YubiKey y claves FIDO2: todo lo que no le han contado

Un investigador de seguridad pierde su clave en un taxi en Berlín, un domingo por la noche. Una sola clave. Cuarenta y siete cuentas bloqueadas detrás. Pasó tres semanas recuperando sus accesos uno a uno, mediante procedimientos de recuperación todos distintos, algunos imposibles sin llamar a un soporte que solo responde en horario de oficina de otro huso horario. «Pensaba que con una clave bastaba.» Lo oigo más o menos una vez al mes. Es, con diferencia, el fallo más frecuente que encuentro con las claves hardware: se compra una, se registra en dos o tres cuentas, y nunca se piensa en el escenario de la pérdida antes de que ocurra.

La trampa habitual

Comprar una clave hardware no es una estrategia de seguridad. La clave es una herramienta. La estrategia es el despliegue: cuántas claves, en qué cuentas, dónde vive la copia de seguridad, cómo gestiona la pérdida, cómo gestiona el ciclo de vida. El discurso dominante se detiene en «cómprate una YubiKeyClave de autenticación hardware de Yubico, compatible con FIDO2/WebAuthn, OTP, PIV, OpenPGP.Ver el glosario, es el mejor MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión.Ver el glosario». Es cierto y es insuficiente. Es exactamente como decir «cómprate un extintor» sin precisar cuántos, dónde y quién sabe usarlo.

La configuración que veo con más frecuencia: una sola clave, registrada en Google y GitHub, y todos los métodos de recuperación débiles siempre activos en paralelo. SMS de respaldo en un número de móvil ordinario, correo de recuperación sin segundo factor, preguntas de seguridad cuyas respuestas andan por LinkedIn. En esa configuración, la clave no cambia radicalmente su exposición: añade una puerta blindada al lado de una ventana abierta. Un atacante que quiere entrar no fuerza la puerta blindada. Desencadena un SIM swapAtaque en el que un fraude convence a tu operador de transferir tu número a una SIM propia.Ver el glosario, intercepta el SMS de respaldo, y restablece el acceso sin cruzarse jamás con su clave.

La otra trampa es más sutil y más dolorosa: la clave hace su trabajo demasiado bien. El FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing.Ver el glosario está diseñado para que ninguna copia de la credencial abandone la clave. Es precisamente lo que lo vuelve inviolable al phishing —y es también lo que le deja encerrado fuera el día en que la clave cae en la alcantarilla—. No hay «contraseña olvidada» para un objeto físico perdido. La única defensa es la redundancia: haber previsto una segunda clave antes del incidente. La regla básica cabe en una frase: cada cuenta crítica debe tener dos claves registradas, y los métodos de recuperación alternativos deben ser al menos tan sólidos como la propia clave. Todo lo demás se deriva de ahí.

Inventario real: lo que de verdad hace una clave, y contra qué

Una clave hardware no es un objeto de función única. Según el protocolo que habla con el servicio, le protege contra cosas distintas. Confundir esos protocolos es creer que se está cubierto donde no se lo está.

El protocolo central, el que justifica la compra por sí solo, es FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing.Ver el glosario y su interfaz de navegador WebAuthnAPI del navegador que permite la autenticación FIDO2 en sitios web.Ver el glosario. Esto es lo que hace que nada más hace: cuando usted registra una clave en un sitio, esta genera un par de claves criptográficas vinculado al dominio exacto del servicio —accounts.google.com, por ejemplo—. En cada conexión, la clave verifica que el dominio que pide la autenticación corresponde al dominio de registro. Una página de phishingAtaque de ingeniería social que empuja a la víctima a dar sus credenciales o ejecutar código.Ver el glosario alojada en accounts-google.com o google.secure-login.example no corresponde. La clave se niega a firmar. No le pide su opinión, no confía en que usted detecte el fallo en la URL: constata la diferencia de dominio y se detiene. Ningún código TOTPCódigo de 6 dígitos generado cada 30 segundos por una app (Google Authenticator, Authy, etc.).Ver el glosario, ningún SMS, ninguna notificación push hace eso —todos esos factores pueden introducirse en una página falsa y ser reproducidos en tiempo real por el atacante—. Es la única defensa anti-phishing que resiste a un operador humano competente enfrente.

Los demás protocolos son extras útiles, no el núcleo. El OTP: la clave puede generar un código de un solo uso para los sitios que aún no soportan FIDO2. La PKISistema que gestiona los certificados y claves públicas para autenticar identidades.Ver el glosario vía PIV (Personal Identity Verification): la clave almacena certificados x.509 para la autenticación SSH por certificado, el inicio de sesión de Windows por smartcard, la firma de documentos —la clave privada no abandona nunca el hardware, así que un portátil comprometido no permite exfiltrarla—. PGPSistema de cifrado de extremo a extremo y firma, creado por Phil Zimmermann en 1991.Ver el glosario: la clave firma sus commits de Git y descifra sus correos sin que la clave privada toque el disco. En todos esos casos, el principio es idéntico: la operación criptográfica se hace en el chip, no en la máquina anfitriona. Es lo que transforma un secreto «copiable» en un secreto «inarrancable».

Un detalle técnico lo cambia todo en la práctica, y nadie se lo explica en el momento de la compra: la diferencia entre credencial residente y no residente. Una credencial no residente (la forma histórica, llamada «server-side») no está almacenada en la clave —es el servicio el que conserva un blob cifrado que devuelve a la clave en el momento de la autenticación—. La clave puede por tanto gestionar un número ilimitado, pero no «sabe» nada: no puede listar sus cuentas, y usted debe siempre proporcionar un identificador para iniciar la conexión. Una credencial residente (discoverable, la que exigen las passkeysImplementación de FIDO2 para el gran público: clave de autenticación almacenada y sincronizada por Apple/Google/Microsoft.Ver el glosario) sí está almacenada en el chip: la clave se vuelve capaz de presentarse sola, sin identificador, lo que permite el inicio de sesión «sin nombre de usuario». El reverso de la medalla es duro: la memoria es limitada —del orden de 25 credenciales residentes en una YubiKey 5, más en las generaciones recientes— y, sobre todo, una credencial residente no puede copiarse ni exportarse. Si usted lo construye todo sobre passkeys residentes y pierde la clave, no «recupera» nada: vuelve a empezar desde el procedimiento de respaldo del servicio. Es exactamente por eso que la segunda clave debe, ella también, recibir su propia credencial residente en cada cuenta afectada.

Ahora, el modelo de amenaza honesto. Contra qué no le protege una clave hardware. No protege una cuenta en la que sigue activo un método de recuperación débil: el atacante pasa por el eslabón débil, punto. No protege contra la pérdida física si usted no tiene copia de seguridad: usted se convierte en su propio adversario. No protege contra un servicio mal programado que acepta un downgrade hacia un factor más débil «porque ha olvidado su clave» —y muchos servicios de consumo todavía lo hacen, proponiendo un repliegue por SMS en cuanto la clave no está conectada—. Y no protege contra el atacante que tiene un acceso root persistente a su máquina mientras la clave está conectada —no roba la clave, secuestra una sesión ya autenticada—. La clave asegura la autenticación, no la sesión que la sigue. Entender ese perímetro es dejar de creer que un trozo de plástico de 50 € es una capa de invencibilidad.

Queda la cuestión del toque. En la mayoría de las claves, la autenticación FIDO2 exige una «presence check»: un contacto físico sobre el disco dorado. Ese gesto prueba que un humano está presente, lo que bloquea el uso a distancia por un malware que tuviera acceso al puerto USB. Pero un simple contacto no es una prueba de identidad: cualquiera que tenga la clave en la mano puede tocar. Los modelos biométricos añaden una verificación de huella local —la clave solo firma si la huella registrada corresponde—. Para un puesto compartido, una oficina diáfana, o un perfil que teme el robo oportunista de la clave conectada, ese matiz importa. Para la mayoría de los usos, el contacto físico basta, porque el atacante que ya tiene su clave en la mano probablemente tiene también su portátil, y el problema ya no es el mismo.

El enfoque correcto: la regla de las dos claves, y el despliegue por criticidad

El cambio pragmático cabe en una palabra: redundancia antes que migración. Usted nunca activa una clave en una cuenta crítica sin registrar una segunda en la misma sesión. Nada de «más tarde», nada de «cuando reciba la segunda»: en la misma sesión, o no toca la cuenta. Es contraintuitivo porque uno tiene ganas de asegurar rápido. Pero una clave única en una cuenta crítica es una trampa de efecto retardado que usted se tiende a sí mismo.

En concreto, aplico sistemáticamente la regla de las dos claves, idealmente de dos modelos distintos. Una clave primaria —encima de usted en permanencia, llavero o bolsillo interior, es la que sirve a diario—. Una clave de respaldo —en un lugar físico distinto: caja fuerte en casa, caja de seguridad en el banco, o en casa de un allegado de confianza, nunca en la misma bolsa que la primaria—. Si pierde la bolsa, no debe perder las dos claves de golpe. Dos modelos distintos son el seguro contra un defecto de serie o una retirada del fabricante: si un fallo afecta a un modelo, el otro sigue siendo válido. Para los perfiles muy expuestos —directivos, periodistas, personas bajo amenaza dirigida— una tercera clave en casa de un tercero de confianza cubre el escenario extremo: usted queda incapacitado, en el extranjero sin equipaje, o la copia de seguridad es inaccesible.

El orden de despliegue no es trivial. Se empieza por la cuenta cuya caída hace caer todas las demás, y luego se desciende por criticidad decreciente. La secuencia que recomiendo: primero el gestor de contraseñas, clave de bóveda de toda la vida digital; después el correo principal, porque es el vector de recuperación de casi todo el resto; luego la cuenta de identidad federada (Google, Apple, Microsoft) que sirve a menudo de SSOMecanismo que permite autenticarse una vez para acceder a varias aplicaciones.Ver el glosario hacia una decena de servicios de terceros; luego GitHub/GitLab si usted desarrolla, y finalmente las cuentas bancarias y de criptomonedas. Para cada cuenta: se registra la clave primaria, se registra la de respaldo, se descargan los códigos de recuperación sin conexión, se mantiene temporalmente el antiguo MFA activo, y solo se desactiva tras haber verificado que todo funciona con las dos claves. La migración se reparte a lo largo de dos o tres semanas, no en una noche de enfado.

Último punto, la única prueba que cuenta de verdad: desconéctese de una cuenta y vuelva a conectarse únicamente con la clave de respaldo, una vez, de verdad. Mientras no haya ejecutado ese flujo, no sabe si funciona —lo espera—. Un plan de recuperación no probado es un plan que fracasa exactamente el día en que lo necesita.

Elegir el modelo correcto sin equivocarse

El mercado parece complicado, no lo es. Tres preguntas bastan para zanjar: qué conector, qué protocolos, y qué nivel de verificación física. El resto es marketing.

El conector primero, porque es la trampa más tonta: una clave USB-A en un portátil que solo tiene USB-C es un pisapapeles. Mire sus puertos antes de comprar. La mayoría de los ultraportátiles recientes (MacBook, Dell XPS, Surface) son todo USB-C; las torres y muchos PC profesionales conservan USB-A. El NFC, por su parte, no es un lujo: es lo que permite acercar la clave a la parte de atrás del teléfono para autenticarse en el móvil, sin adaptador, sin dongle. Para quien usa su teléfono —es decir, todo el mundo— el NFC no es negociable.

El modelo de referencia sigue siendo la YubiKey 5 NFC (USB-A + NFC) o su gemela 5C NFC (USB-C + NFC). Hablan todos los protocolos útiles: FIDO2Estándar de autenticación fuerte mediante clave criptográfica de hardware, resistente al phishing.Ver el glosario/WebAuthn, OTP, PIVSistema que gestiona los certificados y claves públicas para autenticar identidades.Ver el glosario para los certificados, OpenPGPSistema de cifrado de extremo a extremo y firma, creado por Phil Zimmermann en 1991.Ver el glosario. Es el buen ajuste por defecto para el 90 % de la gente y para un primer despliegue de empresa, porque cubre todos los casos de uso sin tener que volver a comprar material seis meses después. Las variantes Nano (5 Nano, 5C Nano) son versiones miniatura que quedan conectadas permanentemente en el puerto: práctico en la oficina para no perderla nunca, pero es exactamente lo que se olvida en un portátil que se presta o que roban. A reservar para un puesto fijo que no se mueve.

Los modelos biométricos (YubiKey Bio) añaden la huella digital descrita más arriba: la clave solo firma para la persona correcta. El precio sube, la cobertura de protocolos se reduce a menudo al FIDO2 solo, pero para un directivo o un perfil bajo amenaza, la garantía de que una clave robada conectada no basta vale el sobrecoste. En cuanto a las alternativas, la Nitrokey, diseñada en Alemania y con hardware abierto, seduce a los perfiles que se niegan a depender de un proveedor único o quieren auditar el firmware —las herramientas de gestión están menos pulidas, la función equivalente en FIDO2 y OpenPGP—. La Google Titan, por su parte, hace FIDO2 fiable y nada más: no programable, simple, correcta como respaldo barato al lado de una YubiKey completa. Es de hecho una estrategia sana combinar: una YubiKey 5 como primaria polivalente, una segunda clave de otra marca u otro modelo como respaldo, para no depender de una sola línea de firmware.

Ciclo de vida, reset y revocación

Una clave no es una compra puntual, es un activo a gestionar en el tiempo —exactamente como un manojo de llaves físicas—. Tres momentos cuentan: la pérdida, el borrado y la salida.

A la pérdida de la clave primaria, el escenario es cómodo si usted ha hecho el trabajo aguas arriba: sigue conectándose con la de respaldo, encarga un reemplazo, la registra en todas las cuentas, y solo después retira la credencial de la clave perdida, cuenta por cuenta. Atención a la trampa: en muchos servicios, «retirar una clave» suprime una credencial del lado del servidor, pero la clave física perdida, si se encuentra, sigue siendo técnicamente válida para las cuentas en las que no ha hecho limpieza. De ahí el inventario —saber con precisión en qué cuentas está registrada cada clave—. Es ykman quien se lo dice: ykman fido credentials list enumera las credenciales residentes de una clave, ykman info da su estado general. Sin esa herramienta, usted gestiona a ciegas.

El borrado (reset) es la operación que se descuida hasta el día en que se necesita bajo presión. ykman fido reset borra todas las credenciales FIDO2 residentes y pone el PIN a cero; ykman piv reset vuelve a empezar de cero del lado de los certificados; las ranuras OpenPGP y OTP se reinician por separado. Los casos de uso: reventa de una clave, clave heredada de un compañero que se ha ido, o clave sospechosa de compromiso que se pone a nuevo antes de reutilizarla. El día en que usted revende o recicla una clave sin resetearla, deja potencialmente credenciales y un certificado explotables para el siguiente comprador. Conocer esos comandos en frío es no improvisar en caliente.

En la empresa, la revocación es el eslabón que se olvida cablear. Una clave debe estar vinculada a una identidad en el IAMGestión centralizada de identidades y accesos a los recursos.Ver el glosario, y la salida de un colaborador debe desencadenar la invalidación de sus credenciales al mismo título que la desactivación de su cuenta de correo. Una credencial FIDO2 huérfana —válida, vinculada a una cuenta aún activa, en el bolsillo de un ex empleado— es exactamente el tipo de deuda de seguridad invisible que solo se ve en el incidente. El modo empresa de las claves (atestación, configuración bloqueada, PIN impuesto) existe precisamente para hacer ese parque auditable. La misma lógica vale para el reset: es un procedimiento documentado, no un gesto individual dejado a la iniciativa de cada cual.

Lo que esto implica en concreto

Errores que se ven todo el tiempo

• Una sola clave, sin respaldo. El error rey. Funciona perfectamente hasta el día en que la clave cae al váter de un aeropuerto. No es una cuestión de «si» sino de «cuándo».
• La de respaldo registrada solo en algunas cuentas. Se añade en Google y GitHub, se olvida el gestor de contraseñas. Resultado: a la pérdida de la primaria, se conserva el acceso a lo accesorio y se pierde el acceso a la caja fuerte central.
• Códigos de recuperación nunca guardados. Es la red de seguridad última. Perdidos al mismo tiempo que la clave, la recuperación se vuelve un viacrucis, a veces un callejón sin salida definitivo.
• Primaria y respaldo en la misma bolsa. Dos claves, un solo punto de fallo físico. Un robo de bolsa y ha perdido las dos a la vez —para eso, vale más tener una sola—.
• Métodos de recuperación débiles dejados activos. SMS de respaldo, correo de recuperación sin MFA, preguntas de seguridad públicas. La clave se vuelve decorativa: el atacante no la ataca, la sortea.
• Ninguna prueba del flujo de respaldo. Se registra la segunda clave y no se usa nunca. El día clave, se descubre que un servicio exigía un paso olvidado. El plan no probado no es un plan.
• Confundir clave hardware y passkey sincronizada. Una passkeyImplementación de FIDO2 para el gran público: clave de autenticación almacenada y sincronizada por Apple/Google/Microsoft.Ver el glosario sincronizada en una nube (iCloud, Google) es práctica pero no vive en un chip inarrancable: su modelo de amenaza difiere. Para las cuentas de mayor valor, la clave hardware sigue siendo el nivel superior.

Checklist accionable

• N1 Comprar dos claves hardware, idealmente dos modelos (primaria + respaldo)
• N1 Registrar las dos claves en el gestor de contraseñas en primer lugar
• N1 Registrar las dos claves en el correo principal y la cuenta de identidad federada
• N1 Descargar y almacenar sin conexión los códigos de recuperación de cada cuenta crítica
• N2 Guardar la clave de respaldo en un lugar físicamente distinto del de la primaria
• N2 Probar una conexión completa con solo la clave de respaldo antes de desactivar el antiguo MFA
• N2 Desactivar los métodos de recuperación débiles (SMS, correo no protegido) tras la validación
• N3 Instalar ykman e inventariar las credenciales registradas en cada clave
• N3 Desplegar en la empresa por círculo de criticidad (admin → directivos → funciones sensibles)
• N3 Registrar una tercera clave en casa de un tercero de confianza para los perfiles muy expuestos

Para profundizar

La documentación oficial de Yubico(opens in a new tab) cubre en detalle ykman, el modo PIV y la gestión de las credenciales residentes —a leer antes de cualquier despliegue serio—. Las especificaciones de la FIDO Alliance(opens in a new tab) y la recomendación WebAuthn del W3C(opens in a new tab) explican por qué el mecanismo de vinculación al dominio vuelve inoperante el phishing: útil para argumentar frente a una dirección que duda del retorno de la inversión. Por último, las recomendaciones del INCIBEAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión.Ver el glosario sobre la autenticación multifactor establecen el marco esperado del lado de la empresa, en particular para las cuentas con privilegios.