Breez SDK Lanza Inicio de Sesión con Passkey para Billeteras Bitcoin sin Semilla

Breez, un proveedor de servicios de lightning y laboratorio de software de Bitcoin, ha introducido Passkey Login en su SDK de Breez. La función permite a los desarrolladores crear carteras de autocustodia que utilizan passkeys para autenticación y derivación de claves, eliminando la necesidad de la frase semilla tradicional durante el uso normal.

El soporte para frases semilla sigue disponible para los usuarios que lo prefieran, manteniendo la compatibilidad con los estándares de la industria, pero eliminando el “bache de velocidad” en las carteras de Bitcoin, que solicita a los usuarios hacer una copia de seguridad de sus 12 palabras.

Breez explicó la razón detrás de esta nueva función en un comunicado de prensa compartido con Bitcoin Magazine: “La frase semilla ha sido una barrera para la autocustodia desde el primer día. Es lo que asusta a los usuarios normales de mantener su propio bitcoin, y es una razón legítima por la que las personas aceptan el riesgo de contraparte de los intercambios y aplicaciones custodiales.” Añadió que “Passkey Login no elimina las desventajas de la autocustodia, pero las replantea en torno a algo que la gente ya entiende y usa, a saber, la misma autenticación biométrica que protege su aplicación bancaria y su gestor de contraseñas. Para la mayoría de los usuarios, ese es un modelo de seguridad mucho más intuitivo que un papel en un cajón.”

Passkeys: pares de claves por sitio en hardware moderno

Los passkeys — un estándar de seguridad relativamente nuevo que está ganando adopción en línea — son credenciales criptográficas basadas en el estándar FIDO2 WebAuthn, promovido conjuntamente por Apple, Google, Microsoft y la FIDO Alliance desde 2022. Cada passkey consiste en un par de claves pública-privada único generado para un sitio web o aplicación específicos.

La clave privada permanece almacenada en el elemento seguro o hardware similar en el dispositivo del usuario, como el Secure Enclave de Apple, el chip Titan de Android, TPM de Windows, claves de seguridad externas como YubiKey o el gestor de contraseñas del usuario.

Los passkeys en línea normales se parecen al archivo original wallet.dat de Bitcoin introducido por Satoshi Nakamoto en sus primeras versiones del cliente de Bitcoin, donde las claves privadas se almacenan localmente en el dispositivo del usuario, mientras que las claves públicas se comparten con terceros.

Sin embargo, el estándar FIDO2 implementa esta idea de claves públicas-privadas de una manera más estandarizada y moderna. Los sitios web envían un desafío al usuario, haciendo referencia a la clave pública conocida del usuario para esa cuenta. El mensaje de desafío es firmado por la clave privada del usuario, autenticando su identidad de forma que preserva la privacidad. Cada servicio obtiene una clave pública diferente para el mismo usuario, por lo que los datos comprometidos en un sitio no filtran datos que puedan usarse para acceder a otros sitios, ni contienen datos que identifiquen al usuario.

FIDO2 ahora está ampliamente adoptado, aprovecha los elementos seguros del dispositivo, se integra con gestores de contraseñas (por ejemplo, iCloud Keychain, Google Password Manager), navegadores y el W3C WebAuthn API. La autenticación se realiza mediante desafío-respuesta de firma, con la clave privada vinculada al dominio para resistir ataques de phishing.

Los passkeys soportan desbloqueo biométrico (Face ID, huella dactilar, PIN) y sincronización entre dispositivos dentro de un ecosistema (por ejemplo, vía iCloud o Google), con más de mil millones de activaciones reportadas por la FIDO Alliance hasta mediados de 2025, con soporte en plataformas principales y muchos sitios web destacados.

FIDO2 no era suficiente para las carteras de Bitcoin

Los passkeys estándar sobresalen en autenticación (demostrar identidad a un servicio) pero carecían de funcionalidades clave necesarias para la industria moderna de Bitcoin.

La autocustodia de Bitcoin generalmente depende de una única fuente de entropía (frase semilla) para generar todas las direcciones y claves de forma determinista, mediante estándares como BIP-39. Los usuarios esperan que esas 12 palabras sean suficientes para recuperar todos los saldos y cuentas en una cartera de Bitcoin. El estándar Passkey necesitaba ser extendido para soportar este caso de uso.

La solución de Breez: aprovechando la extensión PRF

Breez aborda esto usando la extensión Pseudo-Random Function (PRF) en WebAuthn Nivel 3. La PRF permite que un passkey produzca una salida criptográfica determinista para cualquier entrada dada durante la autenticación.

Como se describe en el material de anuncio de Breez, “Eso es lo que resuelve la extensión PRF de WebAuthn, y es la clave en Passkey Login. La PRF es una capacidad más reciente, parte de la especificación WebAuthn Nivel 3, que permite que tu passkey produzca una salida criptográfica determinista para cualquier entrada. Mismo passkey, misma entrada, misma salida. Siempre. El passkey nunca sale del enclave seguro de tu dispositivo.”

Pérdida y recuperación del dispositivo

Si se pierde un dispositivo, la recuperación depende de la plataforma utilizada para almacenar el passkey. Los passkeys sincronizados — vía iCloud Keychain, Google Password Manager, etc. — se restauran en un nuevo dispositivo tras recuperar el acceso a la cuenta asociada.

Breez ofrece una vía opcional compatible con versiones anteriores: los usuarios pueden exportar una frase semilla normal de 12 palabras, BIP-39, para su cartera, de modo que puedan recuperar su cuenta en otras carteras de Bitcoin, siguiendo los estándares de la industria. El comunicado añade que “los passkeys tampoco son totalmente interoperables entre plataformas todavía. Si alguna vez necesitas cambiar a una plataforma o cartera que no soporte passkeys, tienes una frase semilla estándar para volver a ella.”

La especificación técnica completa para Passkey Login es pública, y una app de referencia llamada Glow demuestra la función. Breez la posiciona como un paso hacia hacer la autocustodia de Bitcoin más accesible, alineándose con la autenticación biométrica familiar utilizada en banca y gestores de contraseñas, mientras mantiene el control no custodial. Los desarrolladores que integren el SDK de Breez ahora pueden ofrecer onboarding sin el paso tradicional de “escribir estas palabras” en entornos compatibles.

La especificación técnica completa para Passkey Login es pública, y nuestra app de referencia Glow ya la implementa, estando ahora disponible para todos los desarrolladores del SDK de Breez.