Qué es YubiKey y por qué necesitas una llave de seguridad
Las YubiKey (también llamadas llaves de seguridad, llaves FIDO2 o tokens de hardware) son pequeños dispositivos físicos —USB-A, USB-C y/o NFC— que te permiten iniciar sesión sin contraseña (passkeys) o con MFA/2FA a prueba de phishing. A diferencia de los códigos por SMS o las apps de autenticación, la verificación ocurre dentro de la propia llave: las claves privadas no salen del dispositivo y se firman desafíos criptográficos que los atacantes no pueden replicar con páginas falsas.
Cómo funciona en sencillo:
- Registro: vinculas tu cuenta (Google, Microsoft, Apple, GitHub, etc.) con la YubiKey; se genera un par de claves pública/privada único para ese sitio (WebAuthn/FIDO2).
- Acceso: cuando inicias sesión, el sitio envía un reto; tocas la llave (o apoyas por NFC) y esta firma el reto localmente. Sin tu llave física y tu gesto (toque/biometría) no hay acceso.
- Ventaja clave: incluso si caes en phishing, el sitio falso no puede completar la verificación porque tu llave “sabe” a qué dominio pertenece cada credencial.
Cuándo te conviene usar una YubiKey
- Gestionas cuentas críticas (correo principal, banca, gestor de contraseñas, nube de empresa).
- Necesitas cumplimiento (por ejemplo, FIPS) o políticas corporativas de acceso resistente al phishing.
- Quieres passkeys sin contraseñas en servicios compatibles: un toque y entras.
- Trabajas con SSH, GPG, firmas de código o administras infra: llaves hardware reducen el riesgo.
Beneficios frente a métodos clásicos
- Sin dependencia de cobertura móvil o SMS.
- Menos fricción: toque + PIN o biometría.
- Aislamiento físico: si no está la llave, no hay sesión.
- Multiplataforma: Windows, macOS, iOS, Android, Linux y navegadores modernos.
Nota práctica: siempre planifica al menos dos llaves (principal + respaldo) y activa métodos alternativos (códigos de recuperación). Esto evita quedarte fuera si pierdes una.
Modelos YubiKey: diferencias entre 5, 5 FIPS, Bio y Security Key
La familia YubiKey cubre distintos niveles de protocolos, cumplimiento y forma de uso. Aquí tienes una visión clara para no perderte entre siglas como FIDO2/WebAuthn, U2F, OTP, PIV/Smart Card y OpenPGP.
Tabla comparativa rápida
| Modelo | Protocolos clave | Biometría | Conectividad | Ideal para | Pros | Contras |
|---|---|---|---|---|---|---|
| YubiKey 5 (5 NFC/5C/5Ci) | FIDO2/WebAuthn, U2F, OTP, PIV (smart card), OpenPGP | No | USB-A/USB-C, NFC (según variante), Lightning en 5Ci | Usuarios avanzados, pymes, desarrolladores | Versatilidad total, sirve para casi todo | Sin biometría; elegir variante correcta (puertos) |
| YubiKey 5 FIPS | Igual que serie 5 pero con validación FIPS 140-2/3 | No | USB-A/USB-C, algunas con NFC | Sectores regulados (gobierno, salud, finanzas) | Cumplimiento y políticas estrictas | Precio superior; stock más limitado |
| YubiKey Bio | FIDO2/WebAuthn, U2F | Sí (huella) | USB-A/USB-C (sin NFC) | Usuarios que quieren toque + huella con mínimo fricción | Biometría en el propio hardware | Menos protocolos (sin OTP/PIV/GPG), sin NFC |
| Security Key (by Yubico) | FIDO2/WebAuthn, U2F | No | USB-A/USB-C, algunas con NFC | Uso personal y empresas que solo requieren FIDO | Asequible, simple, anti-phishing | Menos funciones (no OTP/PIV/GPG) |
Protocolos soportados (qué significan en tu día a día)
- FIDO2/WebAuthn (passkeys): acceso sin contraseña o como segundo factor resistente al phishing. Es lo que más vas a usar hoy.
- U2F: predecesor de FIDO2; aún muy compatible con servicios antiguos.
- OTP (One-Time Password): códigos de un solo uso generados por la llave; útil para sistemas heredados.
- PIV/Smart Card: autenticación tipo tarjeta inteligente, frecuente en entornos Windows/AD corporativos.
- OpenPGP: cifrado/firmas de correo y archivos, popular en desarrollo y seguridad.
Conectividad y formatos (USB-A, USB-C, NFC)
- USB-C: ideal para portátiles modernos, Android y iPad recientes con USB-C.
- USB-A: compatibilidad amplia con PCs de sobremesa/portátiles tradicionales.
- NFC: imprescindible si quieres usar la llave con iPhone o Android sin conectarla físicamente.
- Lightning (5Ci): pensado para ecosistemas Apple anteriores al USB-C; valora si aún lo necesitas.
Consejo de compra: si dudas, la YubiKey 5 NFC (USB-A + NFC) o 5C NFC (USB-C + NFC) suelen ser las más versátiles para uso mixto ordenador-móvil.
Cómo elegir tu YubiKey según el caso de uso
Cuentas personales y passkeys (Google, Microsoft, Apple, redes sociales)
- Objetivo: máxima seguridad con mínima fricción.
- Recomendado: Security Key si solo quieres FIDO2, o YubiKey 5 NFC/5C NFC si te interesa compatibilidad extra (OTP/PIV/PGP) y usarla con el móvil por NFC.
- Checklist de compra personal:
- ¿Tu móvil tiene NFC? Elígela con NFC.
- ¿Tu portátil es USB-C? Considera 5C NFC o Bio USB-C.
- ¿Solo quieres passkeys? Security Key basta.
- ¿Quieres “futuro-prueba” para más usos? Serie 5.
Empresa y cumplimiento (FIPS, políticas, backups)
- Objetivo: acceso resistente a phishing a escala, con políticas, inventario y reemplazo.
- Recomendado: YubiKey 5 FIPS donde aplique normativa; para el resto, serie 5.
- Buenas prácticas corporativas:
- 2 llaves por usuario (principal + respaldo) y proceso de revocación.
- Integración con IdP (Azure AD/Entra, Okta, Google Workspace) y directivas de WebAuthn.
- Formación de empleados y kit de recuperación (códigos de respaldo, helpdesk).
- Registro documentado por servicio (quién, cuándo, qué dispositivo).
Desarrollo/DevOps: SSH, GPG y firmas de código
- Objetivo: proteger credenciales de repositorios, servidores y pipelines.
- Recomendado: YubiKey 5 por OpenPGP/GPG, PIV y OTP además de FIDO2.
- Flujo típico:
- Genera claves GPG/SSH en la llave (no en tu PC).
- Configura commit signing y acceso SSH con la YubiKey.
- Respalda revocation certificates y políticas de rotación.
Tip avanzado: separa llaves por función (una para acceso corporativo, otra para desarrollo) y etiqueta físicamente cada una.
Guía de configuración rápida por servicios (Google, Microsoft, Apple)
Antes de empezar: ten a mano dos llaves (primaria y de respaldo), tu PIN (si aplica), y revisa que el navegador soporte WebAuthn (Chrome, Edge, Safari, Firefox actualizados).
Google (Gmail/Workspace)
- Ve a Tu cuenta de Google → Seguridad → Iniciar sesión → Llaves de seguridad.
- Añadir llave de seguridad y sigue el asistente.
- Inserta la YubiKey (USB) o acércala (NFC), toca el sensor y asigna PIN si se solicita.
- Repite el proceso para registrar la segunda llave (respaldo).
- Descarga/guarda códigos de recuperación y verifica que el inicio de sesión funciona desde otro dispositivo.
Microsoft (Outlook/Entra/Azure AD)
- En Mi cuenta Microsoft o en Security info (Info de seguridad), elige Añadir método → Llave de seguridad.
- Selecciona USB o NFC, conecta/apoya la llave y confirma con toque.
- Asigna PIN de seguridad si procede.
- Añade una segunda llave y valida acceso en otra sesión o equipo de prueba.
Apple ID (iCloud)
- En Ajustes del iPhone/Mac → Contraseña y seguridad → Llaves de seguridad.
- Añadir llave, conecta USB-C o usa NFC (según modelo), y confirma.
- Repite con la segunda llave.
- Prueba el inicio en otro dispositivo Apple para asegurarte de que quedó bien registrado.
Registro de clave, backup y recuperación
- Registra SIEMPRE dos llaves en cada cuenta crítica.
- Guarda códigos de recuperación en un gestor seguro o impresos en lugar seguro.
- Actualiza un inventario (modelo, número de serie, fecha de alta).
- Si pierdes la principal, revócala y usa la de respaldo; luego adquiere otra para volver a tener dos.
Problemas comunes y soluciones (NFC, pérdida, duplicados, compatibilidad)
NFC no funciona en el móvil
- Activa NFC en ajustes y quita la funda si es gruesa o con metal.
- Apoya la llave en la zona de antena (en iPhone suele estar arriba; en Android varía).
- Verifica que tu modelo tenga NFC (p. ej., Bio no tiene).
El sitio no reconoce la llave
- Usa un navegador actualizado con WebAuthn.
- Comprueba si estás en el dominio correcto (los credenciales son por-sitio).
- Prueba otro puerto USB o reinicia el servicio del navegador.
PIN, huella o toque no responden
- En YubiKey Bio, re-registra huellas en el sistema de la llave.
- Restablece el PIN si fallaste demasiados intentos (sigue la guía oficial específica del modelo).
- Si el dispositivo parece muerto, prueba en otro equipo para descartar puerto/driver.
Pérdida o robo
- Revoca la llave extraviada desde cada servicio.
- Inicia sesión con tu llave de respaldo o códigos de recuperación.
- Reemplaza cuanto antes la llave perdida y vuelve a registrar dos.
Duplicado de credenciales
- En algunos servicios, puedes registrar varias llaves con nombres distintos (ej. “YubiKey-C Casa”, “YubiKey NFC Trabajo”).
- Mantén un naming consistente y un registro central (hoja segura o herramienta de TI).
Compatibilidad con servicios
- Si tienes dudas, busca tu servicio en el catálogo “works with” y confirma qué protocolos admite (FIDO2 vs OTP, etc.).
- Para entornos Windows con PIV/Smart Card, valida políticas y certificados corporativos antes del despliegue masivo.
Preguntas frecuentes sobre YubiKey
¿Qué YubiKey me conviene si solo quiero passkeys?
La Security Key (USB-A/USB-C, con o sin NFC) suele ser suficiente. Si quieres margen para más usos, pasa a YubiKey 5.
¿La YubiKey Bio guarda mi huella en la nube?
No. La plantilla biométrica se almacena en el hardware de la llave y no se comparte con los servicios.
¿Necesito dos llaves sí o sí?
Es lo recomendable. La segunda te salva ante pérdidas/averías y te permite mantener continuidad operativa.
¿Sirve para iniciar sesión en Windows o macOS?
Sí, mediante FIDO2/WebAuthn (según políticas) y, en entornos corporativos, con PIV/Smart Card para inicio de sesión.
¿Puedo usarla con iPhone y Android?
Sí, si el modelo tiene NFC. Alternativamente, puedes conectarla por USB-C en móviles compatibles.
Conclusión
Una YubiKey es la manera más directa de llevar tu seguridad de acceso al siguiente nivel: resistencia al phishing, rapidez y menos fricción que los códigos de un solo uso. Elige el modelo según tus protocolos y puertos (USB-A/USB-C, NFC), planifica dos llaves, y configura todo con un proceso ordenado de backup y recuperación. Para la mayoría, una YubiKey 5 NFC/5C NFC ofrece el mejor equilibrio; si solo quieres passkeys, una Security Key basta; y si trabajas con cumplimiento estricto, ve a 5 FIPS. Con esta base, pasar de contraseñas débiles a passkeys robustas es cuestión de minutos.
