Julián López Jiménez

Ingeniero del Software | Profesor de FP

Yubikey

Yubikey: qué es, cómo funciona y cuál comprar en 2026

Qué es YubiKey y por qué necesitas una llave de seguridad

Las YubiKey (también llamadas llaves de seguridad, llaves FIDO2 o tokens de hardware) son pequeños dispositivos físicos —USB-A, USB-C y/o NFC— que te permiten iniciar sesión sin contraseña (passkeys) o con MFA/2FA a prueba de phishing. A diferencia de los códigos por SMS o las apps de autenticación, la verificación ocurre dentro de la propia llave: las claves privadas no salen del dispositivo y se firman desafíos criptográficos que los atacantes no pueden replicar con páginas falsas.

Cómo funciona en sencillo:

  • Registro: vinculas tu cuenta (Google, Microsoft, Apple, GitHub, etc.) con la YubiKey; se genera un par de claves pública/privada único para ese sitio (WebAuthn/FIDO2).
  • Acceso: cuando inicias sesión, el sitio envía un reto; tocas la llave (o apoyas por NFC) y esta firma el reto localmente. Sin tu llave física y tu gesto (toque/biometría) no hay acceso.
  • Ventaja clave: incluso si caes en phishing, el sitio falso no puede completar la verificación porque tu llave “sabe” a qué dominio pertenece cada credencial.

Cuándo te conviene usar una YubiKey

  • Gestionas cuentas críticas (correo principal, banca, gestor de contraseñas, nube de empresa).
  • Necesitas cumplimiento (por ejemplo, FIPS) o políticas corporativas de acceso resistente al phishing.
  • Quieres passkeys sin contraseñas en servicios compatibles: un toque y entras.
  • Trabajas con SSH, GPG, firmas de código o administras infra: llaves hardware reducen el riesgo.

Beneficios frente a métodos clásicos

  • Sin dependencia de cobertura móvil o SMS.
  • Menos fricción: toque + PIN o biometría.
  • Aislamiento físico: si no está la llave, no hay sesión.
  • Multiplataforma: Windows, macOS, iOS, Android, Linux y navegadores modernos.

Nota práctica: siempre planifica al menos dos llaves (principal + respaldo) y activa métodos alternativos (códigos de recuperación). Esto evita quedarte fuera si pierdes una.

¡Quiero mi Yubikey!

Modelos YubiKey: diferencias entre 5, 5 FIPS, Bio y Security Key

La familia YubiKey cubre distintos niveles de protocolos, cumplimiento y forma de uso. Aquí tienes una visión clara para no perderte entre siglas como FIDO2/WebAuthn, U2F, OTP, PIV/Smart Card y OpenPGP.

Tabla comparativa rápida

ModeloProtocolos claveBiometríaConectividadIdeal paraProsContras
YubiKey 5 (5 NFC/5C/5Ci)FIDO2/WebAuthn, U2F, OTP, PIV (smart card), OpenPGPNoUSB-A/USB-C, NFC (según variante), Lightning en 5CiUsuarios avanzados, pymes, desarrolladoresVersatilidad total, sirve para casi todoSin biometría; elegir variante correcta (puertos)
YubiKey 5 FIPSIgual que serie 5 pero con validación FIPS 140-2/3NoUSB-A/USB-C, algunas con NFCSectores regulados (gobierno, salud, finanzas)Cumplimiento y políticas estrictasPrecio superior; stock más limitado
YubiKey BioFIDO2/WebAuthn, U2F (huella)USB-A/USB-C (sin NFC)Usuarios que quieren toque + huella con mínimo fricciónBiometría en el propio hardwareMenos protocolos (sin OTP/PIV/GPG), sin NFC
Security Key (by Yubico)FIDO2/WebAuthn, U2FNoUSB-A/USB-C, algunas con NFCUso personal y empresas que solo requieren FIDOAsequible, simple, anti-phishingMenos funciones (no OTP/PIV/GPG)

Protocolos soportados (qué significan en tu día a día)

  • FIDO2/WebAuthn (passkeys): acceso sin contraseña o como segundo factor resistente al phishing. Es lo que más vas a usar hoy.
  • U2F: predecesor de FIDO2; aún muy compatible con servicios antiguos.
  • OTP (One-Time Password): códigos de un solo uso generados por la llave; útil para sistemas heredados.
  • PIV/Smart Card: autenticación tipo tarjeta inteligente, frecuente en entornos Windows/AD corporativos.
  • OpenPGP: cifrado/firmas de correo y archivos, popular en desarrollo y seguridad.

Conectividad y formatos (USB-A, USB-C, NFC)

  • USB-C: ideal para portátiles modernos, Android y iPad recientes con USB-C.
  • USB-A: compatibilidad amplia con PCs de sobremesa/portátiles tradicionales.
  • NFC: imprescindible si quieres usar la llave con iPhone o Android sin conectarla físicamente.
  • Lightning (5Ci): pensado para ecosistemas Apple anteriores al USB-C; valora si aún lo necesitas.

Consejo de compra: si dudas, la YubiKey 5 NFC (USB-A + NFC) o 5C NFC (USB-C + NFC) suelen ser las más versátiles para uso mixto ordenador-móvil.

Cómo elegir tu YubiKey según el caso de uso

Cuentas personales y passkeys (Google, Microsoft, Apple, redes sociales)

  • Objetivo: máxima seguridad con mínima fricción.
  • Recomendado: Security Key si solo quieres FIDO2, o YubiKey 5 NFC/5C NFC si te interesa compatibilidad extra (OTP/PIV/PGP) y usarla con el móvil por NFC.
  • Checklist de compra personal:
    • ¿Tu móvil tiene NFC? Elígela con NFC.
    • ¿Tu portátil es USB-C? Considera 5C NFC o Bio USB-C.
    • ¿Solo quieres passkeys? Security Key basta.
    • ¿Quieres “futuro-prueba” para más usos? Serie 5.

Empresa y cumplimiento (FIPS, políticas, backups)

  • Objetivo: acceso resistente a phishing a escala, con políticas, inventario y reemplazo.
  • Recomendado: YubiKey 5 FIPS donde aplique normativa; para el resto, serie 5.
  • Buenas prácticas corporativas:
    • 2 llaves por usuario (principal + respaldo) y proceso de revocación.
    • Integración con IdP (Azure AD/Entra, Okta, Google Workspace) y directivas de WebAuthn.
    • Formación de empleados y kit de recuperación (códigos de respaldo, helpdesk).
    • Registro documentado por servicio (quién, cuándo, qué dispositivo).

Desarrollo/DevOps: SSH, GPG y firmas de código

  • Objetivo: proteger credenciales de repositorios, servidores y pipelines.
  • Recomendado: YubiKey 5 por OpenPGP/GPG, PIV y OTP además de FIDO2.
  • Flujo típico:
    • Genera claves GPG/SSH en la llave (no en tu PC).
    • Configura commit signing y acceso SSH con la YubiKey.
    • Respalda revocation certificates y políticas de rotación.

Tip avanzado: separa llaves por función (una para acceso corporativo, otra para desarrollo) y etiqueta físicamente cada una.

Guía de configuración rápida por servicios (Google, Microsoft, Apple)

Antes de empezar: ten a mano dos llaves (primaria y de respaldo), tu PIN (si aplica), y revisa que el navegador soporte WebAuthn (Chrome, Edge, Safari, Firefox actualizados).

Google (Gmail/Workspace)

  1. Ve a Tu cuenta de Google → Seguridad → Iniciar sesión → Llaves de seguridad.
  2. Añadir llave de seguridad y sigue el asistente.
  3. Inserta la YubiKey (USB) o acércala (NFC), toca el sensor y asigna PIN si se solicita.
  4. Repite el proceso para registrar la segunda llave (respaldo).
  5. Descarga/guarda códigos de recuperación y verifica que el inicio de sesión funciona desde otro dispositivo.

Microsoft (Outlook/Entra/Azure AD)

  1. En Mi cuenta Microsoft o en Security info (Info de seguridad), elige Añadir método → Llave de seguridad.
  2. Selecciona USB o NFC, conecta/apoya la llave y confirma con toque.
  3. Asigna PIN de seguridad si procede.
  4. Añade una segunda llave y valida acceso en otra sesión o equipo de prueba.

Apple ID (iCloud)

  1. En Ajustes del iPhone/Mac → Contraseña y seguridad → Llaves de seguridad.
  2. Añadir llave, conecta USB-C o usa NFC (según modelo), y confirma.
  3. Repite con la segunda llave.
  4. Prueba el inicio en otro dispositivo Apple para asegurarte de que quedó bien registrado.

Registro de clave, backup y recuperación

  • Registra SIEMPRE dos llaves en cada cuenta crítica.
  • Guarda códigos de recuperación en un gestor seguro o impresos en lugar seguro.
  • Actualiza un inventario (modelo, número de serie, fecha de alta).
  • Si pierdes la principal, revócala y usa la de respaldo; luego adquiere otra para volver a tener dos.

Problemas comunes y soluciones (NFC, pérdida, duplicados, compatibilidad)

NFC no funciona en el móvil

  • Activa NFC en ajustes y quita la funda si es gruesa o con metal.
  • Apoya la llave en la zona de antena (en iPhone suele estar arriba; en Android varía).
  • Verifica que tu modelo tenga NFC (p. ej., Bio no tiene).

El sitio no reconoce la llave

  • Usa un navegador actualizado con WebAuthn.
  • Comprueba si estás en el dominio correcto (los credenciales son por-sitio).
  • Prueba otro puerto USB o reinicia el servicio del navegador.

PIN, huella o toque no responden

  • En YubiKey Bio, re-registra huellas en el sistema de la llave.
  • Restablece el PIN si fallaste demasiados intentos (sigue la guía oficial específica del modelo).
  • Si el dispositivo parece muerto, prueba en otro equipo para descartar puerto/driver.

Pérdida o robo

  • Revoca la llave extraviada desde cada servicio.
  • Inicia sesión con tu llave de respaldo o códigos de recuperación.
  • Reemplaza cuanto antes la llave perdida y vuelve a registrar dos.

Duplicado de credenciales

  • En algunos servicios, puedes registrar varias llaves con nombres distintos (ej. “YubiKey-C Casa”, “YubiKey NFC Trabajo”).
  • Mantén un naming consistente y un registro central (hoja segura o herramienta de TI).

Compatibilidad con servicios

  • Si tienes dudas, busca tu servicio en el catálogo “works with” y confirma qué protocolos admite (FIDO2 vs OTP, etc.).
  • Para entornos Windows con PIV/Smart Card, valida políticas y certificados corporativos antes del despliegue masivo.

Preguntas frecuentes sobre YubiKey

¿Qué YubiKey me conviene si solo quiero passkeys?
La Security Key (USB-A/USB-C, con o sin NFC) suele ser suficiente. Si quieres margen para más usos, pasa a YubiKey 5.

¿La YubiKey Bio guarda mi huella en la nube?
No. La plantilla biométrica se almacena en el hardware de la llave y no se comparte con los servicios.

¿Necesito dos llaves sí o sí?
Es lo recomendable. La segunda te salva ante pérdidas/averías y te permite mantener continuidad operativa.

¿Sirve para iniciar sesión en Windows o macOS?
Sí, mediante FIDO2/WebAuthn (según políticas) y, en entornos corporativos, con PIV/Smart Card para inicio de sesión.

¿Puedo usarla con iPhone y Android?
Sí, si el modelo tiene NFC. Alternativamente, puedes conectarla por USB-C en móviles compatibles.

Conclusión

Una YubiKey es la manera más directa de llevar tu seguridad de acceso al siguiente nivel: resistencia al phishing, rapidez y menos fricción que los códigos de un solo uso. Elige el modelo según tus protocolos y puertos (USB-A/USB-C, NFC), planifica dos llaves, y configura todo con un proceso ordenado de backup y recuperación. Para la mayoría, una YubiKey 5 NFC/5C NFC ofrece el mejor equilibrio; si solo quieres passkeys, una Security Key basta; y si trabajas con cumplimiento estricto, ve a 5 FIPS. Con esta base, pasar de contraseñas débiles a passkeys robustas es cuestión de minutos.

¡Quiero saber más acerca de Yubikey!

julian lopez jimenez

Hola, encantado de conocerte.

Regístrate para recibir las últimas entradas, cada domingo.

¡No hago spam!