Cómo crear y usar una llave U2F en USB para autenticación segura

Última actualización: 14 de marzo de 2026
Autor: Adrián Ramírez
  • Las llaves USB U2F añaden una capa física de seguridad que reduce drásticamente el riesgo de phishing frente a SMS o apps de códigos.
  • Es posible usar tanto llaves comerciales (YubiKey, Titan, FIDO) como pendrives comunes con software específico para proteger equipos y cuentas.
  • Servicios como Google, Dropbox o Yahoo y sistemas Windows, macOS y Linux ofrecen integración nativa con llaves U2F y FIDO2.
  • Configurar llaves de respaldo y métodos de recuperación evita perder el acceso si se daña o extravía la llave principal.

Llave U2F en USB para autenticación

Hoy en día los ciberataques, filtraciones masivas de datos y robos de contraseñas están a la orden del día. Por eso ya no basta con tener una clave “fuerte” o cambiarla de vez en cuando: si alguien consigue tu contraseña, tu cuenta está vendida… salvo que tengas una segunda barrera. Ahí entran en juego las llaves de seguridad USB con U2F, un pequeño dispositivo físico que convierte el inicio de sesión en algo mucho más difícil de atacar.

En esta guía vas a ver de forma muy detallada qué es una llave U2F, qué tipos existen, cómo crear tu propia llave con un pendrive normal usando programas como USB Raptor, y cómo configurar llaves de seguridad comerciales (YubiKey, llaves Titan de Google, Flipper Zero, etc.) en servicios como Google, Dropbox, Yahoo o tu propio sistema operativo. También veremos compatibilidades, ventajas frente a otros métodos de autenticación, qué hacer si pierdes la llave y algunos trucos de seguridad extra.

Qué es una llave de seguridad USB U2F

Dispositivo USB de seguridad para doble factor

Una llave de seguridad USB es, básicamente, un dispositivo físico que se usa como segundo factor de autenticación. En vez de que el servicio te mande un SMS o un código por email, insertas la llave en un puerto USB (o la acercas por NFC/Bluetooth, según el modelo), tocas un botón y el sistema comprueba criptográficamente que eres tú.

En la práctica es como llevar un documento de identidad digital en el bolsillo. Cuando inicias sesión en una cuenta protegida (Gmail, Dropbox, redes sociales, servicios corporativos, etc.), introduces tu usuario y contraseña y, en dispositivos nuevos o cuando el servicio lo exige, solo se completa el acceso si conectas la llave y la activas.

La mayoría de estas llaves utilizan el estándar U2F (Universal 2nd Factor), creado inicialmente por Google y Yubico dentro de la FIDO Alliance. Este estándar se ha convertido en una referencia porque lo soportan Google, Dropbox, GitHub, Nextcloud, Facebook, Slack, Instagram y muchas otras plataformas, así como navegadores modernos.

La gran diferencia frente a los códigos por SMS o las apps de autenticación es que con U2F no hay códigos que el atacante pueda robarte con una página falsa de phishing. El dispositivo realiza internamente todo el proceso criptográfico y solo responde al sitio legítimo para el que fue registrado.

Conviene distinguir entre estas llaves físicas U2F y otros sistemas de 2FA (códigos SMS, llamadas automáticas, notificaciones push en la app, etc.). Todos añaden seguridad respecto a usar solo contraseña, pero las llaves USB reducen de forma drástica el riesgo de phishing, ya que no tienes que teclear ningún código que puedan engañarte para compartir.

Tipos de llaves de seguridad: comerciales y “caseras”

Tipos de llaves de seguridad USB U2F

En el mercado actual podemos hablar, a lo grande, de dos grandes familias de llaves de seguridad: las que compras ya preparadas y las que tú mismo montas usando un USB normal mediante software específico.

Las llaves comerciales (como YubiKey, las Titan Security Key de Google, FIDO Key o soluciones integradas en dispositivos como Flipper Zero) vienen ya diseñadas para hablar U2F, FIDO2 y otros protocolos de seguridad. Suelen ser plug and play con los principales navegadores y sistemas operativos, tienen firmware especializado y, en muchos casos, están certificadas para entornos corporativos exigentes.

Además, dentro de las llaves comerciales hay distintas variantes según el modo de conexión al dispositivo:

  • Solo USB (A, C, Lightning): se conectan directamente al puerto del ordenador o del móvil.
  • USB + NFC: permiten tanto conectarlos al puerto como usarlos por aproximación en móviles compatibles.
  • USB + NFC + Bluetooth: añaden conexión inalámbrica, muy práctica para portátiles y smartphones sin puertos tradicionales.

Por otro lado, están las llaves que puedes “fabricar” tú con un pendrive cualquiera. Estas no son llaves U2F estándar, sino llaves de bloqueo o desbloqueo ligadas a tu propio ordenador, gestionadas por programas que actúan como capa de seguridad. No suelen servir como método universal en webs, pero sí para reforzar la seguridad local de tu PC.

En Windows, por ejemplo, tienes herramientas como USB Raptor, KeyLock o Predator, que permiten convertir prácticamente cualquier memoria USB en una llave de acceso. En macOS existen alternativas como Logon Key o USB Lock. Aquí es el software el que se encarga de vigilar si el USB está presente y bloquear o desbloquear el equipo según la configuración que elijas.

Cómo crear tu propia llave de seguridad con un USB en Windows (USB Raptor)

Si quieres usar un pendrive normal como llave de seguridad para tu PC con Windows, una de las opciones más potentes es USB Raptor, un programa de código abierto muy conocido en este terreno. No es una llave U2F para webs, pero sí un buen sistema para que tu ordenador quede bloqueado si alguien desenchufa el USB o si no lo tienes conectado en el arranque.

El proceso básico consiste en que USB Raptor crea un archivo cifrado (k3y) dentro del pendrive y después supervisa su presencia. Si el archivo está y la contraseña es correcta, el PC se desbloquea; si falta, el equipo permanece bloqueado.

Pasos simplificados para configurarlo en Windows:

  1. Descarga USB Raptor desde su web oficial y descomprime el archivo ZIP; no necesita instalación clásica.
  2. Conecta el USB que quieras usar como llave al ordenador.
  3. En la carpeta descomprimida, ejecuta USB Raptor.exe.
  4. Cuando el Firewall de Windows pregunte, permite el acceso para que el programa pueda funcionar bien en segundo plano.
  5. En la ventana inicial, marca que has leído el texto de condiciones, elige el idioma español si lo prefieres y acepta.

La aplicación tiene un asistente de tres pasos bastante claro:

  • En el primer paso, define una contraseña de cifrado. Es la clave maestra que protegerá el archivo que USB Raptor creará en el pendrive.
  • En el segundo paso, selecciona la letra de unidad del USB (por ejemplo, E:, F:, etc.) y pulsa el botón “Crear archivo k3y” para generar la “firma” de la llave.
  • En el tercer paso, activa la opción “Activar USB Raptor” para que empiece a vigilar el sistema.

En las opciones avanzadas (esquina superior derecha de la ventana) es recomendable marcar que el programa se ejecute al inicio de Windows y que arranque ya activo. Así, desde el momento en que enciendas el PC, te pedirá el USB llave para permitir el uso normal.

Este tipo de solución es muy útil si quieres que nadie pueda usar tu equipo sin tu pendrive, por ejemplo en entornos compartidos, ordenadores de oficina o equipos con datos algo sensibles. Ten en cuenta, eso sí, que se trata de una capa de seguridad local y que alguien con acceso físico avanzado (arranque desde USB externo, disco en vivo, etc.) podría saltársela si sabe lo que hace.

Llaves U2F comerciales y autenticación en servicios online

Más allá de las soluciones caseras para bloquear tu PC, el uso más extendido de las llaves USB es como segundo factor robusto en servicios online. Cada vez más plataformas permiten añadir llaves U2F / FIDO como método adicional de seguridad, y muchas ya las recomiendan de forma explícita.

En este contexto destacan, por ejemplo, las llaves Titan de Google, las distintas gamas de YubiKey, dispositivos FIDO genéricos y hasta gadgets como Flipper Zero, que incluye función U2F. Su precio puede variar mucho, desde modelos muy básicos de unos pocos euros hasta llaves avanzadas multi-protocolo pensadas para empresas.

Estos dispositivos suelen venir listos para trabajar con navegadores que soportan el estándar FIDO U2F/FIDO2, como Chrome, Firefox, Microsoft Edge y versiones recientes de Safari. El proceso habitual es siempre similar: compras una llave compatible, la registras en la sección de seguridad de la cuenta (Google, Dropbox, Yahoo, etc.) y, a partir de ahí, se convierte en el segundo factor principal.

Este enfoque forma parte de lo que se conoce como autenticación multifactor (MFA). La idea es combinar algo que sabes (tu contraseña), algo que tienes (la llave física) y, en algunos casos, algo que eres (biometría). Al añadir una llave U2F, introduces ese “algo que tienes” de forma difícil de clonar o robar por Internet, porque el atacante tendría que tener el dispositivo en la mano.

Compatibilidad: navegadores y sistemas operativos

Las llaves USB U2F modernas tienen una compatibilidad bastante amplia, siempre que uses navegadores y sistemas actualizados. De forma general, el panorama actual es este:

  • Navegadores compatibles: Google Chrome, Mozilla Firefox, Microsoft Edge y versiones recientes de Safari (a partir de macOS modernos). Opera, al basarse en Chromium, también soporta U2F/FIDO2.
  • Windows: soporte completo en Windows 10 y versiones posteriores, especialmente si usas navegadores actualizados. También se integran con Windows Hello y opciones más avanzadas en entornos corporativos.
  • macOS: funcionan correctamente con Safari moderno, Chrome y Firefox. Es importante tener el sistema al día para asegurar compatibilidad con FIDO2 y WebAuthn.
  • Linux: compatibilidad sólida en la mayoría de distribuciones, siempre que el navegador soporte U2F/ WebAuthn. Algunas distros incluyen paquetes de Yubico y similares para integración profunda.

Aun así, conviene revisar siempre las especificaciones del fabricante antes de comprar una llave concreta, sobre todo si piensas usarla con móviles, tablets o en entornos más raros. Algunas llaves están pensadas para USB-A clásico, otras para USB-C, otras dependen de NFC… y conviene cuadrarlo con tus dispositivos reales.

Cómo añadir una llave U2F a tu cuenta de Google

Google fue una de las primeras en apostar fuerte por U2F, así que su soporte de llaves USB de seguridad es muy completo. Además, ofrece el Programa de Protección Avanzada para perfiles de alto riesgo (periodistas, activistas, cargos públicos…), donde las llaves físicas son requisito casi obligatorio.

Si quieres usar una llave USB como parte de la verificación en dos pasos de tu cuenta de Google, el camino general es este:

  1. Compra una llave U2F / FIDO compatible con Google (casi todas las FIDO1/FIDO2 modernas lo son).
  2. Conéctala al ordenador mediante USB o, si es compatible, por NFC/Bluetooth en dispositivos móviles.
  3. Accede a tu cuenta de Google, entra en el apartado Seguridad y ve a la sección Verificación en dos pasos.
  4. Si aún no lo has hecho, activa la verificación en dos pasos (por SMS, app, etc.) siguiendo las instrucciones.
  5. Una vez activa, busca la opción “Añadir una llave de seguridad” y selecciónala.
  6. El sistema te pedirá que insertes la llave en el puerto USB y, en muchos casos, que pulses su botón, disco dorado o pestaña metálica para confirmarla.

Tras ese registro, tu cuenta de Google quedará asociada a esa llave. A partir de entonces, cuando inicies sesión desde un nuevo dispositivo o cuando Google considere que hay riesgo, te pedirá que uses la llave como segundo paso. En algunos casos, si usas llaves FIDO2 con “llaves de acceso” (passkeys), puedes incluso omitir la contraseña cuando el sistema lo permita.

Google permite además organizar y gestionar varias llaves desde la misma sección de seguridad: ver cuáles tienes añadidas, cuándo se usaron por última vez, renombrarlas (para distinguir, por ejemplo, “Llave del trabajo” y “Llave del llavero”) o eliminarlas si dejas de usarlas.

Otras plataformas: Yahoo, Dropbox y más

Google no es la única en sumarse a las llaves físicas. Grandes servicios como Yahoo y Dropbox también permiten habilitar una llave U2F como parte de su verificación en dos pasos.

En el caso de Yahoo, los requisitos básicos para activar una llave de seguridad son:

  • Un dispositivo con puerto USB o USB-C, o bien soporte para Bluetooth/NFC según el tipo de llave.
  • Usar la última versión de Chrome, Edge, Firefox, Opera o Safari.
  • Disponer de una llave compatible con U2F de FIDO adquirida en un proveedor de confianza.

El procedimiento típico es entrar en la página de seguridad de la cuenta de Yahoo, ir a “Formas de iniciar sesión” y dentro de “Verificación en dos pasos” elegir la opción de llave de seguridad, siguiendo los pasos que aparezcan en pantalla para registrarla.

En Dropbox, la cosa va muy en la línea de Google: primero necesitas activar la verificación en dos pasos (códigos al móvil o app), y después, dentro de Seguridad, en el apartado “Llaves de seguridad”, pulsar en Añadir. La web te pedirá otra vez la contraseña por seguridad, y luego te guiará para conectar el USB U2F compatible y pulsar su botón, si lo tiene. Una vez terminado, podrás identificarte en nuevos equipos conectando esa llave cuando Dropbox te lo solicite.

En cualquier caso, la idea clave es siempre la misma: sin la llave física, el atacante no puede completar el inicio de sesión. Incluso aunque haya logrado engañarte para que reveles tu contraseña, no hay ningún código de un solo uso que pueda robarte, y la firma criptográfica solo se produce frente al dominio legítimo, no ante una copia falsa.

Uso avanzado: proteger inicios de sesión de sistema con PAM y YubiKey (Linux)

Si te mueves en entornos Linux y te apetece ir un paso más allá, puedes integrar una llave U2F (por ejemplo, una YubiKey 4 o similares) directamente en la pila de autenticación del sistema, usando PAM (Pluggable Authentication Modules). Esto permite exigir la llave no solo en sesiones gráficas, sino también en TTY, SSH, sudo, etc.

El proceso general, basado en las guías de Yubico, pasa por instalar el módulo libpam-u2f, generar un archivo de claves asociado a tus llaves y editar los ficheros de configuración de PAM correspondientes. Es una configuración delicada, porque un error puede dejarte sin acceso al sistema, así que es imprescindible hacer copias de seguridad y tener un disco de rescate a mano.

Un ejemplo de flujo simplificado sería:

  • Instalar el módulo con un comando tipo sudo apt-get install libpam-u2f.
  • Generar el archivo de asociación entre tu usuario y la llave con pamu2fcfg, redirigiendo la salida a un archivo fuera de tu carpeta cifrada, por ejemplo /etc/u2f_keys.
  • Si quieres tener varias llaves asociadas (por seguridad, es muy recomendable), repetir el comando con la opción adecuada para añadir más entradas al mismo fichero.
  • Probar primero la integración solo con sudo, editando /etc/pam.d/sudo y añadiendo una línea que cargue pam_u2f.so usando el archivo de claves que has creado.

En esta configuración suele usarse la opción nouserok, que indica que si un usuario no tiene llave registrada podrá iniciar sesión normalmente. Si quieres ser más estricto, puedes omitirla, pero en ese caso es crucial que todos los usuarios relevantes tengan llave, o se quedarán fuera. También se puede personalizar el mensaje de prompt y el parpadeo de la llave para pedir contacto.

De forma adicional, puedes decidir excluir sudo u otros servicios de la obligación de usar la llave, copiando la configuración base de common-auth en su propio archivo PAM pero quitando la línea que carga pam_u2f, de modo que solo el inicio de sesión principal y otros servicios específicos requieran 2FA con llave.

Flipper Zero como llave U2F

Entre los dispositivos curiosos que pueden funcionar como llave de seguridad U2F está Flipper Zero, un gadget multifunción muy popular en el mundillo de la seguridad y el hacking ético. Incluye soporte U2F, lo que te permite registrarlo como si fuera una llave de seguridad más en muchas webs compatibles.

El procedimiento típico consiste en conectar el Flipper Zero al ordenador por USB, entrar en su menú y seleccionar la opción “U2F”, y desde el navegador abrir la configuración de seguridad de la cuenta que quieras proteger. Cuando el servicio te pida que registres una nueva llave U2F, eliges tu Flipper Zero y confirmas en el propio dispositivo pulsando el botón OK.

A partir de ese momento, podrás usar Flipper Zero para aprobar inicios de sesión en las cuentas donde lo hayas registrado: lo conectas por USB, te pide confirmación en pantalla y listo. Eso sí, incluso los propios desarrolladores recomiendan no usarlo para cuentas de alto riesgo como banca, criptomonedas o servicios gubernamentales, sino reservarlo para sitios menos críticos.

Cómo funciona la seguridad criptográfica de las llaves U2F

El secreto de que las llaves U2F sean tan seguras está en que se basan en criptografía de clave pública, de forma similar a como lo hacen las tarjetas inteligentes o los certificados digitales.

Cuando registras una llave en un servicio (Google, Dropbox, etc.), el dispositivo genera internamente un par de claves: una clave privada que se queda almacenada dentro de la llave y una clave pública que se envía al servidor. La clave privada nunca sale del dispositivo; el servidor solo guarda la pública asociada a tu cuenta.

En cada inicio de sesión, el servidor envía a la llave un desafío criptográfico (un dato aleatorio), junto con información del dominio. La llave comprueba que la petición viene del dominio correcto (evitando así muchos ataques de phishing) y, si todo cuadra, firma ese desafío con la clave privada. El resultado se devuelve al servidor, que lo verifica con la clave pública que guarda.

Si la firma es correcta, el servidor sabe que la petición proviene de la llave legítima asociada a tu cuenta, y se completa la autenticación. Si alguien intercepta la comunicación, no puede reutilizar esa firma para otro inicio de sesión ni deducir la clave privada a partir de ella, por lo que el ataque se queda en nada.

Lo interesante es que, más allá de este proceso, la llave no comparte información sensible con el servidor. No hay forma de que el proveedor “reconstruya” la clave privada o de que la llave se clone a distancia. Por eso, la única manera realista de suplantarte es tener la propia llave en la mano.

Recuperación y gestión: qué hacer si pierdes la llave

Uno de los puntos que más respeto da al empezar con llaves U2F es el miedo a perder el acceso si pierdes el dispositivo. Por suerte, los grandes servicios suelen ofrecer mecanismos de recuperación y buena parte de la solución pasa por planificar un poco antes de activar nada.

Lo más recomendable es configurar, siempre que el servicio lo permita, al menos dos llaves físicas de seguridad: una principal y una de respaldo. De esta forma, si la que llevas en el llavero se pierde, se rompe o se estropea, puedes usar la otra para seguir accediendo a la cuenta y, desde ahí, desactivar la llave extraviada.

Además, muchos servicios (Google, Dropbox, Yahoo…) permiten definir otros métodos de recuperación, como números de teléfono de confianza, correos alternativos o códigos de respaldo de un solo uso que debes guardar en un lugar muy seguro (impresos, en un gestor de contraseñas cifrado, etc.).

Si te ves sin acceso a la llave y sin método alternativo, la única opción suele ser usar el proceso oficial de recuperación de cuenta del servicio en cuestión, que puede ser algo lento y pedirte varios datos para demostrar que eres el propietario legítimo. En última instancia, también puedes intentar contactar con el soporte técnico para que revisen el caso de forma manual.

En todo caso, la clave está en no dejarlo todo a la improvisación: configura llaves de respaldo y vías de recuperación desde el primer día, y no tendrás sustos si alguna vez la llave principal desaparece.

Experiencias de uso y ventajas frente a otros métodos 2FA

Los usuarios que dan el salto a las llaves USB de seguridad suelen coincidir en que, tras unos días de costumbre, la experiencia es incluso más cómoda que andar metiendo códigos continuamente. Basta con enchufar el dispositivo y tocar el botón; no hay que desbloquear el móvil, abrir una app, copiar y pegar nada ni esperar SMS.

En perfiles que manejan información sensible (por ejemplo, periodistas, consultores financieros, administradores de sistemas, etc.), las llaves suponen un salto notable en tranquilidad. Si alguien logra robarte la contraseña mediante phishing, filtraciones de bases de datos o malware, sin la llave no consigue entrar. Y como no hay códigos que teclees, no pueden engañarte con páginas falsas que los capturen.

En empresas, desplegar llaves físicas a toda la plantilla ayuda a cumplir normativas de protección de datos (como GDPR) y reduce mucho la superficie de ataque. Es habitual que se combinen con políticas estrictas de contraseñas, cifrado de disco y restricciones de arranque desde USB externo para cerrar por completo la puerta a intrusos.

Si comparamos las llaves U2F con otros métodos de autenticación en dos pasos, se ve bastante claro su valor añadido:

  • Apps de autenticación (Authy, Google Authenticator): generan códigos de un solo uso sin depender de la red móvil; son prácticas, pero vulnerables a phishing si te engañan para que metas el código en una web falsa.
  • SMS y llamadas: son fáciles de usar, pero muy expuestas a ataques de SIM swapping y también al phishing básico.
  • Notificaciones push: cómodas, aunque dependen de tener el móvil a mano y pueden ser explotadas con técnicas de “fatiga de notificaciones” si el usuario acepta toques sin mirar.
  • Llaves USB U2F: minimizan el phishing, no dependen de la red móvil y son muy rápidas de usar, a cambio de la incomodidad de tener que llevar encima un dispositivo físico.

Por tanto, aunque el hecho de cargar con una llave puede parecer un engorro, para cuentas realmente importantes (correo principal, almacenamiento en la nube, trabajo, cuentas con datos críticos) suele ser la opción más sensata si quieres dormir tranquilo.

Dar el paso hacia llaves U2F en USB para autenticación supone cambiar el chip de cómo protegemos nuestras cuentas: pasamos de confiar solo en contraseñas y códigos fácilmente robables a depender también de un pequeño dispositivo físico que pone las cosas muy cuesta arriba a los atacantes. Ya sea creando una llave casera con un pendrive y programas como USB Raptor para bloquear tu PC, comprando una llave FIDO compatible para usarla en Google, Dropbox o Yahoo, o integrando YubiKey en la autenticación PAM de tu Linux, el resultado es un ecosistema mucho más robusto. Si además planificas bien las copias de seguridad, añades una llave de respaldo, mantienes tus navegadores actualizados y combinas todo ello con buenas prácticas de seguridad general, tendrás tus cuentas y tus dispositivos protegidos con una barrera que está varios escalones por encima de la simple contraseña.

accesorios para móviles
Related article:
Guía completa de accesorios para móviles y tablets