Pruebas de gestores de contraseñas para passkeys en aplicaciones nativas
Guía completa para probar passkeys en apps nativas de iOS/Android con 1Password, Bitwarden y más. Incluye planes de prueba, problemas comunes y estrategias listas para producción.
Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
1. Introducción: Las passkeys en apps nativas se encuentran con los gestores de contraseñas de terceros#
Con el lanzamiento de iOS 17 y Android 14, el panorama de las passkeys para aplicaciones móviles nativas ha cambiado radicalmente. Por primera vez, los gestores de contraseñas de terceros pueden actuar como proveedores de passkeys, rompiendo el monopolio de iCloud Keychain y Google Password Manager. Esto permite a los usuarios usar sus soluciones de confianza como 1Password, Bitwarden o Dashlane en los flujos de autenticación de apps nativas. Aunque esto es una gran victoria para la elección del usuario, introduce una complejidad considerable para los desarrolladores. Tu implementación de passkeys puede comportarse de manera diferente según el gestor de contraseñas en aplicaciones móviles nativas. Por eso, es importante que cualquier equipo pruebe correctamente las passkeys en apps nativas y los gestores de contraseñas de terceros.
Esta guía completa comparte nuestro enfoque, probado en el campo de batalla, para las pruebas de passkeys en apps nativas con gestores de contraseñas de terceros. Si bien el ecosistema de las passkeys ha madurado significativamente en 2025, la implementación en el mundo real todavía requiere una validación cuidadosa entre las diversas implementaciones de los gestores de contraseñas. Hemos resumido nuestra experiencia en un plan de pruebas práctico que garantiza que tu app nativa funcione sin problemas con los gestores de contraseñas preferidos de los usuarios.
Hoja de referencia de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
2. Por qué las pruebas de passkeys son importantes en producción#
2.1 Los usuarios traen su propio gestor de contraseñas#
El ecosistema de los gestores de contraseñas ha evolucionado más allá de las soluciones nativas de las plataformas. Los usuarios eligen activamente gestores de contraseñas de terceros como 1Password, Bitwarden, Dashlane, Proton Pass y NordPass en función de sus necesidades específicas, como la sincronización multiplataforma, las funciones empresariales o las preferencias de privacidad. Tu app nativa de iOS / Android debe adaptarse a esta diversidad sin forzar a los usuarios a cambiar su solución de gestión de contraseñas de confianza.
Según los datos que medimos en las páginas de Corbado, vemos que solo entre el 5 y el 10 % de los usuarios generales dependen de gestores de contraseñas de terceros. Aunque esta cifra pueda parecer baja, tendrá un gran impacto en la percepción de tu implementación de passkeys y en el número de tickets de soporte si trabajas en un entorno a gran escala. Hemos observado que algunos gestores de contraseñas implementan la especificación WebAuthn de forma ligeramente diferente, lo que provoca sutiles variaciones en la experiencia del usuario o incluso errores.
2.2 Diferentes patrones de UX en apps nativas#
Las apps nativas de iOS y Android ofrecen diferentes formas de usar las passkeys. En Android, encontrarás superposiciones de passkeys y entradas manuales en campos de texto que activan la ceremonia de passkey (para aplicaciones web, Android también soporta Conditional UI). iOS presenta su propio conjunto de superposiciones de passkeys junto con la Conditional UI y también entradas manuales en campos de texto. Además, hay otros casos límite que comprobar. En resumen, tu aplicación nativa debe manejar con elegancia:
- Inicios de sesión con superposición de passkeys que aparecen inmediatamente al cargar la página
- Inicios de sesión con Conditional UI (solo en iOS) que autosugieren las passkeys disponibles
- Inicios de sesión desde campos de texto donde el usuario proporciona su nombre de usuario antes de hacer clic en un botón
- Autenticación entre dispositivos (CDA) para usar una passkey con otro dispositivo
- Mecanismos de respaldo cuando el uso de passkeys no está disponible
2.3 Los indicadores de WebAuthn requieren precisión#
La configuración correcta de los indicadores determina si las passkeys funcionan como se espera en todos los dispositivos y plataformas. Los valores críticos incluyen:
- Relying Party ID (rpID): Debe coincidir exactamente en las implementaciones web y nativas, y es el dominio al que está vinculada la passkey
- User verification: Determina que el usuario necesita proporcionar su autenticación local
- Resident key/discoverable credentials: Permite la autenticación sin nombre de usuario (habilita la Conditional UI)
- Backup eligibility (BE) y backup state (BS): Permiten la sincronización de passkeys entre dispositivos
Los indicadores mal configurados no siempre causan fallos inmediatos. Sin embargo, podrían crear problemas sutiles e inconsistencias, como que las passkeys estén disponibles en un dispositivo pero no se sincronicen entre dispositivos (aunque el mismo gestor de contraseñas de terceros esté disponible en ambos). Uno de nuestros hallazgos en las pruebas fue que algunos gestores de contraseñas de terceros establecen incorrectamente los indicadores BE/BS, lo que representaba una gran parte de los problemas con las passkeys.
2.4 Gestión del ciclo de vida en apps de instancia única#
Las arquitecturas de actividad única (Android) y escena única (iOS) requieren una gestión
meticulosa del ciclo de vida. Cuando aparece y se descarta una ventana de un gestor de
contraseñas, tu app debe preservar el estado, manejar las devoluciones de llamada y
reanudarse correctamente. Esto es especialmente crítico en Android, donde la configuración
launchMode puede causar un comportamiento inesperado.
Por ejemplo, descubrimos que establecer MainActivity en launchMode="singleInstance"
creaba problemas. En algunas versiones de Android y personalizaciones de OEM, este modo
hace que la UI del gestor de credenciales de passkeys se abra como una tarea separada.
Esto no solo añade una entrada de app adicional y confusa a la pantalla de "Recientes",
sino que también puede hacer que la app se cuelgue si se pone en segundo plano mientras el
diálogo de passkey está abierto.
La solución recomendada es cambiar la configuración a launchMode="singleTask". Esto
evita que el gestor de credenciales genere una tarea separada, asegurando un ciclo de vida
más predecible entre diferentes OEMs (Samsung, Google, Vivo, etc.) y reduciendo el riesgo
de errores específicos del proveedor. Proporciona una base más estable para probar la
navegación, las superposiciones y los enlaces profundos.
Hemos observado que estos problemas del ciclo de vida a menudo se disfrazan de "errores del gestor de contraseñas" cuando en realidad son problemas a nivel de la aplicación. Una instrumentación y pruebas adecuadas con diferentes proveedores ayudan a identificar estos patrones a tiempo.
Artículos recientes
♟️
Pruebas de implementaciones de claves de acceso (Guía de claves de acceso para empresas 5)
🔑
Las 11 mayores brechas de datos en Canadá [2026]
🔑
Las 10 mayores brechas de datos en Sudáfrica [2026]
🔑
Las 10 mayores brechas de datos en el sector financiero [2026]
🔑
Actualización de MFA para la Gestión de Riesgos del Banco Central de Malasia
3. Configuración de tu entorno de pruebas#
3.1 Gestores de contraseñas objetivo#
Enfoca tus pruebas de passkeys en apps nativas en los gestores de contraseñas de terceros más adoptados:
Objetivos primarios (cobertura esencial):
Objetivos secundarios (según tu base de usuarios):
- Proveedores regionales (p. ej., Samsung Pass para dispositivos Samsung)
- Soluciones empresariales si te diriges a usuarios de negocios
- Opciones predeterminadas de la plataforma (Google Password Manager, iCloud Keychain) como referencia
Evita la tentación de probar todos los gestores de contraseñas disponibles. Concéntrate en los proveedores que representan el 90 % de tu base de usuarios. Nuestros análisis mostraron que los cinco objetivos primarios cubrían el 85 % de los usuarios de gestores de contraseñas de terceros en la UE/EE. UU./Reino Unido/AUS/NZ.
3.2 Lista de verificación previa#
Antes de comenzar cada ciclo de pruebas, asegúrate de tener un entorno limpio y reproducible:
1. Estado de credenciales limpio:
- Elimina todas las credenciales existentes para tu RP ID
- Limpia la caché del navegador y de la app
- Cierra y vuelve a iniciar sesión completamente en el gestor de contraseñas
- Fuerza el cierre y reinicia la app objetivo
2. Estabiliza el entorno de pruebas:
- Asegura una conectividad de red estable (sin VPN durante las pruebas)
- Desactiva las animaciones de la UI si automatizas las pruebas
- Usa una orientación de dispositivo consistente
- Documenta la versión del SO, la versión de la app y la versión del gestor de contraseñas
4. El plan de pruebas completo#
Cada prueba valida aspectos específicos de la funcionalidad de las passkeys. Documenta los resultados sistemáticamente usando un estado de aprobado/fallido y notas detalladas para cualquier anomalía.
4.1 Pruebas del flujo de autenticación principal#
Prueba 1: Abortar la creación de la passkey (tras un inicio de sesión convencional exitoso)#
Validar el manejo correcto de la cancelación
✓ La ventana del gestor de contraseñas se abre correctamente ✓ El usuario cancela sin crear una passkey ✓ La app vuelve a la pantalla de inicio de sesión ✓ No quedan credenciales huérfanas en el gestor de contraseñas ✓ La UI muestra opciones de reintento apropiadas
Prueba 2: Crear una passkey (tras un inicio de sesión convencional exitoso)#
Verificar la creación de la passkey después del flujo de autenticación
✓ La autenticación local se inicia de forma fiable ✓ La autenticación biométrica se completa con éxito ✓ La credencial se crea con el RP ID correcto ✓ La app pasa al estado de autenticado sin bucles
Prueba 3: Autenticarse con una passkey existente#
Probar escenarios de autenticación estándar
✓ Aparece la superposición de passkey o el usuario proporciona su nombre de usuario en el escenario de campo de texto ✓ El escaneo biométrico y una única solicitud biométrica conducen a una autenticación exitosa ✓ Sin bucles de selección ni reapariciones de la ventana ✓ La sesión permanece estable después de la autenticación
Prueba 4: Crear una passkey desde la configuración#
Validar la gestión de passkeys dentro de la app
✓ RP ID, detectabilidad e indicadores BE/BS correctos ✓ La app permanece autenticada después de la creación ✓ El gestor de contraseñas se actualiza inmediatamente con las etiquetas correctas
Prueba 5: Eliminar la passkey e intentar iniciar sesión de nuevo#
Probar la gestión del ciclo de vida de las credenciales
✓ Eliminar la passkey en la configuración ✓ El inicio de sesión con passkey no es posible ✓ Se ofrece una opción de respaldo adecuada
4.2 Pruebas de compatibilidad multiplataforma#
Prueba 6: Usar una passkey creada en la app nativa en la web (mismo dispositivo)#
Validar la portabilidad de la app a la web
✓ El navegador reconoce las passkeys creadas en la app ✓ La ventana de selección muestra la asociación de RP correcta ✓ La autenticación se completa sin desvíos de QR/CDA
Prueba 7: Usar una passkey creada en la web en la app nativa#
Probar el uso compartido de credenciales de la web a la app
✓ La app muestra la credencial creada en la web en la selección ✓ La autenticación al primer intento tiene éxito ✓ Sin recurrir forzosamente a la contraseña
Prueba 8: Sincronización entre dispositivos (de móvil a escritorio)#
Verificar la sincronización de passkeys desde la app nativa al navegador de escritorio
✓ La passkey creada en la app se sincroniza con el gestor de contraseñas de escritorio ✓ La passkey sincronizada funciona sin problemas en el navegador de escritorio ✓ No se activa ningún flujo de código QR / entre dispositivos ✓ La autenticación se completa sin bucles ni errores
Prueba 9: Sincronización entre dispositivos (de escritorio a móvil)#
Verificar la sincronización de passkeys desde el navegador de escritorio a la app nativa
✓ La passkey creada en el escritorio se sincroniza con el gestor de contraseñas móvil ✓ La app nativa muestra correctamente la passkey sincronizada ✓ La autenticación tiene éxito sin recurrir a la contraseña ✓ Los registros vinculan la aserción con el ID de credencial correcto
Prueba 10: Móvil como autenticador para la web#
Validar escenarios de teléfono como llave de seguridad
✓ El teléfono ofrece la credencial creada en la app para CDA web ✓ Sin falsos errores de "no hay passkeys disponibles" ✓ La sesión web se completa después de la biometría móvil
5. Problemas comunes y estrategias de mitigación#
Nuestras extensas pruebas revelaron varios patrones recurrentes que afectan la integración de passkeys con gestores de contraseñas de terceros:
Retrasos en la sincronización entre dispositivos#
Problema: Las credenciales creadas en un dispositivo pueden no aparecer inmediatamente en otros.
Solución: Implementa una lógica de reintento con espera exponencial. Proporciona opciones de actualización manual para los usuarios que experimentan retrasos en la sincronización.
Comportamientos específicos de la versión#
Problema: El comportamiento del gestor de contraseñas varía significativamente entre las versiones del SO, especialmente en Android 14+ e iOS 17+.
Solución: Mantén una matriz de compatibilidad y ajusta los flujos según la versión del SO detectada. Considera requisitos de versión mínima para una experiencia óptima.
7. Conclusión: Construyendo un soporte de passkeys listo para producción#
Implementar con éxito el soporte de passkeys para gestores de contraseñas de terceros en apps nativas requiere pruebas metódicas y atención al detalle. Nuestro plan de pruebas completo, refinado a través de pruebas en el mundo real, proporciona una base sólida para validar tu integración de passkeys.
Puntos clave para el despliegue en producción:
- Prueba sistemáticamente: Usa nuestro plan de pruebas como base, adaptándolo a tus casos de uso específicos
- Respeta la elección del usuario: Da soporte a los gestores de contraseñas que tus usuarios prefieren, no solo a los predeterminados de la plataforma
- Monitoriza continuamente: Implementa un registro completo para detectar casos límite en producción
- Documenta a fondo: Mantén registros claros de los comportamientos y soluciones específicas de cada proveedor
El ecosistema de las passkeys sigue evolucionando rápidamente. Los gestores de contraseñas actualizan regularmente sus implementaciones, los sistemas operativos introducen nuevas funciones y la propia especificación WebAuthn avanza. Al establecer un marco de pruebas robusto ahora, estarás preparado para adaptarte a medida que la tecnología madure.
Seguiremos actualizando nuestros SDK y metodología de pruebas a medida que surjan nuevos patrones. La inversión en pruebas exhaustivas de gestores de contraseñas de terceros se ve recompensada con una menor carga de soporte y una mayor satisfacción del usuario. Después de todo, la autenticación simplemente debe funcionar, sin importar qué gestor de contraseñas elijan tus usuarios.
Acerca de Corbado
Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →
Compartir este artículo
Artículos relacionados
Tabla de contenidos