Resolución de problemas con passkeys: Soluciones para incidencias y errores

Las passkeys se están convirtiendo rápidamente en el estándar para la autenticación de usuarios segura y sin interrupciones. Grandes empresas tecnológicas como Amazon, WhatsApp, Coinbase y TikTok ya han adoptado esta tecnología, y otras como Facebook, LinkedIn y X/Twitter les seguirán pronto. Sin embargo, como con cualquier tecnología emergente, todavía hay algunos conceptos de UI/UX, como los mensajes de error, que son nuevos para los usuarios finales. Los usuarios a menudo se enfrentan a problemas con las passkeys como «no hay passkeys coincidentes» o «las passkeys no funcionan». Además, muchas relying parties definen sus propios mensajes de error, ya que no hay demasiadas mejores prácticas demostradas (aparte de las directrices de UIX de la FIDO Alliance). En algunos casos, si un servicio informa de que «no hay ninguna passkey en este dispositivo», puede ser necesario volver a comprobar la configuración de tu dispositivo, ya que las soluciones modernas de passkeys tienen como objetivo eliminar esta confusión.

Las passkeys representan un cambio de paradigma en la autenticación, trasladando la autenticación en general del backend al frontend, ya que las passkeys interactúan a través de las API del sistema operativo con el secure enclave, el TPM o el TEE de un dispositivo.

Como resultado, la comunicación eficaz con el usuario y el manejo de errores se vuelven importantes. Los usuarios, acostumbrados a los métodos de autenticación tradicionales, ahora se enfrentan a una curva de aprendizaje con las passkeys. Hemos observado errores frecuentes con las passkeys y mucha confusión a través de nuestras interacciones en plataformas como X (antes Twitter) y Reddit. Nuestro objetivo con este artículo es ayudar a más usuarios cuando se enfrenten a estos problemas con las passkeys. Analizaremos los problemas comunes de las passkeys y ofreceremos soluciones prácticas, mejorando así la experiencia del usuario y la confianza en las passkeys. Si alguna vez te encuentras con que una «passkey de Google no funciona» en tu dispositivo, considera verificar las actualizaciones de tu navegador o sistema.

Las passkeys representan un gran paso en la autenticación sin contraseña, utilizando la API de WebAuthn, y están respaldadas por la FIDO Alliance y el World Wide Web Consortium (W3C). Además, las passkeys se basan en los principios de la criptografía de clave pública.

Imagina crear una cuenta en la que tu dispositivo genera de forma autónoma un par único de claves pública y privada. Estas claves están vinculadas, de forma muy parecida a una llave hecha a medida para una cerradura específica. Para una autenticación exitosa, ambos elementos son esenciales.

¿La parte fascinante? La clave pública es el único componente que se comparte con un sitio web o una aplicación (la relying party). La clave privada, por otro lado, permanece segura en tu dispositivo.

El proceso de autenticación es muy fácil de usar. Cuando intentas iniciar sesión, el sitio web o la aplicación envía un desafío. Aquí es donde entras tú: utilizando la biometría o el PIN de tu dispositivo (p. ej., a través de Face ID, Touch ID o Windows Hello), desbloqueas tu clave privada. Tu dispositivo utiliza entonces esta clave para firmar el desafío, enviando esta firma de vuelta para su verificación. El sitio web o la aplicación, con la clave pública a su disposición, confirma la autenticidad de esta firma.

Lo que hace que este proceso sea realmente fluido es su velocidad y transparencia. Desde la perspectiva del usuario, simplemente estás verificando tu identidad a través de Face ID. Mientras tanto, bajo el capó, este sofisticado mecanismo valida eficientemente tus credenciales, otorgándote acceso a tu cuenta.

Llavero de iCloud activado:

Para los usuarios de dispositivos Apple que utilizan Safari, el Llavero de iCloud debe estar activado para usar passkeys. Esto es esencial para compartir contraseñas y sincronizarlas entre dispositivos. Para configurar el Llavero de iCloud, ve a los ajustes de tu dispositivo, selecciona tu ID de Apple, ve a iCloud y luego activa el Llavero de iCloud (lee más aquí). En las cuentas de iCloud con el Llavero activado, Apple obliga a que la cuenta de iCloud subyacente esté protegida por MFA.

Se requiere iOS 16 o macOS Ventura:

Las passkeys son compatibles con dispositivos que ejecutan iOS 16 o posterior, o macOS Ventura o posterior. Estos sistemas operativos más nuevos incluyen funciones de seguridad mejoradas necesarias para la funcionalidad de las passkeys. Los usuarios deben asegurarse de que sus dispositivos estén actualizados a estas versiones o superiores (lee más aquí).

Configuración de Windows Hello:

En dispositivos con Windows 10+, Windows Hello debe estar configurado para usar passkeys (consulta aquí para más detalles sobre la compatibilidad de passkeys en diferentes versiones de Windows). Windows Hello es una tecnología basada en la biometría que permite a los usuarios autenticar el acceso seguro a sus dispositivos y aplicaciones mediante una huella dactilar, reconocimiento facial o un PIN. Para configurar Windows Hello, ve a Configuración, luego a Cuentas y, en Opciones de inicio de sesión, sigue las indicaciones para configurar Windows Hello (lee más aquí).

Android versión 9 o posterior:

La compatibilidad con passkeys requiere al menos Android 9. Esto se debe a que las versiones más recientes de Android tienen una mejor integración con funciones de seguridad como la biometría y el almacenamiento seguro en hardware, que son cruciales para las passkeys.

Servicios de Google Play actualizados:

Asegúrate de que los Servicios de Google Play estén actualizados, ya que desempeñan un papel fundamental en la gestión de los procesos de seguridad y autenticación en los dispositivos Android. Si experimentas problemas en los que una «passkey de Google no funciona» correctamente en tu Android, comprobar las actualizaciones y configuraciones en los Servicios de Google Play puede resolver el problema.

Además, en todas las plataformas, asegúrate de que el navegador web que se utiliza esté actualizado a la última versión. Navegadores como Safari, Chrome y Edge a menudo lanzan actualizaciones que mejoran las funciones de seguridad, incluida la compatibilidad con passkeys.

La siguiente lista consta de errores típicos de las passkeys. Además de proporcionar la causa del error, se ofrece una posible solución que ha funcionado para otros:

• Causa: Este error ocurre cuando el Llavero de iCloud, que es necesario para almacenar passkeys en dispositivos Apple, no está activado.
• Solución: Activa el Llavero de iCloud yendo al panel de ID de Apple en los Ajustes del Sistema. Asegúrate de que esté configurado correctamente para sincronizar las passkeys en todos tus dispositivos.

• Causa: Este error suele ocurrir cuando un usuario intenta acceder a un servicio utilizando una passkey que no está almacenada en su Llavero de iCloud o no está sincronizada entre sus dispositivos.
• Solución: Asegúrate de que el Llavero de iCloud esté activado y correctamente sincronizado en todos los dispositivos. Comprueba si la passkey para el servicio específico está realmente guardada en el Llavero de iCloud. Si ves el mensaje detallado que indica que «no hay passkeys coincidentes guardadas en tu Llavero de iCloud», asegúrate de volver a activar la sincronización en todos los dispositivos.

• Causa: No se puede encontrar ninguna passkey en el dispositivo actual y el servidor WebAuthn no permite ninguna autenticación con passkey multiplataforma. Este mensaje de error refuerza que «no hay passkeys disponibles» si el sistema de autenticación no puede detectar una, y puede mostrar un aviso como «no hay ninguna passkey en este dispositivo».
• Solución: Verifica si existe una passkey en tu dispositivo. Si has eliminado la passkey localmente o en el lado del cliente (p. ej., en la configuración de tu Llavero de iCloud o en la configuración del Administrador de contraseñas de Google), también necesitas eliminar la passkey en el lado del servidor en la configuración de la cuenta de tu relying party, para que el sistema no siga esperando su presencia.

• Causa: Este mensaje aparece cuando se intenta registrar una nueva passkey en un dispositivo que ya tiene una para la misma cuenta. Algunas relying parties restringen que los usuarios solo puedan tener una passkey por dispositivo (o ecosistema, p. ej., Llavero de iCloud sincronizado o 1Password) y cuenta. Normalmente, esta configuración se define en la propiedad del servidor WebAuthn excludeCredentials.
• Solución: Comprueba la configuración de tu dispositivo para ver si ya existe una passkey y úsala, o intenta añadir una nueva passkey desde un dispositivo diferente. Alternativamente, entra en la configuración de la cuenta de la relying party, elimina la passkey existente para este dispositivo y cuenta, e intenta crear una nueva.

• Causa: Una passkey está vinculada a una cuenta y plataforma específicas (p. ej., el dispositivo o una cuenta de plataforma sincronizada en la nube como el Llavero de iCloud). Si ves un código QR al intentar iniciar sesión con una passkey, significa que aún no tienes una passkey en el dispositivo/plataforma actual que estás utilizando (pero es posible que hayas configurado una previamente en tu smartphone iOS o Android). Otra causa es que el servidor limita las passkeys que se pueden utilizar (a través de la propiedad del servidor WebAuthn AllowCredentials) y esas passkeys no están disponibles en tu dispositivo.
• Solución: Si el dispositivo en el que creaste previamente una passkey tiene una cámara, es posible que puedas escanear el código QR para iniciar sesión utilizando esa passkey existente (esto se llama autenticación con passkey multiplataforma). Si se proporciona, deberías poder utilizar un método de autenticación alternativo para iniciar sesión. Una vez iniciada la sesión, puedes configurar una passkey adicional para el nuevo/actual dispositivo que estás utilizando en la configuración de la cuenta de la relying party.

• Causa: Este aviso aparece cuando se requiere una llave de seguridad de hardware (p. ej., YubiKey) para la autenticación, posiblemente debido a la falta de un TPM o a que Windows Hello está desactivado. Otra causa es que te encuentras en un dispositivo sin capacidades Bluetooth (p. ej., un ordenador de sobremesa antiguo) y no hay passkeys adecuadas presentes en el dispositivo.
• Solución: Inserta la llave de seguridad de hardware (p. ej., YubiKey) en el puerto USB. Alternativamente, activa Windows Hello si deseas autenticarte sin la llave de seguridad de hardware (se necesita haber creado previamente una passkey con Windows Hello).

• Causa: Este error suele ocurrir cuando el dispositivo Android que se supone que debe usar la passkey no tiene activada la función de bloqueo de pantalla. La presencia de un bloqueo de pantalla es un requisito previo para usar passkeys en Android por razones de seguridad.
• Solución: Para resolver este problema, activa la función de bloqueo de pantalla en tu dispositivo Android. Esto se puede hacer normalmente a través de la configuración de seguridad del dispositivo. Una vez que el bloqueo de pantalla esté activado, intenta usar la passkey de nuevo.

• Causa: Este error puede surgir por varias razones, como un fallo en la aplicación o el software que estás utilizando, un problema temporal del servidor o una configuración incompatible del dispositivo.
• Solución: Reinicia la aplicación o el dispositivo e intenta generar la passkey de nuevo. Si el problema persiste, comprueba si hay actualizaciones disponibles para la aplicación o el sistema operativo de tu dispositivo. Si es un problema del lado del servidor, puede que necesites esperar e intentarlo de nuevo más tarde.

• Causa: Muchos mensajes de error como este ocurren si una passkey se ha eliminado manualmente, ya sea en el lado del cliente o en el del servidor. Incluso si tu clave privada local permanece, sin la clave pública correspondiente en el servidor, se activa el error que menciona «no pudimos encontrar una passkey coincidente».
• Solución: Intenta acceder a tu cuenta desde otro dispositivo o utiliza un método de inicio de sesión alternativo que puedas haber configurado anteriormente. Normalmente, podrás crear una nueva passkey en la configuración de la cuenta.

• Causa: Este es un error típicamente indicado por PayPal o plataformas similares, que sugiere que el dispositivo o navegador que se está utilizando no es compatible o no tiene la funcionalidad para crear o usar passkeys.
• Solución: Asegúrate de que tu dispositivo y navegador estén actualizados. Si el dispositivo o navegador inherentemente no es compatible con las passkeys, considera cambiar a uno compatible.

• Causa: Esto podría deberse a una entrada incorrecta de la passkey, problemas de comunicación temporales entre el servidor y tu dispositivo, o un mal funcionamiento en el proceso de autenticación.
• Solución: Vuelve a comprobar la passkey que estás introduciendo. Si es correcta, inténtalo de nuevo después de un rato. Si el problema continúa, comprueba tu conexión a internet o considera restablecer tu passkey si es posible.

• Causa: Este error suele ocurrir cuando el servidor tarda demasiado en responder, posiblemente debido a problemas de conectividad de red o a una alta carga del servidor.
• Solución: Comprueba tu conexión a internet para asegurar una señal estable y fuerte. Si la conexión está bien, el problema podría estar en el lado del servidor, en cuyo caso deberías intentarlo de nuevo más tarde cuando el servidor esté menos ocupado.

Las passkeys están allanando el camino hacia un panorama digital más seguro y fácil de usar. Al aprovechar el poder de la criptografía de clave pública, eliminan las vulnerabilidades de las contraseñas tradicionales, ofreciendo una experiencia de autenticación robusta y sin interrupciones. A medida que avanzamos, comprender y solucionar los errores comunes de las passkeys se vuelve crucial. Este conocimiento no solo aumenta la confianza del usuario, sino que también fomenta una adopción más amplia. Si quieres estar al día de todas las noticias sobre passkeys (incluida la gestión de errores y la resolución de problemas con passkeys), únete a nuestra comunidad de passkeys en Slack o suscríbete a nuestro Substack de passkeys.