El DBIR 2024 de Verizon atribuye el 68 % de las brechas al factor humano, y las credenciales robadas siguen siendo el principal vector de acceso inicial. Se suponía que el Single Sign-On reduciría esa superficie, pero el SSO basado en contraseñas concentra el riesgo: basta con comprometer una credencial para exponer todas las aplicaciones conectadas.
El SSO sin contraseña reescribe esa ecuación. Al combinar un proveedor de identidad federado con autenticadores FIDO2, biometría o passkeys vinculadas al dispositivo, se elimina por completo el secreto compartido. El usuario se autentica una sola vez, la prueba criptográfica fluye hacia cada aplicación SAML u OIDC, y los kits de phishing no tienen nada que robar.
Esta guía cubre la arquitectura, el mapeo regulatorio (NIS2, DORA, GDPR), una comparativa de proveedores y un playbook de implantación para responsables de TI que planifican un despliegue en 2026, incluidos puestos de trabajo compartidos, aplicaciones heredadas y recuperación de cuentas.
Qué es el SSO sin contraseña y por qué importa ahora
Single Sign-On vs. SSO sin contraseña: aclarando la diferencia
El SSO tradicional centraliza la autenticación detrás de una credencial maestra y federa esa sesión mediante aserciones SAML u OIDC. Si se compromete la contraseña inicial, el atacante hereda todo el portfolio de aplicaciones. El SSO sin contraseña sustituye esa credencial por una clave criptográfica vinculada a un dispositivo o autenticador hardware. El proveedor de identidad valida un desafío firmado —nunca un secreto compartido— antes de emitir los mismos tokens federados.
Por qué el 80 % de las brechas sigue siendo atribuible a contraseñas
El DBIR de Verizon atribuye sistemáticamente más del 80 % de las intrusiones a credenciales robadas, reutilizadas o suplantadas. El SSO basado en contraseñas concentra ese riesgo en lugar de eliminarlo. Eliminar la credencial en la capa del IdP —mediante claves FIDO2 o passkeys— cierra el vector de phishing para todas las aplicaciones aguas abajo.
Cómo funciona el SSO sin contraseña: el flujo de autenticación
Del inicio de sesión en el escritorio al acceso a aplicaciones aguas abajo
Un empleado acerca una Hideez Key a su estación de trabajo. El cliente local valida el desafío criptográfico, desbloquea la sesión de Windows y comunica la identidad del usuario al IdP. Cada solicitud SAML u OIDC de una aplicación aguas abajo se responde entonces con un token firmado, sin solicitar contraseña. El factor biométrico o hardware permanece en el dispositivo; solo viajan las aserciones.
SAML, OIDC y WebAuthn: qué protocolo hace qué
WebAuthn regula el intercambio entre el usuario y el autenticador: el navegador verifica la credencial FIDO2 frente a la parte de confianza. SAML transporta la identidad autenticada a las aplicaciones empresariales heredadas mediante aserciones XML firmadas, mientras que OIDC gestiona las cargas de trabajo modernas en la nube y en dispositivos móviles a través de JSON Web Tokens. El IdP orquesta los tres, traduciendo un único evento de autenticación sin contraseña en acceso federado a todo el portfolio.
Passkeys, FIDO2 y WebAuthn: aclaración de la terminología
Los compradores suelen confundir tres términos que los proveedores usan indistintamente. Cada uno describe una capa distinta del mismo stack.
El mapa de relaciones: FIDO2 = WebAuthn + CTAP
FIDO2 es el estándar paraguas que combina WebAuthn (la API W3C expuesta a los navegadores) y CTAP2 (el Client-to-Authenticator Protocol que permite a un dispositivo externo como una llave hardware comunicarse con el cliente). Las passkeys son una capa de UX construida sobre credenciales FIDO2 que hace portables las credenciales descubribles entre dispositivos.
Passkeys sincronizadas, passkeys vinculadas al dispositivo y llaves hardware: cuándo usar cada una
Las passkeys sincronizadas (iCloud Keychain, Google Password Manager) son adecuadas para aplicaciones de consumo y BYOD. Las passkeys vinculadas al dispositivo se ajustan a portátiles corporativos con atestación TPM. Las llaves hardware como la Hideez Key siguen siendo la opción más sólida para sectores regulados, puestos de trabajo compartidos y cualquier entorno que requiera autenticación auditable y resistente al phishing independiente del móvil del usuario.
Comparativa de autenticadores: biometría, push móvil y llaves hardware FIDO2
Cada método implica compromisos en postura de seguridad, experiencia de usuario y coste operativo que solo se hacen evidentes a escala.
Tabla de valoración: resistencia al phishing, auditabilidad y portabilidad
| Criterio | Biometría de plataforma | Push móvil | Llave hardware FIDO2 |
|---|---|---|---|
| Resistencia al phishing | Alta | Media | Máxima |
| Registro de auditoría | Local en el dispositivo | Dependiente de la app | Centralizado vía IdP |
| Portabilidad entre endpoints | Baja | Media | Alta |
| Uso sin conexión | Sí | No | Sí |
| Adecuación para puestos compartidos | Escasa | Escasa | Excelente |
El push móvil sigue siendo vulnerable a los ataques de fatiga de MFA documentados por la CISA. Las llaves hardware vinculadas a desafíos WebAuthn neutralizan esta clase de ataque.
Coste total de propiedad a 3 años por tipo de autenticador
La inscripción biométrica parece gratuita, pero conlleva costes ocultos de renovación de hardware. El push móvil requiere licencias MDM de alrededor de 6 USD por usuario/mes. Una llave FIDO2 amortizada en 36 meses cae por debajo de 1,50 USD por usuario/mes, repuesto incluido.
Cumplimiento normativo: NIS2, DORA, GDPR, HIPAA, PCI-DSS
Los equipos de cumplimiento adquieren soluciones de autenticación porque los reguladores exigen MFA resistente al phishing, registros de auditoría firmados y gestión demostrable del ciclo de vida de las credenciales. El SSO sin contraseña satisface estos requisitos cuando se combina con factores hardware FIDO2, incluidas las obligaciones que recaen sobre las organizaciones de servicios financieros en virtud de DORA y PCI-DSS.
Tabla de mapeo de cumplimiento: qué control aborda cada requisito
| Capacidad | NIS2 Art. 21 | DORA | GDPR Art. 32 | HIPAA §164.312 | PCI-DSS 4.0 |
|---|---|---|---|---|---|
| MFA resistente al phishing | ✓ | ✓ | ✓ | ✓ | Req. 8.4 |
| Eliminación de credenciales | ✓ | ✓ | ✓ | ✓ | Req. 8.3 |
| Registros de auditoría firmados | ✓ | ✓ | ✓ | ✓ | Req. 10 |
| Revocación de sesiones | ✓ | ✓ | — | ✓ | Req. 8.2 |
Requisitos específicos de la UE: NIS2 artículo 21, DORA y guía de ANSSI
El artículo 21(2)(j) de NIS2 exige MFA o autenticación continua para las entidades esenciales. Las recomendaciones de ANSSI sobre autenticación multifactor citan explícitamente las llaves FIDO2 como método preferido. El artículo 9 de DORA extiende obligaciones idénticas a las entidades financieras y sus terceros proveedores de TIC.
Integración del SSO sin contraseña con Okta, Entra ID, AD FS y PingFederate
Su proveedor de identidad existente permanece en su lugar. Hideez se conecta a la capa de federación como autenticador externo, no como IdP de reemplazo.
Patrones de federación: Claims Provider Trust, delegación SAML y bridging OIDC
Tres patrones cubren el 95 % de los despliegues. Con Okta, Hideez se registra como proveedor de identidad enrutando a través de SAML entrante; Okta retiene la orquestación de políticas. Con Entra ID, los External Authentication Methods (EAM) o el Claims Provider Trust delegan la ceremonia FIDO2 a Hideez mientras Entra emite el token final. AD FS usa Claims Provider Trust sobre WS-Federation; PingFederate acepta bridging OIDC mediante un IdP Adapter.
Sin rip-and-replace: preservando su inversión en IAM
Conserva su catálogo de apps SAML, sus políticas de acceso condicional y sus flujos de aprovisionamiento. Hideez se sitúa aguas arriba del IdP, gestionando la ceremonia de autenticación con llaves hardware o passkeys. Sin migración de atributos de usuario, sin refederación de aplicaciones aguas abajo.
Gestión de aplicaciones heredadas, puestos compartidos y trabajadores de primera línea
Conexión de clientes pesados, RDP y mainframes mediante proxies inversos y RADIUS
El SSO sin contraseña nativo en la nube se detiene en el límite SAML. Los clientes pesados, las pasarelas RDP y los terminales AS/400 no hablan ni OIDC ni WebAuthn. Hideez salva esta brecha mediante un proxy RADIUS para VPN y dispositivos de red, inyección de credenciales para apps Windows heredadas y publicación mediante proxy inverso para herramientas web internas sin federación moderna. Su arquitecto IAM mapea cada app al shim correcto antes del despliegue.
Tap-to-Login para sanidad, fabricación y quioscos de venta al por menor
La biometría falla cuando las enfermeras llevan guantes, los operarios de fábrica comparten un terminal entre turnos o el personal de tienda rota en un TPV cada hora. Una llave hardware portátil acercada a un lector NFC inicia la sesión del usuario en menos de dos segundos y la cierra al retirarla. La misma Hideez Key funciona sin conexión, en quioscos Windows 10 LTSC y en entornos con restricción BYOD donde los autenticadores móviles están prohibidos. Hideez ofrece soluciones dedicadas para entornos sanitarios y clínicos y para fabricación e instalaciones industriales.
Recuperación de cuentas y estrategia de contingencia
La pregunta de qué ocurre cuando un usuario pierde su llave acaba con más proyectos de SSO sin contraseña que cualquier limitación técnica. Un plan de recuperación creíble debe adaptarse al perfil de riesgo del usuario.
Patrones de recuperación por rol de usuario: directivo, primera línea, contratista
Los directivos necesitan llaves hardware de respaldo preinscritas guardadas en sobres sellados, con recuperación presenciada por un administrador. El personal de primera línea se beneficia de credenciales temporales emitidas por su supervisor, válidas para un único turno y vinculadas a la política del puesto compartido. Los contratistas deben apoyarse en la reinscripción con límite temporal a través del IdP, con atestación del responsable y caducidad automática al finalizar el contrato.
Llaves de respaldo, códigos de derivación y reinscripción de autoservicio
Emita una segunda llave FIDO2 en el proceso de incorporación para cada cuenta privilegiada. Los códigos de derivación siguen siendo aceptables en escenarios de emergencia cuando se registran y rotan cada 90 días. La reinscripción de autoservicio requiere verificación de identidad mediante un dispositivo verificado o una comprobación por vídeo antes de vincular cualquier nuevo autenticador.
El coste real del SSO sin contraseña: desglose de TCO y ROI
Las páginas de precios de los proveedores rara vez reflejan lo que un proyecto consume realmente en tres años. El presupuesto real se distribuye en cuatro partidas.
Factores de coste ocultos: licencias, hardware, despliegue, gestión del cambio
Las licencias del IdP escalan por usuario y por función premium (acceso condicional, señales de riesgo). Los autenticadores hardware oscilan entre 25 y 60 USD por llave, el doble si se emite una de respaldo. Las horas de despliegue cubren la federación del IdP, la incorporación de apps, la sincronización de directorio y la creación de políticas. La gestión del cambio, la formación, la documentación y la preparación del helpdesk equivalen típicamente al 15 % del coste total del proyecto.
Un modelo de ROI transparente para 100, 500 y 5.000 usuarios
| Usuarios | TCO a 3 años | Ahorro en helpdesk | Reducción del riesgo de brecha |
|---|---|---|---|
| 100 | 18 000 USD | 22 000 USD | 40 000 USD |
| 500 | 72 000 USD | 110 000 USD | 200 000 USD |
| 5 000 | 540 000 USD | 1,1 M USD | 2 M USD |
Comparativa de proveedores: Hideez, Beyond Identity, Duo, Okta FastPass y Entra
La elección de un proveedor de SSO sin contraseña depende de tres variables: portfolio de autenticadores, profundidad de federación con el IdP y soporte en local. Hideez se diferencia por tratar las llaves hardware FIDO2 como la credencial principal en lugar de un recurso alternativo.
Matriz comparativa: autenticadores, compatibilidad con IdP, soporte on-prem, precios
Hideez admite llaves hardware, biometría, push móvil y passkeys, federa con Okta, Entra y AD FS mediante SAML y OIDC, y funciona completamente en local. Las soluciones competidoras se concentran en despliegues exclusivos en la nube y autenticadores de plataforma, con cobertura de tap-to-login limitada para endpoints compartidos.
Criterios de selección para pymes, empresas medianas y grandes empresas reguladas
Las pymes deben priorizar la transparencia de precios y el despliegue en menos de 30 días. Las empresas medianas necesitan flexibilidad de IdP y conexión de aplicaciones heredadas. Las grandes empresas reguladas requieren certificación FIDO2, planos de control on-prem y registros de nivel de auditoría para satisfacer los mandatos de NIS2 y DORA.
Playbook de implantación: del piloto al despliegue completo en 30/60/90 días
Fases 1 y 2: grupo piloto, endurecimiento de políticas y distribución de autenticadores
Comience con un piloto de 15 a 25 usuarios que incluya un equipo de TI y una unidad de negocio. Durante los días 1-30, conecte su IdP (Okta, Entra ID, AD FS o PingFederate), defina una política de autenticación sin contraseña y envíe llaves hardware FIDO2 a los usuarios piloto. Los días 31-60 se centran en el endurecimiento: aplique MFA resistente al phishing en las apps críticas, configure los tiempos de vida de las sesiones y valide la ingesta de registros de auditoría en su SIEM.
Fase 3: despliegue empresarial, gestión del cambio y lista de verificación previa al despliegue
Los días 61-90 amplían la cobertura a todos los empleados, incluidos puestos compartidos y apps heredadas conectadas mediante RADIUS o proxy inverso. Antes del despliegue, verifique:
- Autenticador de respaldo emitido para cada usuario
- Procedimiento de recuperación del helpdesk documentado
- Inventario de apps heredadas mapeado a SAML o almacén de contraseñas
- Plan de comunicación y vídeo de formación breve distribuidos
¿Listo para eliminar el riesgo basado en credenciales de su portfolio de aplicaciones? Solicite una demo para ver cómo Hideez se integra con su IdP existente en horas, o explore el programa de partners para desplegar SSO sin contraseña para sus clientes.
Preguntas frecuentes sobre el SSO sin contraseña
¿Cómo se integra el SSO sin contraseña con Okta o Microsoft Entra ID?
Hideez se conecta a su proveedor de identidad existente mediante federación SAML 2.0 u OIDC. El IdP delega la autenticación en el Hideez Authentication Service, que valida la aserción FIDO2 de la llave o passkey del usuario y devuelve un token firmado. No se requiere migración de directorio.
¿Cuánto cuesta el SSO sin contraseña para una empresa mediana?
Para una organización de 200 empleados, espere entre 15 y 35 USD por usuario al año para la capa de software, más un coste único de hardware de 40 a 70 USD por llave de seguridad. Los ahorros del helpdesk en restablecimientos de contraseñas compensan típicamente el 60 % de ese gasto en 12 meses.
¿Qué ocurre cuando un usuario pierde su llave hardware o su teléfono?
Cada usuario se inscribe con un autenticador de respaldo. Si ambos se pierden, el helpdesk emite una credencial de recuperación de duración limitada tras la verificación de identidad, y la llave perdida se revoca inmediatamente desde la consola de administración.