2fa-authenticationINFO

Firmware YubiKey 5.8: CTAP 2.3 y la nueva generación de passkeys

Yubico adelanta el firmware YubiKey 5.8 con soporte de FIDO CTAP 2.3, passkeys de nueva generación, digital wallets y autenticación vinculada a pagos. Qué traerá y qué significa para las llaves hardware en 2026.

Por Eric Gerard · Editor · PwdFortress5 min de lecturaFoto: Unsplash

Yubico adelanta una próxima versión de firmware para sus llaves de seguridad hardware: YubiKey 5.8. Según el anuncio de Yubico, este firmware añadirá soporte de FIDO CTAP 2.3 junto con un conjunto de capacidades passkey de nueva generación. Un apunte de contexto primero, dicho con honestidad: en el momento de escribir esto, YubiKey 5.8 es una preview por llegar y aún no está ampliamente disponible. Todo lo que sigue describe lo que Yubico dice que la versión traerá, según su comunicación pública - no un producto que puedas comprar hoy para uso diario.

¿Nuevo con las llaves hardware? Empieza por nuestra guía de configuración YubiKey FIDO2. Para entender el modelo de credencial que hay debajo de todo esto, lee qué es un passkey.

Qué añadirá YubiKey 5.8

Yubico presenta el 5.8 como la base de los passkeys de "nueva generación". Según su descripción pública, se espera que el firmware introduzca:

  • Soporte de FIDO CTAP 2.3, la revisión más reciente del protocolo entre la llave y el cliente.
  • Una extensión de firma WebAuthn (en preview).
  • Firmas digitales respetuosas con la privacidad mediante passkeys.
  • Experiencias passkey de tipo autofill para un inicio de sesión más fluido.
  • Un soporte IDP (proveedor de identidad) empresarial ampliado.
  • Soporte de digital wallets de nueva generación.

Como está en fase de preview, trata esta lista como una hoja de ruta comunicada por Yubico, no como un inventario de funciones ya utilizables.

Por qué importa CTAP 2.3

CTAP es el protocolo que permite a un autenticador (la YubiKey) comunicarse con el cliente (tu navegador o sistema operativo). Pasar a CTAP 2.3 es relevante porque Yubico afirma que aporta:

  • Una mejor detección de credenciales - el cliente encuentra el passkey correcto de forma más fiable.
  • Una UX de passkey mejorada con menos solicitudes de PIN.
  • Firmas respaldadas por hardware, ancladas en el elemento seguro.
  • Soporte de digital wallets.
  • Autenticación vinculada a pagos, ligando la llave a un paso de pago.

En una llave hardware, el material secreto permanece dentro del chip seguro, así que estas mejoras buscan que el inicio de sesión resistente al phishing sea menos incómodo sin debilitar el modelo de seguridad. Si dudas entre hardware y software, nuestro artículo sobre si las passkeys son seguras detalla los compromisos.

Una placa de circuito iluminada vista de cerca, con sus pistas brillando en una carcasa oscura.
Una placa de circuito iluminada vista de cerca, con sus pistas brillando en una carcasa oscura.

Mejoras de UX en passkeys

Un hilo conductor de la preview de Yubico: reducir la fricción. El firmware 5.8 y CTAP 2.3 se describen como aportando:

  • Conditional Mediation - el flujo de tipo autofill donde el navegador ofrece las passkeys disponibles directamente en el campo de inicio de sesión.
  • Soporte de PPUAT, parte de la nueva fontanería de autenticación.
  • La extensión ThirdPartyPayment para pagos seguros.

El objetivo que declara Yubico es una experiencia passkey que se parezca más a seleccionar una credencial guardada, manteniendo la clave privada inextraíble en el hardware.

Pagos y digital wallets

La dirección más llamativa es la autenticación vinculada a pagos. CTAP 2.3, tal como lo describe Yubico, añade soporte de digital wallets y la vinculación de la autenticación a un pago mediante la extensión ThirdPartyPayment y PPUAT. En la práctica, la idea es que la misma llave resistente al phishing con la que inicias sesión también ayude a confirmar una transacción. Es una orientación de hoja de ruta, no un flujo de pago en vivo que puedas probar hoy.

El hackathon para desarrolladores del 5 de agosto de 2026

Yubico anunció un hackathon virtual para desarrolladores de la comunidad FIDO Alliance el 5 de agosto de 2026. El evento ofrecerá un adelanto del firmware 5.8 y de las capacidades de CTAP 2.3. Yubico indicó que los participantes reciben una YubiKey 5C NFC de edición limitada con el firmware 5.8. Si integras autenticación en productos, es la ventana más clara para observar lo que permite CTAP 2.3. Para el registro y la elegibilidad, consulta los canales oficiales de Yubico en lugar de resúmenes de segunda mano.

Qué significa esto para ti (con honestidad)

Un matiz que conviene decir con claridad: el firmware de una YubiKey queda fijado en la fabricación y no puede actualizarse a posteriori. Es una decisión de seguridad deliberada de Yubico. Por eso CTAP 2.3 llegará en llaves recién fabricadas, no como una actualización enviada a una YubiKey que ya posees. Si quieres las capacidades del 5.8, planifica comprar una llave nueva cuando salga al mercado, no parchear una existente.

Para la mayoría, la conclusión práctica hoy es sencilla: los fundamentos de la seguridad por llave hardware no han cambiado, y no hay motivo para esperar. Una llave YubiKey serie 5 actual ya te ofrece inicio de sesión FIDO2 resistente al phishing. Si eliges una llave ahora, nuestra comparativa de las mejores llaves de seguridad hardware sigue siendo válida, y siempre podrás añadir más tarde una llave con firmware más reciente como segundo factor.

La preview del 5.8 es una señal de hacia dónde va el ecosistema - passkeys más fluidas, autenticación vinculada a pagos, digital wallets - no un motivo para retrasar la protección de tus cuentas. Configura una llave hardware hoy, guarda una de respaldo y vuelve a CTAP 2.3 cuando el firmware se despliegue ampliamente.

Activa Bitwarden Premium para usar tu YubiKey hoy →10 $/año · Registra una llave YubiKey FIDO2 como 2FA de la bóveda · Open source auditado

Preguntas frecuentes

¿Está disponible YubiKey 5.8 ahora mismo?

No. A mediados de 2026, el **firmware YubiKey 5.8 es una preview por llegar** descrita en la comunicación pública de Yubico. Todavía no está ampliamente disponible. Todo lo anunciado (CTAP 2.3, passkeys de nueva generación, digital wallets) describe lo que la versión **traerá**, no un producto ya entregado a todos hoy.

¿Qué es FIDO CTAP 2.3?

**CTAP (Client to Authenticator Protocol)** es el protocolo FIDO que permite a un autenticador - como una YubiKey - dialogar con el cliente (tu navegador o sistema operativo). **CTAP 2.3** es una revisión más reciente que, según Yubico, traerá una mejor detección de credenciales (credential discovery), una experiencia passkey mejorada con menos solicitudes de PIN, firmas respaldadas por hardware, digital wallets y autenticación vinculada a pagos.

¿Mi YubiKey actual recibirá CTAP 2.3 mediante una actualización de firmware?

No. **El firmware de una YubiKey queda fijado en la fabricación y no puede actualizarse a posteriori** - es una decisión de seguridad deliberada de Yubico. Las novedades como CTAP 2.3 llegan en **llaves recién fabricadas**, no como una actualización enviada a una llave que ya posees. Planifica cualquier mejora como la compra de una llave nueva, no como un parche de la antigua.

¿Qué es Conditional Mediation?

**Conditional Mediation** es una función de WebAuthn que impulsa el inicio de sesión con passkey de tipo autofill: el navegador puede ofrecer las passkeys disponibles directamente en el campo de usuario, de modo que iniciar sesión se parece más a elegir una contraseña guardada. Yubico la incluye entre las mejoras de UX de passkey ligadas al firmware 5.8 y a CTAP 2.3.

¿Qué es la extensión ThirdPartyPayment?

Yubico describe pagos seguros mediante una extensión **ThirdPartyPayment**, junto con el soporte de **PPUAT**. En términos sencillos, busca vincular una autenticación con passkey a un paso de pago, para que la misma llave hardware resistente al phishing ayude a confirmar una transacción. Forma parte de la dirección de pagos de CTAP 2.3 y sigue en fase de preview.

¿Cómo puedo probar antes el firmware YubiKey 5.8?

Yubico anunció un **hackathon virtual para desarrolladores de la comunidad FIDO Alliance el 5 de agosto de 2026**, con un adelanto del firmware 5.8 y de las capacidades de CTAP 2.3. Yubico indicó que los participantes reciben una YubiKey 5C NFC de edición limitada con el firmware 5.8. Consulta los canales oficiales de Yubico para conocer la elegibilidad y el registro.