#EnProfundidad: Review de llaves de seguridad HyperFIDO, U2F USB

HyperFIDO tamaño

Dos veces al año (la periodicidad elegida por vosotros) envío a todos los mecenas de nivel Box Tecnológico (6 euros al mes) o superior (ES) lo que llamamos «el detalle tecnológico», que no es otra cosa que un gadget que ronda los 10-15 euros de precio, que yo elijo, y que ellos reciben en sus casas u oficinas sin saber a priori qué va a ser.

En otras ocasiones hemos regalado unas gafas de realidad aumentada, un pack anti-estrés o un mini-drone, y para este mes se me ocurrió hacerles un regalo que además de encajar en el precio, me servía de excusa para ayudarles a mejorar la seguridad de sus cuentas: una llave de seguridad.

La cuestión es que, como verás, el presupuesto es relativamente bajo, y a él tenemos que sumarle los gastos de envío, que según con qué proveedor lo haga pueden salirme desde 0 (gracias a la suscripción a Amazon Prime (ES) que pago religiosamente) hasta superar incluso el precio del producto para los envíos a Latinoamérica, otros países de Europa y Asia. Que podría hacer como otros y solo enviar a España, pero oye, aquí hemos venido a jugar :D.

El caso es que a esos 15 euros tengo que prorratear el gasto que me cuesta enviar el producto a todos los mecenas, siendo el precio unitario de la gente de fuera de España muy superior a la de aquí, y quedando habitualmente en unos 8-12 euros de media. Un valor superior en todo caso a lo que pagan por ser mecenas del nivel más bajo ese mes, así que todos de una u otra forma ganamos:

  • Los que sois de nivel Box Tecnológico ese mes es como si os pagara yo por serlo (G.G).
  • Los que sois de un nivel superior obtenéis un extra dentro de todo lo que ya obtenéis habitualmente por ser mecenas de ese nivel.
  • Y un servidor a nivel puramente económico sale perdiendo, pero suelo ganar algún nuevo mecenas que se anima por la oferta y luego se queda por el resto de beneficios.

Estuve tanteando qué llaves de seguridad había a bajo precio y al final me quedé con dos.

Vamos a hablar aquí por tanto del paradigma de llave de seguridad. De sus puntos fuertes y de sus débiles. Y también de las opciones que hay en el mercado.

¿Por qué diablos querrías utilizar una llave de seguridad?

La respuesta rápida es por comodidad.

Como ya he explicado mil veces, existen tres maneras de demostrar que tú eres tú a nivel digital:

  • Un sistema basado en el conocimiento: Es decir, que demuestras que tú eres tú gracias a que sabes algo que otra persona no debería saber, como la contraseña de tu cuenta.
  • Un sistema basado en la inherencia: Es decir, que demuestras que tú eres tú gracias a que hay algo innato en ti que te hace único (como decía tu madre :D), como puede ser tu huella dactilar o tu cara (reconocimiento facial).
  • Un sistema basado en la posesión: Es decir, que demuestras que tú eres tú gracias a que posees algo que nadie más debería tener. En este caso, una llave de seguridad.

La llave de seguridad es, por tanto, un sistema de identificación basado en la posesión.

Nos va a permitir loguearnos en todos aquellos servicios compatibles utilizando para ello un segundo factor de autenticación que resulta muy cómodo de utilizar (enchufar el USB y apretar un botón) y que además cuenta con unas medidas de seguridad que son prácticamente inexpugnables.

llave seguridad dropbox confirmacion
La próxima vez que alguien intente entrar en tu cuenta, el servicio le pedirá que inserte la llave o utilice, de tenerlo, otro segundo factor como el de SMS

¿Por qué una llave de seguridad y no un 2FA basado en SMS o en token?

He aquí la principal cuestión. La llave de seguridad puede ser utilizada con el método de segundo factor de autenticación (2FA) único de un sistema, o como una alternativa a otro 2FA, siendo los más habituales el envío de un SMS con un código o el uso de una herramienta de 2FA como Ciberprotector (ES) que genera códigos periódicamente de un solo uso.

Para utilizarlo es tan sencillo cómo enchufarlo a un USB, y en la cuenta donde queramos activarlo, ir a la sección de Configuración > Seguridad > Métodos de autenticación, buscando el que diga algo así como Llave de seguridad. El navegador te pedirá permiso para leer una llave USB, le das click en el botón que tiene la llave y ya está.

La próxima vez que requieras demostrar que tú eres tú, simplemente con meter la llave y darle click al botón será suficiente.

Lo importante de todo esto es que los segundos factores de autenticación basados en SMS han demostrado ser vulnerables a ataques dirigidos.

Es más, te contaba recientemente el caso de un profesional del sector que había visto cómo de la noche a la mañana alguien le había robado 100.000 dólares de su cuenta precisamente aprovechándose de esta vulnerabilidad.

Es ahí donde entra un 2FA basado en una llave de seguridad. Estas llaves son pequeñas y generalmente las puedes llevar junto a las llaves de casa, siendo necesario para un ciberatacante ya no solo conseguir tu usuario/contraseña (algo que puede hacer de forma masiva y en remoto), sino también atracarte físicamente para robarte el llavero, y con él, la llave de seguridad (algo que tiene que hacer sí o sí presencialmente y con el único objetivo de atacarte a ti).

Pasamos por tanto un riesgo global a un riesgo local, muchísimo menos habitual, y por tanto con mayor grado de seguridad.

llave seguridad dropbox
Ejemplo de «instalación» de la llave en una cuenta de Dropbox: Apretar un botón y ya está.

¿Qué opciones tenemos en el mercado?

Pues llaves de seguridad hay como los tiros.

Eso sí, mi recomendación es que sí o sí sea compatible con el estándar FIDO, ya que en caso contrario solo funcionará con unos pocos servicios.

Por Amazon tienen a la venta el HyperFIDO Mini (ES), que no deja de ser un pincho USB con un diseño muy parecido a los receptores de bluetooth/radiofrecuencia y con un botón que es el que tenemos que apretar para hacer login.

El problema que le veo, no obstante, es que me parece bastante frágil para llevarlo siempre contigo, y que la única forma de ponerlo en un llavero es utilizando un cablecito que trae, y que todos sabemos que tarde o temprano va a romperse.

A cambio, eso sí, por poco más de 5 euros tenemos una llave que utiliza el protocolo FIDO, y que por tanto es compatible tanto con Windows, OS X, Linux, como con la amplia mayoría de servicios que ofrecen autenticación mediante llaves (Google, Dropbox, GitHub, Facebook…).

En el otro lado del cuadrilátero tenemos la familia de productos de Yubico, ostensiblemente más caros, y también con mayores funcionalidades.

La principal es que, de hecho, pueden funcionar tanto vía USB como vía NFC, lo que nos va a permitir utilizarlos también con smartphones y tablets sin precisar algún adaptador compatible de USB/mini-USB. Y además cuentan también con su propio protocolo Yubico, y otros de terceros como One-Time Passwordes, OATH, PIV, Open PGP y, por supuesto, FIDO.

Vaya, que son muchísimo más completas… A cambio de subir su precio hasta los 50 euros.

En mi caso me he quedado en un punto intermedio, apostando por un modelo de HyperFIDO llamado Titanum, y que ronda los 10 euros (ES).

El diseño sin lugar a duda me parece el más acertado. Es muy pequeño (como puedes ver en la imagen principal de este artículo) pero totalmente compacto. Perfecto para llevarlo en la cartera a diario.

Es compatible con FIDO, y permite llevar varias cuentas diferentes.

A cambio, eso sí, sacrificamos el no tener NFC ni ningún otro protocolo extra.

Mi idea era por tanto tener una opción alternativa al 2FA que utilizo ya en mis cuentas, y que por supuesto puedo seguir utilizando indistintamente de si tengo a mano el USB o no.

Y para los mecenas lo que quería es que conociesen este sector. Para muchos de hecho esta llave es, como me decían estos días, más que suficiente. Y para los que busquen un extra, tendrán en el futuro la opción de hacerse con una de gama superior tras haber probado ya durante una temporada cómo es vivir con una llave de seguridad.

HyperFIDO

Conclusiones

En fin, que es un producto bastante económico y altamente recomendable. De hecho es hacia donde parece que está tirando la industria. A fin de cuentas, un gestor de contraseñas no deja de ser delegar en un sistema basado en la posesión lo que históricamente era un sistema de identidad basado en el conocimiento.

Las llaves de seguridad no son más que el siguiente paso. Algo cómodo de llevar siempre encima que demuestra que somos nosotros. Y que por cómo han sido diseñadas, se prestan muchísimo menos que un smartphone, ya no hablemos que una contraseña, a ser robado o extraviado.

Y además se vuelven de facto una manera muchísimo más segura de implementar controles de seguridad en organizaciones y oficinas. Desterramos así los malos usos de las contraseñas por parte de los trabajadores, delegando en un hardware que per sé ya es bastante seguro.

Puntos positivos:

  • Relación Calidad/Precio insuperables: Por menos de 10 euros tienes un sistema de seguridad compatible con la amplia mayoría de grandes servicios de Internet, y con un protocolo que está en continua expansión.
  • Diseño: Más pequeño de lo que parece, y además muy robusto. Justo lo que necesitas para un producto que vas a llevar siempre contigo.

Puntos negativos:

  • Sin NFC: Es un sacrificio que tenemos que hacer. Habría que pagar tres veces más para que además de ser USB tuviera NFC incorporado.
  • Solo FIDO de protocolo de seguridad: Que es, a fin de cuentas, lo principal en una llave de seguridad. Si quieres además utilizarla para otros menesteres, te toca pagar más.

Está disponible para su compra en Amazon (ES).

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.