Prueba de origen: La API de credenciales digitales multidispositivo ahora está disponible en Chrome para computadoras

José Luis Zapata

Fecha de publicación: 30 de abril de 2025

Tenemos una actualización emocionante de la API de Digital Credentials: compatibilidad con varios dispositivos.

A partir de Chrome 136, los usuarios ahora pueden presentar información verificada almacenada en la billetera digital de su dispositivo Android a Chrome para computadoras. Esto se basa en la versión inicial de la API de Digital Credentials, que se introdujo como una prueba de origen en Chrome 128 para Android. Esta función estará disponible primero en los dispositivos Pixel, y otros proveedores de Android actualizarán sus apps de cámara para admitirla también.

Fondo

Cada vez más, las credenciales digitales (como una licencia de conducir para dispositivos móviles) se almacenan en billeteras móviles, como la Billetera de Google. Es posible presentarlos en computadoras de escritorio, pero los métodos existentes no ofrecen garantías de privacidad ni seguridad sólidas. Chrome mejora esto admitiendo la presentación de credenciales en el navegador, mejorando la seguridad y la privacidad, y facilitando que los usuarios presenten información de identidad de forma segura y sin problemas.

La API de credenciales digitales (DC), que permite a los usuarios de Chrome en Android presentar credenciales digitales desde una app de billetera en el mismo dispositivo, ya se encuentra en una prueba de origen. Ahora extendemos esta prueba de origen para admitir la presentación de credenciales digitales en varios dispositivos. Con la función multidispositivo, los usuarios ahora pueden escanear un código QR que se muestra en Chrome para computadoras de escritorio para establecer una conexión y presentar credenciales de forma segura desde su teléfono Android.

Esta innovación garantiza lo siguiente:

  • Mayor comodidad para el usuario: Los usuarios pueden presentar información verificada de forma conveniente en todos los dispositivos.
  • Garantías de seguridad sólidas: Proporciona una presentación multidispositivo resistente al phishing con Bluetooth como verificación de proximidad entre la computadora de escritorio y el dispositivo móvil.

Cómo funciona

Para compartir credenciales verificables almacenadas en la billetera digital de un smartphone con un sitio web usando Chrome para computadoras, sigue estos pasos:

  1. Iniciación de la solicitud de credencial: Un sitio web que solicita la verificación de identidad invoca la API de DC. Chrome para computadoras de escritorio muestra un código QR que les solicita a los usuarios que recuperen una credencial desde un dispositivo Android. Este código QR contiene información criptográfica necesaria para la comunicación segura entre Chrome para computadoras y el dispositivo móvil.
  2. Acción del usuario: El usuario escanea el código QR con su dispositivo Android.
  3. Conexión del dispositivo: Chrome para computadoras y el dispositivo Android establecen una conexión segura para verificar la proximidad mediante Bluetooth antes de continuar con la presentación de credenciales.
  4. Selección de credenciales: Android muestra las credenciales de billetera aptas en el dispositivo que coinciden con la solicitud.

  5. Consentimiento y autenticación de la billetera:

    • Después de que el usuario selecciona la credencial, la solicitud se reenvía a la app de la billetera que contiene esa credencial. Es posible que la app de la billetera le solicite al usuario que otorgue su consentimiento para compartir y que se autentique de forma local (por ejemplo, con un PIN o datos biométricos).
    • La app de la billetera procesa la solicitud y envía de forma segura la información solicitada encriptada a Chrome para computadoras.

  6. Presentación de credenciales: La información solicitada se presenta al sitio web del tercero de confianza, que la envía a su servidor para que se decifre y procese de forma segura (como verificar la edad o la identidad del usuario).

Consideraciones de privacidad y seguridad

Esta función multidispositivo incorpora prácticas de privacidad y seguridad que se usan en el CTAP 2.2:

  • Proximidad de la computadora de escritorio y el dispositivo móvil: CTAP 2.2 garantiza que el teléfono y la computadora de escritorio estén cerca antes de que se presenten las credenciales, lo que evita que los atacantes usen de forma remota códigos QR para acceder a la información de los usuarios.
  • Comunicación segura: La comunicación entre Chrome para computadoras y el dispositivo Android se realiza a través de un servidor de túnel seguro. Por lo general, las billeteras encriptan la respuesta para que solo el servidor web solicitante pueda leerla.
  • Consentimiento del usuario: El usuario debe seleccionar una credencial de forma explícita para aceptar la solicitud de credencial antes de que se compartan los datos.
  • Divulgación selectiva: Las apps de billetera solo presentan los atributos específicos solicitados, como un rango de edad, sin exponer información innecesaria. La API de DC también admite funciones que mejoran la privacidad, como la prueba de conocimiento cero en la Billetera de Google.

Probar

Para explorar la API de credenciales digitales multidispositivo, haz lo siguiente:

  1. Actualiza a Chrome 136 en computadoras de escritorio y a Servicios de Google Play 24.0 o versiones posteriores en tu dispositivo Android.
  2. Habilita la marca en chrome://flags#web-identity-digital-credentials.

  3. Sigue la demostración:

    1. Navega a https://digital-credentials.dev en Chrome para computadoras.
    2. Presiona el botón Solicitar credenciales.
    3. Escanea el código QR con tu teléfono Android.
    4. Presenta una credencial de demostración almacenada en la app de la billetera disponible a través de la Fundación OpenWallet.

Esta función está disponible en dispositivos Pixel, y estamos trabajando para habilitar la compatibilidad con otros dispositivos Android en el futuro.

Para comenzar a experimentar en tu propio sitio web, únete a la prueba de origen de la API de Digital Credentials.

Recursos

Enviar comentarios

¿Lo probaste? Dinos qué funcionó, qué no y qué corregirías.

Enviar comentarios