Guía práctica de llaves de seguridad de hardware - de YubiKey a FIDO2

Lectura de 13 min aprox.

Las llaves de seguridad de hardware son la forma más fuerte de autenticación disponible hoy en día. A diferencia de las contraseñas que pueden ser objeto de phishing, y a diferencia de los códigos TOTP que pueden ser interceptados, una llave de seguridad compatible con FIDO2 realiza una verificación criptográfica del origen del sitio solicitante, haciendo los ataques de phishing matemáticamente imposibles. Google informó que después de implementar llaves de seguridad para los más de 85.000 empleados en 2017, los ataques de phishing exitosos cayeron a cero, un resultado mantenido durante más de siete años. El costo de una YubiKey 5 NFC comienza en aproximadamente $50, pero elimina el mayor vector de ataque individual en ciberseguridad. Esta guía cubre los fundamentos técnicos de los tokens de seguridad, comparaciones de productos, procedimientos de configuración para servicios principales, planificación de recuperación y análisis de costo-beneficio para individuos y organizaciones.

Arquitectura técnica de FIDO2/WebAuthn

Para entender la fortaleza de las llaves de seguridad de hardware, necesita conocer cómo funciona el protocolo FIDO2 subyacente. FIDO2 consiste en la especificación WebAuthn del W3C y el CTAP (Protocolo de Cliente a Autenticador) de la Alianza FIDO. El flujo de autenticación se basa en criptografía de clave pública. Durante el registro inicial con un servicio, se genera un par de claves pública-privada dentro de la llave de seguridad. La clave pública se envía y almacena en el servicio, mientras que la clave privada se almacena en el elemento seguro de la llave y no puede ser extraída.

Durante el inicio de sesión, el servicio envía un desafío aleatorio (nonce). La llave de seguridad firma este desafío con la clave privada y devuelve la firma al servicio. El servicio verifica la firma usando la clave pública almacenada, confirmando al propietario legítimo de la llave. Durante todo este proceso, la clave privada nunca viaja por la red. Como no existe un "secreto compartido" como una contraseña, las credenciales de autenticación permanecen seguras incluso si la base de datos del servidor es vulnerada.

Base técnica de la resistencia al phishing

La razón por la que FIDO2 es invulnerable al phishing radica en la verificación de origen. Cuando la llave de seguridad genera una firma, la información de origen (nombre de dominio) pasada desde el navegador se incluye en los datos firmados. Esto significa que un par de claves registrado en google.com no responderá a desafíos de g00gle.com (un sitio de phishing). Como el navegador verifica automáticamente el origen, los usuarios no necesitan verificar visualmente las URLs, creando un diseño que no depende de errores de juicio humano. Esta es la diferencia decisiva con TOTP (Contraseña de Un Solo Uso Basada en Tiempo). Con TOTP, si un usuario ingresa el código en un sitio de phishing, el atacante puede retransmitir ese código al sitio legítimo en tiempo real.

Comparación de productos principales

Aquí comparamos las principales llaves de seguridad de hardware disponibles en el mercado a partir de 2025. Los criterios de selección incluyen soporte FIDO2/WebAuthn, interfaces de conexión, soporte NFC, precio y durabilidad.

La serie YubiKey 5 es el producto más ampliamente adoptado. La YubiKey 5 NFC (aproximadamente $50) soporta USB-A y NFC, mientras que la YubiKey 5C NFC (aproximadamente $55) soporta USB-C y NFC. Soporta numerosos protocolos incluyendo FIDO2, U2F, Smart Card (PIV), OpenPGP y TOTP, con diseño resistente al agua IP68 y a golpes para alta durabilidad física. No requiere batería y funciona con la alimentación del puerto USB. Tiene un amplio historial de implementación empresarial, con Google, Facebook y Salesforce adoptándola como estándar interno.

La Google Titan Security Key cuenta con firmware diseñado por Google, con el modelo USB-C/NFC disponible por aproximadamente $30. Soporta FIDO2 y U2F pero a diferencia de YubiKey, no incluye funcionalidad OpenPGP o de tarjeta inteligente. Se integra profundamente con cuentas de Google, logrando el nivel más alto de protección de cuenta cuando se combina con el Programa de Protección Avanzada de Google. La serie Feitian ePass es un producto de un fabricante chino, desde aproximadamente $25, siendo la más asequible. Aunque soporta FIDO2 con funcionalidad básica, queda por debajo de YubiKey en amplitud de protocolos y soporte empresarial.

Servicios compatibles y procedimientos de configuración

Aquí explicamos los procedimientos de configuración de llaves de seguridad para servicios principales. Como requisito previo común, antes de registrar una llave de seguridad, es importante primero cambiar la contraseña de la cuenta a una fuerte y preparar métodos de recuperación de respaldo (códigos de respaldo, llave de seguridad de repuesto).

Para cuentas de Google, regístrese a través de "Seguridad" → "Verificación en 2 pasos" → "Llave de seguridad." Google permite hasta 5 llaves de seguridad y recomienda una configuración de dos llaves con una principal y una de respaldo. Inscribirse en el Programa de Protección Avanzada hace que la llave de seguridad sea el único método de inicio de sesión, deshabilitando la autenticación por SMS y aplicación. Esto previene completamente los ataques de intercambio de SIM y el robo de códigos de autenticación mediante phishing.

GitHub soporta llaves de seguridad como método de autenticación multifactor a través de "Settings" → "Password and authentication" → "Two-factor authentication." Para los desarrolladores, esto es particularmente crítico ya que el compromiso de una cuenta de GitHub puede llevar a ataques a la cadena de suministro mediante la inyección de código malicioso en repositorios. Las cuentas de Microsoft soportan llaves de seguridad a través de "Seguridad" → "Opciones de seguridad avanzadas" → "Agregar una nueva forma de iniciar sesión." Twitter/X soporta llaves de seguridad para cuentas inscritas en autenticación de dos factores. Para una visión más amplia de los métodos de autenticación, consulte nuestra guía de autenticación de dos factores.

Plan de recuperación por pérdida o fallo

La mayor preocupación con las llaves de seguridad es "¿qué pasa si la pierdo?" La respuesta es clara: pre-registrar una llave de respaldo es la única contramedida confiable. Registre una segunda llave de seguridad en todos los servicios principales y almacene la llave de respaldo en una ubicación físicamente diferente de la llave principal, como una caja fuerte en casa o una caja de seguridad bancaria.

Además de una llave de respaldo, es importante imprimir y almacenar de forma segura los códigos de recuperación (códigos de respaldo) de cada servicio. Google genera 10 códigos de respaldo y GitHub proporciona 16 códigos de recuperación. Estos códigos son de un solo uso y sirven como acceso de emergencia cuando la llave de seguridad no está disponible. Recomendamos imprimir los códigos en papel en lugar de almacenarlos digitalmente, ya que el almacenamiento digital conlleva riesgo de robo por malware.

También vale la pena considerar las passkeys como método de recuperación complementario. Algunos servicios permiten registrar tanto una llave de seguridad de hardware como una passkey almacenada en su smartphone, proporcionando una alternativa adicional. Para entender la relación entre diferentes tecnologías de autenticación, nuestra entrada del glosario sobre TOTP y el artículo sobre riesgos de autenticación biométrica proporcionan contexto útil.

Análisis de costo-beneficio

Para uso personal, una configuración de dos llaves (principal + respaldo) requiere una inversión inicial de aproximadamente $100 (YubiKey 5 NFC × 2). Esta cantidad es extremadamente razonable comparada con el daño por secuestro de cuentas. Según encuestas del IPA, el daño promedio por acceso no autorizado es aproximadamente $2.000 para individuos y decenas de millones de yenes para empresas. Las llaves de seguridad no requieren baterías y no tienen partes móviles, durando típicamente más de 5 años, lo que se traduce en un costo anual de aproximadamente $20.

Para implementación empresarial, distribuir 2 YubiKeys a cada uno de 100 empleados cuesta aproximadamente $10.000 inicialmente. Sin embargo, el costo de respuesta a un solo ataque de phishing (investigación del incidente, recuperación del sistema, notificación a clientes, recuperación de reputación) promedia millones de yenes, por lo que prevenir un solo ataque recupera la inversión. Además, hay reducciones de costos del helpdesk de TI por menos restablecimientos de contraseñas. La investigación de Gartner estima el costo de soporte de TI por restablecimiento de contraseña en aproximadamente $70, y considerando los volúmenes anuales de restablecimiento, los ahorros indirectos de la implementación de llaves de seguridad son significativos.

Para quienes buscan profundizar su comprensión de la seguridad de autenticación, productos relacionados con llaves de seguridad FIDO2 (Amazon) ofrecen una gama de opciones desde nivel básico hasta empresarial.

Pasos de implementación

Recomendamos implementar llaves de seguridad siguiendo estos pasos.

1. Compre 2 llaves - una principal y una de respaldo (los modelos USB-C/NFC ofrecen la mayor versatilidad)
2. Registre la llave de seguridad comenzando con sus cuentas más importantes (correo electrónico, almacenamiento en la nube)
3. Registre también la llave de respaldo en cada servicio
4. Imprima los códigos de recuperación y guárdelos en un lugar seguro
5. Almacene la llave de respaldo en una ubicación físicamente separada
6. Adjunte la llave principal a su llavero y llévela diariamente

Para gestionar las contraseñas de servicios que aún no admiten llaves de seguridad, combine con un gestor de contraseñas y genere contraseñas únicas y fuertes para cada servicio usando passtsuku.com. También revise su configuración de sincronización de contraseñas multidispositivo para asegurar acceso sin interrupciones en todos sus dispositivos.

Preguntas frecuentes

¿Perderé acceso a mi cuenta si pierdo mi llave de seguridad?

Si ha pre-registrado una llave de respaldo, puede iniciar sesión con ella. Si tampoco tiene una llave de respaldo, puede recuperar el acceso usando los códigos de recuperación (códigos de respaldo) de cada servicio. Por lo tanto, al implementar llaves de seguridad, siempre registre una llave de respaldo e imprima/almacene los códigos de recuperación.

¿Se pueden usar las llaves de seguridad con smartphones?

Sí, las llaves de seguridad compatibles con NFC (como YubiKey 5 NFC) pueden usarse con iPhones y smartphones Android. Los iPhones soportan llaves de seguridad NFC desde iOS 13.3 en adelante. Android soporta conexiones NFC o USB-C. La autenticación se completa simplemente sosteniendo la llave de seguridad contra la parte trasera del smartphone.

¿Cuál es la diferencia entre passkeys y llaves de seguridad?

Ambas se basan en tecnología FIDO2/WebAuthn, pero difieren en dónde se almacena la clave privada. Las passkeys almacenan la clave privada en el elemento seguro del smartphone o PC y pueden sincronizarse en la nube. Las llaves de seguridad almacenan la clave privada en un dispositivo de hardware dedicado donde no puede ser extraída. Las llaves de seguridad tienen mayor resistencia al phishing, pero las passkeys ofrecen mejor conveniencia. Las llaves de seguridad son adecuadas cuando se necesita el nivel más alto de seguridad, mientras que las passkeys son mejores para priorizar la conveniencia diaria.