¿Qué es una YubiKey?
Una YubiKey es una llave de seguridad de hardware fabricada por Yubico. Este dispositivo físico proporciona autenticación multifactor al generar pruebas criptográficas de identidad del usuario. A diferencia de los autenticadores basados en software, que son vulnerables a la extracción por malware, la YubiKey almacena claves secretas en un hardware resistente a manipulaciones que no puede ser copiado ni extraído.
Diseño físico y factores de forma
Las YubiKeys están disponibles en varias configuraciones físicas para adaptarse a diferentes necesidades de conectividad. El modelo USB-A estándar mide aproximadamente 18mm x 45mm y está diseñado para permanecer conectado en el puerto de una computadora portátil. Las variantes USB-C son compatibles con dispositivos modernos, mientras que la YubiKey 5Ci cuenta con conectores duales para Lightning y USB-C. Los modelos con NFC permiten autenticación inalámbrica con teléfonos inteligentes compatibles. El dispositivo no contiene batería: obtiene energía directamente del dispositivo anfitrión. La mayoría de los modelos incluyen una superficie de contacto dorada o botón que requiere un toque físico para activarse, asegurando la presencia del usuario durante la autenticación.
¿Cómo funciona la YubiKey?
La YubiKey funciona como un token criptográfico basado en el estándar FIDO2, utilizando criptografía de clave pública para verificar de forma segura la identidad del usuario sin contraseñas. Al registrar el dispositivo con un servicio, se genera un par de claves único: una clave privada almacenada de forma segura en el dispositivo y una clave pública compartida con el servicio. Durante la autenticación, el servicio envía un desafío a la YubiKey. El dispositivo firma este desafío con su clave privada, creando una respuesta que solo puede ser verificada por la clave pública correspondiente. Este proceso confirma tanto la posesión del dispositivo como la presencia del usuario sin transmitir contraseñas ni credenciales reutilizables.
La autenticación requiere interacción física con el dispositivo. En la mayoría de las operaciones, se toca la superficie de contacto dorada, lo que completa un circuito capacitivo que confirma la presencia humana. Esto evita que el malware autentique en segundo plano sin intervención del usuario. La serie YubiKey Bio añade verificación por huella dactilar, creando un verdadero enfoque multifactor que combina algo que tienes (el dispositivo) con algo que eres (tu biometría). La protección mediante PIN añade otra capa: ciertas operaciones requieren ingresar un código numérico antes de que el dispositivo responda a las solicitudes de autenticación.
Protocolos y estándares de autenticación de YubiKey
Las YubiKeys son compatibles con una variedad de estándares de autenticación diseñados para eliminar contraseñas, resistir ataques de phishing y mejorar la seguridad de inicio de sesión. A continuación, un desglose de los protocolos clave que admiten:
-
FIDO2 y WebAuthn (Autenticación sin contraseña). FIDO2 es el estándar líder para inicio de sesión sin contraseña. Al emparejarse con un servicio compatible con FIDO2, una YubiKey genera una credencial única vinculada a ese dominio específico, haciendo ineficaces los ataques de phishing. No se necesitan contraseñas; solo la llave física y la presencia del usuario. Compatible con Google, Microsoft, Facebook, GitHub y más.
-
FIDO U2F (Segundo Factor Universal). U2F mejora los inicios de sesión basados en contraseña con un segundo factor físico. Después de ingresar tu contraseña, tocas la YubiKey para confirmar. Verifica la identidad del sitio, bloqueando intentos de phishing. U2F funciona nativamente en navegadores modernos sin controladores adicionales y sigue siendo ampliamente compatible.
-
OATH (Contraseñas de un solo uso TOTP/HOTP). La YubiKey puede almacenar hasta 32 credenciales OATH, funcionando como una aplicación de autenticación basada en hardware. Los códigos TOTP se actualizan cada 30 segundos; los códigos HOTP se generan manualmente. El acceso se realiza mediante la aplicación Yubico Authenticator, que ofrece almacenamiento seguro más allá de lo que pueden ofrecer las aplicaciones móviles.
- Funcionalidad de Tarjeta Inteligente PIV. Las YubiKeys admiten la Verificación de Identidad Personal (PIV) para inicio de sesión con tarjeta inteligente de nivel empresarial. El dispositivo almacena certificados X.509 para autenticación de red, firma de correos electrónicos y cifrado. Compatible con inicios de sesión de dominio en Windows y cifrado FileVault en macOS.
-
Compatibilidad con OpenPGP. La YubiKey actúa como un token de hardware seguro para operaciones OpenPGP — firma, cifrado y autenticación. Las claves pueden generarse o importarse directamente al dispositivo. La clave privada nunca abandona el hardware, ofreciendo seguridad para firma de correos electrónicos y código.
-
Yubico OTP y Contraseñas Estáticas. Yubico OTP genera contraseñas de un solo uso de 44 caracteres utilizando un secreto integrado y un contador, verificadas por los servidores de Yubico. El modo de contraseña estática permite almacenar una contraseña fija para sistemas sin opciones de autenticación modernas. Ambos modos emulan la entrada de teclado.
-
Autenticación de Desafío-Respuesta. En este modo, el anfitrión envía un desafío, y la YubiKey responde utilizando HMAC-SHA1 con un secreto almacenado. Es ideal para casos de uso fuera de línea como cifrado de disco y acceso a gestores de contraseñas (por ejemplo, KeePassXC), donde solo la llave puede desbloquear los datos.
Comparación de Modelos y Series de YubiKey
Modelo |
Tipo USB |
NFC |
FIDO2 |
PIV |
OpenPGP |
Biométrico |
Rango de Precio |
YubiKey 5 NFC |
USB-A |
Sí |
Sí |
Sí |
Sí |
No |
$55 |
YubiKey 5C NFC |
USB-C |
Sí |
Sí |
Sí |
Sí |
No |
$55 |
YubiKey 5Ci |
Lightning/USB-C |
No |
Sí |
Sí |
Sí |
No |
$70 |
YubiKey Bio |
USB-A/C |
No |
Sí |
No |
No |
Sí |
$80-85 |
Security Key NFC |
USB-A |
Sí |
Sí |
No |
No |
No |
$25 |
YubiKey 5 FIPS |
USB-A/C |
Variable |
Sí |
Sí |
Sí |
No |
$70-80 |
Mejores Alternativas a YubiKey para Uso Empresarial
Las llaves de seguridad de hardware a menudo se comparan solo por si admiten FIDO2. En entornos empresariales, eso no es suficiente. Las diferencias prácticas suelen estar en (1) qué tan bien se adapta la llave a flujos de trabajo centrados en estaciones de trabajo (PC compartidas, bloqueo/desbloqueo rápido), (2) si admite entornos híbridos donde se introduce la autenticación sin contraseña gradualmente mientras permanecen los sistemas heredados con contraseña/OTP, y (3) si el proveedor cubre escenarios de PKI/tarjeta inteligente además de FIDO2.
1. Hideez Keys — FIDO2, bloqueo/desbloqueo rápido y gestión de contraseñas
Hideez Key no solo se presenta como una llave de seguridad FIDO, sino como parte de un flujo de acceso a estaciones de trabajo que incluye desbloqueo y bloqueo automático basado en proximidad. Para entornos con estaciones compartidas, el valor está en que la seguridad no se limita al evento de inicio de sesión: la sesión puede bloquearse automáticamente cuando el usuario se aleja del área de trabajo, reduciendo la exposición por sesiones desatendidas.
Una segunda ventaja clave es la compatibilidad con implementaciones híbridas: autenticación sin contraseña cuando sea posible, pero permitiendo aún el acceso a sistemas heredados que requieren inicio de sesión con contraseña y OTP. Hideez comercializa esto como una combinación de autenticación sin contraseña con uso de contraseñas/OTP para sistemas heredados dentro de la misma experiencia de usuario (por ejemplo, gestión de contraseñas y funcionalidad OTP junto a autenticación moderna).
2. Thales SafeNet eToken Fusion — token combinado FIDO2 + PKI
Thales posiciona eToken Fusion como un dispositivo único que combina autenticación FIDO y casos de uso PKI. Este tipo de token suele ser relevante para empresas que necesitan tanto FIDO2/WebAuthn para acceso resistente al phishing a servicios web como autenticación basada en certificados (a menudo compatible con PIV) para inicio de sesión en Windows, VPN, firma y otros controles impulsados por PKI.
eToken Fusion suele considerarse como alternativa cuando las organizaciones priorizan la alineación con el ecosistema IAM de Thales y los requisitos de adquisición/conformidad, mientras aún necesitan FIDO y PKI en un solo token.
3. Token2 — dispositivo centrado en FIDO2 con soporte OTP
Token2 vende llaves de seguridad FIDO2 y también ofrece modelos que combinan FIDO2/U2F con funcionalidad TOTP. Esto se utiliza comúnmente cuando una organización desea implementar autenticación resistente al phishing de forma generalizada pero aún debe admitir un subconjunto de aplicaciones que requieren OTP. Las categorías de productos y SKUs individuales de Token2 describen estas capacidades combinadas.
Token2 suele considerarse cuando el costo y la disponibilidad son factores importantes y cuando los modelos combinados FIDO2 + TOTP pueden reducir fricciones en entornos de transición. El requisito clave es estandarizar en SKUs y versiones de firmware específicas para evitar variabilidad en el soporte.
En la práctica, la elección de la "llave de seguridad correcta" tiene menos que ver con la marca y más con qué tan bien se adapta a todo tu panorama de autenticación: aplicaciones modernas centradas en FIDO2, sistemas heredados que aún requieren contraseñas y OTP, y patrones de acceso a estaciones de trabajo que representan un riesgo operativo real.
Si deseas evaluar estas capacidades como un sistema coherente, el sistema Hideez Workforce Identity está diseñado para apoyar ese enfoque: proporciona autenticación sin contraseña y también permite acceso controlado mediante contraseñas y OTP en entornos heredados, se integra con llaves certificadas FIDO2 (incluyendo YubiKey, Thales, Token2 y otros), y admite autenticación móvil a través de la app de Hideez.
También va más allá del acceso web y de aplicaciones al permitir acceso a computadoras basado en proximidad — admitiendo desbloqueo rápido y bloqueo automático seguro para estaciones de trabajo compartidas. Para ver cómo se aplican estos flujos de trabajo en tu entorno específico, reserva una demostración y revisa todo el conjunto de nuestras capacidades de principio a fin.
