Si te preocupa la seguridad de tus cuentas online y te apetece trastear un poco con tecnologĆa, crear tu propia llave USB de seguridad puede ser un proyecto tan entretenido como Ćŗtil. Hoy vas a ver cĆ³mo pasar de un simple pendrive corriente, con herramientas como Rufus y Ventoy, a una llave de autenticaciĆ³n fuerte basada en U2F o en mecanismos equivalentes, entendiendo antes quĆ© es exactamente lo que hace segura a una llave de este tipo y quĆ© limitaciones tiene la opciĆ³n DIY frente al hardware profesional.
A lo largo del artĆculo vamos a repasar quĆ© es una llave de seguridad USB y el estĆ”ndar U2F/FIDO, quĆ© alternativas comerciales existen, cĆ³mo funcionan por dentro, y varias formas de convertir un USB normal en una llave de bloqueo, inicio de sesiĆ³n o segundo factor usando software en Windows, Linux y otros sistemas. TambiĆ©n verĆ”s proyectos de cĆ³digo abierto y dispositivos paranoicos muy curiosos para llevar tu ciberseguridad al siguiente nivel.
QuƩ es una llave de seguridad USB y por quƩ es mƔs segura
Cuando inicias sesiĆ³n en un servicio online lo habitual es usar correo electrĆ³nico y contraseƱa como primer factor. El problema es que las contraseƱas se roban, se reutilizan y se adivinan con mĆ”s facilidad de la que nos gustarĆa, asĆ que desde hace aƱos se recomienda activar la verificaciĆ³n en dos pasos (2FA) o autenticaciĆ³n multifactor (MFA).
Ese segundo paso suele llegar en forma de cĆ³digo por SMS, llamada automĆ”tica, app de autenticaciĆ³n o notificaciĆ³n push. Todos mejoran la seguridad, pero muchos se han quedado cortos frente a ataques de phishing avanzados, intercambio de SIM o pĆ”ginas falsas que capturan tus cĆ³digos en tiempo real.
Las llaves fĆsicas U2F y FIDO2 dan una vuelta de tuerca a este esquema: son pequeƱos dispositivos USB, NFC o Bluetooth que realizan un reto criptogrĆ”fico con el servidor. En lugar de introducir un cĆ³digo, conectas tu llave, tocas un botĆ³n y el navegador completa de forma segura el segundo factor. No hay nada que puedas escribir mal, ni cĆ³digo que alguien pueda robarte engaƱƔndote con una web falsa.
En el caso de U2F, el estĆ”ndar creado por la FIDO Alliance (con Google y Yubico a la cabeza) define cĆ³mo se genera un par de claves, cĆ³mo se registra la llave en cada servicio y cĆ³mo se realiza la autenticaciĆ³n mediante criptografĆa de clave pĆŗblica. La clave privada nunca sale del dispositivo, el servidor solo guarda la clave pĆŗblica y verifica firmas, lo que reduce muchĆsimo la superficie de ataque.
AdemĆ”s, las llaves bien diseƱadas generan pares de claves distintos por servicio, de modo que un proveedor no puede usar tu clave pĆŗblica para rastrearte entre webs ni correlacionar tus inicios de sesiĆ³n.
Tipos de llaves de seguridad: comerciales vs DIY
En el mercado puedes encontrar dos grandes familias de dispositivos: por un lado las llaves comerciales certificadas U2F/FIDO2, y por otro lado soluciones caseras o semiāDIY que convierten pendrives, microcontroladores o incluso Raspberry Pi en llaves de seguridad o dispositivos de bloqueo.
Entre las comerciales destacan modelos como las YubiKey, la familia Titan de Google, SoloKey, NitroKey, OnlyKey, LibremKey, Secalot o Thetis. Muchas de ellas soportan varios protocolos a la vez: U2F/FIDO2 para login web, OTP, tarjetas inteligentes OpenPGP, administraciĆ³n de claves GPG, inicio de sesiĆ³n SSH, etcĆ©tera.
Estas llaves se diferencian tambiĆ©n por el tipo de conexiĆ³n: hay versiones con USB-A clĆ”sico, USB-C, formatos nano que apenas sobresalen del puerto, NFC para mĆ³viles, e incluso variantes con Bluetooth. La compatibilidad suele abarcar Windows, macOS y Linux, y funcionan en navegadores que entienden FIDO U2F/FIDO2 como Chrome, Edge, Firefox y Safari reciente.
En el lado DIY hay enfoques muy variados. Algunos consisten en usar un USB convencional con software que bloquea o desbloquea el PC (por ejemplo USB Raptor, Predator, KeyLock o Logon Key), otros convierten un microcontrolador tipo ESP8266 o una Raspberry Pi Zero en un autƩntico token U2F, o incluso compartir el dispositivo usando VirtualHere, y otros te permiten montar gestores de contraseƱas o monederos de criptomonedas en hardware propio.
Conviene entender bien que una llave de seguridad DIY basada solo en software no es lo mismo que un token U2F dedicado. La primera depende de la configuraciĆ³n del sistema, de tu disco y de tu USB, mientras que la segunda lleva un chip seguro que protege la clave privada incluso ante malware o acceso fĆsico.
CĆ³mo funciona U2F por dentro: claves pĆŗblicas y desafĆos
El corazĆ³n de U2F y FIDO2 estĆ” en la criptografĆa de clave pĆŗblica. Cuando registras una llave en Google, Dropbox, GitHub, Facebook u otro servicio compatible, el dispositivo genera internamente un par de claves (pĆŗblica y privada) distinto y exclusivo para ese sitio.
La clave privada se queda sellada dentro de la llave y no hay forma de extraerla sin romper fĆsicamente el dispositivo, algo que se diseƱa precisamente para ser inviable. Lo que el servidor almacena es la clave pĆŗblica, asociada a tu cuenta y a un identificador de la llave.
Al iniciar sesiĆ³n, tras introducir usuario y contraseƱa correctos, el servidor envĆa un desafĆo al navegador, que lo pasa a la llave conectada. Esta firma el desafĆo con la clave privada correspondiente al dominio, y devuelve la firma. El servidor, con la clave pĆŗblica, verifica que todo cuadra y completa la autenticaciĆ³n.
Si un atacante intenta repetir la comunicaciĆ³n capturada, no le sirve de nada: el desafĆo es Ćŗnico cada vez. Si intenta registrar tu llave en un dominio falso, la propia especificaciĆ³n impide que la firma sea reutilizable en otra web, reduciendo al mĆnimo la posibilidad de phishing, incluso aunque te engaƱen para visitar una URL que parece autĆ©ntica.
Otra ventaja importante es que la llave nunca revela tu clave privada ni secretos reutilizables. Solo entrega firmas especĆficas para cada reto, por lo que incluso un servidor comprometido no podrĆa hacerse con un material que le permita suplantar tu llave en otros servicios.
Crear una pseudoāllave con un pendrive normal (enfoque software)
Si lo que buscas es algo rƔpido para bloquear y desbloquear tu ordenador usando un USB convencional, puedes apoyarte en software que convierte un pendrive en una especie de llave local: mientras el USB estƔ conectado, el equipo funciona; si lo retiras, se bloquea.
En Windows uno de los programas mĆ”s populares es USB Raptor, un proyecto de cĆ³digo abierto que cifra un archivo āk3yā en tu memoria USB y monitoriza su presencia. Cuando activas el sistema, si el archivo no estĆ” disponible, la sesiĆ³n se bloquea automĆ”ticamente.
El proceso bĆ”sico con USB Raptor consiste en descargar el ejecutable, descomprimirlo, conectar el pendrive que vas a usar como llave y ejecutar USB Raptor.exe para generar la contraseƱa y el archivo k3y. Luego marcas la opciĆ³n de activar el sistema y configuras que se inicie con Windows para que el bloqueo sea efectivo desde el arranque de sesiĆ³n.
Programas como Predator o KeyLock operan con una lĆ³gica similar: vinculan un identificador Ćŗnico del USB con tu sesiĆ³n y, si el dispositivo desaparece del sistema, activan el bloqueo. Es cĆ³modo para ordenadores de sobremesa o portĆ”tiles de uso personal, y puede complementarse con atajos para bloquear Windows rĆ”pidamente, aunque hay que recordar que no se trata de un segundo factor criptogrĆ”fico para servicios web, sino de una protecciĆ³n local.
En macOS existen soluciones como Logon Key o USB Lock que permiten usar un USB como llave de inicio de sesiĆ³n o de bloqueo de pantalla. De nuevo, el principio es el mismo: la presencia fĆsica del USB en un puerto concreto se convierte en una condiciĆ³n necesaria para mantener la sesiĆ³n activa.
Dar el salto a U2F real en Linux con YubiKey u otras llaves
Si quieres meterte en harina y usar U2F como segundo factor para inicios de sesiĆ³n de sistema (TTY, sudo, SSH, GDM, etc.), en Linux puedes apoyarte en el mĆ³dulo PAM de U2F, muy popular con llaves como YubiKey 4 y modelos posteriores, asĆ como con otros tokens compatibles con la especificaciĆ³n de la FIDO Alliance.
El flujo tĆpico pasa por instalar el paquete correspondiente (por ejemplo libpam-u2f desde los repositorios), y despuĆ©s registrar tus llaves en un archivo de configuraciĆ³n que PAM utilizarĆ” para asociar cuentas locales con dispositivos fĆsicos concretos.
Con herramientas como pamu2fcfg generas las asociaciones: insertas tu llave, ejecutas el comando, tocas el dispositivo cuando parpadea y rediriges la salida a un fichero tipo /etc/u2f_keys. Es recomendable registrar al menos dos llaves de seguridad, una principal y otra de respaldo, por si pierdes o se estropea la primera.
El siguiente paso es modificar los archivos de PAM. Por ejemplo, puedes empezar aplicando U2F Ćŗnicamente a sudo, aƱadiendo una lĆnea como auth required pam_u2f.so authfile=/etc/u2f_keys debajo de la inclusiĆ³n de common-auth. AsĆ pruebas que todo funciona: sin la llave insertada, sudo falla tras la contraseƱa; con ella, te pedirĆ” tocar el dispositivo y, si todo va bien, ejecutarĆ” el comando.
Una vez comprobado, puedes llevar esa misma configuraciĆ³n a common-auth o a otros servicios PAM para que toda autenticaciĆ³n de sistema requiera la llave. Opciones como nouserok permiten que cuentas sin llave asociada sigan entrando solo con contraseƱa, algo Ćŗtil para no dejarte fuera si olvidas configurarlo para determinados usuarios.
Compatibilidad de las llaves U2F con servicios online y navegadores
La utilidad prĆ”ctica de estas llaves se multiplica cuando las integras con servicios online que soportan U2F o FIDO2. Hoy en dĆa Google, GitHub, Dropbox, Facebook, Twitter, Nextcloud y muchas otras plataformas permiten registrar una llave fĆsica como mĆ©todo preferente de verificaciĆ³n en dos pasos.
En el Ć”mbito de los navegadores, el soporte es bastante amplio. Chrome y otros navegadores basados en Chromium llevan tiempo ofreciendo compatibilidad nativa con FIDO U2F/FIDO2. Firefox tambiĆ©n incluyĆ³ soporte, primero vĆa complemento y despuĆ©s integrado, mientras que Safari se ha ido poniendo al dĆa en las versiones recientes de macOS.
En sistemas operativos de escritorio, las llaves funcionan en Windows 10 y posteriores, macOS moderno y la mayorĆa de distribuciones Linux, siempre que el navegador entienda el estĆ”ndar. En mĆ³viles, puedes usar llaves con NFC o USBāC junto con navegadores compatibles y apps que se integren con la API de WebAuthn.
Cada fabricante indica en su ficha de producto la matriz de compatibilidad, porque no todos los modelos soportan los mismos protocolos ni las mismas plataformas. Antes de comprar, merece la pena revisar quĆ© quieres proteger (cuentas Google, GitHub, logins Windows, SSH, correo cifradoā¦) y elegir el dispositivo en consecuencia.
Ejemplo prƔctico: registrar una llave FIDO U2F en tu cuenta de Google
Configurar una llave de seguridad con Google es un proceso rĆ”pido que permite que tu USB se convierta en el segundo factor principal para entrar en Gmail y el resto de servicios asociados. El procedimiento, con variaciones mĆnimas, es similar en otros proveedores que implementan la misma tecnologĆa.
El primer paso es comprar una llave compatible con U2F o FIDO2. Una vez la tengas, accede a tu Cuenta de Google > Seguridad > VerificaciĆ³n en dos pasos. Si aĆŗn no la tienes activa, el sistema te pedirĆ” configurar un mĆ©todo inicial (por ejemplo SMS o app de autenticaciĆ³n).
Cuando tengas 2FA habilitado, en esa misma pantalla encontrarĆ”s la opciĆ³n de aƱadir una llave de seguridad. Pulsa en ella, sigue las instrucciones del asistente, conecta la llave cuando te lo pida y, si tu modelo lleva botĆ³n, tĆ³cala cuando la luz parpadee.
En llaves sin botĆ³n fĆsico el flujo puede consistir en retirar y volver a insertar el dispositivo para completar el registro. Al terminar, verĆ”s la llave listada como mĆ©todo de verificaciĆ³n adicional, y en los prĆ³ximos inicios de sesiĆ³n Google te pedirĆ” conectarla para completar el acceso.
Si en algĆŗn momento ya no quieres usar esa llave con tu cuenta, puedes regresar a VerificaciĆ³n en dos pasos y, desde el icono de ediciĆ³n, retirar la llave asociada. Es buena idea mantener siempre otra opciĆ³n de recuperaciĆ³n habilitada (otra llave, telĆ©fono, cĆ³digos de respaldo) para no quedarte bloqueado.
Ventajas y desventajas frente a otros mƩtodos 2FA
En el mundo real vas a encontrarte varios tipos de segundo factor: SMS y llamadas, apps de autenticaciĆ³n, notificaciones push y llaves fĆsicas. Cada uno tiene sus pros y contras, y no es raro combinarlos para escenarios distintos.
Los SMS y las llamadas son muy fĆ”ciles de usar y no requieren instalar nada, pero hoy se consideran uno de los mĆ©todos mĆ”s dĆ©biles: sufren ataques de intercambio de SIM, redirecciones de lĆnea y phishing. Un atacante puede lograr que introduzcas el cĆ³digo en una web falsa y, con eso, entrar en tu cuenta.
Las aplicaciones tipo Google Authenticator o Authy generan cĆ³digos TOTP offline y son mĆ”s robustas que el SMS, pero siguen siendo vulnerables al phishing: si introduces el cĆ³digo en una web maliciosa, el atacante puede reutilizarlo de inmediato.
Las notificaciones push mejoran la experiencia de usuario, ya que solo tienes que aceptar o rechazar un aviso en el mĆ³vil, pero no estĆ”n exentas de riesgos: si aceptas sin fijarte o si el atacante logra emular la interacciĆ³n, podrĆa superar esa capa.
Las llaves U2F/FIDO2, en cambio, ofrecen una protecciĆ³n muy alta contra el phishing, porque el dispositivo firma desafĆos especĆficos para el dominio correcto y el navegador. No introduces cĆ³digos, no escribes nada reutilizable y el atacante necesita fĆsicamente la llave para progresar.
QuĆ© pasa si pierdes la llave USB y cĆ³mo prepararte
Uno de los miedos habituales al usar llaves de seguridad fĆsicas es: āĀæquĆ© ocurre si la pierdo?ā. La respuesta depende de si has sido previsor, pero todos los grandes proveedores de servicios online incluyen mecanismos de recuperaciĆ³n y llaves de respaldo.
En Google y plataformas similares puedes asociar mĆ”s de una llave a la misma cuenta. Es altamente recomendable registrar una segunda llave como copia de seguridad y guardarla en un lugar seguro (una caja fuerte, un sobre sellado, etcĆ©tera), o cifrarla con VeraCrypt. AsĆ, si se te rompe la llave del llavero, siempre tienes la de reserva.
AdemĆ”s de las llaves, puedes configurar correos alternativos de recuperaciĆ³n, telĆ©fonos de respaldo y cĆ³digos estĆ”ticos que te permiten recuperar el acceso en caso extremo. El proceso suele ser mĆ”s lento y con comprobaciones adicionales, precisamente para evitar que cualquiera se salte tu seguridad con una simple llamada.
Si has perdido una llave y todavĆa tienes acceso a la cuenta con otro mĆ©todo, lo sensato es entrar cuanto antes a la configuraciĆ³n de seguridad y revocar o eliminar el dispositivo perdido. De este modo, aunque alguien lo encuentre, no podrĆ” registrarlo ni usarlo en tu nombre.
Otros dispositivos y proyectos DIY para elevar tu seguridad
Si te engancha el tema de la seguridad fĆsica y la privacidad, alrededor de las llaves U2F hay todo un ecosistema de gadgets y proyectos DIY pensados para blindar tu vida digital. Muchos son baratos y algunos se pueden construir en casa con hardware sencillo, y otros permiten crear un Live USB con Tails para navegar sin ser rastreado.
Uno de los mĆ”s Ćŗtiles cuando viajas son los bloqueadores de datos USB. Se conectan entre el cargador y el cable de tu mĆ³vil y deshabilitan las lĆneas de datos, permitiendo solo la carga elĆ©ctrica. Esto evita ataques que aprovechan puertos USB pĆŗblicos para inyectar malware o robar informaciĆ³n.
TambiĆ©n tienes dispositivos como bolsas de Faraday, tarjetas de bloqueo RFID, cubiertas de webcam, bloqueadores de micrĆ³fono y filtros de privacidad para pantallas. Todos se basan en una idea simple: si no quieres que te espĆen, corta las vĆas fĆsicas de entrada de datos o de observaciĆ³n.
En el Ć”mbito del almacenamiento puedes recurrir a USB y discos externos con cifrado de hardware, muchos de ellos con teclado fĆsico para introducir un PIN o con certificaciones como FIPS 140-2. Y si prefieres soluciones lowācost, VeraCrypt permite crear volĆŗmenes cifrados en casi cualquier pendrive comercial.
Para la parte de red existe un arsenal de firewalls y routers avanzados (Firewalla, BitdefenderBox, InvizBox, Turris Omnia, Anonaboxā¦), asĆ como proyectos DIY con Raspberry Pi como Piāhole para bloquear publicidad y rastreadores a nivel de red, PiVPN para montar tu propia VPN domĆ©stica u OnionPi para enrutar tu trĆ”fico por Tor.
Llaves U2F, monederos de criptomonedas y hardware especializado
El mismo concepto de mantener las claves privadas fuera del alcance de software potencialmente malicioso estĆ” detrĆ”s de los monederos de criptomonedas de hardware como Trezor, Ledger o Prokey. Estos dispositivos guardan las claves en un entorno aislado y firman transacciones sin exponer nunca el secreto al ordenador o mĆ³vil anfitriĆ³n.
Algunos fabricantes han dado un paso mĆ”s y ofrecen dispositivos multifunciĆ³n que combinan autenticador U2F, gestor de contraseƱas y monedero cripto en una sola llave (por ejemplo QUANTUM, Secalot, OnlyKey o ciertos modelos de NitroKey). En estos casos conviene revisar bien que el hardware y el firmware sean de cĆ³digo abierto o al menos auditados.
Si eres especialmente celoso con tu privacidad, incluso puedes construir soluciones caseras, como carteras de almacenamiento en frĆo en placas metĆ”licas, generadores de nĆŗmeros aleatorios de hardware (TrueRNG, FSTā01) o nodos completos de Bitcoin en una Raspberry Pi combinados con billeteras hardware.
MĆ”s allĆ” del mundo cripto, encontrarĆ”s equipos como PCs autodestructivos tipo ORWL, telĆ©fonos reforzados como Librem 5 o terminales orientados a comunicaciones cifradas, que demuestran hasta quĆ© punto se puede llevar al extremo la seguridad fĆsica y lĆ³gica de los dispositivos. No son imprescindibles para el usuario medio, pero ilustran bien el abanico de posibilidades.
DespuĆ©s de todo este recorrido, la idea que se impone es clara: combinar una buena higiene de contraseƱas con llaves de seguridad U2F o FIDO2, sistemas de doble verificaciĆ³n bien configurados y algunos dispositivos fĆsicos clave marca una diferencia enorme frente a los ataques actuales, y poner en marcha un proyecto DIY con un USB, una Raspberry Pi o un simple bloqueador de datos es una forma muy prĆ”ctica de aprender mientras refuerzas de verdad tu protecciĆ³n digital.
