Una llave de seguridad hardware es la mejor protección diaria para tus cuentas: la clave privada vive en un chip seguro y nunca lo abandona, así que ni el malware puede robarla. Pero esa misma fortaleza crea un riesgo: si tu única llave se pierde, te la roban o falla, puedes quedar bloqueado en todas partes donde sea la única forma de entrar. Esta guía muestra cómo una segunda llave elimina ese riesgo.
Por qué una sola llave es un punto único de fallo
A diferencia de un gestor de contraseñas que se sincroniza en la nube, una llave hardware no tiene ninguna copia en ningún lado. No hay botón de «volver a descargar mi llave». La llave es un objeto físico, y los objetos físicos se pierden, se quedan en un hotel, pasan por la lavadora o acaban fallando en el conector USB tras años de uso.
Si esa llave es el único método 2FA de tu correo, y tu correo es la vía de restablecimiento de todo lo demás, perderla puede arrastrar el acceso a toda tu vida digital. Una llave hardware supera al SMS e incluso a las apps TOTP en resistencia al phishing, pero cambia esa fortaleza por una verdad dura: sin respaldo, no hay atajo de recuperación.
La solución no es evitar las llaves hardware. Es tener y registrar una segunda desde el principio.
La regla de las dos llaves
La buena práctica reconocida por los equipos de seguridad es simple: compra dos llaves, registra ambas y guárdalas separadas.
| Rol | Dónde vive | Sirve para |
|---|---|---|
| Llave principal | En tu llavero diario | El inicio de sesión de cada día |
| Llave de respaldo | Un lugar seguro en casa (cajón, caja fuerte, persona de confianza) | La recuperación si la principal se pierde o se rompe |
La llave de respaldo no es un clon: no se puede copiar una YubiKey, por diseño. En su lugar, cada cuenta guarda dos llaves registradas, y cualquiera te inicia sesión. Si pierdes la principal, la de respaldo sigue funcionando, y registras una de reemplazo a tu ritmo.
Para un desarrollador o cualquiera que gestione sistemas críticos, una tercera llave fuera del sitio (en casa de un familiar, en una caja fuerte de la oficina) añade otra capa. El principio se adapta: ninguna cuenta debe depender de un solo objeto.
Cómo configurar tu llave de respaldo, paso a paso
El orden importa. Registra ambas llaves antes de desactivar tus otros métodos 2FA, para no depender nunca de una sola llave durante la configuración.
- Compra dos llaves. No tienen que ser idénticas. Una YubiKey 5C NFC principal con una llave de respaldo FIDO2 más barata como Token2 o Titan funciona a la perfección, porque el inicio de sesión FIDO2 es igual entre marcas.
- Elige primero tus cuentas críticas. Correo, gestor de contraseñas, almacenamiento en la nube y cualquier cuenta que pueda restablecer otras. Son las que más duele perder.
- Registra la llave principal en cada cuenta, en los ajustes de seguridad o de doble factor, bajo «añadir una llave de seguridad» o «passkey».
- Registra la llave de respaldo en las mismas cuentas, de inmediato. La mayoría de servicios permiten añadir varias llaves y nombrarlas («Principal», «Respaldo»).
- Guarda los códigos de recuperación que cada servicio ofrece al activar el 2FA. Guárdalos en un sitio distinto de las dos llaves — impresos en un cajón, o en tu gestor de contraseñas.
- Solo ahora, plantéate retirar los métodos débiles (SMS) si el servicio mantiene un respaldo seguro. Conserva al menos una vía de recuperación que controles.
Una prueba rápida lo cierra: cierra sesión y vuelve a entrar solo con la llave de respaldo. Si funciona, tu vía de recuperación está probada, no supuesta.
Qué hacer si pierdes tu llave principal
Con una llave de respaldo ya registrada, una llave perdida es una molestia, no una crisis:
- Inicia sesión con la llave de respaldo (o tus códigos de recuperación guardados) para llegar a cada cuenta.
- Elimina la llave perdida en los ajustes de seguridad de cada servicio donde estaba registrada. Eso impide que funcione si alguien la encuentra — aunque la llave es inútil sin conocer también tu contraseña y tu cuenta.
- Pide una de reemplazo y regístrala como nueva llave de respaldo, para volver a dos llaves en todas partes.
Como la llave solo firma peticiones del sitio exacto que se le presenta, un desconocido que la encuentre no puede hacer phishing para entrar en tus cuentas con ella. Aun así, retirarla con rapidez es el gesto limpio y disciplinado.
Si no tenías ni llave de respaldo ni códigos de recuperación, la recuperación recae en el proceso de cada proveedor — comprobaciones de identidad, plazos de espera, un servicio cada vez. Es exactamente el camino lento y estresante que la regla de las dos llaves está hecha para evitar.
Mantén tu gestor de contraseñas en el circuito
Tu gestor de contraseñas es una de las cuentas que más merece dos llaves registradas — y también puede guardar los códigos de recuperación de tus otras cuentas en una sola bóveda cifrada. Para activar el inicio de sesión con llave hardware (FIDO2/WebAuthn) en Bitwarden, necesitas el plan Premium.
Activa el inicio de sesión con llave hardware en Bitwarden Premium →10 $/año · Compatible con cualquier llave FIDO2 (YubiKey, Titan, SoloKeys, Token2) · Código abierto auditado→En resumen
Una llave hardware es el mejor 2FA que puedes comprar, pero solo es tan resistente como tu plan de respaldo. Ten dos llaves, regístralas ambas en cada cuenta crítica antes de desactivar otros métodos, guárdalas separadas y guarda tus códigos de recuperación en otro sitio. Hazlo una vez, y una llave perdida se convierte en un arreglo de 15 minutos en lugar de un bloqueo de varios días.
Para el desglose marca por marca de qué llaves combinar, mira nuestra comparativa de llaves de seguridad hardware.
★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform
Un gestor con 2FA y passkeys integrados → NordPassGuarda TOTP y passkeys · XChaCha20 · plan gratis→Preguntas frecuentes
¿Por qué necesito una YubiKey de respaldo?
Una llave hardware no se sincroniza en la nube. Si tu única llave se pierde, te la roban o se rompe, puedes quedar fuera de cada cuenta donde sea el único método de acceso. Una segunda llave registrada es tu vía de recuperación: nunca dependes de un solo objeto físico.
¿La llave de respaldo copia a la primera?
No. No se puede clonar una YubiKey: las claves privadas nunca salen del chip seguro, por diseño. Una llave de respaldo es una llave independiente que registras además de la principal en cada cuenta. Las dos funcionan entonces; cualquiera te inicia sesión.
¿Cuántas llaves de seguridad debería tener?
Al menos dos: una llave principal que llevas contigo y una de respaldo guardada en un lugar seguro (un cajón en casa, una caja fuerte o con una persona de confianza). Los perfiles de alto riesgo añaden a menudo una tercera fuera del sitio. La regla es simple: ninguna cuenta debe depender de una sola llave.
¿Puedo usar una llave más barata como respaldo?
Sí, siempre que admita el mismo estándar (FIDO2/U2F) y funcione con tus cuentas. Una Token2 T2F2 NFC (~22 $) o una Google Titan (~30 $) es un respaldo sólido y económico para una YubiKey 5 principal, porque el inicio de sesión FIDO2 es igual entre marcas.
¿Qué hago si pierdo mi YubiKey y no tengo respaldo?
Usa los códigos de recuperación que guardaste al activar el 2FA para volver a entrar, luego elimina la llave perdida en los ajustes de seguridad de cada servicio y registra una nueva. Sin códigos guardados ni llave de respaldo, la recuperación puede tardar días y exigir verificación de identidad, cuenta por cuenta.
¿Dónde debo guardar mi llave de seguridad de respaldo?
En un lugar físicamente separado de tu llave principal, para que un solo suceso (un bolso robado, un incendio en una habitación) no se lleve las dos. Una caja fuerte en casa, un cajón con llave o la casa de un familiar de confianza son opciones habituales. Guarda tus códigos de recuperación en otro sitio distinto.
