Moderniza la autenticación con llaves de acceso, credenciales digitales y mucho más

Fecha de publicación: 21 de mayo de 2026

En Google I/O 2026, hablamos sobre una Web en la que acceder no es una tarea. Debe ser un punto de entrada seguro y simplificado que realmente haga que los usuarios se sientan seguros. En esta publicación, se resume cómo puedes corregir los flujos de tu cuenta, reducir la fricción y proteger a las personas desde el principio.

Acceso rápido

Por qué es importante la modernización

Los flujos de alta fricción (como los formularios de registro desordenados, el molesto bucle de "olvidé mi contraseña" o una pared de botones de acceso) arruinan el ambiente. Son "asesinos de cambios de contexto" que alejan a los usuarios. Las contraseñas tradicionales y las contraseñas de un solo uso (OTP) también dejan a las personas vulnerables al phishing.

Cada segundo de fricción es una oportunidad para que un usuario abandone el proceso. Modernizar tu autenticación protege tus sistemas y a tus usuarios. Si optimizas cada punto de contacto en el recorrido de identidad, aumentarás de forma natural tus tasas de conversión. Por ejemplo, pixiv logró un asombroso 99% de tasa de éxito de acceso (una mejora del 29% en comparación con las contraseñas) después de implementar las llaves de acceso. Dejar de usar credenciales débiles hace que las cosas sean más rápidas y seguras.

Optimiza la creación de cuentas

La primera interacción que tiene un usuario con tu app establece el ambiente. Simplificar la creación de cuentas es el primer paso para mejorar la adopción y la seguridad.

La federación de identidades como método principal de creación de cuentas

Puedes permitir que tus usuarios omitan los tediosos formularios de creación de cuentas con la federación de identidades, que les permite registrarse con un proveedor de confianza como Google. Esto proporciona una experiencia de registro sólida y optimizada que permite que los usuarios accedan a tu app sin la "tarea" del registro típico.

La federación significa que los usuarios no tienen que escribir su nombre o correo electrónico de forma manual. Como el proveedor ya los verificó, puedes omitir los pasos redundantes para verificarlos de forma independiente y atraer a más personas.

Además, adoptar una solución de identidad federada te permite heredar el nivel de seguridad de un IdP (proveedor de identidad) dedicado. Dado que los IdP se especializan en identidad y seguridad, depender de su infraestructura elimina el riesgo de crear la autenticación desde cero.

Adopta la API de Federated Credential Management (FedCM)

Si actúas como IdP, te recomendamos que adoptes la API de FedCM. Maneja la interacción a través de la IU del navegador, que protege la privacidad evitando el seguimiento y, al mismo tiempo, les brinda a los usuarios un acceso con un solo toque y reduce el desorden de la IU mostrando solo las cuentas pertinentes.

Un diálogo del modo activo de acceso de FedCM en computadoras que solicita a un usuario que acceda con su cuenta. El diálogo contiene un ícono de la marca y opciones para acceder a la RP con la cuenta actual proporcionada por el IdP, elegir otra cuenta o cancelar. El diálogo está centrado y es más grande que el diálogo del modo pasivo.
FedCM: Diálogo de la IU en modo activo. Obtén más información sobre los modos de IU disponibles que proporciona FedCM.

El patrón "Federate-then-upgrade"

La opción de federar y, luego, actualizar combina la velocidad de la federación con la seguridad a largo plazo de las llaves de acceso. Si solicitas una llave de acceso inmediatamente después de un registro federado, el próximo acceso del usuario será resistente al phishing desde el primer día.

Optimiza los formularios para la función Autocompletar

Si son necesarios los formularios manuales, usa atributos name y id descriptivos, y valores autocomplete correctos para permitir que el navegador complete los campos para el usuario. Esto reduce la carga cognitiva y la posibilidad de errores de escritura durante el proceso de registro. Consulta nuestras prácticas recomendadas para formularios de registro y obtén más detalles sobre la optimización de formularios.

<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">

<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">

Verificación de atributos sin problemas

Hacer que los usuarios salgan de tu app para verificar un código en su correo electrónico reduce las tasas de conversión. Este cambio de contexto es donde las personas se distraen y nunca regresan.

Conoce el Protocolo de verificación por correo electrónico (EVP)

El Protocolo de verificación de correo electrónico (EVP), una función emergente, permite que tu aplicación obtenga una dirección de correo electrónico verificada directamente a través del navegador.

Para habilitar el uso de esta función, agrega un campo de entrada oculto con el atributo autocomplete="email-verification-token" y con un challenge. El navegador analiza el dominio de correo electrónico de la entrada y solicita que la entidad emisora del correo electrónico verifique que el usuario tiene control de este correo electrónico. Una vez que se complete la verificación, el navegador presentará un reclamo de correo electrónico verificado que tu backend podrá verificar de inmediato. Para el usuario, este flujo se produce sin problemas. Solo ve una notificación cuando se verifica su correo electrónico.

El EVP elimina la necesidad de fricción que aleja a las personas (como los vínculos mágicos o los OTP por correo electrónico) para acceder, registrarse y restablecer la contraseña.

<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">

Ten en cuenta que depende de cada proveedor de servicios de correo electrónico admitir el EVP. Consulta con tu proveedor específico para saber si planea admitir el EVP. Si tienes un dominio personalizado, puedes conectarlo a un proveedor de correo electrónico compatible para admitir también el EVP.

Dado que esta función aún se encuentra en una etapa experimental, agradecemos tus comentarios sobre ella en el repositorio de GitHub.

Ejemplo del flujo del Protocolo de verificación de correo electrónico (EVP).

API de Digital Credentials

Para los detalles sensibles, como el nombre legal o la edad, la API de Credenciales Digitales proporciona una forma de solicitar datos verificados de la billetera de un usuario a través de la mediación del navegador con la divulgación selectiva. Esto significa que puedes verificar si un usuario es mayor de cierta edad sin recibir su fecha de nacimiento completa ni su nombre legal, lo que preserva su privacidad.

Consulta API de Digital Credentials: Identidad segura y privada en la Web.

Implementa llaves de acceso para un acceso optimizado

Las llaves de acceso son mucho más que un reemplazo de las contraseñas. Representan un cambio fundamental hacia una autenticación sin inconvenientes y resistente al phishing.

Modo de IU inmediato

A partir de Chrome 149, está disponible el Modo de IU inmediato. Permite que el sitio web verifique las credenciales en el momento en que un usuario navega a tu sitio. Si hay una llave de acceso o una contraseña disponibles en el administrador de contraseñas, el navegador mediará el flujo con una lista de cuentas disponibles en un diálogo de acceso de inmediato.

Esto elimina la necesidad de que el usuario seleccione un método de acceso. Al ofrecer de forma proactiva la credencial para la cuenta seleccionada, creas una experiencia "de un toque" sin fricciones que le parece mágica al usuario.

const credential = await navigator.credentials.get({
  password: true,
  uiMode: 'immediate',
  publicKey: publicKeyObject,
});

Consulta Modo de IU inmediato para los accesos.

Autocompletado de formularios con llaves de acceso: Usa el autocompletado de formularios mientras realizas la transición a las llaves de acceso

Para los usuarios de un sitio web que está en transición de contraseñas a llaves de acceso, el autocompletado de formularios con llaves de acceso permite que las llaves de acceso aparezcan en las sugerencias de Autocompletar cuando se enfoca el campo de entrada. Esto significa que, si un usuario ya tiene una llave de acceso, en el momento en que enfoca el campo de nombre de usuario en un formulario de acceso. Si no lo hacen, podrán seguir usando la contraseña guardada.

Ejemplo de selección de llave de acceso a través del autocompletar de formularios.

Para habilitar esta opción, anota tu campo de nombre de usuario con autocomplete="username webauthn" y establece el valor de mediation en 'conditional' cuando llames a navigator.credentials.get().

Este es un puente fundamental durante la transición a un futuro sin contraseñas, ya que familiariza a los usuarios con las llaves de acceso en una interfaz conocida.

Consulta la lista de verificación de autenticación con llaves de acceso.

Adopción estratégica de llaves de acceso

La adopción suele ser una cuestión de tiempo. Solicitarle al usuario que cree una llave de acceso en el momento adecuado puede aumentar significativamente la probabilidad de que lo haga.

Creación automática de llaves de acceso

Nadie quiere revisar la configuración de seguridad solo para establecer un nuevo método de acceso. Para los usuarios existentes de contraseñas, ¿cómo y cuándo deberías solicitarles que actualicen sus cuentas a llaves de acceso?

Ahí es donde entra en juego la creación automática de llaves de acceso. Con Conditional, el navegador puede actualizar automáticamente los usuarios de contraseñas a llaves de acceso en el momento exacto en que un usuario accede con su administrador de contraseñas.

Flujo de solicitud de llave de acceso con creación condicional.

Cuando se pasa mediation: 'conditional' a la API de navigator.credentials.create(), que se activa por el acceso exitoso reciente del usuario con la contraseña guardada en el administrador de contraseñas, el navegador genera una nueva llave de acceso de forma nativa sin obligarlo a pasar por pantallas de configuración adicionales.

La inscripción sin fricciones significa que los usuarios no tienen que tomar una decisión consciente para mejorar su seguridad. Esto sucede automáticamente y los protege sin requerir ningún esfuerzo adicional. Por ejemplo, adidas experimentó un aumento del 8% en la creación de llaves de acceso con esta estrategia sin mensajes.

await navigator.credentials.create({
  mediation: 'conditional',
  publicKey: { ... },
});

Consulta la lista de tareas para el registro de llaves de acceso

Administración de llaves de acceso y recuperación resiliente

Es importante que los usuarios tengan sus credenciales disponibles en todos los dispositivos, sitios web y servicios. Además de administrarlos y asegurarte de que puedan recuperar sus cuentas si se pierde o roba un dispositivo.

Coherencia multiplataforma

Si tienes varias propiedades (por ejemplo, una app para Android y un sitio web, o varios sitios web) que comparten un sistema de acceso, puedes mejorar la experiencia de tus usuarios. Con el uso compartido de credenciales eficiente, los administradores de contraseñas pueden sugerir la credencial correcta a tu usuario en todas tus propiedades.

El uso compartido de credenciales sin interrupciones consta de dos tecnologías: Vínculos de recursos digitales para contraseñas y Solicitudes de orígenes relacionados para llaves de acceso.

El uso de Vínculos de recursos digitales garantiza que las contraseñas creadas en la Web estén disponibles en tu app para Android y viceversa. También permite que los administradores de contraseñas sugieran una credencial ya guardada en los diferentes dominios que posees y que comparten el mismo backend de autenticación.

Usa Related Origin Requests para que las llaves de acceso estén disponibles en diferentes dominios y apps a través del administrador de credenciales del usuario.

Esta es solo una forma más de facilitar la experiencia de acceso para tus usuarios.

Empodera a los usuarios con una página de administración de llaves de acceso

Ejemplo de una página de administración de llaves de acceso que muestra prácticas recomendadas.

Para una experiencia sofisticada con llaves de acceso, te sugerimos que crees una página de administración de llaves de acceso dedicada con compatibilidad para nombres de proveedores claros, tiempos de uso y controles. Esto ayuda a los usuarios a administrar su configuración con confianza. La transparencia genera confianza.

Consulta la lista de tareas para la administración de llaves de acceso.

Recuperación de cuentas resiliente

Los dispositivos se pueden perder o actualizar. Las llaves de acceso son inherentemente resistentes porque usan protección a nivel del hardware y, por lo general, también se sincronizan en la nube, lo que permite a los usuarios restablecerlas en un dispositivo nuevo. Sin embargo, tener una alternativa, como una dirección de correo electrónico verificada, garantiza que los usuarios nunca pierdan el acceso a su vida digital.

En lugar de hacer que alguien espere en la línea para una llamada del departamento de ayuda, puedes demostrar que es el propietario con indicadores en los que ya confías, como la federación de identidades o la verificación por correo electrónico.

Combinar estos indicadores en una estrategia de recuperación te permite restablecer el acceso de inmediato. Una vez que vuelvan, registra una nueva llave de acceso de inmediato para que vuelvan a estar protegidos contra el phishing.

Protege las sesiones con DBSC

Para proteger a los usuarios del secuestro de cuentas, mantener seguros sus cookies de sesión es otro nivel de defensa importante. Las Credenciales de sesión vinculadas al dispositivo (DBSC) son una forma de vincular una sesión al hardware. Esto mitiga el secuestro de sesiones, ya que, incluso si se roba una cookie, solo el mismo dispositivo puede solicitar que se vuelva a emitir la cookie, lo que agrega otra capa de seguridad a tu sesión.

El DBSC es una función experimental que ahora está disponible en Windows. Puedes obtener más información sobre esta actualización en el anuncio sobre las credenciales de sesión vinculadas al dispositivo en Windows. También estamos trabajando para expandir la compatibilidad con DBSC en macOS.

Habilidades del agente de llaves de acceso

Incluimos habilidades de llaves de acceso que abarcan muchos aspectos descritos en esta entrada en nuestro proyecto Modern Web Guidance. Pronto publicaremos una entrada de blog específica sobre las habilidades de las llaves de acceso.

¿Todo listo para crear el futuro de la autenticación?

Explora nuestras guías detalladas y comienza a modernizar tus aplicaciones hoy mismo: