Guía

Llaves de seguridad: el segundo factor más fuerte, explicado fácil

Publicado el · Equipo Aprende Ciberseguridad

Guía completa Forma parte de: Contraseñas e identidad

TL;DR: una llave de seguridad es un pequeño dispositivo físico que confirma que eres tú al entrar en una cuenta, y es el segundo factor más difícil de engañar, porque resiste al phishing. No todo el mundo necesita comprar una: las passkeys ofrecen gratis casi la misma protección. La llave física brilla para cuentas muy críticas o perfiles muy expuestos. Si la usas, ten siempre dos: una de diario y otra de respaldo.

Si ya tienes claro que la verificación en dos pasos es imprescindible, las llaves de seguridad son el siguiente escalón: el método más robusto que existe hoy para proteger una cuenta. Vamos a verlo sin tecnicismos y a decidir si te compensa.

Qué es una llave de seguridad

Es un dispositivo físico, del tamaño de una memoria USB pequeña, que sirve para demostrar que eres tú. En vez de teclear un código, conectas la llave (por el puerto USB o acercándola al móvil por NFC) y tocas un botón. Listo.

Funcionan con un estándar abierto (lo verás nombrado como FIDO2 o llaves de seguridad), y las admiten ya Google, Microsoft, Apple, bancos y muchas redes sociales.

Por qué es más fuerte que el SMS o la app

El gran problema de los códigos por SMS es que te los pueden robar: interceptando el mensaje, mediante un robo de tu número (SIM swapping) o engañándote para que los teclees en una web falsa de phishing.

La llave de seguridad cierra esa puerta. Antes de funcionar, comprueba que la web es la auténtica. Si caes en una página falsa que imita a tu banco, la llave simplemente no responde, porque la dirección no coincide. Esa resistencia al phishing es lo que la hace especial.

Una forma de ordenarlo, de menos a más resistente al engaño:

  1. Código por SMS: mejor que nada, pero el más vulnerable.
  2. App de autenticación: bastante mejor que el SMS.
  3. Llave de seguridad o passkey: la más resistente al phishing.

La alternativa gratis: las passkeys

No hace falta comprar nada para tener casi el mismo nivel. Las passkeys (claves de acceso) usan la misma tecnología resistente al phishing, pero guardan la credencial en tu móvil, tu ordenador o tu gestor de contraseñas. Te identificas con la huella o la cara, como desbloqueas el teléfono.

Para la mayoría de la gente, activar passkeys en sus cuentas importantes es la opción más sensata: máxima protección, coste cero.

Cuándo compensa una llave física

Comprar una llave (cuestan poco, y conviene tener dos) tiene sentido sobre todo si:

  • Quieres el máximo nivel en cuentas muy críticas: tu correo principal, el banco, tu identidad digital.
  • Tienes un perfil expuesto: periodistas, cargos públicos, personas que gestionan dinero o datos de otros, víctimas de acoso.
  • Te manejas con varios dispositivos y prefieres un método físico, independiente del móvil.

Cómo empezar (y la regla de oro: ten dos)

  1. Consigue dos llaves compatibles (FIDO2): una de uso diario y otra de respaldo.
  2. Ve a los ajustes de seguridad de la cuenta que quieras proteger y añade ambas llaves.
  3. Configura un segundo método (una passkey o una app de autenticación) por si pierdes la llave.
  4. Guarda la llave de respaldo en un lugar seguro, separado de la de diario.

Tener dos no es un capricho: es lo que evita que pierdas el acceso a tus cuentas si extravías una.

En resumen

La llave de seguridad es la cima de la verificación en dos pasos: lo más difícil de engañar. No todos la necesitan, pero todos deberían usar al menos passkeys o una app de autenticación en lugar del SMS. Si quieres repasar la base, vuelve a la guía de verificación en dos pasos, y comprueba de paso si te han filtrado el correo en alguna brecha.

Preguntas frecuentes

¿Qué es una llave de seguridad?
Es un pequeño dispositivo físico, parecido a una memoria USB, que confirma que eres tú al entrar en una cuenta. En lugar de teclear un código, conectas la llave (por USB o acercándola con NFC) y tocas un botón. Es una forma de verificación en dos pasos, pero de las más resistentes que existen.
¿Es más segura que el código por SMS o por app?
Sí. El código por SMS se puede interceptar o engañarte para que lo entregues en una web falsa; la llave física, no, porque comprueba que la web es la auténtica antes de funcionar. Por eso se considera el segundo factor más resistente al phishing. La app de autenticación está entre medias: mejor que el SMS, pero menos a prueba de phishing que la llave.
¿Necesito comprar una llave o hay alternativa gratis?
Hay una alternativa gratuita muy buena: las passkeys (claves de acceso), que guardan ese mismo tipo de credencial resistente al phishing en tu móvil o tu gestor de contraseñas, sin comprar nada. La llave física tiene sentido sobre todo si quieres el máximo nivel para cuentas muy críticas o tienes un perfil especialmente expuesto.
¿Y si pierdo la llave de seguridad?
Por eso la regla es tener siempre al menos dos: una de uso diario y otra de respaldo guardada en lugar seguro. Además, conviene dejar configurado un segundo método de acceso (por ejemplo, una passkey o una app de autenticación) para no quedarte fuera de tus cuentas si pierdes la llave.