Fecha de publicación: 21 de mayo de 2026
En Google I/O 2026, hablamos sobre una Web en la que acceder no es una tarea. Debe ser un punto de entrada seguro y simplificado que haga que los usuarios se sientan seguros. En esta publicación, se resume cómo puedes corregir los flujos de tu cuenta, reducir los inconvenientes y proteger a las personas desde el principio.
Acceso rápido
- Por qué es importante la modernización
- Optimiza la creación de cuentas
- Verificación de atributos sin inconvenientes
- Implementa llaves de acceso para un acceso sin problemas
- Adopción estratégica de llaves de acceso
- Administración de llaves de acceso y recuperación resiliente
Por qué es importante la modernización
Los flujos con muchos inconvenientes (como los formularios de registro desordenados, el molesto bucle de "olvidé mi contraseña" o una pared de botones de acceso) arruinan el ambiente. Son "asesinos de cambios de contexto" que alejan a los usuarios. Las contraseñas tradicionales y las contraseñas de un solo uso (OTP) también dejan a las personas expuestas al phishing.
Cada segundo de inconveniente es una oportunidad para que un usuario abandone el sitio. La modernización de la autenticación protege tus sistemas y a tus usuarios. Si simplificas cada punto de contacto en el recorrido de identidad, aumentarás de forma natural tus tasas de conversión. Por ejemplo, pixiv logró una asombrosa tasa de éxito de acceso del 99% (una mejora del 29% en comparación con las contraseñas) después de implementar llaves de acceso. Dejar de usar credenciales débiles hace que las cosas sean más rápidas y seguras.
Optimiza la creación de cuentas
La primera interacción que tiene un usuario con tu app establece el ambiente. Optimizar la creación de cuentas es el primer paso para mejorar la adopción y la seguridad.
Federación de identidades como método principal de creación de cuentas
Puedes permitir que tus usuarios omitan los tediosos formularios de creación de cuentas mediante la federación de identidades, que les permite registrarse con un proveedor de confianza como Google. Esto proporciona una experiencia de registro sólida y optimizada que permite a los usuarios acceder a tu app sin la "tarea" del registro típico.
La federación significa que los usuarios no tienen que escribir su nombre ni su correo electrónico de forma manual. Como el proveedor ya los verificó, puedes omitir los pasos redundantes para verificarlos de forma independiente y atraer a más personas.
Además, adoptar una solución de identidad federada te permite heredar el nivel de seguridad de un IdP (proveedor de identidad) dedicado. Como los IdP se especializan en identidad y seguridad, depender de su infraestructura elimina el riesgo de crear la autenticación desde cero.
Adopta la API de Federated Credential Management (FedCM)
Si actúas como IdP, te recomendamos que adoptes la API de FedCM. Controla la interacción a través de la IU del navegador, que protege la privacidad, ya que evita el seguimiento y les brinda a los usuarios un acceso con un solo toque, y ordena la IU, ya que muestra solo las cuentas pertinentes.
El patrón "Federate-then-upgrade"
Federate-then-upgrade combina la velocidad de la federación con la seguridad a largo plazo de las llaves de acceso. Si solicitas una llave de acceso justo después de un registro federado, el próximo acceso del usuario será resistente al phishing desde el primer día.
Optimiza los formularios para Autocompletar
Si son necesarios los formularios manuales, usa atributos name y id descriptivos, y corrige los valores autocomplete para permitir que el navegador complete los campos por el usuario. Esto reduce la carga cognitiva y la posibilidad de errores tipográficos durante el proceso de registro. Consulta nuestras prácticas recomendadas para formularios de registro para obtener más
detalles sobre la optimización de formularios.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Verificación de atributos sin inconvenientes
Hacer que los usuarios salgan de tu app para consultar un código en su correo electrónico reduce las tasas de conversión. En este cambio de contexto, las personas se distraen y nunca vuelven.
Presentamos el Protocolo de verificación por correo electrónico (EVP)
El Protocolo de verificación por correo electrónico (EVP), una función emergente, permite que tu aplicación obtenga una dirección de correo electrónico verificada directamente a través del navegador.
Para habilitar el uso de esta función, agrega un campo de entrada oculto con el
autocomplete="email-verification-token" atributo y con un challenge. El navegador analiza el dominio de correo electrónico de la entrada y solicita que la entidad emisora del correo electrónico verifique que el usuario tenga el control de este correo electrónico. Una vez que se complete la verificación, el navegador presentará una declaración de correo electrónico verificada que tu backend puede verificar de inmediato. Para el usuario, este flujo se produce sin problemas; solo ve una notificación cuando se verifica el correo electrónico.
El EVP elimina la necesidad de inconvenientes que alejan a las personas (como los vínculos mágicos o las OTP por correo electrónico) para el acceso, el registro y el restablecimiento de la contraseña.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Ten en cuenta que depende de los proveedores de servicios de correo electrónico individuales admitir el EVP. Consulta con tu proveedor específico para ver si planea admitir el EVP. Si tienes un dominio personalizado, puedes conectarlo a un proveedor de correo electrónico compatible para admitir el EVP también.
Como aún está en etapa experimental, agradecemos tus comentarios sobre esta función en el repositorio de GitHub.
API de Digital Credentials
Para detalles sensibles, como un nombre legal o la edad, la API de Digital Credentials proporciona una forma de solicitar datos verificados de la cartera de un usuario a través de la mediación del navegador mediante la divulgación selectiva. Esto significa que puedes verificar que un usuario tenga más de una edad determinada sin recibir su fecha de nacimiento completa ni su nombre legal, lo que preserva su privacidad.
Consulta API de Digital Credentials: Identidad segura y privada en la Web.
Implementa llaves de acceso para un acceso sin problemas
Las llaves de acceso son más que un reemplazo de las contraseñas. Son un cambio fundamental hacia la autenticación resistente al phishing sin problemas.
Modo de IU inmediato
A partir de Chrome 149, está disponible el modo de IU inmediato. Permite que el sitio web verifique las credenciales en el momento en que un usuario navega a tu sitio. Si hay una llave de acceso o una contraseña disponible en el administrador de contraseñas, el navegador media el flujo con una lista de cuentas disponibles en un diálogo de acceso de inmediato.
Esto elimina la necesidad de que un usuario seleccione un método de acceso. Si ofreces de forma proactiva la credencial para la cuenta seleccionada, crearás una experiencia de "un toque" sin inconvenientes que le parecerá mágica al usuario.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Consulta Modo de IU inmediato para accesos.
Autocompletado de formularios con llaves de acceso: Usa el autocompletado de formularios mientras realizas la transición a las llaves de acceso
Para los usuarios de un sitio web que está en transición de contraseñas a llaves de acceso, el autocompletado de formularios con llaves de acceso permite que las llaves de acceso aparezcan en las sugerencias de Autocompletar cuando el campo de entrada está enfocado. Esto significa que, si un usuario ya tiene una llave de acceso, en el momento en que enfoca el campo de nombre de usuario en un formulario de acceso. Si no lo hacen, pueden seguir usando la contraseña guardada.
Para habilitar esta función, anota tu campo de nombre de usuario con autocomplete="username webauthn"
y establece el valor mediation en 'conditional' cuando llames
navigator.credentials.get().
Este es un puente fundamental durante la transición a un futuro sin contraseñas, ya que familiariza a los usuarios con las llaves de acceso en una interfaz familiar.
Consulta la lista de tareas de autenticación con llaves de acceso.
Adopción estratégica de llaves de acceso
La adopción suele ser una cuestión de tiempo. Solicitarle a un usuario en el momento adecuado puede aumentar significativamente la probabilidad de que registre una llave de acceso.
Creación automática de llaves de acceso
Nadie quiere buscar en su configuración de seguridad solo para configurar un nuevo método de acceso. Para los usuarios de contraseñas existentes, ¿cómo y cuándo debes solicitarles a los usuarios que actualicen a las llaves de acceso?
Ahí es donde entra en juego la creación automática de llaves de acceso. Con la creación condicional, el navegador puede actualizar automáticamente a los usuarios de contraseñas a llaves de acceso en el momento exacto en que un usuario accede con su administrador de contraseñas.
Si pasas mediation: 'conditional' a la API navigator.credentials.create(), que se activa con el acceso reciente y correcto del usuario con la contraseña guardada
en el administrador de contraseñas, el navegador genera una llave de acceso nueva de forma nativa sin
obligarlos a pasar por pantallas de configuración adicionales.
El registro sin inconvenientes significa que los usuarios no tienen que tomar una decisión consciente para mejorar su seguridad. Se produce automáticamente, lo que los protege sin requerir ningún esfuerzo adicional. Por ejemplo, adidas experimentó un aumento del 8% en las creaciones de llaves de acceso con esta estrategia sin mensajes .
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Consulta la lista de tareas de registro de llaves de acceso.
Administración de llaves de acceso y recuperación resiliente
Es importante que los usuarios tengan sus credenciales disponibles en todos los dispositivos, sitios web y servicios. Además de administrarlos y asegurarse de que puedan recuperar sus cuentas si se pierde o se roba un dispositivo.
Coherencia multiplataforma
Si tienes varias propiedades (por ejemplo, una app para Android y un sitio web, o varios sitios web) que comparten un sistema de acceso, puedes mejorar la experiencia de tus usuarios. Con el uso compartido de credenciales sin problemas, los administradores de contraseñas pueden sugerir la credencial correcta a tu usuario en todas tus propiedades.
El uso de Vínculos de recursos digitales garantiza que las contraseñas creadas en la Web estén disponibles en tu app para Android y viceversa. También permite que los administradores de contraseñas sugieran una credencial ya guardada en diferentes dominios que posees y que comparten el mismo backend de autenticación.
Usa Solicitudes de origen relacionadas para que las llaves de acceso estén disponibles en diferentes dominios y apps a través del administrador de credenciales del usuario.
Esta es solo una forma más de hacer que la experiencia de acceso sea más fluida para tus usuarios.
Ofrece a los usuarios una página de administración de llaves de acceso
Para una experiencia sofisticada con llaves de acceso, te sugerimos que crees una página de administración de llaves de acceso dedicada con compatibilidad para nombres de proveedores claros, tiempos de uso y controles. Esto ayuda a los usuarios a administrar su configuración con confianza. La transparencia genera confianza.
Consulta la lista de tareas de administración de llaves de acceso .
Recuperación de cuentas resiliente
Los dispositivos se pueden perder o actualizar. Las llaves de acceso son inherentemente resilientes porque usan protección a nivel del hardware y, por lo general, también se sincronizan en la nube, lo que permite que los usuarios las restablezcan en un dispositivo nuevo. Sin embargo, tener una alternativa como una dirección de correo electrónico verificada garantiza que los usuarios nunca pierdan el acceso a sus vidas digitales.
En lugar de hacer que alguien espere en espera para una llamada del departamento de ayuda, puedes demostrar que es el propietario con indicadores en los que ya confías, como la federación de identidades o la verificación por correo electrónico.
Si combinas estos indicadores en una estrategia de recuperación, podrás restablecer el acceso de inmediato. Una vez que vuelvan, registra una llave de acceso nueva de inmediato para que estén protegidos contra el phishing nuevamente.
Protege las sesiones con DBSC
Para proteger a los usuarios de los secuestros de cuentas, mantener seguras sus cookies de sesión es otra capa de defensa importante. Las Credenciales de sesión vinculadas al dispositivo (DBSC) son una forma de vincular una sesión al hardware. Esto mitiga el secuestro de sesiones porque, incluso si se roba una cookie, solo el mismo dispositivo puede solicitar que se vuelva a emitir la cookie, lo que agrega otra capa de seguridad a tu sesión.
DBSC es una función experimental que ahora está disponible en Windows. Puedes obtener más información sobre esta actualización en el anuncio de Credenciales de sesión vinculadas al dispositivo en Windows. También estamos trabajando para expandir la compatibilidad con DBSC a macOS.
Habilidades de agentes de llaves de acceso
Incluimos habilidades de llaves de acceso que abarcan muchos aspectos descritos en esta publicación en nuestro proyecto Modern Web Guidance. Pronto publicaremos una entrada de blog específicamente sobre las habilidades de llaves de acceso.
¿Todo listo para crear el futuro de la autenticación?
Explora nuestras guías detalladas y comienza a modernizarte hoy mismo: