales, como passkeys, detalles de tarjetas de crédito o códigos TOTP.

Juntos, CXP y CXF están diseñados para que la portabilidad de las passkeys no solo sea posible, sino también segura, flexible y fácil de usar. En esta publicación de blog, responderemos las siguientes preguntas:

1. ¿Qué es el Protocolo de Intercambio de Credenciales (CXP) y cómo funciona?

2. ¿Qué es el Formato de Intercambio de Credenciales (CXF) y cómo es?

3. ¿Cuál es el estado actual de desarrollo del Protocolo de Intercambio de Credenciales y el Formato de Intercambio de Credenciales?

A medida que más usuarios y organizaciones adoptan las passkeys, persiste un desafío crítico: mover las credenciales entre plataformas. A diferencia de las contraseñas, que se pueden exportar como simples archivos de texto o CSV (por muy inseguro que sea), las passkeys se basan en pares de claves criptográficas. Eso hace que la importación y exportación sea mucho más compleja y sensible.

Esto es lo que falla actualmente en la migración de passkeys:

• Sin formato estándar: A diferencia de los CSV para las contraseñas, las passkeys no tienen una representación universal. Cada proveedor las almacena de manera diferente.

• Transferencias inseguras: En algunos raros intentos de soportar migraciones, las credenciales se han exportado en formatos no cifrados, creando graves riesgos de seguridad (ver esta discusión en GitHub).

• Fallos en la migración: Sin una estructura consistente, la migración de passkeys entre proveedores podría fallar, causando la pérdida de credenciales u obligando a los usuarios a volver a crear las passkeys.

• Bloqueado por políticas: Los entornos empresariales podrían deshabilitar por completo la exportación de credenciales, por temor a transferencias inseguras o problemas de compatibilidad.

• Dependencia del proveedor: Sin formas fiables de exportar passkeys, los usuarios quedan atados a su proveedor actual, algo que socava la libertad del usuario y la competencia.

Este problema no es hipotético, está ocurriendo ahora. A medida que las personas usan múltiples dispositivos, navegadores y aplicaciones para gestionar sus passkeys, la necesidad de importar passkeys de un ecosistema y exportar passkeys a otro se vuelve urgente.

Por eso, grandes actores como 1Password, Dashlane, Bitwarden y NordPass se unieron a principios de 2023 para prototipar una solución. El resultado: un esfuerzo colaborativo para definir estándares abiertos para el intercambio seguro de credenciales: el Protocolo de Intercambio de Credenciales (CXP) y el Formato de Intercambio de Credenciales (CXF).

Para abordar los desafíos de la migración de passkeys, han surgido dos estándares complementarios: el Protocolo de Intercambio de Credenciales (CXP) y el Formato de Intercambio de Credenciales (CXF). Respaldadas por líderes de la industria como Apple, Google, Microsoft y 1Password, estas especificaciones buscan que la importación y exportación de passkeys sea segura, estandarizada e interoperable.

El Protocolo de Intercambio de Credenciales (CXP) es una especificación que define un método seguro para transferir credenciales entre dos proveedores de credenciales o passkeys. Actualmente es un Borrador de Trabajo (Working Draft) dentro de la FIDO Alliance, su diseño aún está evolucionando, pero su objetivo es establecer un canal estandarizado y seguro para exportar credenciales desde un Remitente (Sender) e importarlas a un Destinatario (Recipient).

Aunque los detalles aún no son definitivos, se espera que el protocolo utilice Cifrado Híbrido de Clave Pública (HPKE) para garantizar que las credenciales se cifren de extremo a extremo durante el tránsito. Esta sólida base criptográfica protegerá los datos sensibles de ser interceptados o manipulados.

Se prevé que CXP sea particularmente importante para proveedores de terceros, como los gestores de contraseñas, para facilitar el intercambio de credenciales entre diferentes plataformas, por ejemplo, entre extensiones de navegador. En estos escenarios, la necesidad de un protocolo de transporte estandarizado y altamente seguro es crítica. Debido a que todavía se encuentra en una etapa temprana de borrador, su forma final y el cronograma para la estandarización son inciertos, con estimaciones que apuntan a principios de 2026.

El Formato de Intercambio de Credenciales (CXF) define cómo se estructuran las propias credenciales para el intercambio. Actualmente se encuentra en estado de Borrador de Revisión (Review Draft), lo que significa que está cerca de ser finalizado como un estándar.

A diferencia de CXP, que se encarga de la transferencia segura, CXF se centra exclusivamente en el formato de los datos. Especifica una estructura estándar basada en JSON para diferentes tipos de credenciales, asegurando que una credencial exportada desde un proveedor pueda ser entendida correctamente por otro.

CXF define tipos para:

• Passkeys (public-key-credential)
• Contraseñas (password)
• Secretos TOTP (totp)
• Notas (note)

Este vocabulario estandarizado es la clave para la interoperabilidad. Por ejemplo, tanto Apple como Google ya utilizan CXF para transferir credenciales entre aplicaciones nativas en el mismo dispositivo. Como la transferencia ocurre localmente, no se requiere un protocolo de transporte dedicado como CXP.

Al estandarizar la estructura, CXF elimina problemas como discrepancias de formato o pérdida parcial de datos durante las migraciones. También es extensible por diseño, lo que permite agregar nuevos tipos de credenciales en futuras versiones sin romper la compatibilidad con versiones anteriores.

A finales de 2024, tanto el Protocolo de Intercambio de Credenciales (CXP) como el Formato de Intercambio de Credenciales (CXF) han alcanzado diferentes etapas de madurez, con un fuerte impulso de la industria detrás de ellos.

El desarrollo de CXP y CXF está siendo coordinado a través de la FIDO Alliance, con contribuciones activas de actores importantes como Apple, Google, Microsoft, 1Password, Bitwarden y Dashlane.

Esta amplia colaboración demuestra un compromiso compartido para hacer realidad la portabilidad de las passkeys. De hecho, varias empresas ya están implementando soluciones basadas en los borradores:

• Apple y Google usarán CXF para transferencias de credenciales entre aplicaciones en el mismo dispositivo.
• Los gestores de contraseñas de terceros están construyendo prototipos basados en los primeros borradores de CXP para prepararse para intercambios seguros y multiplataforma.

Las dos especificaciones tienen cronogramas diferentes:

• El Formato de Intercambio de Credenciales (CXF) se encuentra en Borrador de Revisión. Se espera que se finalice como un estándar formal antes de finales de 2024.
• El Protocolo de Intercambio de Credenciales (CXP) es un Borrador de Trabajo. Su camino hacia la estandarización es más largo, con un posible lanzamiento a principios de 2026, a medida que se integra la retroalimentación de la comunidad para garantizar que sea robusto y seguro para casos de uso multiplataforma.

Los borradores de las especificaciones están disponibles públicamente en el sitio web de la FIDO Alliance, y se está fomentando activamente la retroalimentación de los desarrolladores para refinarlos antes de su finalización.

Para apoyar la experimentación temprana y la planificación de la implementación, el ecosistema de passkeys ahora incluye:

• Passkeys Debugger: Una plataforma que ayuda a depurar las solicitudes de WebAuthn de una manera comprensible.

• Passkey Community: Una comunidad de desarrolladores de software y gerentes de producto que discuten preguntas relacionadas con las passkeys.

• Subreddit de Passkey: Subreddit dedicado a discutir noticias sobre passkeys y WebAuthn, incluyendo información sobre CXP y CXF.

• passkeys.eu: Herramientas de prueba para que los desarrolladores validen los flujos de WebAuthn y el comportamiento de las passkeys.

• Borrador de CXP en GitHub: Estructura completa de mensajes del protocolo y flujo criptográfico.

• Borrador de CXF en GitHub: Diseño del archivo ZIP y formato de empaquetado de credenciales.

Aunque aún no están completamente estandarizados, CXP y CXF están claramente en camino de convertirse en la pieza final que faltaba en el rompecabezas de las passkeys, permitiendo una importación/exportación segura y fluida para usuarios y organizaciones por igual.

El Protocolo de Intercambio de Credenciales (CXP) y el Formato de Intercambio de Credenciales (CXF) nacieron de la necesidad de hacer que la importación y exportación de passkeys fuera segura y fluida. Pero su potencial no termina ahí.

Estos estándares establecen un modelo para transferir cualquier credencial sensible entre proveedores, de forma segura, fiable y entre plataformas. Eso abre la puerta a casos de uso más amplios en identidad, autenticación e incluso credenciales emitidas por el gobierno.

Una de las mayores preocupaciones con la adopción actual de passkeys es la dependencia del proveedor. Sin una forma de mover las credenciales de forma segura, los usuarios a menudo quedan atados a su proveedor original, incluso si sus necesidades cambian.

Con CXP y CXF, avanzamos hacia un ecosistema de passkeys verdaderamente interoperable, donde los usuarios y las empresas pueden:

• Migrar passkeys libremente entre proveedores

• Evitar la creación de credenciales duplicadas

• Simplificar las transiciones de dispositivos y plataformas

Esto apoya directamente la elección del consumidor, promueve la competencia y fortalece la confianza en el modelo de passkeys.

Como dijo Christiaan Brand, Gerente de Producto del Grupo de Identidad y Seguridad en Google:

“En el futuro, esto podría aplicarse a licencias de conducir móviles, pasaportes... cualquier secreto que queramos exportar a algún lugar e importar a otro sistema.”

Imaginemos transferir de forma segura:

• Passkeys (public-key-credential)

• Secretos TOTP (totp)

• Detalles de pago (credit-card)

• Identificaciones gubernamentales (identity-document)

todo a través del mismo mecanismo de intercambio estandarizado. Ese es el futuro que CXP y CXF están ayudando a dar forma.

Con el intercambio de credenciales verificables y cifradas convirtiéndose en la norma, las organizaciones finalmente podrán retirar las exportaciones inseguras en formato CSV, evitar procesos manuales propensos a errores y aplicar políticas de cifrado como prioridad para todo el manejo de credenciales.

Ya sea en el espacio del consumidor, en la TI empresarial o en los sistemas de identidad del sector público, este cambio eleva el nivel de seguridad por defecto, sin comprometer la usabilidad.

El Protocolo de Intercambio de Credenciales (CXP) y el Formato de Intercambio de Credenciales (CXF) representan una evolución crítica en el ecosistema de las passkeys. Al abordar las lagunas existentes en la migración de credenciales, ofrecen un marco seguro y estandarizado para importar y exportar passkeys entre diferentes plataformas y proveedores. Mientras que CXF estandariza el "qué" (el formato de los datos) y CXP estandariza el "cómo" (la transferencia segura), juntos allanan el camino para la verdadera portabilidad de las passkeys.

Con un amplio apoyo de los líderes de la industria y un creciente impulso en la comunidad FIDO, estas especificaciones están preparadas para eliminar una de las últimas barreras importantes para la adopción de passkeys: la portabilidad.

Para los desarrolladores y las organizaciones que construyen sistemas basados en passkeys hoy en día, mantenerse al día con CXP y CXF no es solo una cuestión de prepararse para el futuro, sino de permitir mejores experiencias de usuario, una seguridad más estricta y una mayor flexibilidad.

En Corbado, seguimos de cerca estos desarrollos y ayudamos a las empresas a implementar passkeys a gran escala, sin dependencia de proveedores, dolores de cabeza por la migración de usuarios o compromisos de seguridad. A medida que el ecosistema madure, seremos de los primeros en soportar flujos basados en CXP/CXF para hacer realidad el intercambio seguro de credenciales.

Las passkeys ya están aquí. CXP y CXF ayudarán a que lleguen a todas partes.