El llavero más inteligente que tu contraseña: guía sobre las claves de seguridad FIDO2

El llavero más inteligente que tu contraseña: guía sobre las claves de seguridad FIDO2

Las contraseñas siguen entre nosotros, pero la industria ya abrió una salida de reserva: passkeys y llaves de seguridad. En 2025 se puede vivir sin un “dispositivo físico”, pero no siempre es necesario prescindir de él: a algunos les bastarán los passkeys integrados en el smartphone, y otros dormirán más tranquilos solo con una llave física en el llavero. Las empresas lo entienden: a principios de 2025 T-Mobile desplegó 200.000 YubiKey para reforzar la seguridad de su plantilla, y en una reciente encuesta independiente encargada por FIDO Alliance el 53% de las personas informó haber activado passkeys al menos en una de sus cuentas, y el 22% las activó en todas las cuentas posibles. Abajo hay un análisis práctico: cómo funciona todo esto, por qué sigue teniendo sentido el hardware en la era de las contraseñas sincronizables y qué modelos merece la pena considerar.

Por qué crece el mercado del hardware a pesar de los passkeys

Podría parecer que no tiene sentido comprar una llave física si Apple/Google/Microsoft ya integraron passkeys en sus ecosistemas. Las cifras muestran un panorama interesante: el mercado de gestión de llaves corporativas se valora en $2,84 mil millones en 2025 y se espera que crezca hasta $7,77 mil millones en 2030 — CAGR del 22,32%. No son solo números: Discord desplegó YubiKey para todo su personal en 2023, Twitter migró a llaves de seguridad obligatorias en 2021, y Cloudflare entregó llaves a todos sus empleados como parte de su paso a FIDO2 en 2022.

La cuestión es que los passkeys resuelven la comodidad, pero las llaves físicas son otra cosa. Primero, las políticas corporativas a menudo exigen autenticación vinculada al dispositivo (device-bound) — Entra ID, PCI DSS 4.0, nuevos requisitos NIS2. Segundo, crece la cantidad de endpoints: según el Ericsson Mobility Report, para 2029 habrá 38,9 mil millones de conexiones IoT frente a 15,7 mil millones en 2023. Cada nuevo dispositivo es un potencial punto de entrada para atacantes.

Qué son los passkeys y cómo interviene FIDO

Un passkey es una clave criptográfica para acceder sin contraseña, creada según los estándares FIDO (WebAuthn + CTAP). Puede almacenarse en su dispositivo (teléfono, portátil) o en una llave externa — una llave FIDO2 física. Y aquí está lo interesante: los passkeys en realidad conducen a un 20% más de inicios de sesión exitosos en comparación con las contraseñas, según FIDO Alliance. La especificación completa está en FIDO Alliance y en el resumen de passkeys.dev. A los seguidores de las guías oficiales de los proveedores les serán útiles las referencias de Apple sobre passkeys, la documentación de Google para desarrolladores aquí y las instrucciones corporativas de Microsoft Entra ID para habilitar passkeys/FIDO2.

  • Passkeys en la plataforma — residen en el ecosistema del dispositivo y suelen sincronizarse: iCloud, Google Password Manager, Microsoft Authenticator. Convenientes y rápidas, pero dependen de la cuenta del ecosistema.
  • Passkeys en hardware — residen en una llave física (FIDO2). No se sincronizan “en la nube”, por lo que no se pierden durante las migraciones de dispositivo, pero tampoco se restauran por arte de magia: si pierde la llave, deberá volver a registrarse. Google lo explica claramente en la ayuda de Chrome: los passkeys en una llave no se respaldan ( confirmación).

¿Por qué sigue siendo relevante el hardware? Primero, las llaves ofrecen una separación de riesgos lo más “fría” posible. Segundo, los escenarios corporativos (Windows/Entra, VDI, roles críticos) a menudo requieren autenticadores vinculados al dispositivo. Microsoft en 2025 indica que Entra soporta passkeys vinculados al dispositivo en llaves FIDO2 y en Authenticator, y que la sincronización está en proceso de implementación ( documentación).

Cifras que invitan a reflexionar

Hora de estadísticas contundentes, porque los números explican mejor que las palabras por qué esto importa. IBM estima el coste medio de una filtración de datos relacionada con phishing en $4,88 millones en 2025. La ciberdelincuencia costará a las empresas de todo el mundo $10,5 billones anuales para 2025. Las organizaciones sin automatización de seguridad afrontan costes por violaciones un 95% más altos que las que tienen automatización completa. En contraste, el 64% de los consumidores confían más en empresas con fuertes medidas de seguridad.

Lo curioso es la correlación entre generaciones y seguridad. Una encuesta reciente de Google y Morning Consult mostró que la Generación Z empieza a usar más activamente la autenticación con passkeys y el inicio social, pero la mayoría sigue confiando en contraseñas o en autenticación básica de dos factores. Entretanto, se espera que el 75% de la población mundial tenga datos personales protegidos por normas de privacidad para 2025 — el RGPD ya inspiró a muchos países a adoptar marcos similares.

Básicos de los estándares para hablar el mismo idioma

A nivel de protocolos todo gira en torno a WebAuthn (en el navegador/OS) y CTAP (comunicación con el hardware); ver el repaso de FIDO Alliance y la chuleta en PDF de rfIDEAS ( especificaciones, whitepaper). Términos importantes:

  • Discoverable (resident) credentials — los verdaderos passkeys que se almacenan en la llave y permiten iniciar sesión sin introducir el nombre de usuario (más detalles en la documentación de Yubico sobre resident keys y en la comparativa discoverable vs non-discoverable).
  • UV/UP — verificación de “presencia del usuario” y “verificación del usuario” (PIN o biometría en la llave).

Quién puede usar solo passkeys de plataforma y quién necesita una llave física

Si es un usuario común y vive dentro del ecosistema Apple/Google/Microsoft, los passkeys en la plataforma resuelven el 90% de los casos: son rápidos, transparentes y sin logística. En serio, FIDO Alliance muestra que los passkeys son más fáciles de usar y producen un 20% más de inicios de sesión exitosos que las contraseñas. Pero hay situaciones en las que el hardware resulta más cómodo:

  • Riesgo elevado: periodistas, activistas, administradores, propietarios de cuentas empresariales. Google promueve Advanced Protection para estos roles — admite passkeys y llaves físicas ( página del programa).
  • Realidades corporativas: más de un tercio de las organizaciones planea adoptar o continuar con la autenticación sin contraseña en los próximos 1–3 años. Entra/Okta, inicio de sesión en Windows con FIDO2, requisitos NIS2/PCI DSS 4.0 — casi siempre implican autenticadores vinculados al dispositivo ( Microsoft). El sector BFSI se espera que ocupe más del 31,9% del mercado de gestión de llaves corporativas por sus estrictos requisitos regulatorios.
  • Resistencia offline y “plan B”: si quiere que el acceso no dependa del teléfono o de la nube, opte por una llave física y una de repuesto.

Tendencias 2025: qué cambió en un año

La industria no se detiene, y han ocurrido novedades recientes. Yubico confirmó que la serie YubiKey 5 FIPS será certificada según FIPS 140-3 (solicitudes presentadas al CMVP). Google actualizó Titan para soportar “250+” passkeys frente a las capacidades limitadas anteriores. Microsoft promueve activamente los passkeys vinculados al dispositivo en Entra, aunque la sincronización está aún “en implementación”.

Una tendencia interesante es la biometría en las propias llaves. YubiKey Bio y FEITIAN BioPass ya no son excentricidades, sino soluciones plenamente operativas. Conviene recordar: la biometría aporta comodidad (evita introducir PIN), pero no es una “magia” de seguridad adicional. Como señaló Rew Islam de Dashlane en conversación con Techopedia: “Las llaves FIDO2 funcionan porque la clave privada nunca sale del dispositivo y solo responden a dominios de origen legítimos. Eso cierra muchos vectores de phishing”.

Qué importa al elegir una llave en 2025

Sin extremismos, en la práctica importan estas cosas:

  1. Interfaces: USB-C es obligatorio, NFC muy recomendable para teléfonos. Lightning sigue siendo relevante solo para iPhone antiguos; para esos hay híbridos como FEITIAN iePass USB-C + Lightning ( línea de modelos).
  2. Capacidad para passkeys: en YubiKey 5 con firmware 5.7 el almacenamiento creció hasta ~100 passkeys vinculados al dispositivo ( blog oficial). Los nuevos Google Titan soportan “250+” passkeys ( Wired y página de Titan).
  3. Multiprotocolo: si necesita OTP, PIV (tarjeta inteligente) y OpenPGP, mire YubiKey 5 Series ( reseña) y Nitrokey 3 ( tienda + ficha técnica).
  4. Biometría en la llave: cómoda, pero es UX, no una “superseguridad”. Ejemplos: YubiKey Bio (solo FIDO, sin OTP/PIV/OpenPGP, página) y FEITIAN BioPass ( serie). En Windows/Entra la biometría a veces facilita las políticas UV.
  5. Apertura y procedencia: si quiere firmware de código abierto, mire SoloKeys Solo 2 ( EU) y Nitrokey. SoloKeys es completamente open source; Nitrokey combina hardware abierto y software abierto en partes críticas.
  6. Certificación: el sector público suele exigir FIPS. Yubico 5 FIPS está en proceso hacia FIPS 140-3 (5.7 presentado en CMVP, comunicado), y FEITIAN ofrece modelos FIPS en la línea BioPass/ePass ( catálogo).

Llaves frente a la vida real: casos corporativos

Pasemos de teoría a práctica. En 2025 las llaves físicas ya no son una curiosidad para paranoicos, sino un enfoque mainstream para la seguridad. Discord entregó YubiKey a todo su personal en 2023 — resultado: eliminación de las vulnerabilidades asociadas a métodos de autenticación anteriores. Twitter (antes de la era X) cambió en 2021 de 2FA “phishable” a llaves de seguridad obligatorias — eso ayudó a prevenir incidentes similares a violaciones pasadas.

Cloudflare repartió llaves a todos sus empleados como parte de la transición a FIDO2 y a una arquitectura Zero Trust en 2022. Y a comienzos de 2025 T-Mobile desplegó 200.000 YubiKey para reforzar la seguridad de sus empleados — uno de los mayores despliegues corporativos hasta la fecha. Estas empresas no experimentan con la seguridad: resuelven problemas concretos: autenticación resistente al phishing, reducción del riesgo de robo de credenciales y cumplimiento con regulaciones más estrictas.

Actores clave 2025: qué ofrecen por dentro

Modelo Interfaces Protocolos Biometría Memoria para passkeys Características
YubiKey 5C NFC (5 Series) USB-C, NFC FIDO2/U2F, PIV, OpenPGP, OTP No ≈100 (firmware 5.7) IP68, multiprotocolo, excelente “todoterreno” ( detalle)
Google Titan USB-C/NFC USB-C, NFC FIDO2/U2F No ≈250+ Opción “económica” fiable, integrada con Advanced Protection ( anuncio)
YubiKey Bio (FIDO Edition) USB-A/USB-C FIDO2/U2F Sí (huella) no revelado Solo FIDO, sin OTP/PIV/OpenPGP; énfasis en la comodidad de la biometría
FEITIAN BioPass K26/K49 USB-C (hay variantes con PIV) FIDO2/U2F (+/- PIV) no revelado Existen modelos FIPS, convenientes para cumplimiento ( catálogo)
Nitrokey 3C NFC USB-C, NFC FIDO2/U2F, OpenPGP, OTP No no revelado Hardware/software abierto, soporte OpenPGP/SSH ( ficha técnica)
SoloKeys Solo 2 USB-A/USB-C, opciones con NFC FIDO2/U2F No “docenas” de resident keys Completamente open source; para quienes valoran la verificabilidad ( oficial)
FEITIAN iePass K44 (híbrido) USB-C + Lightning FIDO2/U2F (+/- PIV) No no revelado Para parques mixtos con iPhone antiguos (Lightning)
OnlyKey (híbrido) USB-A/USB-C FIDO2/U2F + gestor de contraseñas offline No depende del modo “Navaja suiza”: FIDO + contraseñas, open source ( características)

Lado oscuro de la seguridad en hardware

No todo es color de rosa en el mundo de las llaves físicas — hay matices que conviene señalar. El primer problema es la pérdida del dispositivo. Los passkeys FIDO2 en una llave no se restauran por arte de magia: si pierde la llave, deberá registrarse de nuevo en todos los servicios. Google lo explica en la ayuda de Chrome: los passkeys en llave no se respaldan. El segundo escollo es la compatibilidad. No todos los servicios implementan todo el estándar, y a veces hay que hacer malabares con sistemas heredados.

El tercer punto es el factor humano. El 77% de los profesionales de TI no tiene un plan corporativo de respuesta a incidentes de ciberseguridad, y la brecha de habilidades en ciberseguridad sigue siendo un reto — el 54% de los profesionales considera que la situación ha empeorado. Además, las filtraciones con un ciclo de vida superior a 200 días cuestan de media $1,12 millones más. Se crea un círculo vicioso: las llaves requieren competencias, y faltan competencias.

Tres escenarios rápidos de elección

  • “Quiero fiabilidad sin complicaciones”: elija YubiKey 5C NFC o la versión USB-A 5 NFC. Muchos protocolos, buen software, hasta 100 passkeys, carcasa resistente.
  • “Quiero algo económico para Google/redes/correo”: Google Titan USB-C/NFC. Simple y eficaz, “creció” hasta 250+ passkeys, encaja bien con Advanced Protection.
  • “Quiero apertura y flexibilidad”: Nitrokey 3C NFC o SoloKeys Solo 2. Requieren un poco más de trabajo manual, pero ofrecen verificabilidad y control.

Práctica: cómo integrar la llave con sus servicios

Un par de hojas de ruta típicas — sin dolor ni sorpresas:

  • Cuenta Google: vaya a seguridad y añada “Passkeys y llaves de seguridad”. Para riesgos elevados, active Advanced Protection (se puede usar con passkey o con llave física).
  • GitHub: habilite passkey, eso cubrirá contraseña y 2FA en un solo paso ( sobre passkeys en GitHub). La gestión está en “Passkeys”; si lo desea, puede mejorar parte de los métodos 2FA ( cómo gestionar).
  • Microsoft Entra / inicio en Windows: active la política FIDO2/passkeys y registre por pasos el dispositivo/usuario ( guía de registro y habilitar passkeys).

Higiene de seguridad: cinco reglas que realmente ayudan

  1. Dos llaves son mejor que una. Registre ambas donde sea posible y guárdelas por separado. La pérdida de una no debe bloquear su vida.
  2. El PIN es obligatorio para FIDO2 — sin él el hardware no lo validará como usuario. La biometría es comodidad, no un “escudo eterno” (más detalles en YubiKey Bio y FEITIAN BioPass).
  3. Vigile los límites de memoria. Si usa activamente passkeys, YubiKey 5 con firmware 5.7 ya soporta ~100, y Titan 250+ ( Yubico, Wired).
  4. Nada de llaves BLE en 2025: USB/NFC es lo nuestro. Menos riesgos por radio significa mayor tranquilidad.
  5. Compre a fabricantes o distribuidores oficiales. Las “ofertas increíbles” suelen ser una manera fácil de llevarse algo distinto a lo que esperaba.

FAQ en una pantalla

  • ¿Se puede vivir solo con passkeys de plataforma? Sí. Para la mayoría es la opción ideal. Pero para empresas y roles de alto riesgo, la llave física es un seguro adicional.
  • ¿Cuántas cuentas “caben”? Depende del modelo y del firmware. Para YubiKey con 5.7 son unos 100 passkeys, y para el nuevo Google Titan son 250+ (fuentes arriba). Algunos servicios usan credenciales no descubiertas y no consumen ranuras en la llave.
  • ¿La biometría en la llave es imprescindible? No. Es comodidad. La seguridad se basa en el hardware y en las políticas PIN/UV, no en el sensor de huella.
  • ¿Cómo trasladar una “granja” de llaves? Los passkeys FIDO2 en llave no se respaldan. Mantenga una segunda llave, registre ambas en los servicios y deje que los passkeys de plataforma sigan sincronizados.

Resumen y recomendaciones 2025

  • Respuesta universal: YubiKey 5C NFC / 5 NFC — un “must-have” fiable con multiprotocolo y memoria suficiente para passkeys.
  • Económico y práctico: Google Titan USB-C/NFC — simple y duradero, funciona bien con productos Google y soporta muchos passkeys.
  • Soluciones abiertas: Nitrokey 3C NFC o SoloKeys Solo 2 — para quienes valoran la verificabilidad y flujos GNU/SSH.
  • Comodidad biométrica: YubiKey Bio o FEITIAN BioPass — si prefiere tocar el sensor en vez de introducir PIN.

Si hubiera que resumir en una idea: en 2025 la mejor configuración es dos llaves físicas + passkeys de plataforma como comodidad diaria. El mercado lo confirma: para 2030 la gestión de llaves empresariales crecerá hasta $7,77 mil millones, y el coste medio de un ataque de ransomware será $1,85 millones. La matemática es simple: $90 por una YubiKey frente a potenciales millones en daños. Luego vienen los matices: multiprotocolo, biometría, apertura y cumplimiento. Al final, una llave en el llavero sigue siendo el sueño tranquilo del administrador y del empresario.

Alt text
article-title

Niko Nepo