El tema de la autenticación de dos factores hace tiempo que dejó de ser exclusivo de los círculos profesionales. Hoy casi todo el mundo lo conoce, al menos quienes alguna vez configuraron el acceso en Google, redes sociales o el correo del trabajo. La opción más popular parece sencilla y lógica. Instalamos Google Authenticator, escaneamos el código QR, introducimos códigos de seis dígitos y nos sentimos seguros.
En ese contexto, las llaves de hardware como YubiKey a menudo parecen excesivas. Una pequeña memoria USB por la que hay que pagar y que además se puede perder. Surge una pregunta razonable: ¿para qué necesita un usuario normal una llave física independiente si el teléfono siempre está a mano y ya puede generar códigos?
Para responder a esta pregunta hay que salir de las descripciones comerciales y analizar escenarios reales de ataque, errores humanos y cómo funcionan exactamente los distintos métodos de protección. Entonces queda claro que las llaves de hardware resuelven un problema distinto al de las aplicaciones autenticadoras.
Cómo funciona Google Authenticator y por qué se le considera suficiente
Google Authenticator y sus equivalentes usan el algoritmo TOTP. Este genera códigos de un solo uso basados en una clave secreta y en la hora actual. Cada 30 segundos aparece un nuevo código que debe introducirse junto con la contraseña. A primera vista el esquema parece fiable y es realmente mucho mejor que una sola contraseña.
Para el usuario común este enfoque tiene ventajas evidentes. No hay que comprar un dispositivo adicional, todo funciona sin conexión, la aplicación es sencilla y clara. Por eso TOTP se ha convertido en el estándar de facto para servicios masivos.
Pero este método también tiene puntos débiles. El problema principal es que el código se puede introducir en cualquier lugar. Si el usuario entra en un sitio de phishing que parece una página de acceso legítima, introducirá sin problema tanto la contraseña como el código de un solo uso. Para el atacante eso es suficiente para entrar en la cuenta en ese momento.
Además, la clave secreta para generar los códigos se guarda en el dispositivo. Si el teléfono está infectado por malware o las copias de seguridad caen en manos equivocadas, la protección deja de ser tan fiable. En la vida real esto ocurre con más frecuencia de la que se supone.
Qué son las llaves de hardware y en qué se diferencian fundamentalmente
Las llaves de seguridad hardware, como YubiKey, funcionan según los estándares U2F y FIDO2. A diferencia de TOTP, no generan códigos que el usuario introduce manualmente. La llave participa en un intercambio criptográfico entre el dispositivo y el servicio y confirma el acceso de forma automática.
Lo esencial es que la llave de hardware está vinculada a un dominio concreto. Si usted accede a un sitio falso, aunque esté copiado a la perfección, YubiKey simplemente se negará a funcionar. Para la llave es otro recurso y la verificación criptográfica no se producirá.
Las claves secretas nunca abandonan el dispositivo. No se guardan en el navegador, no se copian en la nube y no pueden ser interceptadas de forma remota. Incluso si el ordenador está infectado, lo máximo que puede hacer un atacante es observar un proceso inútil de espera del toque del botón.
De hecho, la llave de hardware elimina de la cadena el eslabón más débil: la persona que puede cometer errores, creer en un phishing o cansarse de las constantes advertencias de seguridad.
Amenazas reales frente a las que Authenticator no protege
El phishing sigue siendo la causa principal de los hackeos de cuentas. Y no se trata solo de envíos masivos, sino también de ataques dirigidos en los que la página de acceso resulta totalmente verosímil. En esos casos Google Authenticator no aporta protección adicional, porque el propio usuario entrega al atacante todo lo necesario.
Otro problema está relacionado con los llamados ataques de intermediario. El usuario introduce el código, el atacante lo usa inmediatamente para acceder y la víctima ni siquiera se da cuenta de que algo ha ido mal. Para los servicios sin verificaciones adicionales eso basta.
Tampoco hay que olvidar el robo de sesiones, las extensiones maliciosas del navegador y la compromisión de las copias de seguridad del teléfono. Todos esos escenarios no parecen exóticos y aparecen con regularidad en la práctica.
A quién le hace falta realmente una llave de hardware y a quién no
Si el usuario guarda en sus cuentas solo fotos del gato y la suscripción a un servicio de streaming, la llave de hardware puede ser realmente innecesaria. En esos casos TOTP ya ofrece un nivel de protección aceptable.
Pero la situación cambia si hablamos del correo, por el que se puede recuperar el acceso a otros servicios, de los almacenamientos en la nube con documentos, de cuentas laborales, de criptomonedas o del acceso de administrador a sitios web. Aquí el coste de un error se vuelve demasiado alto.
También es importante que YubiKey no excluye otros métodos. Se puede usar junto con la contraseña y los códigos de reserva, construyendo una protección multinivel. Para el usuario común no se trata de paranoia, sino de reducir riesgos.
Por qué las llaves de hardware aún no se han generalizado
La principal barrera, claro, es psicológica. A la gente no le gusta la idea de llevar otro dispositivo. Además, el precio parece elevado, especialmente si se compara con una aplicación gratuita.
También hay dificultades organizativas. No todos los servicios admiten FIDO2, y la configuración a veces requiere algo más de atención que escanear un código QR. Sin embargo, la situación cambia gradualmente y las grandes plataformas cada vez más a menudo hacen de las llaves de hardware un método prioritario de protección.
Al mismo tiempo, la experiencia de uso muestra que una vez configurada, la llave apenas requiere atención. La conectas, tocas el botón y entras. Sin códigos, sin prisas y sin riesgo de equivocarte.
Conclusiones: ¿debería un usuario normal comprar un YubiKey?
La cuestión no es si Google Authenticator es malo. Sigue siendo una herramienta útil y necesaria. La cuestión es qué modelo de amenazas considera usted real para su caso.
La llave de seguridad ofrece un nivel de protección cualitativamente distinto. Protege no tanto contra la adivinación de contraseñas como contra los ataques más comunes y exitosos de los últimos años: el phishing y la compromisión de dispositivos.
Para el usuario común, YubiKey tiene sentido cuando las cuentas se vuelven valiosas y las pérdidas por un hackeo son considerables. En ese caso, una pequeña llave física se convierte de un gadget extraño en un mecanismo de seguridad sencillo y fiable. Y esa es precisamente su principal ventaja.
