Pruebas de implementaciones de claves de acceso (Guía de claves de acceso para empresas 5)

Resumen: Guía para empresas#

• Introducción
• Parte 1: Evaluación inicial y planificación
• Parte 2: Participación de las partes interesadas
• Parte 3: Desarrollo de productos, diseño y estrategia
• Parte 4: Integración de claves de acceso en el entorno tecnológico de la empresa

1. Introducción#

Después de integrar las claves de acceso en el entorno tecnológico de su empresa y de finalizar la implementación, la siguiente fase crítica es asegurar que el sistema funcione a la perfección y cumpla con todos los estándares internos. Esto implica pruebas exhaustivas y una estrategia de lanzamiento planificada minuciosamente. En el contexto empresarial, donde los sistemas son complejos y las bases de usuarios son grandes, las pruebas y la monitorización rigurosas son esenciales para mitigar los riesgos y garantizar un despliegue sin problemas.

En este artículo, nos centraremos en:

• Pruebas funcionales: ¿Cuáles son las pruebas funcionales esenciales requeridas para validar la implementación de claves de acceso?

• Pruebas no funcionales: ¿Cómo podemos asegurar que el sistema cumple con los estándares de rendimiento, seguridad y fiabilidad?

Al abordar estas preguntas críticas, nuestro objetivo es proporcionar una guía completa sobre cómo probar su implementación de claves de acceso. Esto ayudará a garantizar que su despliegue sea robusto, seguro y ofrezca una experiencia fluida a sus usuarios. Entremos en los detalles de las pruebas en un contexto empresarial y esbocemos los pasos necesarios para un lanzamiento exitoso de las claves de acceso.

2. Cómo probar las implementaciones de claves de acceso#

Las pruebas y el control de calidad son componentes críticos en el despliegue exitoso de las claves de acceso dentro de un entorno empresarial. Dada la complejidad de los grandes sistemas empresariales y la gran cantidad de usuarios a los que prestan servicio, es importante garantizar que cada aspecto de la implementación de las claves de acceso funcione correctamente y cumpla con los estándares internos antes de un despliegue a gran escala. Esto implica un enfoque integral de las pruebas que aborde tanto los aspectos funcionales como los no funcionales del sistema. Debido a que las pruebas y el control de calidad se manejan de manera muy diferente entre las empresas, queremos resumir brevemente lo que consideramos que son los puntos clave:

1. Pruebas de aceptación del usuario/Pruebas manuales: Permiten a los evaluadores experimentar el sistema como lo harían los usuarios reales, descubriendo problemas de usabilidad y asegurando que los flujos de trabajo sean lógicos.

   • Registro y autenticación de claves de acceso: Asegúrese de que los usuarios puedan crear claves de acceso y autenticarse con ellas con éxito en diferentes dispositivos y plataformas.

   • Interfaz y experiencia de usuario: Valide que la interfaz de usuario sea intuitiva, receptiva y proporcione una experiencia fluida.

   • Manejo de errores: Pruebe cómo el sistema maneja entradas incorrectas, autenticaciones fallidas y casos límite, asegurando que se proporcionen al usuario opciones adecuadas de retroalimentación y recuperación.

   • Evaluación de usabilidad: Evalúe la facilidad de uso y la intuición de la implementación de claves de acceso desde la perspectiva del usuario final.

   • Cumplimiento de accesibilidad: Verifique que el sistema cumpla con los estándares de accesibilidad para adaptarse a todos los usuarios.

   • Escenarios multidispositivo: Pruebe manualmente en una variedad de dispositivos para identificar inconsistencias o problemas específicos del dispositivo.

2. Pruebas automatizadas: Complementan las pruebas manuales de aceptación del usuario al permitir que las tareas repetitivas y las pruebas de regresión se realicen de manera eficiente.

   • Pruebas de regresión: Vuelva a probar automáticamente las funcionalidades existentes para garantizar que los nuevos cambios en el código no introduzcan defectos.

   • Scripts de rendimiento: Utilice herramientas automatizadas para simular acciones del usuario bajo diversas condiciones y cargas.

   • Integración continua: Integre pruebas automatizadas en la canalización de desarrollo para detectar problemas a tiempo.

3. Pruebas de inteligencia de claves de acceso (Passkey Intelligence): Críticas debido a la diversidad de dispositivos, sistemas operativos y navegadores utilizados por los usuarios empresariales.

   • Pruebas de compatibilidad: Asegúrese de que el sistema de claves de acceso funcione sin problemas en todas las plataformas y navegadores compatibles.

   • Matriz de dispositivos: Desarrolle una matriz de pruebas que cubra diferentes combinaciones de dispositivos, versiones de SO y navegadores.

   • Emuladores y dispositivos reales: Utilice tanto emuladores para una cobertura amplia como dispositivos reales para obtener resultados precisos.

4. Pruebas no funcionales: Abordan los aspectos de rendimiento, seguridad y fiabilidad del sistema de claves de acceso.

   • Pruebas de rendimiento y carga: Valide que el sistema pueda manejar los volúmenes de autenticación esperados sin degradación.

   • Pruebas de seguridad: Realice pruebas de penetración y evaluaciones de vulnerabilidad para identificar y mitigar posibles riesgos de seguridad.

Al integrar estas consideraciones en el proceso de pruebas y control de calidad, se reducen los riesgos asociados con el despliegue de un nuevo método de autenticación como las claves de acceso. En las siguientes secciones repasaremos cada paso y también describiremos cómo Corbado y el sistema Corbado Connect pueden ayudar en estas situaciones.

3. Pruebas funcionales de claves de acceso#

Las pruebas funcionales son una fase crítica en el despliegue de claves de acceso dentro de un entorno empresarial. Se centran en verificar que todas las características y funcionalidades de la implementación de las claves de acceso funcionen según lo previsto. Este tipo de prueba garantiza que el sistema cumpla con los requisitos especificados y proporcione una experiencia de usuario fluida. Las pruebas funcionales sirven como base para el control de calidad, ya que validan las operaciones principales del sistema de autenticación antes de pasar a aspectos no funcionales como el rendimiento y la seguridad.

Objetivos clave de las pruebas funcionales:

• Verificación de características: Asegúrese de que todas las características relacionadas con las claves de acceso, como el registro, la autenticación y la gestión, funcionen correctamente.

• Validación de la experiencia del usuario: Evalúe la usabilidad y la intuición de la implementación de las claves de acceso desde la perspectiva del usuario final.

• Manejo de errores: Confirme que el sistema maneje los errores con elegancia y proporcione información útil a los usuarios.

• Compatibilidad: Pruebe en diferentes dispositivos, sistemas operativos y navegadores para garantizar una experiencia consistente para todos los usuarios.

En el contexto de las claves de acceso, las pruebas funcionales implican un examen exhaustivo de todas las interacciones de los usuarios, los flujos de autenticación y las respuestas del sistema. Es fundamental probar tanto los escenarios típicos de usuario como los casos límite para garantizar que el sistema se comporte correctamente en todas las condiciones. Al validar exhaustivamente cada función, las empresas pueden identificar y rectificar problemas en las primeras fases del proceso de despliegue, reduciendo el riesgo de problemas durante el lanzamiento en vivo.

3.1 Pruebas de aceptación del usuario (UAT): ¿Cómo probar una implementación de claves de acceso?#

Las pruebas de aceptación del usuario (UAT) involucran a evaluadores humanos que interactúan manualmente con el sistema de claves de acceso para validar su funcionalidad y la experiencia del usuario. Este enfoque práctico es vital para descubrir problemas que las pruebas automatizadas podrían pasar por alto, como problemas de usabilidad, inconsistencias en la interfaz y comportamientos específicos del dispositivo. En el contexto de la implementación de claves de acceso, las pruebas manuales permiten a los evaluadores experimentar los flujos de autenticación como lo harían los usuarios reales, proporcionando información valiosa sobre la eficacia y la intuición del sistema.

Consideraciones clave para las pruebas de aceptación del usuario de claves de acceso:

• Cuentas de usuario diversas: Cree cuentas de prueba que representen diferentes roles de usuario, tipos de estado o tipos de cuenta dentro de su aplicación. Esto garantiza que la implementación de las claves de acceso funcione correctamente en todos los segmentos de usuarios.

• Mapeo entre dispositivo y cuenta: Mantenga un mapeo estricto entre las cuentas de prueba y los dispositivos. Asigne cuentas específicas a dispositivos específicos para dar soporte a las pruebas de autenticación multidispositivo. Este enfoque ayuda a probar con precisión escenarios donde un usuario puede autenticarse en un dispositivo utilizando una clave de acceso creada en otro (utilice el patrón de correo + para identificarlos).

• Dispositivos habilitados y deshabilitados para claves de acceso: Incluya tanto dispositivos habilitados para claves de acceso (aquellos que las admiten) como dispositivos deshabilitados (aquellos que no) en su matriz de pruebas. Esto le permite verificar que el sistema proporcione métodos de autenticación de respaldo adecuados en dispositivos que no admiten claves de acceso.

• Pruebas de autenticación multidispositivo: Pruebe escenarios de autenticación multidispositivo donde una clave de acceso creada en un dispositivo se utiliza para autenticarse en otro dispositivo. Esto incluye probar el escaneo de códigos QR que habilitan la autenticación de claves de acceso multidispositivo.

• Consistencia en todas las plataformas: Asegúrese de que la experiencia del usuario y la funcionalidad sean consistentes en diferentes plataformas, sistemas operativos y navegadores. Preste especial atención a los comportamientos específicos del dispositivo y las diferencias de interfaz.

¿Qué funcionalidad se debe probar?

1. Registro y autenticación de claves de acceso:

   • Crear una clave de acceso: Pruebe el proceso de registro de una nueva clave de acceso, asegurándose de que los usuarios puedan configurar las claves de acceso con éxito en varios dispositivos.

   • Iniciar sesión con claves de acceso: Verifique que los usuarios puedan autenticarse utilizando sus claves de acceso registradas en diferentes plataformas y que el proceso de inicio de sesión sea fluido y sin errores.

   • Iniciar sesión con claves de acceso a través de la interfaz condicional (Conditional UI): Verifique que los usuarios puedan autenticarse utilizando Conditional UI en plataformas que lo admitan y que la interfaz de usuario responda adecuadamente.

   • Iniciar sesión con una clave de acceso eliminada: Pruebe que las claves de acceso eliminadas se manejen adecuadamente. Los navegadores modernos (Chrome 132+, Safari 26+) ahora admiten la API de señales de WebAuthn, que permite a los servidores señalar la eliminación de credenciales al cliente. Pruebe tanto los flujos de la API de señales (cuando sean compatibles) como los mensajes de error de respaldo (para navegadores sin soporte de la API de señales). Verifique que las eliminaciones señaladas eliminen las claves de acceso del selector de credenciales y que aparezcan los mensajes de error adecuados cuando la API de señales no esté disponible.

   • Autenticación multidispositivo: Compruebe que las claves de acceso creadas en un dispositivo se puedan utilizar en otros si son compatibles, y que el sistema maneje dichos escenarios adecuadamente.

2. Gestión de claves de acceso:

   • Añadir claves de acceso: Asegúrese de que los usuarios puedan añadir múltiples claves de acceso a sus cuentas, acomodando escenarios donde los usuarios tienen múltiples dispositivos.

   • Eliminar claves de acceso: Pruebe la capacidad de eliminar claves de acceso, confirmando que el sistema actualiza correctamente el estado de la cuenta del usuario.

   • Listar claves de acceso: Verifique que los usuarios puedan ver todas las claves de acceso registradas asociadas a su cuenta, con información clara y opciones de gestión.

   • Notificaciones por correo electrónico: Confirme que las notificaciones por correo electrónico (por ejemplo, cuando se añade o elimina una clave de acceso) se activen correctamente y se envíen a las direcciones de correo electrónico correctas de los clientes. Estas notificaciones deben estar debidamente localizadas, contener instrucciones claras, descripciones de las claves de acceso y seguir las pautas de la marca.

3. Interacción con la lógica de MFA existente:

   • Cambios en el estado de MFA: Pruebe cómo habilitar o deshabilitar las claves de acceso afecta el estado de autenticación multifactor (MFA) del usuario. Incluyendo la eliminación de todas las claves de acceso de la cuenta.

   • Mecanismos de respaldo: Asegúrese de que, cuando la autenticación con claves de acceso no esté disponible (por ejemplo, en dispositivos no compatibles), se presenten a los usuarios métodos de autenticación alternativos como contraseñas u OTPs.

   • Conversión a MFA: Valide el proceso de transición de los métodos tradicionales de MFA a claves de acceso, asegurando que las medidas de seguridad existentes permanezcan intactas.

4. Interfaz y experiencia de usuario:

   • Evaluación de usabilidad: Evalúe si los flujos de trabajo de las claves de acceso son intuitivos y fáciles de usar, minimizando la confusión y los errores.

   • Cumplimiento de accesibilidad: Confirme que la interfaz cumpla con los estándares de accesibilidad (por ejemplo, pautas WCAG) para apoyar a los usuarios con discapacidades, si es necesario.

   • Localización y soporte de idiomas: Verifique que las funciones de las claves de acceso estén correctamente localizadas para diferentes regiones e idiomas, si corresponde.

5. Manejo de errores y casos límite:

   • Dispositivos sin autenticador de plataforma: Pruebe el comportamiento cuando el dispositivo no admite claves de acceso (es decir, cuando isUserVerifyingPlatformAuthenticatorAvailable() devuelve falso o no está definido). Confirme que el sistema oculta las opciones de clave de acceso, proporciona métodos de autenticación alternativos adecuados o vuelve a una alternativa con elegancia.

   • Ceremonias de clave de acceso abortadas: Pruebe cómo el sistema maneja las situaciones en las que los usuarios abortan el proceso de autenticación de claves de acceso, como cancelar o salir durante la ceremonia. Asegúrese de que en el primer aborto, el sistema lo trate como un evento normal, proporcione mensajes claros y tranquilizadores, y anime al usuario a intentarlo de nuevo. Si el usuario aborta por segunda vez, verifique que el sistema ofrezca métodos de autenticación alternativos y guíe al usuario de manera adecuada. Esto garantiza una experiencia de usuario fluida incluso cuando se interrumpe la autenticación de la clave de acceso.

   • Entradas incorrectas: Pruebe cómo responde el sistema a datos o acciones no válidos, como entradas biométricas incorrectas, intentos de autenticación cancelados u OTPs no válidos. Asegúrese de que los mensajes de error sean claros y guíen al usuario sobre cómo proceder.

   • Problemas específicos del dispositivo: Identifique y documente cualquier inconsistencia o problema que ocurra en dispositivos, sistemas operativos o navegadores específicos. Esto incluye problemas de representación de la interfaz de usuario, discrepancias funcionales o problemas de rendimiento.

   • Condiciones de red: Simule condiciones de red variables (por ejemplo, sin conexión, conexiones lentas, conectividad intermitente, bloqueo de conexiones de red a través de la extensión para desarrolladores) para ver cómo el sistema maneja los problemas de conectividad durante la autenticación. Asegúrese de que el sistema proporcione retroalimentación y opciones de recuperación adecuadas.

6. Escenarios del ciclo de vida de la cuenta:

   • Creación de cuentas e incorporación: Pruebe el flujo de incorporación completo para nuevos usuarios, incluida la configuración de la clave de acceso durante la creación de la cuenta o después del primer registro (según el caso de uso). Verifique que los usuarios puedan configurar claves de acceso como parte de la configuración inicial de MFA.

   • Recuperación de cuenta: Pruebe escenarios donde los usuarios necesiten recuperar el acceso a su cuenta, como cuando pierden el acceso a su dispositivo habilitado para claves de acceso. Asegúrese de que el proceso de recuperación sea seguro y fácil de usar.

   • Cambios de número móvil: Pruebe el proceso de actualización de números móviles, especialmente cuando los números móviles se utilizan para MFA o recuperación de cuentas. Verifique que los cambios se reflejen correctamente en el sistema y que los métodos de autenticación se actualicen en consecuencia.

7. Funcionalidad adicional basada en su implementación: Gestión de notificaciones de soporte al cliente, y más.

   • Pruebe todo el entorno tecnológico de la empresa (Enterprise Stack): En este artículo, nos centramos principalmente en los cambios en el sitio web y el sistema de autenticación, ya que representan la funcionalidad más crítica. Sin embargo, como comentamos en nuestro artículo anterior, hay componentes adicionales involucrados en la implementación general. Recuerde probar a fondo todos los elementos de la pila empresarial también.

• Atención al cliente: Si bien el enfoque principal está en las funciones orientadas al consumidor, pruebe que la funcionalidad de soporte al cliente esté integrada correctamente. Verifique que los agentes de soporte puedan ver los datos relacionados con las claves de acceso y eliminar claves de acceso individuales o múltiples en nombre del usuario. Asegúrese de que la interfaz de usuario proporcione información suficiente para que el agente de soporte identifique y gestione las claves de acceso de forma precisa.

• Seguridad, registros y auditoría: Valide que todas las acciones de las claves de acceso realizadas por los agentes de soporte se reflejen correctamente en los registros de la cuenta del usuario y en las interfaces orientadas al cliente. Verifique la coherencia y la integridad de los datos mostrados en diferentes interfaces, garantizando una experiencia de usuario unificada y fiable.

¿Qué dispositivo se debe utilizar para las pruebas?

Las pruebas en un conjunto diverso de dispositivos son esenciales para garantizar que la implementación de las claves de acceso funcione de manera consistente para todos los usuarios. Esto incluye tanto dispositivos modernos que admiten claves de acceso como dispositivos más antiguos que no las admiten. Aquí tiene una matriz de dispositivos de muestra que puede enriquecer con navegadores adicionales en función de su base de usuarios:

Dispositivos habilitados para claves de acceso:

Dispositivos deshabilitados para claves de acceso:

Al integrar estas estrategias de pruebas centradas con una matriz de prueba de dispositivos completa, se establece una buena base para garantizar la calidad de la implementación de sus claves de acceso. Las pruebas exhaustivas en diversos dispositivos, tanto los habilitados como los deshabilitados para claves de acceso, le permiten identificar y abordar problemas potenciales, asegurando una experiencia de usuario consistente y fluida para todos los usuarios. En conjunto, estos esfuerzos contribuyen a ofrecer un sistema de autenticación de claves de acceso seguro y fácil de usar que cumpla con los altos estándares requeridos en un entorno empresarial. En caso de que no tenga suficiente acceso a dispositivos antiguos, puede utilizar servicios como Browserstack para probar dispositivos deshabilitados para claves de acceso. En caso de que trabaje en un Mac, también puede utilizar Parallels para un escritorio virtual de Windows.

3.2 Pruebas automatizadas: ¿Cómo implementar pruebas automatizadas de claves de acceso?#

Las pruebas automatizadas complementan las pruebas manuales al permitir que las tareas repetitivas y las pruebas de regresión se realicen de forma eficiente. Sin embargo, probar la funcionalidad de las claves de acceso presenta desafíos únicos, principalmente porque las autorizaciones genuinas de las claves de acceso que utilizan autenticadores de plataforma no se pueden probar directamente en un entorno automatizado. Esto se debe a la dependencia de entradas biométricas o interacciones de hardware, que no son factibles de simular en marcos de pruebas estándar.

Para superar esta limitación, las pruebas automatizadas de claves de acceso se basan en el uso de un autenticador virtual. El autenticador virtual es una representación basada en software de un autenticador, disponible como parte de Chromium y accesible a través de marcos de automatización. Permite a los desarrolladores simular procesos de registro y autenticación de claves de acceso sin la necesidad de dispositivos físicos o entradas biométricas.

3.2.1 Activación del autenticador virtual#

Antes de utilizar el autenticador virtual en sus pruebas automatizadas, debe activarse dentro de su entorno de pruebas. Esto generalmente implica iniciar una sesión con el protocolo de depuración del navegador (por ejemplo, el protocolo Chrome DevTools) y habilitar el dominio WebAuthn. Es importante tener en cuenta que el estado del autenticador virtual se puede restablecer bajo ciertas condiciones, como reinicios del navegador o cambios de contexto. Por lo tanto, las pruebas deben desarrollarse cuidadosamente para garantizar que el autenticador virtual se inicialice y mantenga de forma coherente durante todo el proceso de prueba. El autenticador admite CTAP2 y debe configurarse con verificación de usuario y soporte de claves residentes (resident keys) para funcionar con claves de acceso.

3.2.2 ¿Es compatible Selenium 3 con las pruebas de automatización de claves de acceso?#

Se han logrado implementaciones exitosas de pruebas automatizadas de claves de acceso utilizando marcos como Selenium y Playwright, y otros que proporcionan acceso a los protocolos de automatización del navegador necesarios. Para Selenium 4 y Playwright, el soporte nativo para el autenticador virtual está disponible, proporcionando APIs para gestionar el ciclo de vida del autenticador virtual y simular las interacciones del usuario. Las pruebas de claves de acceso con Selenium 3 son posibles, pero necesita implementar la funcionalidad directamente (contáctenos si necesita ayuda).

3.2.3 Alcance de las pruebas#

Las pruebas automatizadas deben cubrir las funcionalidades más importantes de su implementación de claves de acceso, incluyendo:

• Creación de claves de acceso: Simular el proceso de registro de una nueva clave de acceso por parte de un usuario, asegurando que el flujo de registro funciona correctamente.

• Inicio de sesión con una clave de acceso: Verificar que los usuarios puedan autenticarse utilizando sus claves de acceso registradas, y que el proceso de inicio de sesión sea fluido y no presente errores.

• Funcionalidad de gestión de cuentas: Pruebe cómo añadir, enumerar y eliminar las claves de acceso asociadas a una cuenta de usuario para garantizar que las funciones de gestión de las claves de acceso funcionan como está previsto.

• Estados de error y fallos de red: Simular que el backend no responde, esto es especialmente importante para las operaciones móviles, ya que la red no siempre es fiable.

Al incorporar estas pruebas a su conjunto de pruebas automatizadas, puede validar de forma consistente las funcionalidades críticas de las claves de acceso, reducir el riesgo de regresiones y mejorar la calidad general de su sistema de autenticación.

3.2.4 Consideraciones adicionales#

• Simulación de la verificación de usuarios: Dado que el autenticador virtual no implica entradas biométricas reales, puede configurarlo para simular el éxito o el fracaso de la verificación del usuario. Esto le permite probar cómo maneja su sistema tanto las autenticaciones correctas como los escenarios en los que la verificación del usuario falla o se cancela.

• Manejo del estado del autenticador virtual: Tenga en cuenta que el estado del autenticador virtual puede restablecerse en determinadas situaciones (especialmente en Selenum 3). Asegúrese de que sus pruebas vuelven a inicializar el autenticador virtual cuando sea necesario y considere la posibilidad de encapsular la configuración del autenticador virtual en funciones reutilizables o enlaces de prueba (test hooks) para mantener la coherencia.

3.2.5 Consejos de implementación#

• Selección de marcos de trabajo: Mientras que Selenium y Playwright se utilizan habitualmente, otros marcos de automatización que proporcionan acceso a los protocolos de depuración del navegador también pueden utilizarse para las pruebas de las claves de acceso. Elija un marco que se adapte a las necesidades de su proyecto y que ofrezca un soporte adecuado para las pruebas de WebAuthn.

• Fiabilidad de las pruebas: Dado que la autenticación mediante claves de acceso implica operaciones asíncronas e interacciones con las API del navegador, asegúrese de que sus pruebas incluyen los mecanismos de espera adecuados para gestionar estos eventos asíncronos. Esto puede evitar que las pruebas fallen y mejorar la fiabilidad.

• Documentación y ejemplos: Consulte las guías y ejemplos detallados para configurar el autenticador virtual en el marco elegido. Por ejemplo, Playwright proporciona documentación completa sobre cómo utilizar el autenticador virtual, incluyendo fragmentos de código y buenas prácticas.

Las pruebas automatizadas de la funcionalidad de las claves de acceso requieren una configuración cuidadosa debido a los desafíos únicos que implican. Aprovechando el autenticador virtual y utilizando los marcos de trabajo que lo soportan, puede automatizar eficazmente aspectos clave del registro, la autenticación y la gestión de las claves de acceso. Esto mejora su estrategia de pruebas, garantizando que su implementación de las claves de acceso es sólida, fiable y está lista para su despliegue en un entorno empresarial.

3.3 Pruebas de Inteligencia de Claves de Acceso (Passkey Intelligence)#

Passkey Intelligence es un componente crítico a la hora de ofrecer una experiencia de autenticación fluida y fácil de usar, especialmente al implementar claves de acceso mediante el enfoque de Identificador-Primero (Identifier-First) con inicio de sesión automático. Este enfoque se basa en la toma de decisiones inteligente para determinar cuándo se debe solicitar a los usuarios la autenticación mediante una clave de acceso basándose en la disponibilidad de las mismas y en la probabilidad de que la autenticación se realice correctamente. Las pruebas de Passkey Intelligence garantizan que su sistema detecta con precisión la disponibilidad de las claves de acceso y proporciona el método de autenticación óptimo para cada escenario de usuario.

3.3.1 Comprender Passkey Intelligence#

Passkey Intelligence se refiere a la capacidad del sistema de analizar diversas señales y metadatos para decidir cuándo ofrecer la autenticación mediante una clave de acceso y cuándo recurrir a métodos alternativos como contraseñas o códigos de un solo uso (OTP). Mejora la experiencia del usuario de la siguiente manera:

• Maximizar los inicios de sesión exitosos: Ofrecer la autenticación con clave de acceso cuando es más probable que tenga éxito.

• Minimizar los intentos fallidos: Evitar las solicitudes de clave de acceso innecesarias cuando el fracaso es probable, reduciendo así la frustración del usuario.

• Optimizar el flujo de usuarios: Proporcionar un proceso de autenticación fluido adaptado al entorno y al historial de cada usuario.

Esta inteligencia es particularmente importante en el enfoque de Identificador-Primero, en el que después de introducir su nombre de usuario o correo electrónico, se puede solicitar automáticamente a los usuarios la autenticación mediante clave de acceso sin tener que introducir más datos. La detección precisa de la disponibilidad de la clave de acceso es crucial para evitar peticiones innecesarias y para proporcionar opciones de recuperación adecuadas.

Por el contrario, el enfoque del botón de clave de acceso implica que los usuarios eligen explícitamente autenticarse con una clave de acceso haciendo clic en un botón. Aunque Passkey Intelligence sigue mejorando la experiencia al determinar la visibilidad y disponibilidad del botón, es menos crítico que en el enfoque de Identificador-Primero, ya que los usuarios están tomando una decisión activa.

3.3.2 Consideraciones clave para probar Passkey Intelligence#

Las pruebas de Passkey Intelligence implican validar que su sistema interpreta correctamente varias señales y proporciona el método de autenticación adecuado. Estas son las áreas clave en las que centrarse:

3.3.2.1 Detección de la disponibilidad de claves de acceso#

Para garantizar que el inicio de sesión automático funcione correctamente, su sistema debe detectar de forma precisa si un usuario dispone de claves de acceso. Las pruebas deben cubrir diferentes escenarios para validar esta detección:

• Usuarios sin claves de acceso registradas: Verifique que el sistema no solicita la autenticación mediante clave de acceso y proporciona métodos alternativos.

• Usuarios con claves de acceso registradas: Confirme que el sistema reconoce cuando un usuario tiene una clave de acceso registrada y solicita la autenticación mediante clave de acceso.

• Usuario con claves de acceso registradas que no son accesibles: Confirme que el sistema reconoce cuando un usuario tiene una clave de acceso registrada (por ejemplo, en Windows) pero intenta iniciar sesión en su iPhone y por tanto no procede a ofrecer el inicio de sesión con clave de acceso.

• Capacidades del dispositivo: Pruebe en dispositivos que admitan claves de acceso y en los que no las admitan para garantizar que el sistema se adapte adecuadamente al dispositivo independientemente de la cuenta.

• Sincronización de claves de acceso: Compruebe si las claves de acceso almacenadas en la nube (por ejemplo, iCloud Keychain, Google Password Manager) se detectan en los dispositivos correctos.

3.3.2.2 Pruebas con diferentes proveedores de claves de acceso#

Passkey Intelligence debe funcionar de forma eficaz con varios proveedores de claves de acceso, tanto de origen (first-party) como de terceros (third-party). Cada proveedor puede tener comportamientos y capacidades diferentes, lo que afecta a la forma en que se detectan y utilizan las claves de acceso.

Proveedores de origen:

• Windows Hello: El sistema de autenticación biométrica de Microsoft integrado en los dispositivos Windows. Tenga en cuenta que las claves de Windows Hello no se sincronizan, pero Microsoft ha anunciado que esto cambiará pronto.

• Google Password Manager: La solución de Google para almacenar y sincronizar las claves de acceso en diferentes dispositivos y navegadores. Tenga en cuenta que GPM no sólo está disponible en Chrome, sino también en otras plataformas.

• iCloud Keychain: El servicio de Apple para almacenar las claves de acceso y sincronizarlas entre dispositivos Apple.

Proveedores de terceros:

• 1Password: Un popular gestor de contraseñas que admite claves de acceso y puede sincronizarlas en diferentes plataformas.

• Dashlane: Otro gestor de contraseñas muy utilizado que admite claves de acceso.

• Otros: Dependiendo de su base de usuarios y de su enfoque geográfico, quizá otros proveedores de terceros puedan ser más importantes.

Pasos para realizar las pruebas:

• Registro y autenticación: Asegúrese de que los usuarios pueden registrarse y autenticarse utilizando las claves de acceso de cada proveedor.

• Comportamiento multiplataforma: Verifique que las claves de acceso se sincronizan correctamente en diferentes dispositivos y navegadores cuando se utilizan proveedores basados en la nube.

• Manejo de errores: Pruebe cómo maneja el sistema los fallos o la falta de disponibilidad de las claves de acceso de proveedores específicos.

3.3.2.3 Escenarios de autenticación multidispositivo#

La autenticación multidispositivo permite a los usuarios autenticarse en un dispositivo utilizando una clave de acceso almacenada en otro dispositivo. Probar estos escenarios es esencial para garantizar una experiencia fluida.

Escenarios clave a probar:

• De un iPhone a un PC Windows: Los usuarios intentan iniciar sesión en un PC Windows utilizando una clave de acceso almacenada en su iPhone.

• De un teléfono Android a Safari en Mac: Los usuarios se autentican en un Mac utilizando Safari mediante una clave de acceso almacenada en su dispositivo Android.

• De Android a un PC Windows: Probar la autenticación desde un dispositivo Android a un PC Windows. Tenga en cuenta que a partir de Chrome 130 es posible que los usuarios ya no necesiten realizar una autenticación multidispositivo.

Pasos para realizar las pruebas:

• Comprobaciones de compatibilidad: Asegúrese de que la autenticación multidispositivo funciona en diferentes sistemas operativos y navegadores.

• Mensajes e instrucciones para el usuario: Verifique que los usuarios reciben instrucciones claras durante el proceso de autenticación.

• Validación de seguridad: Confirme que el proceso de autenticación es seguro y resistente a ataques de intermediario (man-in-the-middle).

3.3.2.4 Manejo de casos límite y fallos#

Las pruebas también deben abarcar escenarios en los que Passkey Intelligence podría enfrentarse a retos:

• Claves de acceso no disponibles: Situaciones en las que se esperan claves de acceso pero no están disponibles debido a retrasos en la sincronización o problemas de red.

• Cancelaciones de usuario: Los usuarios cancelan la solicitud de clave de acceso; el sistema debe recurrir con elegancia a métodos alternativos. Durante la validación, afirme que estas rutas de cancelación esperadas se rastrean por separado de los defectos reales (consulte los errores de WebAuthn).

• Extensiones de terceros: Interacciones con extensiones de navegadores o plugins que podrían interferir en la detección de claves de acceso o en Conditional UI.

3.3.2.5 Evaluación de la lógica de Passkey Intelligence#

Evalúe el proceso de toma de decisiones de su sistema Passkey Intelligence:

• Exactitud de los datos: Asegúrese de que los metadatos y las señales utilizadas para la toma de decisiones son precisos y están actualizados, y de que se almacenan correctamente en la base de datos (indicadores BS).

• Respuestas adaptativas: Valide que el sistema se adapta a nueva información, como las claves de acceso recién registradas o los cambios en las capacidades de los dispositivos.

• Impacto en el rendimiento: Compruebe que la lógica de inteligencia no introduce retrasos significativos en el flujo de autenticación.

3.3.2.6 Metodología de pruebas#

Para probar de forma exhaustiva Passkey Intelligence, considere la siguiente metodología:

1. Crear cuentas de prueba con diferentes configuraciones: Configure cuentas de usuario que representen diferentes estados, como con o sin claves de acceso registradas, y con diferentes proveedores de claves de acceso.

2. Utilice una matriz de dispositivos completa: Incluya una variedad de dispositivos, sistemas operativos y navegadores en sus pruebas para cubrir el mayor número posible de escenarios de usuario.

3. Simule diferentes condiciones de red: Realice pruebas bajo diferentes condiciones de red para evaluar cómo afectan a la detección de la clave de acceso los retrasos en la sincronización o los problemas de conectividad.

4. Pruebas de escenarios complejos: En el caso de la autenticación multidispositivo y los casos extremos, será necesario realizar pruebas manuales para captar plenamente los matices de la experiencia del usuario.

5. Analizar registros y métricas: Recopile y analice los registros para comprender cómo se toman las decisiones de Passkey Intelligence e identificar cualquier discrepancia o fallo.

3.3.2.7 Mejores prácticas#

• Mantener la experiencia del usuario en primer plano: Asegúrese de que el flujo de autenticación sigue siendo fluido e intuitivo, incluso cuando Passkey Intelligence decide recurrir a métodos alternativos.

• Manténgase al día de los cambios de proveedores: Los proveedores de claves de acceso pueden actualizar sus servicios, lo que afecta a la forma en que se almacenan o sincronizan las claves de acceso. Actualice periódicamente sus escenarios de prueba para reflejar estos cambios. Suscríbase a nuestro Substack y únase a nuestra comunidad de Slack.

• Documente los hallazgos: Mantenga registros detallados de los casos de prueba, los resultados y cualquier problema que se haya encontrado para ayudar en la resolución de problemas y en los futuros ciclos de prueba.

Las pruebas de Passkey Intelligence son vitales para garantizar que su sistema de autenticación ofrece la mejor experiencia posible a los usuarios, especialmente cuando emplea el enfoque Identifier-First con inicio de sesión automático. Si prueba a fondo la detección de la disponibilidad de la clave de acceso, las interacciones con los distintos proveedores de claves de acceso, los escenarios de autenticación multidispositivo y la propia lógica de inteligencia, podrá optimizar su sistema para ofrecer una autenticación fluida y segura en todos los escenarios de los usuarios.

3.4 Cómo Corbado puede ayudar con las pruebas empresariales#

Implementar y probar la funcionalidad de las claves de acceso, incluyendo Passkey Intelligence, puede ser complejo e intensivo en recursos. Corbado ofrece soluciones integrales que simplifican este proceso, asegurando una experiencia de autenticación robusta y fácil de usar para su empresa.

3.4.1 Componentes bien probados en navegadores y dispositivos#

Corbado proporciona componentes de interfaz de usuario preconstruidos y SDK que se prueban a fondo en una amplia gama de dispositivos, sistemas operativos y navegadores, incluyendo tanto versiones recientes como antiguas que soportan JavaScript. Estas pruebas exhaustivas garantizan que la implementación de sus claves de acceso funcione de forma consistente para todos los usuarios, reduciendo el riesgo de que se produzcan problemas específicos del dispositivo y aumentando la satisfacción del usuario.

• Compatibilidad con navegadores: Nuestros componentes funcionan a la perfección en los principales navegadores como Chrome, Safari, Firefox y Edge, proporcionando una experiencia coherente independientemente de la elección de navegador del usuario.

• Versatilidad del dispositivo: Somos compatibles tanto con los dispositivos que admiten claves de acceso como con los que no lo hacen, lo que permite un mecanismo de respaldo fluido cuando es necesario.

• Diseño responsive: Los componentes están diseñados para adaptarse a los diferentes tamaños y resoluciones de pantalla, asegurando una usabilidad óptima en ordenadores de sobremesa, tablets y dispositivos móviles.

• Estados de error: Todos los componentes han sido ampliamente probados para funcionar bajo cualquier condición de red y tienen mensajes de error precisos y gestores de respaldo (fallback handles) para tratar con usuarios que abortan ceremonias.

3.4.2 Integración de pruebas automatizadas#

Reconociendo los retos que plantea la automatización de las pruebas de las claves de acceso, Corbado ha desarrollado soluciones de pruebas automatizadas integradas en el desarrollo de nuestros componentes y en los pipelines CI/CD. Nuestros componentes no sólo se prueban a fondo internamente, sino que también vienen con suites de pruebas automatizadas que podemos aplicar a las instalaciones corporativas.

• Suites de pruebas automatizadas: Disponemos de exhaustivas pruebas automatizadas que cubren las funcionalidades clave, como el registro, la autenticación y la gestión de claves de acceso. Estas pruebas están diseñadas para probar a fondo nuestros componentes.

• Servicios de pruebas automatizadas gestionadas: Para los clientes empresariales, Corbado ofrece pruebas automatizadas gestionadas como parte de nuestro paquete Enterprise. Nosotros nos encargamos de las complejidades que supone la configuración y el mantenimiento de las pruebas automatizadas de las claves de acceso, incluido el uso de autenticadores virtuales, para garantizar que su sistema de autenticación siga siendo sólido a lo largo del tiempo.

Encontrará un resumen detallado sobre cómo probamos nuestros componentes en una entrada del blog independiente.

3.4.3 Passkey Intelligence integral#

El motor de Passkey Intelligence de Corbado es una solución ampliamente probada que optimiza la experiencia de autenticación. Aprovechando algoritmos avanzados y datos en tiempo real, nuestro Passkey Intelligence detecta con precisión la disponibilidad de las claves de acceso y determina el método de autenticación óptimo para cada escenario de usuario.

• No se requieren pruebas adicionales: Dado que Passkey Intelligence está totalmente cubierto, probado y ampliado por Corbado, puede confiar en su eficacia sin necesidad de realizar extensas pruebas internas.

• Toma de decisiones adaptativa: Nuestro motor se adapta a los cambios en las capacidades de los dispositivos, el comportamiento de los usuarios y las actualizaciones de los proveedores de claves de acceso, lo que garantiza que las solicitudes de autenticación sean oportunas y pertinentes.

• Maximización del porcentaje de éxito: Al decidir inteligentemente cuándo ofrecer la autenticación mediante claves de acceso, ayudamos a maximizar los intentos de inicio de sesión exitosos y a minimizar la frustración del usuario por intentos fallidos.

• Personalización: En caso de que desee personalizar Passkey Intelligence para ser más defensivo o proactivo, puede configurar y personalizar los conjuntos de reglas en cualquier momento.

3.4.4 Soporte y servicios de nivel empresarial#

Para los clientes empresariales, Corbado proporciona soporte adicional para agilizar el proceso de implementación y pruebas de sus claves de acceso.

• Pruebas automatizadas gestionadas: Ofrecemos servicios de pruebas integrales que incluyen la configuración de pruebas automatizadas, la supervisión de su rendimiento y su actualización según sea necesario. Este servicio libera a su equipo de la carga de mantener complejos entornos de pruebas.

• Consultoría experta in situ: Nuestro equipo de expertos está disponible para ayudar con cualquier reto al que pueda enfrentarse durante la implementación o las pruebas, proporcionando orientación y soluciones a la medida de sus necesidades específicas. Las grandes implementaciones vienen acompañadas de asesoramiento in situ que incluye ayuda para las pruebas por su parte.

• Soluciones personalizadas: Podemos ajustar y perfeccionar nuestros componentes y servicios para adaptarnos a los requisitos específicos de su empresa, la CI corporativa y otras normas.

• Reducción del esfuerzo de desarrollo: Al utilizar nuestros componentes preconstruidos y bien probados, ahorra un tiempo y unos recursos de desarrollo considerables.

• Mayor fiabilidad: Nuestras rigurosas prácticas de prueba garantizan que la implementación de sus claves de acceso es fiable y funciona bien bajo diversas condiciones.

• Optimización de la experiencia del usuario: Con Passkey Intelligence, los usuarios disfrutan de un proceso de autenticación fluido, lo que aumenta las tasas de satisfacción y adopción.

• Preparados para el futuro: Actualizamos continuamente nuestros componentes para adaptarnos a los últimos avances en la tecnología y los estándares de las claves de acceso, garantizando su compatibilidad y cumplimiento a largo plazo.

Al asociarse con Corbado, obtendrá acceso a un conjunto de componentes, herramientas y servicios que simplifican las pruebas y la implementación de las claves de acceso. Nuestros componentes bien probados, el completo Passkey Intelligence y el soporte de nivel empresarial garantizan que su sistema de autenticación es robusto, fiable y está listo para su despliegue en un entorno empresarial. Esta colaboración permite a su equipo centrarse en ofrecer valor a sus usuarios mientras nosotros nos encargamos de las complejidades de la tecnología de claves de acceso.

4. Pruebas no funcionales de las implementaciones de claves de acceso#

Aunque las pruebas funcionales garantizan que la implementación de las claves de acceso cumple con todas las características requeridas y proporciona una experiencia de usuario coherente, no abordan el rendimiento del sistema en condiciones del mundo real ni su resistencia a diversas formas de estrés. Las pruebas no funcionales se centran en estos aspectos. Evalúan cómo se comporta el sistema cuando maneja cargas elevadas, con qué rapidez responde a las peticiones de los usuarios, la estabilidad que mantiene durante los picos de uso y su nivel de seguridad frente a posibles ataques. En el caso de los despliegues empresariales de claves de acceso, las pruebas no funcionales son esenciales por las siguientes razones:

• Altos volúmenes de usuarios: Las grandes bases de usuarios y los flujos de autenticación a los que se accede con frecuencia significan que incluso los pequeños problemas de rendimiento pueden tener un impacto significativo en la satisfacción del usuario y en los resultados del negocio.

• Fiabilidad bajo estrés: Los sistemas empresariales deben permanecer estables y rendir durante las horas pico de inicio de sesión, las campañas de registro de dispositivos y las olas de adopción a gran escala.

• Garantía de seguridad: Más allá de la funcionalidad, garantizar que no existen vulnerabilidades en los flujos de trabajo de WebAuthn y de las claves de acceso es fundamental para mantener la confianza y el cumplimiento.

• Otras pruebas no funcionales: Otros tipos de pruebas no funcionales también son importantes dependiendo de la empresa, pero para mantener el enfoque, nos centraremos en los más críticos para las grandes empresas — especialmente en áreas sensibles a la seguridad como la gubernamental, regulada, o las industrias de la salud.

Al realizar pruebas no funcionales rigurosas, las empresas pueden desplegar con confianza soluciones de claves de acceso que sean a la vez sólidas y seguras, garantizando una experiencia perfecta para todos los usuarios en todas las condiciones.

4.1 Cómo probar el rendimiento de las implementaciones de claves de acceso#

Las pruebas de rendimiento y de carga tienen por objeto verificar que la implementación de las claves de acceso puede gestionar los volúmenes de autenticación esperados (y a veces los imprevistos) sin degradación. Aunque las operaciones con las claves de acceso — como la generación y verificación de los desafíos WebAuthn — no suelen consumir muchos recursos, las pruebas exhaustivas de rendimiento siguen siendo cruciales en los despliegues a escala empresarial.

Consideraciones clave para las pruebas de rendimiento y carga:

1. Establecimiento de una línea base realista:
   Empiece analizando los datos históricos de autenticación para identificar los patrones de uso en los momentos de mayor volumen. Por ejemplo, revise las estadísticas de inicio de sesión de los últimos 12 meses y señale la hora con mayor carga de autenticación. Utilice esta hora punta como punto de partida para calcular las autenticaciones completadas con éxito por segundo y multiplique su volumen por un factor de tres (3x). Este enfoque:

   • Tiene en cuenta el crecimiento y los picos: Al triplicar la carga histórica más alta, construye un saludable margen de rendimiento que da cabida a repuntes inesperados (por ejemplo, el registro a gran escala, inicios de sesión simultáneos durante el lanzamiento de un producto o los restablecimientos de seguridad).

   • Establece objetivos claros: Esta base de referencia realista pero conservadora garantiza que su sistema pueda satisfacer cómodamente la demanda actual y permanecer estable en condiciones superiores a las previstas.

2. Entender la complejidad del flujo de autenticación:
   Con las claves de acceso, el flujo de autenticación puede implicar la generación de desafíos bajo demanda, el manejo de peticiones de interfaz de usuario condicional y la interacción con los servicios de backend para validar las credenciales o gestionar los estados de MFA. Estos pasos pueden introducir patrones de carga únicos, especialmente si los avisos de inicio de sesión o los retos se generan con frecuencia.

3. Equilibrio de carga y escalabilidad:
   A medida que se pasa de las contraseñas a las claves de acceso, el número de operaciones puede aumentar. Emplee estrategias de equilibrio de carga, almacenamiento en caché y optimización de bases de datos para gestionar tasas de peticiones potencialmente más altas y mantener unos tiempos de respuesta constantes.

4. Impacto de la Conditional UI:
   La Interfaz de Usuario Condicional (Conditional UI) puede desencadenar la generación continua de retos si los campos de inicio de sesión son visibles o se renderizan en la parte superior de la página, lo que podría dar lugar a una carga inesperada. Pruebe estos patrones para garantizar que los desafíos puedan ser gestionados de forma rápida y fiable sin causar retrasos o tiempos de espera agotados.

5. Autorizaciones simultáneas y creaciones de claves de acceso:
   Considere los escenarios en los que muchos usuarios crean simultáneamente claves de acceso o intentan autenticarse. Esto puede ocurrir durante las sesiones de registro o después de amplias campañas de comunicación. Sus pruebas deben simular estos picos de simultaneidad para confirmar que el sistema sigue siendo sólido.

6. Herramientas de prueba y enfoques:
   Es posible que las herramientas estándar de pruebas de carga no reproduzcan completamente la complejidad de los flujos WebAuthn y sean capaces de completar una ceremonia WebAuthn. Busque plugins para frameworks populares de medición del rendimiento como Jmeter o K6 (en uso por Corbado).

7. Monitoreo y métricas:
   Realice un seguimiento de las métricas clave, como los tiempos de respuesta, el rendimiento, las llamadas de la API por segundo, las transacciones/autenticaciones completadas por segundo, las tasas de error y la utilización de los recursos. Utilice estos conocimientos para identificar los cuellos de botella y guiar los esfuerzos de optimización.

8. Pruebas y ajustes iterativos:
   Las pruebas de rendimiento son un proceso iterativo. Identifique los problemas, aplique las mejoras y vuelva a probar para validar que los cambios aumentan la capacidad y la fiabilidad. Integre estas pruebas en su pipeline CI/CD para garantizar que el rendimiento se mantiene estable a lo largo del tiempo.

Estableciendo una base de referencia realista a partir de los datos históricos, triplicando esa capacidad por seguridad y probando de forma exhaustiva en varios escenarios, las empresas pueden garantizar que su implementación de las claves de acceso sigue siendo eficiente, estable y con capacidad de respuesta, incluso en las condiciones más exigentes.

4.2 Cómo realizar pruebas de penetración (pentest) en las implementaciones de claves de acceso#

Las pruebas de seguridad son un componente fundamental para garantizar que la implementación de sus claves de acceso no sólo funciona correctamente, sino que también mantiene los niveles más altos de confianza e integridad. Aunque las claves de acceso simplifican y refuerzan la experiencia de autenticación, es importante validar que sus flujos de trabajo de WebAuthn y claves de acceso están protegidos contra vectores de ataque comunes, fallos de configuración y vulnerabilidades específicas de la autenticación basada en hardware.

Objetivos clave:

• Validar que todas las operaciones de WebAuthn (generación de retos, atestación, aserción) se implementan de forma correcta y segura.

• Asegúrese de que no se puedan utilizar para la autenticación claves de acceso comprometidas, manipuladas o eliminadas.

• Confirme que la verificación del usuario, si es necesaria, se aplica estrictamente y se comprueba en cada inicio de sesión.

• Validar la integración con la lógica de MFA existente, confirmando que las claves de acceso mantienen o mejoran la postura general de seguridad en lugar de debilitarla.

Áreas de prueba y enfoques sugeridos:

1. Consumo de desafíos de WebAuthn:

   • Desafíos únicos y frescos: Compruebe que cada desafío es único y válido sólo para un intento de autenticación. Esto garantiza que la repetición de desafíos no pueda dar lugar a una autenticación satisfactoria.

   • Protección contra el doble consumo: Intente reutilizar retos o respuestas de atestación de ceremonias anteriores de añadir (registro) o de inicio de sesión (aserción). Confirme que el sistema rechaza estos intentos con una gestión de errores adecuada.

2. Claves de acceso borradas, desconocidas o manipuladas:

   • Claves de acceso borradas: Intente iniciar la sesión utilizando las credenciales asociadas a las claves de acceso que se hayan eliminado. El sistema debe rechazar estos intentos y devolver un error.

   • Credenciales desconocidas: Presente credenciales nunca registradas en el sistema (por ejemplo, una clave privada diferente o un ID de credencial desconocido). Asegúrese de que el sistema no puede ser engañado para validar estas credenciales.

   • Firmas manipuladas: Modifique la firma criptográfica o los datos del autenticador en la aserción WebAuthn. El sistema debe fallar en el paso de verificación y responder con un error, impidiendo el acceso no autorizado.

3. Aplicación de la verificación de usuarios (UV):

   • Verificación obligatoria del usuario: Si la verificación del usuario está establecida como obligatoria (indicando un escenario equivalente a 2FA), confirme que todos los intentos de autenticación sin el indicador UV resultan en denegación. Una comprobación de verificación biométrica o basada en PIN no debe ser evitable (sólo presencia del usuario).

   • Manipulación de los indicadores UV: Intente forzar un escenario en el que el autenticador afirme que el usuario ha sido verificado, pero en realidad no se ha llevado a cabo dicha verificación. Confirme que el sistema rechaza tales intentos.

4. Integración con los controles de seguridad o MFA existentes:

   • Alineación del estado MFA: Compruebe que la adición o eliminación de claves de acceso no elude las políticas de MFA existentes. Por ejemplo, si las claves de acceso pretenden sustituir a las contraseñas o servir como segundo factor, el sistema no debería permitir que un usuario con una clave de acceso comprometida eluda los controles MFA de nivel superior.

   • Mecanismos de respaldo: Valide que los métodos de respaldo (por ejemplo, contraseñas, OTP) sólo se invocan cuando las claves de acceso están legítimamente indisponibles o no son compatibles. Los atacantes no deben ser capaces de degradar un flujo seguro a otro más débil.

5. Asegurar implementaciones actualizadas y conformes a los estándares:

   • Las últimas especificaciones de WebAuthn: Confirme que el servidor y los componentes de WebAuthn están actualizados con los últimos estándares, parcheando cualquier vulnerabilidad conocida. Revise periódicamente los avisos de los proveedores y aplique las actualizaciones de seguridad.

   • OWASP Top 10: Alinee sus pruebas con los estándares de seguridad reconocidos. Entre las áreas típicas se incluyen la validación de entrada, la gestión de sesiones y los canales de comunicación seguros (TLS). Compruebe que todos los endpoints que gestionan los datos WebAuthn están protegidos, no filtran información confidencial y aplican las cabeceras de seguridad adecuadas.

6. Pentesting contra vectores de ataque comunes:

   • Ataques de repetición (Replay Attacks): Intente reutilizar firmas válidas conocidas o retos anticuados. Confirme que el servidor los rechaza.

   • Ataques de intermediario (MitM): Compruebe si un atacante que intercepta las solicitudes de WebAuthn puede alterar el desafío o las firmas. Asegúrese de que el proceso de autenticación se basa en verificaciones criptográficas vinculadas a la clave privada del cliente, lo que hace inviables los ataques MitM.

   • Fuzzing y pruebas negativas: Introduzca datos malformados, perdidos o aleatorios en las solicitudes de atestación y aserción. El servidor debe manejar con elegancia estas entradas inválidas sin fallar ni filtrar datos sensibles.

7. Consideraciones adicionales para las amenazas específicas de las claves de acceso:

   • Autenticación multidispositivo: Pruebe los escenarios de autenticación multidispositivo para asegurarse de que no se puede hacer un mal uso de una clave de acceso almacenada en otro dispositivo. El servidor debe verificar la autenticidad de las peticiones multidispositivo, asegurando que no se produzca ninguna suplantación.

   • Revocación y recuperación: Asegúrese de que si un usuario o un agente de atención al cliente recupera su cuenta o revoca una clave de acceso, ésta queda instantáneamente invalidada y no se puede utilizar en los siguientes intentos de inicio de sesión.

Ejemplos prácticos y pruebas:

• Prueba de verificación de usuario manipulada: Intente autenticarse con una clave de acceso cuando la verificación del usuario sea requerida, pero fuerce al autenticador a presentar uv=false. Confirme que el servidor rechaza la petición.

• Prueba de repetición del desafío: Reutilice un desafío usado previamente para iniciar la sesión. El servidor debe rechazar el intento, impidiendo los ataques de repetición.

• Prueba de firma no válida: Sustituya la firma válida por una aleatoria o incorrecta. Asegúrese de que el servidor devuelve un error.

Mantenimiento continuo de la garantía de seguridad:

• Lleve a cabo pruebas periódicas de penetración realizadas por terceros para identificar vulnerabilidades nuevas o pasadas por alto.

• Manténgase informado sobre las amenazas emergentes, las actualizaciones de las especificaciones de WebAuthn y los parches de los proveedores para autenticadores de hardware y software del lado del cliente.

Incorporando las técnicas de prueba anteriores y centrándose en los aspectos únicos de la autenticación basada en claves de acceso, puede garantizar que la implementación de sus claves de acceso empresariales sigue siendo segura, robusta y digna de confianza. Las revisiones periódicas, las actualizaciones y las pruebas de penetración ayudarán a mantener una postura de seguridad reforzada y el cumplimiento continuo de las normas del sector.

4.3 Cómo puede ayudar Corbado a realizar las pruebas de rendimiento y de penetración en las implementaciones de claves de acceso#

La oferta empresarial de Corbado no sólo proporciona soluciones sólidas para las claves de acceso, sino que también incluye completos servicios de pruebas no funcionales, que abarcan tanto pruebas de rendimiento como evaluaciones de seguridad de la integración final, para garantizar que el despliegue de sus claves de acceso puede satisfacer los requisitos empresariales más exigentes.

4.3.1 Pruebas de rendimiento con escenarios realistas de claves de acceso#

Corbado va más allá de las herramientas tradicionales y genéricas de pruebas de carga, aprovechando las pruebas avanzadas de rendimiento de extremo a extremo que utilizan K6 y un entorno de autenticador virtual. Este enfoque simula flujos de autenticación de claves de acceso reales a través de nuestros componentes (CorbadoConnectLogin), incluida la generación y gestión de cientos o incluso miles de claves de acceso en paralelo (CorbadoConnectAppend) y la funcionalidad de gestión de las claves de acceso (CorbadoConnectPasskeyList). A diferencia de las pruebas de carga estándar, que sólo pueden medir los endpoints de la API, nuestra metodología emula la ceremonia completa de WebAuthn de extremo a extremo, haciendo que las pruebas sean mucho más representativas de las condiciones del mundo real. También llevamos a cabo sofisticadas pruebas de concurrencia para asegurarnos de que su sistema puede gestionar picos de carga, como campañas de registro a gran escala o picos repentinos de autenticación, sin que se degrade la capacidad de respuesta ni la experiencia del usuario.

4.3.2 Pruebas de seguridad y pruebas de penetración especializadas#

Corbado se compromete a ofrecer un entorno de autenticación seguro. Nos sometemos a pruebas de penetración periódicas realizadas por especialistas de confianza que conocen los entresijos únicos de la tecnología de las claves de acceso. Además, nuestro equipo mantiene pruebas unitarias especializadas centradas en la seguridad y diseñadas para evitar escenarios como la reintroducción en el sistema de claves de acceso manipuladas o eliminadas. Estas pruebas y pentests periódicos nos protegen contra las amenazas en evolución y garantizan que se mantenga en todo momento la integridad del ecosistema de las claves de acceso.

4.3.3 Garantía a nivel empresarial#

Tanto el régimen avanzado de pruebas de rendimiento como el de rigurosas pruebas de seguridad forman parte de nuestro paquete Enterprise. Al asociarse con Corbado, obtendrá acceso a metodologías probadas que garantizan que la implementación de las claves de acceso está a la altura de las exigencias de los entornos empresariales de gran escala y críticos para la misión, ofreciendo no sólo una experiencia de usuario fluida, sino también una sólida protección contra posibles vulnerabilidades.

5. Conclusión#

En los despliegues de claves de acceso empresariales a gran escala, la implementación exitosa de las claves de acceso depende no sólo de la integración de la tecnología, sino también de su prueba exhaustiva para garantizar su rendimiento, seguridad y fiabilidad. Como hemos visto, un enfoque exhaustivo de las pruebas — desde la verificación funcional hasta las evaluaciones no funcionales de rendimiento y seguridad — es crucial para ofrecer una experiencia de autenticación sólida y fácil de usar. Con este artículo hemos respondido a las preguntas planteadas al principio:

• ¿Cómo probar la funcionalidad de las claves de acceso? Identificamos las pruebas funcionales esenciales que se centran en verificar el registro, la autenticación, la coherencia de la interfaz de usuario y la gestión adecuada de los errores de las claves de acceso. A través de pruebas manuales de aceptación del usuario y enfoques automatizados, estas pruebas confirman que los flujos de trabajo de las claves de acceso son intuitivos, fiables y se ajustan a las expectativas de los usuarios.

• ¿Cómo probar el rendimiento y realizar un pentest a las claves de acceso? Exploramos estrategias para asegurar que su implementación de las claves de acceso cumple con los exigentes estándares de rendimiento y seguridad. Esto incluye pruebas de carga para gestionar los picos de volumen de autenticación, pruebas de resistencia bajo estrés y rigurosas validaciones de seguridad, como verificar que los retos no puedan ser repetidos, que las claves de acceso manipuladas sean rechazadas y que la verificación del usuario se aplique estrictamente.

Mediante la integración de las prácticas de pruebas tanto funcionales como no funcionales, puede desplegar las claves de acceso con confianza, manteniendo los estándares más altos de calidad y seguridad. En nuestra próxima parte, cubriremos el siguiente paso: Un lanzamiento gradual y por fases de las claves de acceso en diferentes segmentos de usuarios y cómo puede ayudarle Corbado en ello.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →