Pruebas de gestores de contraseñas para passkeys en aplicaciones nativas

Con el lanzamiento de iOS 17 y Android 14, el panorama de las passkeys para aplicaciones móviles nativas ha cambiado radicalmente. Por primera vez, los gestores de contraseñas de terceros pueden actuar como proveedores de passkeys, rompiendo el monopolio de iCloud Keychain y Google Password Manager. Esto permite a los usuarios usar sus soluciones de confianza como 1Password, Bitwarden o Dashlane en los flujos de autenticación de apps nativas. Aunque esto es una gran victoria para la elección del usuario, introduce una complejidad considerable para los desarrolladores. Tu implementación de passkeys puede comportarse de manera diferente según el gestor de contraseñas en aplicaciones móviles nativas. Por eso, es importante que cualquier equipo pruebe correctamente las passkeys en apps nativas y los gestores de contraseñas de terceros.

Esta guía completa comparte nuestro enfoque, probado en el campo de batalla, para las pruebas de passkeys en apps nativas con gestores de contraseñas de terceros. Si bien el ecosistema de las passkeys ha madurado significativamente en 2025, la implementación en el mundo real todavía requiere una validación cuidadosa entre las diversas implementaciones de los gestores de contraseñas. Hemos resumido nuestra experiencia en un plan de pruebas práctico que garantiza que tu app nativa funcione sin problemas con los gestores de contraseñas preferidos de los usuarios.

El ecosistema de los gestores de contraseñas ha evolucionado más allá de las soluciones nativas de las plataformas. Los usuarios eligen activamente gestores de contraseñas de terceros como 1Password, Bitwarden, Dashlane, Proton Pass y NordPass en función de sus necesidades específicas, como la sincronización multiplataforma, las funciones empresariales o las preferencias de privacidad. Tu app nativa de iOS / Android debe adaptarse a esta diversidad sin forzar a los usuarios a cambiar su solución de gestión de contraseñas de confianza.

Según los datos que medimos en las páginas de Corbado, vemos que solo entre el 5 y el 10 % de los usuarios generales dependen de gestores de contraseñas de terceros. Aunque esta cifra pueda parecer baja, tendrá un gran impacto en la percepción de tu implementación de passkeys y en el número de tickets de soporte si trabajas en un entorno a gran escala. Hemos observado que algunos gestores de contraseñas implementan la especificación WebAuthn de forma ligeramente diferente, lo que provoca sutiles variaciones en la experiencia del usuario o incluso errores.

Las apps nativas de iOS y Android ofrecen diferentes formas de usar las passkeys. En Android, encontrarás superposiciones de passkeys y entradas manuales en campos de texto que activan la ceremonia de passkey (para aplicaciones web, Android también soporta Conditional UI). iOS presenta su propio conjunto de superposiciones de passkeys junto con la Conditional UI y también entradas manuales en campos de texto. Además, hay otros casos límite que comprobar. En resumen, tu aplicación nativa debe manejar con elegancia:

• Inicios de sesión con superposición de passkeys que aparecen inmediatamente al cargar la página
• Inicios de sesión con Conditional UI (solo en iOS) que autosugieren las passkeys disponibles
• Inicios de sesión desde campos de texto donde el usuario proporciona su nombre de usuario antes de hacer clic en un botón
• Autenticación entre dispositivos (CDA) para usar una passkey con otro dispositivo
• Mecanismos de respaldo cuando el uso de passkeys no está disponible

La configuración correcta de los indicadores determina si las passkeys funcionan como se espera en todos los dispositivos y plataformas. Los valores críticos incluyen:

• Relying Party ID (rpID): Debe coincidir exactamente en las implementaciones web y nativas, y es el dominio al que está vinculada la passkey
• User verification: Determina que el usuario necesita proporcionar su autenticación local
• Resident key/discoverable credentials: Permite la autenticación sin nombre de usuario (habilita la Conditional UI)
• Backup eligibility (BE) y backup state (BS): Permiten la sincronización de passkeys entre dispositivos

Los indicadores mal configurados no siempre causan fallos inmediatos. Sin embargo, podrían crear problemas sutiles e inconsistencias, como que las passkeys estén disponibles en un dispositivo pero no se sincronicen entre dispositivos (aunque el mismo gestor de contraseñas de terceros esté disponible en ambos). Uno de nuestros hallazgos en las pruebas fue que algunos gestores de contraseñas de terceros establecen incorrectamente los indicadores BE/BS, lo que representaba una gran parte de los problemas con las passkeys.

Las arquitecturas de actividad única (Android) y escena única (iOS) requieren una gestión meticulosa del ciclo de vida. Cuando aparece y se descarta una ventana de un gestor de contraseñas, tu app debe preservar el estado, manejar las devoluciones de llamada y reanudarse correctamente. Esto es especialmente crítico en Android, donde la configuración launchMode puede causar un comportamiento inesperado.

Por ejemplo, descubrimos que establecer MainActivity en launchMode="singleInstance" creaba problemas. En algunas versiones de Android y personalizaciones de OEM, este modo hace que la UI del gestor de credenciales de passkeys se abra como una tarea separada. Esto no solo añade una entrada de app adicional y confusa a la pantalla de "Recientes", sino que también puede hacer que la app se cuelgue si se pone en segundo plano mientras el diálogo de passkey está abierto.

La solución recomendada es cambiar la configuración a launchMode="singleTask". Esto evita que el gestor de credenciales genere una tarea separada, asegurando un ciclo de vida más predecible entre diferentes OEMs (Samsung, Google, Vivo, etc.) y reduciendo el riesgo de errores específicos del proveedor. Proporciona una base más estable para probar la navegación, las superposiciones y los enlaces profundos.

Hemos observado que estos problemas del ciclo de vida a menudo se disfrazan de "errores del gestor de contraseñas" cuando en realidad son problemas a nivel de la aplicación. Una instrumentación y pruebas adecuadas con diferentes proveedores ayudan a identificar estos patrones a tiempo.

Enfoca tus pruebas de passkeys en apps nativas en los gestores de contraseñas de terceros más adoptados:

Objetivos primarios (cobertura esencial):

• 1Password
• Bitwarden
• Dashlane
• Proton Pass
• NordPass

Objetivos secundarios (según tu base de usuarios):

• Proveedores regionales (p. ej., Samsung Pass para dispositivos Samsung)
• Soluciones empresariales si te diriges a usuarios de negocios
• Opciones predeterminadas de la plataforma (Google Password Manager, iCloud Keychain) como referencia

Evita la tentación de probar todos los gestores de contraseñas disponibles. Concéntrate en los proveedores que representan el 90 % de tu base de usuarios. Nuestros análisis mostraron que los cinco objetivos primarios cubrían el 85 % de los usuarios de gestores de contraseñas de terceros en la UE/EE. UU./Reino Unido/AUS/NZ.

Antes de comenzar cada ciclo de pruebas, asegúrate de tener un entorno limpio y reproducible:

1. Estado de credenciales limpio:

• Elimina todas las credenciales existentes para tu RP ID
• Limpia la caché del navegador y de la app
• Cierra y vuelve a iniciar sesión completamente en el gestor de contraseñas
• Fuerza el cierre y reinicia la app objetivo

2. Estabiliza el entorno de pruebas:

• Asegura una conectividad de red estable (sin VPN durante las pruebas)
• Desactiva las animaciones de la UI si automatizas las pruebas
• Usa una orientación de dispositivo consistente
• Documenta la versión del SO, la versión de la app y la versión del gestor de contraseñas

Cada prueba valida aspectos específicos de la funcionalidad de las passkeys. Documenta los resultados sistemáticamente usando un estado de aprobado/fallido y notas detalladas para cualquier anomalía.

Validar el manejo correcto de la cancelación

✓ La ventana del gestor de contraseñas se abre correctamente ✓ El usuario cancela sin crear una passkey ✓ La app vuelve a la pantalla de inicio de sesión ✓ No quedan credenciales huérfanas en el gestor de contraseñas ✓ La UI muestra opciones de reintento apropiadas

Verificar la creación de la passkey después del flujo de autenticación

✓ La autenticación local se inicia de forma fiable ✓ La autenticación biométrica se completa con éxito ✓ La credencial se crea con el RP ID correcto ✓ La app pasa al estado de autenticado sin bucles

Probar escenarios de autenticación estándar

✓ Aparece la superposición de passkey o el usuario proporciona su nombre de usuario en el escenario de campo de texto ✓ El escaneo biométrico y una única solicitud biométrica conducen a una autenticación exitosa ✓ Sin bucles de selección ni reapariciones de la ventana ✓ La sesión permanece estable después de la autenticación

Validar la gestión de passkeys dentro de la app

✓ RP ID, detectabilidad e indicadores BE/BS correctos ✓ La app permanece autenticada después de la creación ✓ El gestor de contraseñas se actualiza inmediatamente con las etiquetas correctas

Probar la gestión del ciclo de vida de las credenciales

✓ Eliminar la passkey en la configuración ✓ El inicio de sesión con passkey no es posible ✓ Se ofrece una opción de respaldo adecuada

Validar la portabilidad de la app a la web

✓ El navegador reconoce las passkeys creadas en la app ✓ La ventana de selección muestra la asociación de RP correcta ✓ La autenticación se completa sin desvíos de QR/CDA

Probar el uso compartido de credenciales de la web a la app

✓ La app muestra la credencial creada en la web en la selección ✓ La autenticación al primer intento tiene éxito ✓ Sin recurrir forzosamente a la contraseña

Verificar la sincronización de passkeys desde la app nativa al navegador de escritorio

✓ La passkey creada en la app se sincroniza con el gestor de contraseñas de escritorio ✓ La passkey sincronizada funciona sin problemas en el navegador de escritorio ✓ No se activa ningún flujo de código QR / entre dispositivos ✓ La autenticación se completa sin bucles ni errores

Verificar la sincronización de passkeys desde el navegador de escritorio a la app nativa

✓ La passkey creada en el escritorio se sincroniza con el gestor de contraseñas móvil ✓ La app nativa muestra correctamente la passkey sincronizada ✓ La autenticación tiene éxito sin recurrir a la contraseña ✓ Los registros vinculan la aserción con el ID de credencial correcto

Validar escenarios de teléfono como llave de seguridad

✓ El teléfono ofrece la credencial creada en la app para CDA web ✓ Sin falsos errores de "no hay passkeys disponibles" ✓ La sesión web se completa después de la biometría móvil

Nuestras extensas pruebas revelaron varios patrones recurrentes que afectan la integración de passkeys con gestores de contraseñas de terceros:

Problema: Las credenciales creadas en un dispositivo pueden no aparecer inmediatamente en otros.

Solución: Implementa una lógica de reintento con espera exponencial. Proporciona opciones de actualización manual para los usuarios que experimentan retrasos en la sincronización.

Problema: El comportamiento del gestor de contraseñas varía significativamente entre las versiones del SO, especialmente en Android 14+ e iOS 17+.

Solución: Mantén una matriz de compatibilidad y ajusta los flujos según la versión del SO detectada. Considera requisitos de versión mínima para una experiencia óptima.

Implementar con éxito el soporte de passkeys para gestores de contraseñas de terceros en apps nativas requiere pruebas metódicas y atención al detalle. Nuestro plan de pruebas completo, refinado a través de pruebas en el mundo real, proporciona una base sólida para validar tu integración de passkeys.

Puntos clave para el despliegue en producción:

1. Prueba sistemáticamente: Usa nuestro plan de pruebas como base, adaptándolo a tus casos de uso específicos
2. Respeta la elección del usuario: Da soporte a los gestores de contraseñas que tus usuarios prefieren, no solo a los predeterminados de la plataforma
3. Monitoriza continuamente: Implementa un registro completo para detectar casos límite en producción
4. Documenta a fondo: Mantén registros claros de los comportamientos y soluciones específicas de cada proveedor

El ecosistema de las passkeys sigue evolucionando rápidamente. Los gestores de contraseñas actualizan regularmente sus implementaciones, los sistemas operativos introducen nuevas funciones y la propia especificación WebAuthn avanza. Al establecer un marco de pruebas robusto ahora, estarás preparado para adaptarte a medida que la tecnología madure.

Seguiremos actualizando nuestros SDK y metodología de pruebas a medida que surjan nuevos patrones. La inversión en pruebas exhaustivas de gestores de contraseñas de terceros se ve recompensada con una menor carga de soporte y una mayor satisfacción del usuario. Después de todo, la autenticación simplemente debe funcionar, sin importar qué gestor de contraseñas elijan tus usuarios.