Se usó la API de Cloud Translation para traducir esta página.

API de Signal para llaves de acceso disponible en Chrome para Android

José Luis Zapata

Nina Satragno

Publicado el 5 de diciembre de 2025

A partir de Chrome 144, la API de Signal está disponible en Chrome para Android. Esta API permite que los usuarios de confianza (RP) mantengan la coherencia entre las llaves de acceso almacenadas en el proveedor de llaves de acceso de un usuario y las credenciales del servidor.

¿Por qué usar la API de Signals?

Cuando un usuario crea una llave de acceso, el proveedor de llaves de acceso (como el Administrador de contraseñas de Google) guarda la clave privada y los metadatos (como el nombre de usuario y el nombre visible), mientras que tu servidor guarda la clave pública.

Con el tiempo, pueden desincronizarse. Por ejemplo:

Llave de acceso borrada: Un usuario borra su credencial en tu sitio web, pero la llave de acceso permanece en su proveedor de llaves de acceso. La próxima vez que intente acceder, el proveedor de llaves de acceso ofrecerá una llave que ya no funciona.
Cambios de nombre: Un usuario actualiza su nombre de usuario en tu sitio, pero el proveedor de claves de acceso sigue mostrando el nombre anterior.

La API de Signal resuelve este problema, ya que permite que tu sitio web "señale" el estado actual de las credenciales al proveedor de llaves de acceso. Puedes indicarle al proveedor que borre las llaves de acceso no válidas o que actualice los metadatos para garantizar una experiencia de acceso sin problemas.

Novedades

La API de Signals en Chrome para Android funciona de forma idéntica a la implementación para computadoras, con mejoras específicas para el ecosistema móvil.

Compatibilidad con administradores de contraseñas de terceros

La API de Signal está disponible para el Administrador de contraseñas de Google en todas las versiones compatibles de Android. En Android 14 y versiones posteriores, la API de Signal también se integra con el proveedor de claves de acceso del sistema. Cuando Chrome transmite una señal en estos dispositivos, no se limita al Administrador de contraseñas de Google. Chrome envía el indicador a todos los proveedores de llaves de acceso habilitados en el dispositivo.

Si un usuario administra llaves de acceso con un proveedor externo que admite la API de Signal, ese proveedor recibe la actualización y mantiene sincronizadas las credenciales del usuario.

Sincronización más segura con el restablecimiento de llaves de acceso

El Administrador de contraseñas de Google admite un mecanismo de seguridad para las actualizaciones de la API de Signal en Android y computadoras.

Anteriormente, cuando un RP indicaba que una credencial era desconocida o se había quitado, la llave de acceso se borraba de forma permanente. Ahora, el Administrador de contraseñas de Google oculta la llave de acceso en lugar de borrarla.

Llaves de acceso ocultas: La llave de acceso ya no aparece en los diálogos de autocompletar o acceso, lo que evita errores de acceso.
Restablecimiento: Si el indicador se envió por error, se puede restablecer la llave de acceso.

Cómo usar la API de Signal

La API de Signals expone tres métodos para mantener las credenciales sincronizadas:

Usa signalUnknownCredential cuando falla el acceso con llave de acceso porque no se encuentra el ID de credencial en tu servidor. Esto indica al proveedor que quite (o oculte) la llave de acceso no válida.
Usa signalAllAcceptedCredentials después de que un usuario acceda a su cuenta o administre la configuración de su cuenta. Proporcionas una lista de todos los IDs de credenciales válidos para ese usuario. El proveedor de claves de acceso compara la lista con su almacenamiento local para esa entidad de confianza. Las llaves de acceso que se encuentren en el proveedor de llaves de acceso y que no estén incluidas en la lista allAcceptedCredentialIds se marcarán como "ocultas". Estas llaves de acceso ocultas ya no se ofrecen para el acceso ni el autocompletado, pero no se borran de forma permanente de inmediato, lo que permite restaurarlas si es necesario. Por el contrario, se restablecen las llaves de acceso presentes en allAcceptedCredentialIds que se marcan como "ocultas" en el proveedor de llaves de acceso. Esto permite que tu sitio web restablezca las llaves de acceso que se habían ocultado por error.
Usa signalCurrentUserDetails cuando un usuario actualice su perfil (por ejemplo, su nombre visible) en tu sitio web y después de cada acceso. Esto garantiza que el proveedor de llaves de acceso muestre la información correcta durante los futuros accesos.

Resumen

La API de Signal te ayuda a crear una experiencia de autenticación confiable y fácil de usar. Si implementas estos indicadores, evitarás la confusión causada por las llaves de acceso desactualizadas y garantizarás que los usuarios siempre vean información precisa de la cuenta.

Ahora que la compatibilidad está disponible en Chrome para Android, puedes ofrecer esta experiencia sincronizada en todos los dispositivos, proveedores de llaves de acceso y administradores de contraseñas.

Obtén más información sobre la API de Signals

Más información

Sigue las actualizaciones en el blog para desarrolladores de Chrome
Comienza a aprender sobre las llaves de acceso en Using passkeys on the web

API de Signal para llaves de acceso disponible en Chrome para Android Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.