Muchas de las aplicaciones que uso requieren autenticación de dos factores (un paso adicional en el proceso de inicio de sesión para confirmar que eres quien dices ser). Hubo un tiempo en que esto significaba que tenía que sacar mi teléfono, abrir una aplicación de autenticación e ingresar manualmente un código único. Y si me equivocaba al escribir el código (lo que, para ser sinceros, ocurría a menudo), tenía que repetir el proceso.
En Zapier, sin embargo, usamos una YubiKey para hacer esto. Es mucho más conveniente. Y para deleite de nuestro equipo de seguridad, es más seguro que otros dispositivos de autenticación de dos factores. Aquí te explicamos por qué y cómo puedes configurar tu YubiKey también.
Tabla de contenido:
¿Qué es una YubiKey?
YubiKey es un dispositivo que hace que la autenticación de dos factores (2FA) sea lo más sencilla posible. Muchas aplicaciones, servicios en línea y computadoras implementan 2FA cada vez que un usuario desea conectarse. En lugar de que te envíen un código por mensaje de texto o lo genere una aplicación de autenticación, presionas un botón en tu YubiKey y ya inicias sesión. Eso es todo.
Podríamos analizar los cálculos y desglosar los distintos protocolos compatibles con dispositivos como este, pero probablemente todo lo que necesita saber es que cada dispositivo tiene un código único incorporado, que se utiliza para generar códigos que ayudan a confirmar su identidad.
YubiKey no es el único dispositivo de hardware 2FA en el mercado, solo el más popular. Hay varios dispositivos similares en el mercado y la mayor parte de la información descrita en este artículo se aplica a ellos.
¿Qué es la autenticación de dos factores?
Hemos escrito extensamente sobre la autenticación de dos factores, pero es necesario repasar los conceptos básicos antes de poder explicar por qué los dispositivos de autenticación de dos factores de hardware 2son una buena idea.
Las contraseñas son terribles. La mayoría son demasiado fáciles de adivinar para que los piratas informáticos y el resto son demasiado largos o complicados para que los humanos los recuerden. Incluso las contraseñas seguras son inútiles una vez que se filtran, y las filtraciones son básicamente inevitables. Por estas razones y otras más, es una buena idea no confiar enteramente en las contraseñas. Esa es la idea detrás de la autenticación de dos factores.
Con la autenticación de dos factores, necesitas dos cosas para iniciar sesión: tu contraseña, sí, pero también algo más que demuestre que eres quien dices ser. Probablemente esté familiarizado con dos formas de realizar 2FA:
Códigos SMS o correo electrónico. Las aplicaciones te envían un código que debes ingresar antes de poder iniciar el registro. Este es el método más fácil de configurar porque no necesita instalar ningún software ni comprar ningún hardware. También es el menos seguro porque tanto el correo electrónico como los SMS no están cifrados y son fácilmente vulnerables.
Aplicaciones de autenticación. Las aplicaciones en las que quieras iniciar sesión te pedirán un código que puedes recuperar abriendo una aplicación en tu teléfono, como Google Authenticator o Authy. Esto es mucho más seguro que confiar en SMS o correo electrónico, pero no es exactamente conveniente: debes tomar tu teléfono, abrir una aplicación y luego ingresar manualmente un código.
YubiKey representa una tercera forma de realizar autenticación de hardware: 2FA. Las aplicaciones te piden que conectes una herramienta como una YubiKey a tu dispositivo y presiones un botón. Luego, YubiKey envía un código único que el servicio puede usar para confirmar su identidad.
Hay muchos más matices que esto, por supuesto. Pero en general, solo necesita saber que el hardware 2FA es más seguro y más fácil de usar.
¿Por qué una YubiKey es mejor que otros dispositivos 2FA?
Hemos repasado esto un poco, pero hablemos de por qué una YubiKey (y dispositivos similares) es mejor que otras formas de 2FA. Por nombrar algunos:
Conveniencia. Las aplicaciones de SMS, correo electrónico y autenticación requieren que ingreses o copies y pegues manualmente un código. Con YubiKey, simplemente presione un botón en un dispositivo conectado a su computadora para completar el código.
Códigos mucho más largos. Otros métodos de FA 2normalmente solo le envían un código de seis dígitos para confirmar su identidad, principalmente porque sería irrazonable esperar que los humanos escriban mucho más que eso. Las YubiKeys no requieren que ingreses un código manualmente, por lo que puedes usar códigos mucho más largos. Eso es más seguro.
Fácil de migrar. ¿Conseguiste una computadora nueva? Simplemente desconecte su YubiKey del antiguo y conéctelo al nuevo. Todavía podrás iniciar el registro en todas tus aplicaciones, igual que antes. También puedes usar una clave para el registro en tu cuenta en varias computadoras.
Muy difícil de hackear. Es relativamente fácil para los piratas informáticos comprometer su correo electrónico o SMS. Es mucho más difícil (casi imposible con la tecnología actual) falsificar los códigos generados por un dispositivo de hardware único.
Nuevamente, hay muchos más matices aquí, pero estas son las amplias ventajas de YubiKey sobre otras formas de 2FA.
Cómo configurar tu YubiKey
Configurar su YubiKey no es tan diferente a configurar una aplicación 2FA. Si está utilizando un YubiKey (no otro autenticador de hardware), esto es lo que tiene pendiente:
Conecte su YubiKey.
Vaya a Yubico.com/setup y haga clic en su dispositivo.
En la sección Cuentas y servicios compatibles , explore la lista de aplicaciones y servicios compatibles y seleccione los que desea proteger con su dispositivo.
Su selección aparecerá en una lista junto a las aplicaciones disponibles.
Haga clic en el ícono de reproducción junto a la aplicación seleccionada y siga las instrucciones de configuración del video. O haga clic en la flecha diagonal en un cuadro para acceder a la versión de texto.
La configuración variará según la aplicación y el dispositivo, pero configuraré Google en mi computadora como ejemplo.
Haga clic en el enlace de instrucciones de texto.
Aparecerán las instrucciones para agregar tu YubiKey a tu cuenta de Google.
Haga clic en Inscribir su clave de seguridad.
Inserta tu YubiKey en el puerto USB de tu computadora y tócala o presiona el botón que tiene.
Dale permiso a tu navegador para acceder a tu YubiKey, si es necesario.
Opcionalmente, puedes darle un nombre a tu YubiKey, lo cual es útil si tienes llaves de seguridad.
Eso es todo. Ahora puedes usar tu YubiKey para iniciar sesión en tu cuenta de Google en cualquier dispositivo. Repita este proceso para cada cuenta que desee bloquear de esta manera.
¿Qué es una YubiKey? Preguntas frecuentes
¿Aún tienes preguntas sobre cómo utilizar tu YubiKey? Consulta las respuestas a estas preguntas frecuentes.
¿Cómo puedo evitar que mi YubiKey se active accidentalmente?
Tengo el YubiKey 5C Nano, que es un pequeño dispositivo USB-C que dejo conectado a mi computadora portátil. No es exactamente un botón sino más bien una fina tira de metal que se trigger cuando se toca, lo que, en mi caso, ocurre cada vez que tomo mi computadora portátil.
Cuando tocas la YubiKey, esta piensa que estás intentando registrarte en algo, lo que da como resultado que se complete un código seguro en cualquier cuadro de texto que tengas abierto y luego se "presione" la tecla Enter. El resultado, en Slack, se ve así:
Estos códigos son generados por OTP, que es uno de los protocolos que utiliza tu YubiKey para conectarse a los servidores. Puedes evitar que esto suceda por completo desactivando OTP, pero eso podría interrumpir tu capacidad de iniciar sesión en algunos servicios.
Creo que, para la mayoría de los usuarios, es mejor configurar OTP para que no se trigger a menos que mantenga presionado el botón durante tres segundos. YubiKey ofrece instrucciones para solucionar este problema, pero son un poco difíciles de seguir, así que aquí hay un resumen.
Descargue el administrador YubiKey en su computadora.
Instalarlo
Abra el programa.
Haga clic en Aplicaciones y luego seleccione OTP.
De forma predeterminada, el toque corto en la ranura 1 está configurado; el toque largo en la ranura 2 está vacío. Haga clic en Intercambiar para cambiar esto.
Ahora has ganado 2.9 segundos para tocar libremente tu YubiKey sin que emita errores accidentales en la aplicación de chat de tu equipo.
Nota: Si ya configuró la ranura 2 para otro propósito, la configuración se vuelve un poco más complicada. Aquí están las instrucciones de Yubico.
¿Es realmente malo trigger accidentalmente mi YubiKey en una sala de chat?
Si pegas accidentalmente tu código de YubiKey en algo como Slack o un editor de texto, eso no es motivo para entrar en pánico inmediatamente: no es completamente obvio a quién pertenece ni para qué se puede usar para iniciar sesión. Y, si lo publicaste en Slack, es de esperar que tus compañeros no estén intentando piratearlo.
Dicho esto, siempre existe la posibilidad de que un código FA 2filtrado pueda habilitar a un hacker particularmente creativo, así que trate de no convertir esto en un hábito.
Tampoco estás indefenso si eso sucede. Cada código YubiKey es único y deja de ser válido cada vez que utilizas el dispositivo para el registro en algo. Sin embargo, si estás preocupado, puedes invalidar los códigos manualmente. Simplemente pegue el código filtrado en esta página web.
¿Puedo utilizar una YubiKey con varios dispositivos?
¡Sí! Puedes usar tu YubiKey para iniciar sesión en tantos dispositivos como quieras, siempre que haya un espacio para ello. Simplemente conecte su YubiKey a cualquier computadora y registre como lo haría normalmente.
¿Qué pasa si pierdo mi YubiKey?
No es genial Sin tu YubiKey, probablemente no podrás iniciar sesión. Pero hay algunas cosas que puedes hacer para reducir el riesgo.
Utilice códigos de copia de seguridad. La mayoría de los servicios que admiten 2FA (incluido YubiKey) le permiten crear códigos de copia de seguridad. Asegúrate de hacer esto y de guardar los códigos en un lugar seguro, idealmente fuera de línea. Considere imprimirlos y colocarlos en una caja de seguridad, si puede.
Agregue una clave de seguridad de copia de seguridad. Puedes comprar una segunda YubiKey como copia de seguridad, agregarla como una opción para todos tus servicios y luego guardarla en un lugar seguro (¿una caja de seguridad diferente a aquella en la que están tus códigos de copia de seguridad, tal vez?). O puede agregar algún otro tipo de FA basada en aplicación 2a cualquier servicio que configure con su YubiKey.
Si no tiene códigos de copia de seguridad u otro método FA 2y ya perdió su YubiKey, no necesariamente está perdido. La mayoría de los servicios que ofrecen 2FA tienen algún tipo de proceso de verificación para iniciar sesión después de perder sus credenciales, pero tenga cuidado: tomará un tiempo y será muchos problemas. Es mucho mejor estar preparado, así que asegúrese de tener códigos de copia de seguridad en algún lugar seguro o un segundo método FA 2configurado.
Asegúrese de eliminar su YubiKey perdida como método de FA 2después de recuperar el acceso a su cuenta. Lo más probable es que quien encuentre tu YubiKey no sepa a qué cuentas proporciona acceso, pero más vale prevenir que curar.
Para aclarar: su Yubikey no almacena nombres de usuario identificables ni tampoco almacena ninguna de sus contraseñas. Cualquiera que encuentre tu YubiKey no tendrá forma de saber en qué cuentas puede iniciar sesión. Esto cambia un poco si la persona que lo "encuentra" sabe que es tuyo (por ejemplo, porque lo robó de tu casa u oficina). Pero cualquiera que encuentre una YubiKey en la calle o en un aeropuerto no podrá averiguar de quién es la llave.
Automatiza tu seguridad digital
Nadie está fuera del alcance de los piratas informáticos y otros actores maliciosos en materia de ciberseguridad. Todos, incluidos los propietarios de pequeñas empresas, corren el riesgo de sufrir problemas de seguridad digital. Tomar pasos proactivos puede mejorar la eficacia de su seguridad digital contra todas las amenazas. Obtenga más información sobre cómo puede mejorar su seguridad digital con la automatización.
Lecturas relacionadas:
Este artículo fue publicado originalmente en julio 2020 por Justin Pot. La actualización más reciente fue en noviembre 2023.
