Cómo crear y usar un USB seguro tipo U2F para tus cuentas

Inicio » Windows » Cómo crear y usar un USB seguro tipo U2F para tus cuentas

Si te preocupa que alguien pueda colarse en tus cuentas online, crear un USB seguro tipo U2F o usar una llave de seguridad física es de lo mejor que puedes hacer hoy en día. Este tipo de dispositivos añaden una capa extra de protección que va mucho más allá de la típica contraseña y del clásico SMS con código.

En las próximas líneas vas a ver qué es exactamente una llave de seguridad U2F, qué tipos existen y cómo puedes crear la tuya propia usando un simple pendrive o dispositivos como Flipper Zero, así como la forma de integrarlas en servicios populares como Google, Gmail, Dropbox o redes sociales. La idea es que termines con una visión clara y práctica para decidir qué opción te encaja mejor.

Qué es una llave de seguridad USB y cómo encaja el estándar U2F

Cuando inicias sesión en una web, lo normal es que solo te pidan usuario (o correo) y contraseña. Eso está bien como primera barrera, pero hoy por hoy es insuficiente: las contraseñas se filtran, se reutilizan entre servicios y son relativamente fáciles de robar mediante phishing o malware.

Para poner las cosas más difíciles a los atacantes nació la verificación en dos pasos o autenticación de dos factores (2FA). Con ella, aunque alguien acierte o robe tu contraseña, todavía necesita un segundo elemento (un código, un mensaje, una app, una llave física…) para entrar de verdad en tu cuenta.

Las llaves de seguridad USB son un tipo muy concreto de segundo factor: son pequeños dispositivos físicos que actúan como “carné de identidad digital”. En lugar de introducir códigos manualmente, conectas la llave al puerto USB (o usas NFC/Bluetooth, según el modelo), tocas un botón y el sistema valida que estás tú delante.

Dentro de este mundo, el estándar más importante es U2F (Universal 2nd Factor), desarrollado originalmente por Google y Yubico y ahora mantenido por la FIDO Alliance. U2F define cómo debe comunicarse la llave con el navegador y con la web para que todo funcione de forma segura, sin que tengas que instalar drivers raros o aplicaciones adicionales.

Gracias a U2F, una misma llave física puede servir como segundo factor en cientos de servicios compatibles: Google, Dropbox, Github, Facebook, Tutanota, Nextcloud y muchos otros. Además, es la base sobre la que se ha construido la evolución actual: FIDO2 y WebAuthn, que permiten incluso iniciar sesión sin contraseña en algunos casos.

Tipos de llaves de seguridad: comerciales, caseras y dispositivos especiales

Cuando hablamos de llaves de seguridad tipo U2F o similares, podemos diferenciar dos grandes familias: las que compras hechas y las que montas tú mismo usando un USB normal y un programa específico.

Por un lado están las llaves comerciales, que son las típicas que ves recomendadas por Google o por empresas de seguridad. Ejemplos muy conocidos son las llaves Titan de Google, las YubiKey (en sus versiones USB-A, USB-C o con NFC) o distintas FIDO Keys de otros fabricantes. Estas vienen ya preparadas de fábrica para trabajar con protocolos como FIDO U2F y FIDO2/WebAuthn.

Dentro de las llaves comerciales se pueden distinguir varios subtipos según la forma en que se conectan a tus dispositivos. Hay modelos que funcionan únicamente por USB clásico (A o C), otros que combinan USB y NFC para usarlos con móviles, y algunos más avanzados que también incorporan Bluetooth para autenticarse con equipos donde no tienes un puerto USB a mano.

En paralelo tenemos las llaves “caseras” basadas en pendrives USB normales. Aquí no hay un chip U2F estándar; en su lugar, instalas o configuras un programa en tu ordenador que actúa como “vigilante” y solo permite usar el equipo si detecta un archivo o clave especial en ese pendrive. Es decir, tu USB se convierte en “llave” para ese ordenador concreto, pero no es una llave U2F universal para cientos de servicios web.

Un actor curioso dentro de este panorama es Flipper Zero, un dispositivo multifunción orientado a pruebas de seguridad. Entre muchas otras cosas, puede comportarse como llave U2F física para cuentas online. Es cómodo y bastante versátil, pero su propio fabricante advierte que no es la opción más robusta del mundo y recomienda reservarlo para cuentas de bajo riesgo, evitando usarlo con banca online, criptomonedas o servicios gubernamentales.

Cómo funciona una llave FIDO U2F a nivel práctico y técnico

Desde el punto de vista del usuario, utilizar una llave U2F es ridículamente sencillo: registras la llave en tu cuenta, y luego solo tienes que conectarla y tocarla cuando inicias sesión. Nada de andar copiando códigos ni mirando el móvil cada vez.

En la práctica, el flujo típico de uso de una llave FIDO U2F es algo como esto: introduces tu usuario y contraseña en la web, el servicio detecta que tienes activada una llave U2F, te pide que la conectes y, una vez enchufada, pulsas el botón o tocas la zona táctil. Con ese gesto, la llave firma un desafío criptográfico que el servidor comprueba, y si todo cuadra, te deja pasar.

La magia real está por dentro. Cada vez que registras tu llave en un servicio nuevo, esta genera un par de claves criptográficas exclusivo para ese sitio: una clave privada, que se queda dentro de la llave y nunca sale de ahí, y una clave pública, que se envía al servidor junto con un identificador llamado Key Handle.

Ese Key Handle está ligado al origen (dominio + protocolo + puerto) del servicio. Cuando más adelante vuelves a iniciar sesión, el servidor envía al navegador la clave pública asociada y el Key Handle. El navegador reenvía esa información a tu llave U2F junto con el hash del origen actual, y la llave verifica que el Key Handle corresponde de verdad a ese sitio antes de firmar nada.

Si el origen no coincide, la llave simplemente se niega a firmar y no devuelve ninguna respuesta válida. Esto es crucial para la privacidad y para la protección frente a phishing: aunque introdujeras tu contraseña en una web falsa que imita a la real, la llave no validaría el inicio de sesión, porque ese dominio malicioso no coincide con el origen grabado en el Key Handle durante el registro.

Ventajas y desventajas de U2F frente a otros métodos 2FA

Cuando comparas U2F con otros tipos de autenticación de dos factores, las diferencias saltan a la vista. La gran baza de las llaves físicas es que la clave privada se almacena en el dispositivo y nunca se comparte, lo que permite una protección muy fuerte frente a robo de credenciales.

En términos de seguridad pura, U2F es más resistente que los códigos por SMS, que se pueden interceptar o redirigir con ataques de duplicado de SIM, y en general también se considera más robusto que los códigos TOTP generados por apps (Google Authenticator, Authy, etc.), porque estos últimos dependen de un secreto compartido que puede ser copiado o filtrado.

Otra ventaja importante es la rapidez y comodidad. En lugar de mirar el móvil, copiar un número de seis dígitos y escribirlo, solo conectas la llave y la tocas. Para alguien que inicia sesión varias veces al día en servicios sensibles, el ahorro de tiempo y de molestias se nota bastante.

Por supuesto, no todo es perfecto. La principal desventaja de U2F es la gestión de pérdidas y copias de seguridad. Al no basarse en un secreto que puedas apuntar o exportar fácilmente, si pierdes tu llave y no has registrado una segunda llave o configurado códigos de recuperación, puedes tener serios problemas para volver a entrar en tus cuentas.

Por eso muchos servicios que soportan U2F, como Tutanota o Google, permiten registrar varias llaves de seguridad y/o generar códigos de recuperación. Lo más sensato es tener al menos dos llaves físicas (una de uso diario y otra guardada en lugar seguro) y combinarlo con algún método de emergencia extra, como TOTP o SMS, por si se alinean los planetas y pierdes todo a la vez.

Crear tu propia “llave” en un USB con programas como USB Raptor

Si lo que buscas es mejorar la seguridad de tu PC más que la de tus cuentas online, puedes convertir un pendrive corriente en una llave que bloquea o desbloquea el acceso al ordenador. Esto no es U2F estándar, pero sí te permite algo parecido a un arranque “con llave”.

En Windows, una de las herramientas más conocidas es USB Raptor, un programa de código abierto que cifra un pequeño archivo k3y en el USB y controla si el pendrive está conectado o no para bloquear la sesión. Hay alternativas similares como KeyLock o Predator, y en macOS opciones como Logon Key o USB Lock.

El proceso básico con USB Raptor es muy directo: descargas la aplicación desde su web oficial, la descomprimes (no necesita instalación), insertas el USB que quieras usar como llave (si tienes problemas con los puertos, consulta el diagnóstico de puertos USB) y ejecutas el archivo “USB Raptor.exe”. La primera vez verás varias ventanas, incluido un aviso del Firewall de Windows donde debes permitir el acceso para que la app funcione correctamente.

Tras aceptar las condiciones y elegir el idioma (puedes ponerlo en español), pasas a la configuración principal, dividida en tres pasos claros. Primero defines una contraseña para cifrar los datos de la llave. Después seleccionas la letra de unidad del USB y pulsas en “Crear archivo k3y”, que es el fichero que convierte ese pendrive en tu llave personalizada.

Por último, activas la opción de “Activar USB Raptor”. Desde ese momento, el programa podrá bloquear el equipo cuando no detecte la llave y desbloquearlo al insertarla. Si activas la configuración avanzada, es recomendable marcar que el programa se ejecute automáticamente al iniciar Windows y que arranque ya activado, de forma que la protección esté activa desde el primer momento.

Debes tener claro que este sistema no es una llave U2F reconocida por webs externas: solo protege el acceso al propio ordenador. Para las cuentas online lo ideal es recurrir siempre a llaves FIDO U2F o FIDO2 reales, o combinar USB Raptor con una solución de segunda capa, como TOTP o U2F, para las cuentas más críticas.

Usar Flipper Zero como llave U2F para cuentas online

Si ya tienes un Flipper Zero, puedes aprovecharlo como llave de seguridad U2F física para muchas webs y servicios que soportan este estándar. La función viene precargada, así que no tienes que hacer malabares para ponerla en marcha.

El procedimiento siempre empieza igual: conectas el Flipper Zero al ordenador con un cable USB y, desde el menú del dispositivo, accedes a la sección “U2F”. En paralelo, en el navegador abres la página de configuración de seguridad de la cuenta que quieres proteger (por ejemplo, Gmail, Dropbox o Slack) y buscas el apartado de dispositivos de seguridad o llaves U2F.

Al añadir un nuevo dispositivo de seguridad, el servicio te pedirá que interactúes con la llave. En ese momento, tu Flipper Zero mostrará una opción para confirmar el registro pulsando el botón OK. Una vez aceptado, la web almacena la clave pública correspondiente y, a partir de ahí, el Flipper ya está asociado a tu cuenta.

En adelante, cada vez que inicies sesión en esa cuenta desde un navegador compatible, bastará con conectar el Flipper con el cable y pulsar OK cuando te lo solicite. Así se completa la segunda fase del inicio de sesión de forma rápida y sin necesidad de escribir códigos a mano.

Eso sí, conviene no olvidar la advertencia de sus creadores: aunque el soporte U2F de Flipper Zero es funcional y cómodo, no se considera una plataforma tan robusta como una llave FIDO dedicada. Lo prudente es reservarlo para cuentas menos sensibles (foros, servicios secundarios, pruebas) y usar llaves FIDO U2F/FIDO2 auténticas para banca, criptomonedas, cuentas de correo principales o trámites administrativos.

Registrar una llave FIDO U2F en servicios como Google o Tutanota

La forma de añadir una llave U2F a tus cuentas suele seguir un patrón muy parecido entre servicios. Tomemos como ejemplo Google y Gmail, que son de las plataformas donde más sentido tiene asegurar el acceso con un segundo factor fuerte.

En tu cuenta de Google, lo primero es entrar en el apartado de “Seguridad” y luego en “Verificación en dos pasos”. Allí podrás ver los métodos que ya tienes configurados (códigos SMS, app de Authenticator, mensajes de Google, etc.) y encontrarás la opción de añadir una “Llave de seguridad”.

Antes de pulsar en “Registrar” o “Añadir llave de seguridad”, asegúrate de que la llave FIDO no está aún insertada. El asistente te pedirá que la conectes en el momento adecuado, normalmente después de verificar de nuevo tu contraseña.

Cuando te lo indique, conectas la llave al puerto USB del ordenador (o la acercas si es NFC y el dispositivo lo soporta) y sigues las instrucciones: en muchas llaves tendrás que pulsar un pequeño botón o tocar un disco o pestaña dorada cuando parpadee una luz. Otras llaves se activan simplemente al conectarlas y se “duermen” después de cada uso, de modo que basta con retirarlas y volverlas a insertar.

Una vez completado el emparejamiento, Google añadirá esa llave a tu lista de factores de autenticación. Desde la configuración de verificación en dos pasos podrás consultar el nombre de la llave, cuándo la añadiste y cuándo la has usado por última vez, cambiarle el nombre para identificarla mejor y eliminarla si ya no la quieres utilizar.

Otros servicios como Tutanota, Amazon, Twitter o Dropbox siguen una mecánica casi idéntica: entras en la sección de seguridad, activas la autenticación de dos factores, eliges la opción de llave de seguridad U2F/FIDO y registras la llave siguiendo las indicaciones del asistente. En Tutanota, por ejemplo, puedes registrar varias llaves hardware y además dispones de un código de recuperación que te servirá si pierdes la llave principal.

Compatibilidad de U2F con navegadores y sistemas operativos

Una duda habitual es dónde se puede usar una llave U2F y si vas a tener problemas en tu día a día. A día de hoy, la situación es bastante buena: los principales navegadores modernos ya soportan U2F o, mejor dicho, WebAuthn, que es la evolución estandarizada de este sistema.

En el escritorio puedes utilizar tu llave sin problemas en Google Chrome, Mozilla Firefox, Microsoft Edge y Opera, siempre que estén actualizados. En su momento, Firefox necesitaba un complemento específico para U2F, pero esa limitación ya está prácticamente superada, y el soporte se integra de forma nativa mediante WebAuthn.

En cuanto a sistemas operativos, las llaves FIDO se identifican generalmente como dispositivos de entrada estándar USB HID, de modo que funcionan sin drivers especiales en Windows, macOS y la mayoría de distribuciones Linux; si tienes problemas, revisa cómo instalar los drivers USB originales. Eso sí, para utilizar todas sus capacidades (sobre todo FIDO2/WebAuthn) conviene tener tanto el sistema como el navegador al día.

Uno de los puntos flojos sigue siendo la compatibilidad directa con el inicio de sesión de Windows o de otros sistemas como reemplazo del usuario y contraseña local, aunque Microsoft ya lleva tiempo trabajando para integrar FIDO2 y llaves de seguridad en Windows 10 y 11. Este tipo de uso todavía no está tan extendido como el empleo de llaves U2F para cuentas web, pero el camino va claramente en esa dirección.

En el ámbito móvil, muchos teléfonos Android e iOS modernos pueden trabajar con llaves U2F/FIDO2 mediante NFC, puertos USB-C o Bluetooth, sobre todo cuando se usan navegadores compatibles como Chrome o Safari recientes. Aquí conviene revisar la documentación de tu llave concreta para ver qué modos soporta en cada plataforma; si tienes dudas sobre conectores, consulta puertos USB-C.

Por qué U2F protege tan bien frente al phishing y ataques avanzados

Los correos fraudulentos y las webs falsas que intentan imitar servicios conocidos se han convertido en el pan de cada día. El problema de sistemas basados en códigos SMS o TOTP es que, si introduces tu contraseña y el código en una página falsa, el atacante puede usar ambas cosas para acceder inmediatamente a tu cuenta real.

Con U2F la historia cambia. Como ya hemos visto, la llave solo firma desafíos para el origen concreto con el que se registró. Si un atacante crea una copia casi idéntica de la web legítima pero en otro dominio, aunque tú caigas en la trampa y escribas tu contraseña correcta, la llave U2F no completará el proceso porque no reconocerá ese dominio como válido.

Esto convierte a U2F en un blindaje muy sólido contra los ataques de suplantación de identidad, hasta el punto de que, desplegado correctamente, hace prácticamente imposible que un atacante tome tu cuenta solo con phishing. Por eso muchos expertos consideran que las llaves de seguridad hardware son hoy por hoy la opción más segura de segundo factor disponible para el usuario medio.

Además de mitigar el phishing, las llaves U2F resisten bien los ataques de intermediario (MITM), donde alguien intercepta el tráfico entre tu navegador y el servidor. Como la firma de la llave va ligada al desafío y al origen concreto, no sirve reutilizar esa firma en otro contexto ni reproducirla después, lo que eleva el listón técnico para cualquier intento de intrusión.

Sumando todo esto, lo razonable para cualquier persona que maneje información delicada (periodistas, activistas, administradores de sistemas, usuarios con cuentas bancarias o de criptomonedas importantes) es activar siempre una llave U2F o FIDO2 cuando el servicio lo permita, y apoyarse en otros métodos únicamente como respaldo.

Queda claro que, si queremos tomarnos en serio la seguridad de nuestras cuentas y de nuestros equipos, dar el salto a las llaves de seguridad U2F (o a su evolución FIDO2) es una decisión muy acertada: podemos comprar llaves hardware certificadas por muy poco dinero, crear llaves caseras para proteger el acceso al PC, aprovechar dispositivos como Flipper Zero para cuentas menos sensibles y registrar nuestras llaves en servicios clave como Google, Tutanota o Dropbox; con un par de llaves bien configuradas y algo de orden al gestionarlas, el margen de maniobra de cualquier atacante se reduce al mínimo sin que nuestro día a día se vuelva un suplicio.