FIDO2
Estándar abierto de autenticación sin contraseña: usas una llave de seguridad física o tu dispositivo para iniciar sesión, inmune al phishing.
Qué es FIDO2
FIDO2 es un conjunto de especificaciones (de la FIDO Alliance y el W3C) que permite entrar en webs y apps mediante criptografía de clave pública en lugar de contraseñas. Engloba el protocolo WebAuthn (lado navegador) y CTAP (comunicación con la llave o autenticador).
Cómo funciona
Al registrarte, tu dispositivo o llave genera un par de claves: la pública se queda en la web, la privada nunca sale del autenticador. Para entrar, el sitio envía un reto que tu autenticador firma con la clave privada tras verificarte (PIN, huella o pulsación). No hay secreto reutilizable que robar ni teclear.
Cómo protegerte
Activa "llaves de acceso" o "llave de seguridad" en las cuentas que lo soporten (Google, Microsoft, Apple, GitHub...). Es la defensa más fuerte contra el phishing: aunque una web falsa te engañe, la firma está ligada al dominio real y no funciona en el impostor.
Datos curiosos
- Las passkeys que promueven Apple, Google y Microsoft son, técnicamente, credenciales FIDO2.
- Una llave física FIDO2 (YubiKey, Titan...) cuesta entre 25 y 60 euros.
- No hay nada que el atacante pueda "interceptar y reutilizar": cada login es una firma única.
Preguntas frecuentes
¿Necesito comprar una llave física?
No siempre. Tu móvil o portátil puede actuar de autenticador FIDO2. La llave física añade seguridad extra y portabilidad.
¿Y si pierdo la llave?
Por eso conviene registrar al menos dos autenticadores (o guardar códigos de recuperación) en cada cuenta importante.
¿Es lo mismo que la 2FA?
FIDO2 puede ser el segundo factor o sustituir por completo a la contraseña. Es más fuerte que los SMS o los códigos de app.