Alternativas privadas a SMS codes, Authenticator apps, verificadas con nuestros criterios públicos.
Una clave de seguridad de hardware es un pequeño dispositivo que se conecta por USB o se acerca por NFC para demostrar que de verdad eres tú quien inicia sesión. Es el segundo factor más fuerte disponible, porque el secreto nunca sale de la clave y no puede robarse por phishing como sí puede un código tecleado. Para las cuentas cuya pérdida más dolería, el correo y tu gestor de contraseñas los primeros, una clave convierte una contraseña robada en un callejón sin salida.
Por qué un código tecleado todavía puede robarse por phishing
Un código de una app o de un mensaje solo es tan seguro como la página en la que lo tecleas. Una página de inicio de sesión falsa convincente te pide la contraseña y el código a la vez, luego reenvía ambos al sitio real en tiempo real y entra directamente en tu cuenta, y ningún cuidado detecta cada clon. Una clave de seguridad cierra ese agujero por diseño. Durante la configuración se vincula a la dirección web real, y cuando inicias sesión comprueba esa dirección criptográficamente antes de responder, así que permanece en silencio en un sitio impostor. Esa única propiedad detiene los robos de cuenta más comunes, por lo que una clave es un salto genuino frente a una app de autenticación en lugar de solo una variante distinta de ella.
Cómo elegimos
Cada clave aquí se mide con nuestros criterios de inclusión públicos. Exigimos soporte para los estándares abiertos FIDO2 y WebAuthn, para que inviertas en un protocolo en lugar de en un único proveedor, y favorecemos las claves cuyo firmware y herramientas están abiertos a inspección. Miramos la gama de conectores ofrecida, porque una clave que no puedes conectar a tus dispositivos es inútil, y las funciones extra que algunas claves añaden más allá del inicio de sesión. Solo listamos una clave que llevaríamos en nuestro propio llavero, y anotamos con claridad dónde encaja cada una.
Qué buscar en una clave de seguridad
Empieza por el estándar: el soporte para FIDO2 y WebAuthn es innegociable, porque eso es lo que aporta la resistencia al phishing. Luego haz coincidir los conectores con tu hardware, ya sea USB-C, USB-A, NFC o Lightning, y prefiere una clave que cubra tanto un teléfono como un portátil. Decide si quieres una clave de inicio de sesión sencilla o una que también se ocupe de tareas TOTP, de tarjeta inteligente o de OpenPGP, ya que Nitrokey y la YubiKey 5 llevan esos extras mientras que una clave básica mantiene las cosas simples y más baratas. Sobre todo, planea comprar dos, porque la de respaldo es parte de la especificación, no un añadido opcional.
¿De verdad necesito una clave si ya uso una app?
Para la mayoría de las cuentas, una app de autenticación ya es una gran mejora frente a los códigos por SMS, así que una clave no es estrictamente necesaria. La razón para añadir una es el puñado de cuentas que protegen todo lo demás, tu correo principal y tu gestor de contraseñas, donde un código robado por phishing sería un desastre. En esas, la comprobación de dirección de la clave merece el pequeño coste y el hábito de llevarla. Un término medio razonable es una clave en tus dos o tres inicios de sesión más sensibles y una app en el resto, lo que sube el suelo en todas partes sin comprar una clave para cada sitio.
Cómo configurar una
Registra la clave en tus cuentas importantes, el correo primero, eligiendo la opción de clave de seguridad en los ajustes de cada sitio y tocando la clave cuando te lo pida. Luego registra tu segunda clave de la misma forma y guárdala en un sitio aparte, una en tu llavero y la otra en casa o en una caja fuerte. Mantén tu app de autenticación también registrada como respaldo para los sitios que aún no admiten claves. A partir de ahí tus inicios de sesión se vuelven a la vez más fáciles, un toque en lugar de teclear un código, y mucho más difíciles de robar. Para redondear la cuenta, un gestor de contraseñas le da a cada inicio de sesión una contraseña fuerte y única para que la clave la proteja.
- ¿Qué pasa si pierdo mi clave de seguridad?
- Por esto registras dos desde el principio. Si una se pierde, inicias sesión con la de respaldo y quitas la clave perdida de cada cuenta para que ya no pueda usarse. Una sola clave como único segundo factor es el error de configuración que hay que evitar, porque no hay forma de recuperar el acceso si desaparece.
- ¿Funcionan las claves de seguridad con las cuentas que realmente uso?
- La mayoría de los grandes servicios ya las admiten, incluidos los proveedores de correo y los gestores de contraseñas, mientras las redes sociales y los bancos se van poniendo al día. Las claves hablan los estándares abiertos FIDO2 y WebAuthn, así que el soporte viene del sitio y no de una marca de clave concreta. Los sitios que aún no lo han añadido siguen aceptando tus códigos de la app junto a la clave.
- ¿Es mejor una clave de seguridad que una app de autenticación?
- Para resistir el phishing, sí, y esa es la razón principal para comprar una. Un código de app todavía puede teclearse en una página de inicio de sesión falsa convincente, mientras que una clave comprueba criptográficamente la dirección web real antes de responder y simplemente rechaza un sitio impostor. Para la comodidad del día a día ambas están cerca, así que mucha gente usa una clave en sus cuentas más sensibles y una app en el resto.
- ¿Necesito algún software o una suscripción para usar una?
- No. Una clave FIDO2 funciona a través del soporte del navegador y del sistema operativo que ya viene incorporado, sin nada que instalar y sin cuenta ni cuota atada a la clave. La conectas o la acercas por NFC cuando un sitio la pide. Algunas claves ofrecen funciones extra a través de una app complementaria opcional, pero el inicio de sesión básico nunca requiere una.
- ¿Puede una clave proteger más de una cuenta?
- Sí. Una sola clave puede registrarse en tantos sitios como quieras, cada uno como un registro aparte, y los mantiene separados sin límite práctico para el uso normal. Registrar una cuenta nueva es el mismo paso rápido cada vez: elige la opción de clave de seguridad en los ajustes de ese sitio y luego toca la clave para confirmar.
- ¿Funcionará una clave de seguridad en mi teléfono, no solo en mi ordenador?
- Sí, siempre que el conector coincida. Las claves vienen en formatos USB-C, USB-A, NFC y Lightning, y las de NFC simplemente se acercan a la parte trasera de un teléfono que lo admita. El truco está en comprar el conector que tus dispositivos usan de verdad, por lo que conviene comprobar los puertos del portátil y del teléfono antes de pedirla.