Por qué un proveedor de autenticación con passkeys te ahorra más de 100.000 $

En este artículo, vamos a desmentir las 5 falacias más comunes que encontramos al implementar passkeys en procesos de autenticación (ya existentes) y usaremos un cálculo de ejemplo para mostrar por qué tiene sentido buscar un proveedor especializado que realmente sepa lo que hace con las passkeys.

Las passkeys son una maravilla. Por primera vez en la historia de la autenticación, no solo mejora considerablemente la seguridad para los usuarios, sino también la comodidad. Hoy en día, la mayoría de la gente está acostumbrada a desbloquear su teléfono con la cara o la huella dactilar. Llevar este futuro fácil de usar a la web es el siguiente paso lógico. Junto con la infraestructura de clave pública subyacente que aprovecha la criptografía asimétrica, las passkeys parecen la solución perfecta. Esto es cierto desde la perspectiva del usuario final, pero para las organizaciones, implementar este nuevo estándar de autenticación internamente es un esfuerzo enorme que implica altos riesgos y costes. Este artículo explica las falacias más comunes sobre las passkeys y cómo mitigarlas.

En primer lugar, las passkeys se basan en estándares abiertos definidos por la alianza FIDO (Fast Identity Online), a la que pertenecen los principales actores tecnológicos como Microsoft, Apple, Google y otros como PayPal, eBay o Visa.

Sin embargo, estos estándares abiertos están mal documentados, lo que dificulta en la práctica su implementación en sistemas existentes y su integración en los flujos de usuario. Requiere definir flujos de usuario e integraciones técnicas desde cero. Para añadir passkeys a tu sistema actual, la documentación y la implementación básicas no son suficientes si ya tienes un sistema de autenticación para tus usuarios.

Además, el verdadero desafío comienza si tienes usuarios de diferentes plataformas (iOS, Android, Windows) que usan múltiples dispositivos, ya que las passkeys están (parcialmente) vinculadas al dispositivo. La implementación y la experiencia de usuario varían según la plataforma, lo que convierte en una tarea compleja ofrecer passkeys como el método de inicio de sesión preferido para todos tus usuarios. Especialmente hoy en día, cuando muchos usuarios tienen más de un dispositivo, es esencial dar un soporte adecuado a todos los dispositivos y sistemas operativos.

Teóricamente, esto es correcto, pero existen costes inherentes, especialmente para la integración y el mantenimiento. Inicialmente, necesitas trabajar en un concepto para los flujos de proceso y la UX, lo que generalmente ejecutan 1-2 product managers. Esto puede llevar hasta 2 meses y, dependiendo de la experiencia de los product managers, puede costar hasta 30.000 $ solo en esta fase. Una vez hecho esto, se necesitan arquitectos de sistemas, product managers y desarrolladores que integren esta solución. Luego, tienes los esfuerzos de mantenimiento, por ejemplo, para operar el servidor FIDO2. Además, debes encargarte de una transición de usuarios fluida para no abrumarlos, lo cual es muy complicado de diseñar e implementar internamente y, por lo tanto, costoso.

Adicionalmente, necesitas gestionar la infraestructura: los servidores y las bases de datos no son gratis hoy en día. Especialmente si necesitas que funcionen de forma segura y fiable, con alta disponibilidad en un punto tan crítico de tu aplicación. Todo esto cuesta mucho dinero que preferirías invertir en tus funcionalidades principales.

Además, hay que seleccionar, gestionar y supervisar a otros actores externos para que proporcionen los sistemas circundantes (de respaldo), como los servicios de correo electrónico o SMS. Por supuesto, también puedes hacerlo por tu cuenta, pero tus usuarios esperan una entrega ultrarrápida de los correos electrónicos transaccionales y una alta disponibilidad. Créenos, no quieres optimizar la entrega de correos electrónicos por ti mismo. Estos servicios no son gratuitos y se suman a los costes.

Al hablar con los clientes, este es probablemente el error más común y el verdadero problema de la autenticación. Ofrecer passkeys para una aplicación nueva desde cero puede ser bastante sencillo. La parte complicada es hacer la transición de los usuarios existentes a las passkeys. La mayoría de las veces, la base de usuarios es bastante heterogénea, ya que hay 'early adopters' que preferirían deshacerse de sus contraseñas ayer mismo y optar por las passkeys lo antes posible. Por otro lado, tienes a personas que prefieren seguir con sus contraseñas. El verdadero desafío es crear flujos individuales diferentes mientras se guía a todos los usuarios de manera fluida e inteligente hacia las passkeys.

Después de la integración inicial, mucha gente piensa que las passkeys simplemente funcionan por sí solas y que la adopción llegará por sí misma. Este es otro error común, ya que las passkeys son una característica crítica para la seguridad que conlleva muchos riesgos. Esto significa que deben ser monitoreadas y el equipo que las monitorea debe estar formado por expertos en seguridad con mucha experiencia.

Además, la adopción de passkeys debe ser monitoreada continuamente para detectar posibles problemas en la fase de transición que requieran cambios en la implementación.

Antes incluso de pensar en la implementación técnica de las passkeys y ponerse a programar, hay que hacer mucho trabajo conceptual previo. Especialmente cuando se trata de integrar una nueva tecnología como las passkeys, donde la calidad y cantidad de las mejores prácticas y documentación existentes es baja, hay que considerar muchos procesos conceptuales. Entre los más importantes se encuentran:

1. Esbozar todo el proceso de registro e inicio de sesión: Al diseñar el flujo desde el inicio del registro o el login hasta una autenticación exitosa, innumerables pasos de proceso se ejecutan en segundo plano. Estos deben ser modelados y estructurados en complejos árboles lógicos. El diseño de los casos estándar por sí solo es una tarea complicada, que no es en absoluto comparable con el esfuerzo aún mayor que se requiere para cubrir todos los casos extremos posibles. En última instancia, debe haber un proceso de autenticación que funcione en cada escenario potencial y autentique al usuario.
2. Ocuparse del uso multiplataforma: Es crucial asegurarse de que los usuarios puedan usar passkeys tanto entre dispositivos como entre plataformas, guiándolos fluidamente a través de los procesos de autenticación incluso cuando las passkeys aún no están disponibles.
3. Garantizar la compatibilidad con versiones anteriores: Para promover el uso de passkeys, es necesario desarrollar un mecanismo que no solo detecte automáticamente la compatibilidad de todos los dispositivos con los que el usuario quiere autenticarse, sino que también note si los usuarios quieren iniciar sesión con passkeys en primer lugar. Si los usuarios, en cambio, prefieren continuar con las opciones de inicio de sesión actuales como contraseñas, inicios de sesión sociales o SSO, es necesario ejecutar una autenticación híbrida en paralelo.
4. Proporcionar servicios de recuperación: Puede sonar obvio, pero idear un flujo para el autoservicio de restablecimiento de contraseñas y posibles opciones de respaldo en caso de errores es una de las tareas más desafiantes, ya que necesitas garantizar que los usuarios puedan autenticarse en caso de que hayan olvidado su contraseña o nunca hayan establecido una.
5. Diseñar una gran UX: La UX es mucho más que simplemente crear una interfaz fácil de usar. Para el software en general, la gestión de dispositivos y preferencias del usuario, la comunicación con el usuario y un diseño personalizable para tu identidad corporativa (CI) juegan un papel fundamental. Dado que las passkeys están vinculadas al dispositivo, las empresas deben centrarse principalmente en la gestión de dispositivos para garantizar que el uso de passkeys funcione sin problemas en todos los dispositivos de sus usuarios. En lo que respecta a la comunicación con el usuario, es necesario educar a tus usuarios con mensajes predefinidos y probados.

Todos estos pasos requieren muchas horas de trabajo de los product managers y desarrolladores, y a menudo se barren debajo de la alfombra en el desarrollo de software.

El debate de software de 'construir versus comprar' no es nada nuevo. Al tomar esta decisión, debes tener en cuenta muchos factores. El factor clave para cualquier empresa es el bloque de costes que proviene de desarrollar o comprar el software. Cuando se compran soluciones de software, por ejemplo, para la autenticación con passkeys, a menudo se argumenta que los costes iniciales son muy altos. Sin embargo, las empresas suelen olvidar que el desarrollo interno es al menos igual de caro, ya que sus costes dependen, por ejemplo, de la complejidad del propio software, la gestión del producto, el diseño UX/UI, el equipo de desarrollo y, a menudo, muchos costes ocultos (especialmente el mantenimiento y las actualizaciones).

Para arrojar algo de luz sobre el coste de desarrollar software de autenticación, aquí hay un cálculo básico para una empresa con un equipo de autenticación interno que ofrece sus servicios para usuarios de escritorio, móvil y aplicaciones nativas. Además de la autenticación con correo electrónico/número de teléfono y contraseña, también tienen inicios de sesión sociales:

• 2 desarrolladores de backend: 126.000 $
• 1 desarrollador de frontend: 60.000 $
• 1 desarrollador de iOS: 60.000 $
• 1 desarrollador de Android: 68.000 $
• 2 product managers: 170.000 $
• 1 project manager: 85.000 $

Ten en cuenta que estos son salarios anuales totales y se basan en salarios promedio según los estándares de la industria de acuerdo con Glassdoor, excluyendo los costes laborales no salariales.

• Duración: 1,5 meses
• Stakeholders del equipo de desarrollo de software: 2 product managers, 1 project manager
• Costes totales (salario): 31.875 $

• Duración: 3,0 meses
• Stakeholders del equipo de desarrollo de software: 2 product managers, 1 project manager, 2 desarrolladores de backend, 1 desarrollador de frontend, 1 desarrollador de iOS, 1 desarrollador de Android
• Costes totales (salario): 143.750 $

Costes totales de desarrollo de software: 175.625 $

Por supuesto, esta es una simplificación que no tiene en cuenta muchos costes, como los de transición o formación. En caso de que necesites infraestructura adicional como servidores y bases de datos o servicios en la nube, te enfrentarás a costes adicionales. Especialmente para el software de autenticación que necesita proteger los datos personales al máximo, los costes son probablemente significativamente más altos, por lo que vale la pena usar proveedores de passkeys dedicados como Corbado.

En resumen: las passkeys son un estándar abierto que cualquiera puede integrar de forma gratuita. Pero esto es tener una visión muy corta. Al examinar más de cerca las implicaciones del uso de passkeys, se hace evidente que usar un proveedor de passkeys como Corbado es la forma mucho más inteligente y económica. Especialmente porque la autenticación rara vez es una característica principal y más bien una 'commodity' que debe hacerse en un producto moderno, aprovechar el conocimiento y las capacidades de un experto externo es simplemente una decisión inteligente.

¿Aún no te convences? Prueba la solución de Corbado gratis y sin ningún riesgo hoy mismo.