Llevo 3 años usando una YubiKey 5C NFC como llave principal y un Google Titan USB-A como respaldo. Probé una SoloKeys Solo V2 durante un año, luego cambié a una Token2 T2F2 NFC hace 6 meses para comparar el segmento económico. Esta comparativa está basada en uso real con precios pagados en USD/EUR y limitaciones encontradas.
01 — Por qué una llave de seguridad hardware (y no solo TOTP o passkeys software)
Antes de comparar marcas, es importante entender por qué el hardware ofrece una protección diferente a las alternativas de software.
Hardware vs TOTP vs SMS: la jerarquía real
| Método 2FA | Resistencia phishing | Resistencia SIM-swap | Resistencia malware | Precio |
|---|---|---|---|---|
| Llave hardware FIDO2 | ✅ Máxima | ✅ Total | ✅ Muy alta | 20-80 $ |
| Passkeys software (Bitwarden/Apple/Google) | ✅ Muy alta | ✅ Sí | ⚠️ Depende del SO | Gratis |
| App TOTP (Aegis, Google Auth) | ⚠️ Parcial | ✅ Sí | ⚠️ Vulnerable a malware | Gratis |
| SMS 2FA | ❌ Baja | ❌ SIM-swap fatal | ❌ Baja | Gratis |
Las llaves hardware ganan en un punto crítico: la clave privada nunca abandona el elemento seguro físico. Incluso el malware con acceso root a tu ordenador no puede extraer la clave. Solo firma la solicitud presente, en la URL exacta — imposible firmar una página de phishing.
Hardware vs passkeys software: ¿cuándo usar cuál?
Las passkeys software (Google, Apple, Bitwarden) ofrecen protección anti-phishing comparable para el 95 % de los casos. Las llaves hardware son esenciales para:
- Entornos de alta criticidad (periodista, activista, sysadmin, directivo)
- Acceso sin nube (la llave funciona en cualquier lugar, incluso offline, sin sincronización)
- OpenPGP para commits Git firmados o emails cifrados (solo YubiKey)
- Cumplimiento empresarial (FIPS 140-2/3, Common Criteria)
Si estás decidiendo entre llave hardware y app autenticador TOTP, la llave hardware también protege contra ataques de proxy phishing en tiempo real (AiTM) que TOTP no bloquea.
02 — Criterios de selección: lo que realmente importa
Antes de la comparativa de marcas, estos son los 5 criterios que deben guiar tu elección:
1. Protocolos soportados
- FIDO2 + U2F: mínimo absoluto para sitios web comunes
- OTP/HOTP: para servicios legacy que aún no soportan FIDO2 nativo
- OpenPGP: commits Git firmados, emails GPG — solo YubiKey en esta comparativa
- PIV/Smart Card: VPN empresarial, inicio de sesión Windows con certificado — solo YubiKey
2. Conectores y compatibilidad
- USB-A: PCs Windows clásicos
- USB-C: Mac, PCs modernos, Android USB-C, iPad Pro
- NFC: iPhone (iOS 14+) y Android sin enchufar
- Lightning: iPhone 14 y anteriores (casi obsoleto con iPhone 15+ USB-C)
3. Certificaciones
- FIDO2 Level 1 o Level 2 (L2 = validación hardware más estricta)
- FIPS 140-2/3: obligatorio para contratos gubernamentales en EE.UU.
- Common Criteria EAL: estándar europeo de certificación de seguridad
4. Código abierto vs propietario
- Firmware open-source: SoloKeys (firmware + esquemas hardware públicos en GitHub)
- Propietario auditado: YubiKey, Token2
- Google Titan: firmware propietario fabricado por Feitian (empresa asociada)
5. Precio y garantía
- Económico: Token2 (20-22 $) o Google Titan (25-35 $)
- Gama media versátil: YubiKey Security Key C NFC (29 $)
- Premium completo: YubiKey 5C NFC (55 $)
- Empresarial: YubiKey 5 FIPS (80 $+)
03 — YubiKey: el líder indiscutible, gama completa
Yubico (fundada en Estocolmo en 2007, cofundadora del estándar FIDO) es el líder mundial en llaves hardware con más de 10 millones de llaves desplegadas. Llevo 3 años usando YubiKey 5C NFC — es mi referencia base en esta comparativa.
Gama 2026
| Modelo | Conectores | Protocolos | Precio USD | Para quién |
|---|---|---|---|---|
| Security Key C NFC | USB-C + NFC | FIDO2, U2F | 29 $ | Entry-level solo FIDO2 |
| YubiKey 5 NFC | USB-A + NFC | FIDO2, U2F, OTP, OpenPGP, PIV | 50 $ | PCs USB-A clásicos |
| YubiKey 5C NFC | USB-C + NFC | FIDO2, U2F, OTP, OpenPGP, PIV | 55 $ | ★ Mejor opción versátil |
| YubiKey 5Ci | USB-C + Lightning | FIDO2, U2F, OTP, OpenPGP, PIV | 75 $ | iPhone 14 y anteriores |
| YubiKey Bio | USB-C o USB-A | FIDO2 + huella dactilar | 80-85 $ | Flujos biométricos obligatorios |
| YubiKey 5 FIPS | USB-A + NFC | FIDO2, U2F, OTP, PIV (validado FIPS) | 80 $+ | Contratos gubernamentales EE.UU. |
Ventajas de YubiKey:
- Suite de protocolos más completa del mercado (FIDO2 + OTP + OpenPGP + PIV)
- Ecosistema maduro: YubiKey Manager GUI + ykman CLI + integraciones nativas Okta/Azure AD/Duo
- IP68 (inmersión 1,5 m / 30 min), resistente a golpes — la metí accidentalmente en la lavadora, sigue funcionando
- 5 años de garantía, soporte reactivo
- FIPS 140-2/3 validado en la serie FIPS
Desventajas de YubiKey:
- Firmware cerrado (imposible auditarlo tú mismo)
- Precio premium — 55 $ × 2 = 110 $ para seguridad adecuada (par principal + respaldo)
- YubiKey Bio pierde OpenPGP/PIV para añadir huella — un compromiso cuestionable
Mi veredicto: La YubiKey 5C NFC a 55 $ es la mejor llave hardware para cualquier usuario avanzado. La relación protocolos / durabilidad / ecosistema es inigualable. La Security Key C NFC a 29 $ es excelente si solo necesitas FIDO2 puro.
Para una guía completa de configuración, consulta nuestra guía YubiKey FIDO2 paso a paso.
04 — Google Titan: sólida entrada de gama para el usuario general
Google Titan fue lanzado en 2018 para proteger las cuentas de los empleados de Google. Fabricado por Feitian (socio hardware de Google), el Titan se vende directamente en la Google Store.
Gama 2026
| Modelo | Conectores | Protocolos | Precio USD |
|---|---|---|---|
| Titan USB-A + NFC | USB-A + NFC | FIDO2, U2F | 30 $ |
| Titan USB-C + NFC | USB-C + NFC | FIDO2, U2F | 35 $ |
Nota: Google descontinuó oficialmente el Titan Bluetooth a finales de 2023 por problemas de compatibilidad. Los modelos 2026 son USB + NFC únicamente.
Ventajas de Google Titan:
- Precio más competitivo del segmento serio: 30-35 $
- Certificado FIDO2 Level 1, auditado por Google
- NFC en ambos modelos — compatible con iPhone y Android
- Integración perfecta con cuentas Google y Google Workspace
- Extremadamente simple: sin configuración, plug & play FIDO2
Desventajas de Google Titan:
- Solo FIDO2 + U2F — sin OTP, sin OpenPGP, sin PIV
- Fabricado por Feitian (marca asociada), no directamente por Google
- Firmware completamente cerrado
- Disponibilidad limitada fuera de EE.UU. (no siempre disponible en Google Store Europa)
- Sin FIPS — fuera del ámbito empresarial gubernamental
Mi veredicto: El Titan USB-C NFC a 35 $ es la mejor opción para quien quiere proteger su cuenta Google (y opcionalmente GitHub, Twitter, Bitwarden) sin necesitar OpenPGP ni PIV. Hace exactamente lo que promete, de forma sencilla. Usé la versión USB-A como respaldo durante 2 años sin ningún problema.
05 — SoloKeys: la referencia open-source
SoloKeys es un proyecto americano fundado en 2018, nacido de una exitosa campaña Kickstarter. Es la única llave hardware de esta comparativa con firmware Y esquemas hardware completamente open-source en GitHub.
Gama 2026
| Modelo | Conectores | Protocolos | Precio USD |
|---|---|---|---|
| Solo V2 USB-A | USB-A + NFC | FIDO2, U2F | 30 $ |
| Solo V2 USB-C | USB-C + NFC | FIDO2, U2F | 32 $ |
Ventajas de SoloKeys:
- Firmware + esquemas hardware públicos en GitHub — puedes auditar y compilar tú mismo
- Certificada FIDO2 Level 1
- NFC incluido en ambas versiones
- Precio competitivo: 30-32 $
- Auditada por NinjaLab (2021) sin vulnerabilidades críticas
- Apoya un proyecto independiente no-GAFAM
Desventajas de SoloKeys:
- Solo FIDO2 + U2F — sin OTP, OpenPGP ni PIV
- Equipo pequeño (~10 personas) — actualizaciones más lentas que Yubico o Google
- Menos integraciones nativas empresariales (sin perfil nativo Okta/Azure)
- Stock a veces limitado (frecuentes agotados en Europa)
Mi veredicto: Usé la Solo V2 USB-C durante 1 año — fiable, NFC impecable en iPhone y Android. Poder verificar el firmware uno mismo es una ventaja real para perfiles que no confían en ningún actor comercial. Si eres desarrollador o defensor de la privacidad y FIDO2 solo te es suficiente, SoloKeys es la elección natural.
06 — Token2: el challenger suizo, el más barato del segmento fiable
Token2 es una empresa suiza fundada en 2012 especializada en tokens 2FA para el mercado empresarial europeo. Menos conocida que YubiKey o Titan, ofrece la llave FIDO2 fiable más barata del mercado.
Gama 2026
| Modelo | Conectores | Protocolos | Precio USD |
|---|---|---|---|
| T2F2 NFC USB-A | USB-A + NFC | FIDO2, U2F | 20 $ |
| T2F2 NFC USB-C | USB-C + NFC | FIDO2, U2F | 22 $ |
Ventajas de Token2:
- Precio inmejorable: 20-22 $ con NFC incluido
- Fabricación y datos alojados en Suiza (conforme GDPR, soberanía europea)
- Certificada FIDO2 Level 1
- Construcción sólida — llevo 6 meses con la T2F2 USB-C, sin problemas
- NFC funciona perfectamente con iPhone y Android
- Ideal para despliegues en volumen (empresas que equipan a más de 50 empleados sin presupuesto YubiKey)
Desventajas de Token2:
- Solo FIDO2 + U2F
- Firmware propietario, menos auditado públicamente que SoloKeys
- Menos conocida: menos integraciones nativas, menos documentación en línea
- Sin versión biométrica ni protocolos avanzados (OTP/OpenPGP)
Mi veredicto: La Token2 T2F2 NFC USB-C a 22 $ es la mejor opción cuando el presupuesto es la restricción principal. A este precio con NFC incluido, no hay equivalente en el mercado. Perfecta como respaldo económico, o para equipar a todo un equipo sin arruinarse.
07 — Tabla comparativa y recomendación por perfil
Tabla comparativa 4 marcas × 10 criterios
| Criterio | YubiKey 5C NFC | Google Titan USB-C | SoloKeys Solo V2 | Token2 T2F2 |
|---|---|---|---|---|
| FIDO2 | ✅ | ✅ | ✅ | ✅ |
| U2F | ✅ | ✅ | ✅ | ✅ |
| OTP/HOTP | ✅ | ❌ | ❌ | ❌ |
| OpenPGP | ✅ | ❌ | ❌ | ❌ |
| USB-A | Via 5 NFC | ✅ | ✅ | ✅ |
| USB-C | ✅ | ✅ | ✅ | ✅ |
| NFC | ✅ | ✅ | ✅ | ✅ |
| Lightning | Via 5Ci | ❌ | ❌ | ❌ |
| Biometría | Via Bio | ❌ | ❌ | ❌ |
| Precio | 55 $ | 35 $ | 32 $ | 22 $ |
| Open-source | ❌ | ❌ | ✅ | ❌ |
| Origen | Suecia/EE.UU. | EE.UU. (Feitian) | EE.UU. | Suiza |
| FIPS | Via serie FIPS | ❌ | ❌ | ❌ |
Recomendación por perfil
Usuario general (presupuesto ajustado) → Token2 T2F2 NFC USB-C (22 $) o Google Titan USB-C NFC (35 $) ¿Solo quieres proteger Google, GitHub y Bitwarden con FIDO2? Ambos funcionan perfectamente. Token2 si quieres la opción más barata con NFC. Titan si estás en el ecosistema Google y prefieres la marca reconocida.
Profesional / desarrollador / sysadmin → YubiKey 5C NFC (55 $) × 2 OpenPGP para commits Git firmados, PIV para VPN empresarial, OTP para servicios legacy — no hay alternativa. Comprar como par principal + respaldo desde el primer día. 110 $ para protección permanente sin suscripción.
Maximalista open-source → SoloKeys Solo V2 USB-C (32 $) ¿Quieres verificar el firmware tú mismo? SoloKeys es la única opción. Combinada con un gestor de contraseñas open-source, es la stack más transparente posible.
Empresa (cumplimiento normativo) → YubiKey 5 FIPS (80 $+) o YubiKey 5C NFC para PYMEs Contratos gubernamentales EE.UU. → FIPS 140-2/3 obligatorio → YubiKey 5 FIPS sin discusión. PYMEs sin requisitos FIPS → YubiKey 5C NFC desplegada via YubiEnterprise con integraciones nativas Okta/Azure AD. Para el contexto empresarial completo, consulta nuestro comparativo de gestores de contraseñas empresa.
FAQ
¿Qué llave para proteger una cuenta de Google? Todas las llaves de esta comparativa funcionan con Google Account — es uno de los servicios FIDO2 más extendidos. Titan (hecha por Google) tiene la integración más profunda con Google Workspace. Para uso personal solo Google, Titan USB-C NFC a 35 $ es más que suficiente.
¿YubiKey 5C NFC compatible con Mac? Sí. USB-C se conecta directamente a Mac M-series y todos los MacBook modernos. NFC funciona con iPhone. Plug-and-play sin drivers para FIDO2 — Chrome, Firefox y Safari soportan WebAuthn nativamente.
¿Vida útil real? Mi YubiKey 5C NFC lleva 3 años de uso diario, sin signos de desgaste. Mi Titan USB-A (respaldo, menos usado) lleva 2 años, en perfecto estado. Yubico garantiza 5 años mínimo. El principal factor de riesgo es el extravío, no el desgaste.
¿Las llaves hardware son resistentes al agua? YubiKey serie 5: IP68 (inmersión 1,5 m / 30 min). Google Titan y SoloKeys: resistentes a salpicaduras de agua (equivalente IP54) pero no a inmersión. Token2 T2F2: resistente al agua pero sin certificación IP68. YubiKey sigue siendo el estándar en este criterio.
¿Qué hacer si pierdes tu llave? (1) Accede con códigos de recuperación (guardados de antemano — obligatorio). (2) Elimina la llave perdida en cada servicio. (3) Pide reemplazo. (4) Vuelve a registrar. Con una segunda llave de respaldo registrada en todas partes: recuperación en 15 minutos. Sin respaldo: 1-3 días según los servicios.
Activar Bitwarden Premium para usar tu llave hardware →10 $/año · Compatible con todas las llaves FIDO2 (YubiKey, Titan, SoloKeys, Token2) · Open source auditado→★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Probar NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→
