Qué es FIDO Credential Exchange y cómo impulsa las passkeys

La autenticación online está viviendo un cambio de época: las contraseñas están dejando de ser el centro de todo y las claves de acceso (passkeys) basadas en FIDO ocupan su lugar. En ese contexto aparece FIDO Credential Exchange, una pieza clave para que los usuarios puedan moverse con libertad entre gestores de credenciales sin perder sus passkeys.

Este nuevo estándar nace de la mano de la FIDO Alliance y de gigantes tecnológicos como Apple, Google, Microsoft, Okta o Samsung, con una idea muy clara: hacer que las credenciales modernas sean portátiles, seguras y fáciles de usar, evitando las migraciones manuales, los ficheros sin cifrar y los quebraderos de cabeza a la hora de cambiar de proveedor de contraseñas.

Qué es FIDO Credential Exchange y por qué es tan importante

FIDO Credential Exchange es la propuesta de la FIDO Alliance para definir un modo estándar de mover credenciales entre gestores, tanto contraseñas clásicas como claves de acceso y otros tipos de credenciales, sin perder seguridad por el camino. Su objetivo es que puedas cambiar de gestor (o de ecosistema) sin tener que exportar archivos vulnerables o rehacer toda tu configuración.

Hoy en día ya se pueden gestionar más de 12.000 millones de cuentas online con claves de acceso, pero hasta ahora no existía un estándar claro para migrarlas. Cada proveedor hacía la guerra por su cuenta, y muchas veces la transferencia de contraseñas se hacía en formatos no cifrados o poco robustos desde el punto de vista de la seguridad.

La FIDO Alliance plantea con Credential Exchange un ecosistema realmente abierto, donde el usuario pueda seleccionar el gestor de credenciales que más le convenga, cambiar de uno a otro cuando quiera y tener la garantía de que su información viaja cifrada y con medidas de protección por defecto.

En otras palabras, se busca eliminar el “secuestro” de datos: que tu colección de passkeys no quede atada para siempre a un único proveedor, sino que puedas moverte entre plataformas, sistemas operativos y herramientas sin que eso suponga un riesgo o un dolor de cabeza.

CXP y CXF: las dos piezas del estándar Credential Exchange

La especificación de FIDO Credential Exchange se ha dividido en dos partes diferenciadas: Credential Exchange Protocol (CXP) y Credential Exchange Format (CXF). Juntas forman el marco que permite migrar credenciales de forma interoperable y segura entre distintos proveedores.

Por un lado, CXP describe el protocolo de comunicación entre gestores de credenciales: cómo se inicia una transferencia, cómo se autentican las partes implicadas, qué pasos de verificación debe seguir el usuario y de qué forma se garantiza que la información vaya cifrada de extremo a extremo.

Por otro lado, CXF se centra en definir el formato estándar de las credenciales que se transfieren. Ahí entran no solo las contraseñas tradicionales, sino también las claves de acceso (passkeys) y otros posibles tipos de credenciales que puedan usarse en el futuro. El formato busca ser flexible, extensible y, sobre todo, seguro por defecto.

La clave de esta combinación CXP + CXF es que evita que las credenciales viajen como simples archivos sin protección. El estándar obliga a que la información se transfiera cifrada, autenticada y con controles que dificulten los ataques de intermediario o el acceso no autorizado durante la migración.

Una vez que estas especificaciones de Credential Exchange se den por finalizadas y estandarizadas, cualquier proveedor de credenciales podrá implementarlas. Eso significa que un usuario podría exportar sus passkeys de un gestor a otro con una experiencia guiada, simple y segura, sin tener que entender los detalles técnicos ni preocuparse por el cifrado.

Cómo encaja Credential Exchange en el ecosistema FIDO y FIDO2

Para entender bien el impacto de Credential Exchange, conviene tener claro de dónde viene FIDO y en qué se diferencia FIDO2. FIDO (Fast IDentity Online) es el término paraguas que agrupa diferentes especificaciones de autenticación: FIDO 1.0, FIDO UAF, FIDO U2F y FIDO2.

El primer estándar, conocido como FIDO 1.0, vio la luz en 2014 y pretendía jubilar la contraseña tradicional, sustituyéndola por autenticación biométrica y tokens de hardware. Dentro de FIDO 1.0 aparecieron dos grandes líneas: UAF (Universal Authentication Framework) y U2F (Universal Second Factor).

UAF se centraba en permitir autenticación sin contraseña usando biometría y otros factores desde dispositivos de usuario, mientras que U2F se orientaba a añadir un segundo factor físico (como una llave de seguridad) complementando a la contraseña. El problema es que aquellas primeras versiones tenían poca estandarización a nivel web, lo que dificultaba que funcionaran de forma uniforme en todos los navegadores y aplicaciones.

En 2016, el World Wide Web Consortium (W3C) y la FIDO Alliance empezaron a colaborar para unificar y estandarizar la autenticación FIDO en la web. De ese trabajo conjunto nació FIDO2, que se lanzó en 2018 como un enfoque mucho más completo, abierto e interoperable para la autenticación sin contraseña.

FIDO2 se apoya en dos componentes clave: WebAuthn y CTAP (Client to Authenticator Protocol). WebAuthn es la API web estandarizada por el W3C y soportada por navegadores como Chrome, Firefox, Safari o Edge, mientras que CTAP define cómo se comunican los autenticadores (por ejemplo, una YubiKey o el propio móvil) con el dispositivo cliente.

Gracias a WebAuthn y CTAP, FIDO2 ofrece una experiencia de inicio de sesión criptográficamente segura, cómoda y compatible con distintos dispositivos y sistemas operativos (Android, iOS, macOS, Windows, etc.). Credential Exchange se apoya precisamente en este ecosistema para dar el siguiente paso: que las credenciales FIDO sean portátiles entre gestores y plataformas.

Qué es una passkey FIDO y cómo funciona la autenticación FIDO2

Una passkey FIDO es básicamente una clave criptográfica que sustituye a la contraseña y que se almacena de forma segura en tus dispositivos o en tu gestor de credenciales. Está basada en criptografía de clave pública y se apoya en los estándares desarrollados por la FIDO Alliance.

Cuando te registras en un servicio compatible con FIDO2, tu dispositivo genera un par de claves: una pública y otra privada. La clave pública se envía al servidor del servicio online y se almacena allí, mientras que la clave privada se queda protegida en tu dispositivo y nunca abandona ese entorno seguro.

En el momento de iniciar sesión, el servicio te lanza un desafío (challenge), normalmente una cadena aleatoria. Tu dispositivo te pide que te identifiques, por ejemplo introduciendo un PIN, usando tu huella dactilar o el reconocimiento facial. Si el sistema te valida, el dispositivo utiliza la clave privada para firmar el desafío y devuelve la respuesta firmada al servidor.

El servidor comprueba esa firma con la clave pública registrada y, si todo cuadra, te deja entrar sin que en ningún momento hayas tenido que introducir una contraseña. No hay nada que pueda ser phishado, lo que mejora la resistencia al phishing, reutilizado en otro sitio o robado desde una base de datos central con todas las claves privadas.

Una ventaja interesante es que una misma passkey puede usarse para iniciar sesión desde otros dispositivos. Por ejemplo, configuras la passkey de tu correo en el móvil, pero luego puedes autenticarte en el portátil escaneando un código o respondiendo al desafío desde el propio móvil registrado. La clave privada sigue en el teléfono; el portátil solo actúa como puente para completar la autenticación.

Tipos de autenticadores FIDO2: de las llaves de seguridad a Windows Hello

Antes de que un dispositivo pueda generar una pareja de claves para FIDO2, es necesario asegurarse de que la persona que está delante no es un intruso ni un malware. Ahí entran en escena los autenticadores, que son los encargados de verificar al usuario mediante gestos, PIN o biometría.

En el mundo FIDO2 se distinguen dos grandes tipos de autenticadores: autenticadores de itinerancia (multiplataforma) y autenticadores de plataforma (enlazados). Cada uno responde a casos de uso algo diferentes, pero ambos siguen los mismos principios de seguridad.

Los autenticadores de itinerancia, también llamados multiplataforma, son dispositivos de hardware portátiles independientes del equipo donde los conectas. Ejemplos típicos son las llaves de seguridad USB, smartphones usados como token, tarjetas inteligentes, pulseras conectadas, etc. Se pueden comunicar con el dispositivo cliente por USB, NFC o Bluetooth.

Con este tipo de autenticador, el usuario confirma su identidad realizando un gesto muy sencillo: tocar un botón de la llave, apoyar la huella en el móvil o acercar la tarjeta NFC. Como no están atados a un solo dispositivo, permiten autenticarse en muchos equipos distintos (portátil del trabajo, sobremesa de casa, tablet…) manteniendo la portabilidad.

Los autenticadores de plataforma, por su parte, van integrados directamente en el propio dispositivo del usuario. Hablamos, por ejemplo, de Windows Hello en ordenadores con Windows, Touch ID y Face ID en dispositivos Apple, o el sensor de huellas de Android. Estos autenticadores utilizan chips de seguridad y elementos de hardware dedicados para guardar las claves privadas.

En este caso, inicias sesión en un servicio desde tu equipo y te autenticas en el mismo dispositivo usando un PIN o un dato biométrico. Ejemplos claros son desbloquear tu portátil con reconocimiento facial y que esa misma acción sirva como gesto para firmar el desafío FIDO2 sin que tú veas nada del proceso criptográfico.

Registro e inicio de sesión en servicios compatibles con FIDO2

El proceso práctico para aprovechar la seguridad de FIDO2 es bastante directo, aunque por debajo haya mucha criptografía. Durante el registro, el servicio te pedirá que elijas un autenticador FIDO compatible (puede ser la biometría del dispositivo, una clave de seguridad, etc.).

Una vez elegido, el sistema te indicará que realices el gesto de activación del autenticador: escribir un PIN, apoyar el dedo en el lector de huellas, mirar a la cámara para el reconocimiento facial o insertar y tocar una llave de seguridad FIDO2.

Tras ese gesto, el autenticador genera un par de claves únicas para ese servicio, dispositivo y cuenta. La clave privada queda guardada localmente de forma segura, junto con cualquier dato sensible (como las plantillas biométricas), y la clave pública se envía al servidor con un identificador aleatorio de credencial.

Cuando más adelante quieras iniciar sesión, el servicio te enviará un desafío criptográfico único para confirmar que realmente estás ahí. De nuevo, harás el mismo gesto de autenticación que usaste al registrarte (PIN, biometría, toque de llave, etc.).

Si la verificación local del usuario es correcta, el dispositivo usa la clave privada almacenada para firmar el desafío y devolverlo al servicio. El servidor valida la firma con la clave pública registrada y, si todo encaja, la sesión se abre sin necesidad de código SMS, contraseña ni aplicaciones de OTP externas.

FIDO, gestos de usuario y uso de tokens físicos

Uno de los principios base de FIDO es que la clave privada nunca debe poder utilizarse sin un gesto claro por parte del usuario. Eso incluye tocar la llave, introducir un PIN o pasar por una verificación biométrica, de forma que el mero hecho de robar el dispositivo no sea suficiente para autenticarse.

En la práctica, esto se traduce en flujos muy guiados para el usuario: conectar la llave al USB cuando se le pida, tocar el sensor sensible, introducir el PIN y el sistema se encarga del resto. En el caso de tokens contactless y biométricos, como una tarjeta FIDO con lector de huellas integrado, basta con acercar la tarjeta al dispositivo y mantener el dedo sobre el sensor.

Estos tokens físicos, también llamados “security keys” o “tokens FIDO”, envían directamente la información de autenticación al servicio a través de USB, NFC o Bluetooth, sin que el usuario tenga que ver ni gestionar códigos temporales. Pueden sustituir por completo la contraseña o actuar como segundo factor robusto.

La gran ventaja es que la clave privada nunca abandona el dispositivo o token. Los atacantes no pueden robarla atacando una base de datos central, ni pueden usarla en otro sitio aunque intercepten el tráfico, porque la firma criptográfica solo vale para el dominio para el que se generó la credencial.

Adopción de passkeys: experiencia de usuario y casos reales

El impulso de las passkeys en los últimos años se debe en gran parte a que mejoran muchísimo la experiencia de usuario frente a las contraseñas. Menos fricción al iniciar sesión significa más inicios de sesión completados, menos abandonos y muchas menos llamadas al soporte técnico.

En conferencias como Authenticate 2024 se han compartido datos interesantes: un gran proveedor de servicios en la nube duplicó el número de usuarios de passkeys en pocos meses (de 400 a 800 millones), sobre todo gracias al uso en móviles. Además, reportó un 30 % más de inicios de sesión completados y logins un 20 % más rápidos.

Las encuestas internas indicaron que alrededor del 63 % de los usuarios se sentían más seguros usando passkeys que con sistemas tradicionales basados en contraseña. No es solo una percepción: la resistencia al phishing y la ausencia de contraseñas robables reducen bastante la superficie de ataque.

Un ejemplo muy llamativo es el del Estado de Míchigan, que implantó passkeys en servicios públicos online. Tras la migración observaron un 70 % menos de abandonos durante el alta de usuarios y registros un 34 % más rápidos, además de un descenso tan grande de llamadas al help desk que calcularon un ahorro de más de un millón de dólares frente a los inicios de sesión con SMS.

Detrás de esos éxitos suele haber mucho trabajo de fondo: investigación de UX, betas internas, despliegues graduales por regiones y campañas de comunicación muy cuidadas para explicar qué es una passkey, cómo se usa y cómo se recupera en caso de pérdida de dispositivo.

Retos y buenas prácticas en la implantación de passkeys

No todo es coser y cantar: las organizaciones con sistemas complejos tienen que planificar muy bien el salto a la autenticación sin contraseña. Muchas están activando passkeys solo para ciertos colectivos o aplicaciones, y monitorizando muy de cerca la experiencia antes de ampliar el alcance.

Entre las mejores prácticas que se están viendo destacan la evaluación continua de la experiencia de usuario, de manera que cualquier fricción se detecte pronto y se puedan ajustar los flujos de login antes de extenderlos a millones de personas.

Otro punto clave es automatizar, en la medida de lo posible, los procesos de recuperación de credenciales y de provisión de nuevas passkeys. Si un empleado pierde el móvil o cambia de portátil, la transición debe ser lo más transparente posible, con el menor número de tickets manuales.

Con Credential Exchange en el horizonte, muchas empresas también están muy pendientes de la evolución de los estándares FIDO. La posibilidad de mover passkeys entre gestores de forma estandarizada reducirá bastante la dependencia de soluciones propietarias y facilitará cambios de proveedor en el futuro.

En paralelo, hay organizaciones -sobre todo en el sector financiero- que han optado por construir sus propias soluciones de passkeys in-house. Otras se apoyan en plataformas especializadas (como servicios de passwordless-as-a-service) para ahorrar tiempo de desarrollo y asegurarse de que siguen las mejores prácticas criptográficas y de integración con navegadores y sistemas operativos.

Ventajas y desafíos de las passkeys FIDO

Las passkeys FIDO han surgido como la respuesta más sólida a los problemas de seguridad de las contraseñas: son resistentes al phishing, no se pueden reutilizar en otros sitios y no se almacenan como secretos que un atacante pueda robar en masa.

Entre sus grandes ventajas está la comodidad: no hay que inventar ni recordar contraseñas complejas, ni usar gestores para copiar y pegar claves. El inicio de sesión se reduce a desbloquear el dispositivo con huella, cara o PIN, algo que la mayoría de usuarios ya hace a diario.

Además, muchas implementaciones permiten sincronizar passkeys entre dispositivos dentro de un mismo ecosistema, como ocurre en Google Password Manager o iCloud Keychain. Eso facilita iniciar sesión desde distintos equipos sin ir configurando cada uno de cero.

También hay beneficios claros en cuanto a diversidad de plataformas: las passkeys funcionan en los principales sistemas operativos y navegadores, y cada vez más sitios web de referencia (Amazon, PayPal, GitHub, LinkedIn y muchos otros) ofrecen esta opción para reforzar la seguridad de las cuentas.

Entre los desafíos, eso sí, está la dependencia de los dispositivos y de los mecanismos de recuperación. Si un usuario pierde todos sus dispositivos y no tiene un sistema claro de recuperación o de migración de passkeys, el proceso puede complicarse. Aquí es donde Credential Exchange y las futuras mejoras de portabilidad van a jugar un papel muy importante.

Compatibilidad actual: dispositivos, navegadores y servicios

Hoy en día, el soporte para passkeys FIDO es muy amplio. En el ecosistema Apple, por ejemplo, iPhones y iPads con iOS 16 o posterior, y Macs con macOS Ventura o superior pueden crear y usar passkeys a través de iCloud Keychain.

En Android, los dispositivos con Android 9 o superior pueden gestionar passkeys sincronizadas mediante Google Password Manager, de forma que el usuario tenga sus claves disponibles en los distintos dispositivos asociados a su cuenta de Google.

En el entorno Windows, Windows 10 y 11 permiten el uso de passkeys a través de Windows Hello, combinando reconocimiento facial, huella o PIN con la capa criptográfica FIDO2. Los navegadores principales (Chrome, Safari y Edge) integran soporte para WebAuthn y facilitan el uso de passkeys tanto en escritorio como en móvil.

La lista de sitios que aceptan passkeys no para de crecer: plataformas de comercio electrónico, servicios financieros, redes profesionales y herramientas para desarrolladores ya permiten iniciar sesión con claves de acceso, y cada vez más proyectos se suman gracias a que la implementación en el lado servidor se ha simplificado bastante.

Un detalle importante es que las passkeys no necesitan conexión a Internet para generar la firma del desafío, porque la clave privada se almacena localmente. Lo que sí puede requerir conexión es el propio servicio al que te conectas, que debe recibir y validar la respuesta firmada.

FIDO Alliance, evolución del concepto de passkey y futuro de las credenciales

La FIDO Alliance se creó en 2012 como asociación industrial abierta para mejorar la autenticación online y reducir la dependencia de las contraseñas. Desde entonces ha ido evolucionando sus especificaciones hasta llegar a la actual familia FIDO2 y al concepto de passkey.

En 2022, grandes actores como Apple, Google y Microsoft empezaron a impulsar un nuevo tipo de credencial FIDO centrado en la experiencia de usuario, al que se empezó a llamar passkey. En 2023, la FIDO Alliance adoptó oficialmente ese término para referirse en general a las credenciales FIDO orientadas a reemplazar por completo la contraseña.

La visión de futuro de la Alianza es clara: un mundo en el que las contraseñas sean algo del pasado, sustituido por métodos de autenticación más rápidos, seguros y fáciles, como las propias passkeys sincronizadas y portables entre dispositivos.

En esta hoja de ruta encaja a la perfección el trabajo en el estándar de Credential Exchange (CXP y CXF), que pretende hacer que las passkeys sean realmente portátiles entre plataformas y gestores. La idea es que un usuario pueda llevarse sus credenciales de un ecosistema a otro -por ejemplo, de iCloud a Android- sin perder el acceso a sus cuentas y sin poner en riesgo la seguridad.

Junto a esta portabilidad, se están reforzando las APIs de los grandes sistemas operativos, como la nueva API de Windows 11 para que gestores de contraseñas y passkeys de terceros se integren de forma nativa en el sistema. Eso permitirá usar la misma passkey cómodamente entre el móvil y el PC, sin tener que recurrir a soluciones improvisadas con códigos QR o flujos poco pulidos.

Con todo este movimiento, el escenario que se dibuja para los próximos años es el de un ecosistema de autenticación más seguro, menos dependiente de la contraseña y mucho más flexible para el usuario. Las passkeys FIDO y el estándar Credential Exchange encajan como piezas de un mismo puzzle: por un lado reducen drásticamente el riesgo de robo y phishing, y por otro dan a las personas y a las organizaciones la libertad de elegir y cambiar de gestor de credenciales sin miedo a quedar atrapados ni a romper la seguridad de sus cuentas.