¿Qué es una llave de seguridad física?
Una llave de seguridad física es un pequeño dispositivo de hardware, normalmente llevado en un llavero, que conectas a un puerto USB o acercas a un teléfono con NFC para verificar tu identidad al iniciar sesión. Es la forma más tangible de llave de seguridad por hardware y funciona como un método de autenticación en dos factores prácticamente inmune al phishing, a los ataques de intercambio de SIM y a otros exploits remotos. Tras introducir tu contraseña, basta con insertar la llave y pulsar su botón (o acercarla al teléfono), y la autenticación se completa en segundos.
Las llaves de seguridad físicas han sido respaldadas por organizaciones como Google, que les atribuye la eliminación de los ataques de phishing exitosos contra sus empleados desde su adopción en toda la empresa.
Explicación detallada
Llaves de seguridad físicas populares
La línea de productos más reconocida es la serie YubiKey de Yubico, que viene en variantes USB-A, USB-C, Lightning y NFC y admite múltiples protocolos de autenticación, como FIDO2/WebAuthn, U2F, OTP y OpenPGP. La Titan Security Key de Google es otra opción popular, que ofrece un modelo USB-C y NFC con soporte para FIDO2. Ambas marcas tienen un precio en la franja de 25 a 55 euros y están ampliamente disponibles en internet.
Por qué una llave física supera a los códigos SMS
Las contraseñas de un solo uso por SMS pueden interceptarse mediante el fraude de intercambio de SIM, en el que un atacante convence a tu operadora de transferir tu número a una nueva tarjeta SIM, o mediante exploits de la red SS7. Una llave de seguridad física elimina estos riesgos por completo, porque la autenticación requiere la posesión física del dispositivo. Además, la llave verifica el dominio del sitio que solicita la autenticación, así que se negará a responder en un sitio de phishing que imite la página de inicio de sesión real.
Usar una llave física para las claves de acceso
Las llaves de seguridad físicas compatibles con FIDO2 pueden almacenar claves de acceso, lo que las convierte en una credencial portátil e independiente de la plataforma. A diferencia de las claves de acceso sincronizadas mediante el Llavero de iCloud o el Administrador de contraseñas de Google, una clave de acceso en una llave física no está vinculada a un ecosistema de dispositivos concreto. Esto hace de las llaves físicas una solución excelente para los usuarios multiplataforma que trabajan tanto en dispositivos Apple como en Windows/Android.
Llaves físicas en entornos de alta seguridad
Las organizaciones que gestionan infraestructuras críticas, sistemas financieros o datos clasificados a menudo exigen llaves de seguridad físicas para todos los inicios de sesión de los empleados. Google informó de manera célebre de cero ataques de phishing exitosos contra sus más de 85.000 empleados tras desplegar YubiKeys en toda la empresa. Los organismos públicos, las casas de cambio de criptomonedas y los proveedores sanitarios siguen cada vez más el mismo enfoque. El coste de una llave (en torno a 25 a 55 euros) es insignificante frente al coste potencial de una sola cuenta vulnerada en un entorno de alto riesgo.
Durabilidad y formato
Las llaves de seguridad físicas están diseñadas para soportar el uso diario. La mayoría son resistentes al agua, a la compresión y no tienen batería que se agote ni piezas móviles que se rompan. Sus formatos aptos para el llavero te permiten engancharlas a las llaves de casa o a un cordón. Algunos modelos incluyen un lector de huellas para una autenticación biométrica en la propia llave, añadiendo un tercer factor (algo que tienes más algo que eres) sin necesidad de tu teléfono en absoluto.
Cómo elegir
1. Ajusta el tipo de conexión a tus dispositivos
Si usas un portátil con USB-C y un smartphone con NFC, una llave con USB-C + NFC te da la mayor compatibilidad. Si además tienes equipos más antiguos solo con puertos USB-A, plantéate comprar una segunda llave en formato USB-A + NFC para cubrir todo tu hardware.
2. Verifica los protocolos compatibles
El soporte para FIDO2/WebAuthn es innegociable para la seguridad moderna. Si además quieres contraseñas de un solo uso basadas en tiempo (TOTP), cifrado de correo OpenPGP o gestión de claves SSH, elige una llave que admita esos protocolos adicionales. La serie YubiKey 5, por ejemplo, gestiona todos ellos.
3. Mantén siempre una configuración de dos llaves
Las llaves físicas se pueden perder o dañar, así que deberías registrar siempre al menos dos llaves en cada servicio. Lleva una a diario y guarda la de respaldo en un lugar seguro, como una caja fuerte doméstica o un cajón con llave. Esta estrategia de dos llaves garantiza que nunca te quedes bloqueado fuera de tus cuentas.
Configurar tu primera llave de seguridad
Empezar con una llave de seguridad física es sencillo. Inicia sesión en un servicio que admita llaves de hardware (Google, Microsoft, GitHub, Facebook y muchos otros), ve a los ajustes de seguridad y selecciona “Añadir llave de seguridad”. El servicio te pedirá que insertes o acerques tu llave y pulses su botón. Todo el proceso lleva menos de un minuto por servicio. Repítelo para cada cuenta que quieras proteger, y haz lo mismo con tu llave de respaldo. La mayoría de los servicios también te permiten conservar otros métodos de segundo factor (como las apps de autenticación) como alternativa mientras realizas la transición.
Comparar modelos de llaves: YubiKey frente a Titan y otras
La serie YubiKey 5 admite la gama más amplia de protocolos (FIDO2, U2F, OTP, PIV, OpenPGP) y viene en la mayor variedad de formatos, lo que la convierte en la opción más versátil. La Titan Security Key de Google se centra en FIDO2 y es una elección sólida y sin florituras a un precio más bajo. Feitian ofrece llaves FIDO2 económicas que funcionan bien para necesidades básicas de autenticación. Para la mayoría de los usuarios, una YubiKey 5C NFC ofrece la mejor combinación global de USB-C, NFC y soporte multiprotocolo.
Limitaciones que conviene tener en cuenta
Las llaves de seguridad físicas no están exentas de inconvenientes. No todos los sitios web o apps las admiten, así que seguirás necesitando otros métodos de autenticación para algunos servicios. La llave debe estar físicamente presente al iniciar sesión, lo que puede resultar incómodo si la olvidas en casa. El toque NFC puede no funcionar de forma fiable con fundas de teléfono fabricadas con ciertos materiales. Y, aunque las llaves son resistentes, no son indestructibles; dejar caer una repetidamente sobre el hormigón o sumergirla en agua salada podría provocar con el tiempo un fallo. Mitiga todos estos riesgos manteniendo tu configuración de dos llaves y conservando activo al menos un método de respaldo basado en software.
Conclusión
Una llave de seguridad física es la forma más sólida de autenticación en dos factores disponible para los consumidores. Es inmune al phishing, a los ataques de intercambio de SIM y a los exploits remotos, porque requiere presencia física. Comprueba el tipo de conexión frente a tus dispositivos, confirma el soporte para FIDO2 y registra siempre una llave de respaldo. Para cualquiera que gestione cuentas sensibles, ya sean las finanzas personales, la infraestructura en la nube o las redes sociales, una llave de seguridad física transforma la seguridad de las cuentas, de una preocupación constante a un problema resuelto.