YubiKey: Llave de seguridad de hardware para criptografía y autenticación multifactor
Una pequeña pestaña metálica que se pulsa con la yema del dedo logró algo que ninguna contraseña había conseguido: puso fin a los robos de cuentas en una de las empresas más atacadas del mundo. Después de que Google entregara una YubiKey a más de 85.000 empleados , el número de cuentas de personal robadas mediante phishing se redujo a cero y se ha mantenido así desde principios de 2017. Esa es la principal ventaja de una llave de seguridad de hardware. No es un antivirus ni almacena tus criptomonedas. Es un objeto físico que demuestra tu identidad y es prácticamente imposible de engañar.
Esta guía explica qué es una YubiKey, cómo funciona, por qué supera a los SMS y a las aplicaciones de autenticación , y cómo usarla para proteger las cuentas de criptomonedas que los ladrones intentan robar en primer lugar.
Qué es una YubiKey y por qué es importante
Imagina una YubiKey como la llave de tu casa, pero esta no se puede copiar. Es una pequeña llave de seguridad de hardware de Yubico, la empresa sueco-estadounidense que las fabrica desde 2007. No tiene batería ni pantalla. Es simplemente una pequeña pieza de plástico y metal del tamaño de una memoria USB que se conecta a un puerto USB o se conecta a tu teléfono mediante NFC, con un disco dorado que se presiona con la yema del dedo.
La clave está en la yema del dedo. Una contraseña es algo que sabes, y todo lo que sabes puede ser robado, filtrado o adivinado, a menudo las tres cosas a la vez. Una YubiKey es algo que tienes, y no puedes robar un objeto físico del bolsillo de alguien. Por lo tanto, se convierte en un segundo factor para la autenticación de dos factores, y uno bastante resistente. No almacena tus criptomonedas ni tus archivos. Al iniciar sesión, responde una sola pregunta y luego se queda en silencio: ¿está el propietario real aquí ahora mismo? Pulsa, y entras. Si no lo haces, el inicio de sesión simplemente se bloquea en la pantalla, por muy perfecta que pareciera la contraseña robada.
Cómo funciona una YubiKey para detener el phishing
Lo ingenioso no es el hardware. Es una firma vinculada al dominio que un sitio web falso jamás podrá obtener del dispositivo.
Un secreto que nunca se va
Registra una YubiKey en un servicio y este generará automáticamente un nuevo par de claves, una pública y otra privada, mediante criptografía de clave pública. La clave privada se graba en un chip seguro y nunca se extrae. Ni por USB, ni con el dispositivo en la mano, jamás. Solo la clave pública se envía al servidor. A partir de ese momento, cada inicio de sesión es un proceso rápido: el sitio web plantea un desafío aleatorio, la clave lo firma con la clave privada, que nadie puede leer, y el servidor compara esa firma con la clave pública que ha guardado. Este es el estándar FIDO2 y WebAuthn, basado en el antiguo U2F, y es la razón por la que tus credenciales no se pueden extraer del dispositivo.
Por qué el phishing no funciona
Ahora viene la parte que realmente elimina el phishing. En ese mismo intercambio, el navegador también le indica a la llave en qué dominio te encuentras. La YubiKey lo compara con el sitio donde se registró inicialmente. En una página similar, el dominio es incorrecto, por lo que la llave se niega a firmar. Puedes ser engañado por completo por el sitio falso; el hardware no lo es, y el hardware es lo que importa. Si a esto le sumamos la prueba física que demuestra la presencia de una persona, tenemos lo que las agencias de seguridad denominan autenticación resistente al phishing. Se puede escribir una contraseña en un campo falso. Una firma vinculada a un dominio no.
OTP, tarjeta inteligente y claves de acceso
Una YubiKey de gama alta habla varios idiomas, no solo uno. Puede generar una contraseña de un solo uso de Yubico, un código de 44 caracteres que aparece junto a los códigos de seis dígitos que muestra la aplicación. También admite contraseñas de un solo uso basadas en el tiempo, el mismo estándar TOTP que utiliza tu aplicación de autenticación. Funciona como tarjeta inteligente para inicios de sesión corporativos y gubernamentales. Y almacena claves de acceso para una autenticación totalmente sin contraseña, donde la clave es el inicio de sesión, no una copia de seguridad. Esta última función está ganando popularidad rápidamente: la Alianza FIDO afirma que casi la mitad de los 100 sitios web más importantes ya aceptan claves de acceso.
| Protocolo | Lo que hace | Reemplaza |
|---|---|---|
| FIDO2 / Autenticación web | Claves de inicio de sesión y contraseñas resistentes al phishing | Contraseñas y autenticación de dos factores débil |
| U2F | Segundo factor ligado al origen | Códigos SMS y de aplicaciones |
| Yubic OTP | contraseña de un solo uso de 44 caracteres | Códigos de autenticación cortos |
| TOTP / JURAMENTO | Códigos basados en el tiempo almacenados en la clave | Una aplicación de autenticación independiente |
| Tarjeta inteligente (PIV) | Inicio de sesión basado en certificados | Inicios de sesión con credenciales corporativas |
¿Por qué una YubiKey supera a los SMS y las aplicaciones de autenticación?
Cualquier otro factor de autenticación común puede transmitirse a un sitio web falso en tiempo real. Una YubiKey no puede, y esa única vulnerabilidad es precisamente por donde se roban las criptomonedas.
Los SMS son el eslabón más débil.
Un código por mensaje de texto parece práctico, pero es la peor opción común. El código se envía a tu número de teléfono, y este puede ser robado. En un intercambio de SIM, un atacante convence a tu operador para que transfiera tu número a su tarjeta SIM y luego intercepta tus códigos directamente. Este no es un caso aislado. El fraude por intercambio de SIM en el Reino Unido aumentó más del 1055 % en 2024. Por eso, la CISA y el FBI se niegan a considerar los SMS como un método de autenticación multifactor (MFA) resistente al phishing. Para una cuenta con dinero, confiar en los SMS es un error, y esta vulnerabilidad es precisamente la que hace que una clave de hardware sea más importante para un poseedor de criptomonedas que para casi cualquier otra persona.
Incluso las aplicaciones de autenticación tienen una brecha contra el phishing.
Las aplicaciones de autenticación representan un gran avance con respecto a los SMS y se consideran una autenticación de dos factores sólida, comparable a la de un código SMS, pero aún conservan una vulnerabilidad. Cualquier autenticación multifactor (MFA) es recomendable; Microsoft descubrió que bloquea el 99,9 % de los ataques automatizados. Sin embargo, el tipo de autenticación determina si un atacante humano logra acceder al sistema. El código de seis dígitos que muestra una aplicación es simplemente un número, y un número puede introducirse en una casilla falsa. Una página de phishing moderna solicita el código y lo envía al servicio legítimo en menos de 30 segundos. Una YubiKey cierra esa brecha, ya que su firma está vinculada al dominio real y no puede reproducirse en otro. Esto no es teoría. Es la razón por la que los 85.000 empleados de Google dejaron de ser víctimas de phishing el día que las llaves de hardware reemplazaron a todos los demás métodos.
| Método | Resistente al phishing | A prueba de intercambio de SIM | Funciona sin conexión |
|---|---|---|---|
| Código SMS | No | No | No |
| Aplicación de autenticación | No | Sí | Sí |
| YubiKey | Sí | Sí | Sí |
Utiliza una YubiKey para proteger tus criptomonedas.
Aquí está la ventaja para cualquier persona en el mundo de las criptomonedas: una YubiKey bloquea precisamente las cuentas que los estafadores que roban tarjetas SIM y vacian monederos suelen atacar primero. La mayoría de las principales plataformas de intercambio ahora admiten una llave de seguridad de hardware para proteger las cuentas, y varias permiten el inicio de sesión completo con FIDO2 o contraseña, incluyendo Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com y KuCoin. Kraken y Bitfinex aceptan una llave de hardware como segundo factor. Activar esta opción significa que un ladrón que tenga tu contraseña y tu número de teléfono no podrá acceder sin la llave física.
No te detengas en la plataforma de intercambio. La cuenta más importante es tu correo electrónico —es la clave de recuperación para todo lo demás—, así que protégela primero. Añade una clave a tu gestor de contraseñas, luego a tu plataforma de intercambio y a cualquier servicio de monedero que lo admita. El objetivo es sencillo: eliminar cualquier inicio de sesión que dependa únicamente de un código que un estafador pueda obtener mediante phishing o interceptar. La misma clave protege tus demás servicios en línea con un solo hábito, y dado que la tecnología se diseñó específicamente para combatir los ataques de phishing, neutraliza el paso preciso en el que se basan los programas de vaciado de monederos o las páginas de airdrops falsos. En todas tus cuentas en línea, la YubiKey se convierte en la única credencial que nadie puede copiar de forma remota, lo que cierra discretamente la puerta a los programas de intercambio de SIM y vaciado de monederos.
Modelos de YubiKey y cómo elegirlos
El catálogo de Yubico parece más abrumador de lo que realmente es. Tres preguntas lo resuelven: qué puertos tienen tus dispositivos, si quieres NFC para tu teléfono y si quieres un lector de huellas dactilares.
Para la mayoría, la respuesta es la YubiKey 5 NFC, que cuesta alrededor de $58. Es compatible con todos los protocolos mencionados y ofrece USB-A y NFC. ¿Todos tus dispositivos son USB-C? La YubiKey 5C NFC es la misma llave, pero con un diseño diferente. ¿Quieres gastar menos? La Security Key, por unos $29, elimina las funciones adicionales y solo funciona con FIDO2 y U2F, suficiente para criptomonedas e inicios de sesión cotidianos. ¿Prefieres la huella dactilar? La serie YubiKey Bio, cerca de $98, incorpora un sensor biométrico para usarla sin PIN, y existe una línea con certificación FIPS para entornos laborales regulados. Sea cual sea tu elección, compra dos. La segunda te servirá de respaldo y la agradecerás cuando la primera se dañe.
Configurar y usar una YubiKey
La configuración tarda unos diez minutos por cuenta. Lo que nadie te advierte es sobre la copia de seguridad.
Registrando su clave
Comienza en la página de configuración oficial, elige un servicio y abre su configuración de autenticación de dos factores o clave de acceso. Luego, elige una de las tres opciones para configurar la clave: registrarla como clave de seguridad, guardar una clave de acceso o insertarla en una ranura de la aplicación de autenticación. Toca cuando se te solicite y listo. La mayoría de las personas terminan con dos YubiKeys y un par de opciones de autenticación en cada cuenta, por lo que perder un dispositivo nunca les bloquea el acceso. La misma clave funciona en Windows, macOS, Linux, Android e iOS, por lo que protege tanto tu computadora portátil como tu teléfono. Configura primero tu correo electrónico, luego tu administrador de contraseñas y después tu cuenta de Exchange. Esos tres cubren la mayor parte de tu riesgo real.
El inconveniente: copias de seguridad y límites honestos.
Una YubiKey no es mágica, y conviene conocer sus ventajas y desventajas. Si registras una sola llave y la pierdes, puedes quedarte sin acceso a tu cuenta, así que registra siempre una de repuesto o guarda tus códigos de recuperación en un lugar seguro. No todos los servicios admiten llaves de hardware todavía, aunque la lista crece cada año. Existe un coste inicial, de unos 58 dólares. Además, el hardware ha tenido fallos: una vulnerabilidad de 2017 llamada ROCA y un problema de Infineon de 2024, ambos requerían acceso físico y ambos se solucionaron en versiones de firmware más recientes. Son detalles menores, no determinantes. Ninguno de ellos supera lo más importante: evitar por completo el acceso remoto a las cuentas.
¿Merece la pena una YubiKey para los usuarios de criptomonedas?
Para quienes poseen criptomonedas, la respuesta es un rotundo sí. Una YubiKey es una compra única de unos 58 dólares, más una copia de seguridad, sin suscripción. Si la comparamos con un simple cambio de tarjeta SIM o una página de phishing que vacía una cuenta de intercambio, la diferencia es abismal. Una contraseña y una aplicación de autenticación ya son suficientes; la autenticación multifactor de YubiKey va más allá del alcance de los atacantes remotos. Si al menos una de tus cuentas en línea contiene dinero, es el seguro más económico que jamás comprarás.
Una YubiKey convierte tu dedo en una contraseña.
Si dejamos de lado los protocolos y los modelos, una YubiKey cumple una función excepcional: convierte la parte más segura de tu acceso en un objeto físico que puedes sostener y tocar. El phishing puede copiar una contraseña y transmitir un código, pero no puede copiar una llave que llevas en el bolsillo, ni simular el toque de tu dedo. Esa es la razón principal por la que funciona donde todo lo demás falla. Instala una en tu correo electrónico y en tu cuenta principal de intercambio esta semana, y añade una de respaldo. Así que la única pregunta que queda es práctica: ¿qué cuenta que contiene tu dinero sigues protegiendo con un código que un desconocido podría obtener mediante phishing hoy mismo?
