Inicio » Zero Trust » Funcionalidades de la Yubikey

Funcionalidades de la Yubikey

Funcionalidades Yubikey

Algunas YubiKey tienen funcionalidades OTP (one-time password) y Llave de Seguridad o Security Key que incluye U2F, así como la posibilidad de usarse como repositorio de claves privadas OTP del Yubico Authenticator

Estas funcionalidades abarcan la mayoría de los aspectos de Modelo Zero Trust Network Access de autenticación moderna y Multi-Factor Authentication

A continuación te presento cómo funciona la Yubikey de Yubico:

Security Key o Llave de Seguridad

La Yubikey es una passkey FIDO2, es decir, usa la arquitectura WebAuthn para una autenticación segura usando métodos de Llave Pública / Llave Privada.

Esta es la más reciente tecnología en autenticación y es tan segura que de ella se desprende la tecnología Passwordless, donde ya no son necesarias las contraseñas y toda la seguridad se relega en Passkeys FIDO2 y en Biometría.

  • La Yubikey protejen las llaves privadas del usuario a nivel de hardware.
  • La Yubikey no requiere ningún driver.
  • La protección de ataques Phishing se realiza a través de un protocolo “challenge-response” en tiempo real .
  • Este es el modo nativo de funcionamiento de una Yubikey
  • Si usas Cisco Duo Security, este modo de operación funciona para todas aquellas aplicaciones que derivan en la pantalla de autenticación de Duo o Duo Prompt.
Solicitud Fido2, Insertar Passkey
Solicitud Fido2 – Insertar Passkey
Solicitud Fido2 - Tocar passkey
Solicitud Fido2 – Tocar Passkey

Yubico-OTP

En este modo de operación, la Yubikey genera un passcode cifrado de 44 caracteres que es muchísimo más seguro que un OTP de 4 o 6 caracteres.

A continuación un ejemplo de un passcode generado con la Yubiley en este modo de operación:

kugfbhvjuueeuvjhuebkitblncdudvireruukcbejnuc

Este passcode se genera solo conectando la Yubikey y tocándola, en ese momento la Yubikey se comporta como un teclado y digita el código que le corresponde generar.

  • Es más flexible porque se usa con cualquier navegador o aplicación de escritorio.
  • Los códigos OTP pueden ser obtenidos por atacantes mediante técnicas conocidas como man-in-the-middle o man-in-the-browser
  • En este caso el intercambio de credenciales se realiza simplemente a través de la misma aplicación usando el código OTP generado por la Yubikey.
  • Este modo debe se activa o configura en la Yubikey a través del uso de la YUBIKEY PERSONALIZATION TOOL donde se generarán las llaves privadas y secretas que se requieren para configurar esta Yubikey en el sistema de gestión de autenticaciones.
  • Para este modo de operación, y si usas Cisco Duo Security debes tratar las Yubikey como Hardware Token y asignarlas al usuario según su número de serial en la sección de usuarios de Duo Security

Estas funcionalidades de la Yubikey existen específicamente en las siguientes series de modelos:

  • Yubikey 5 NFC
  • Yubikey 4
  • Yubikey Nano

Yubico Authenticator

Una función muy atractiva de la Yubikey es la de poder asociarla a una aplicación de autenticación que provee Yubico, se llama Yubico Authenticator.

Como muy probablemente sabes, el punto más débil de OTP es que usa una llave privada que si es descubierta, cualquiera puede determinar los códigos OTP que se generarían con ella.

Es por ello que en aplicaciones como Google Authenticator, Mocrosoft Authenticator y similares tienen esa debilidad.

Otro aspecto de las aplicaciones de autenticación es que corren en un solo dispositivo y si no tienes ese dispositivo a la mano, no podrás usar la aplicación para obtener tus códigos.

Yubico, muy inteligentemente aborda esta problemática lanzando una aplicación que corre en móviles y en PC’s o Macs. La Yubico Authenticator.

¿Qué tiene de especial Yubico Authenticator?

Yubico Authenticator no es una aplicación autenticadora común, a continuación te indico sus ventajas.

No Guarda Ninguna Clave Privada

¿Cómo que no guarda ninguna llave privada? entonces ¿Cómo genera los códigos OTP?

Las llaves privadas están guardadas, adivina donde…. en una Yubikey… esto hace que estén protegidas por el hardware criptográfico de la yubikey y siempre offline, es decir fuera del alcance de cualquier hacker.

Yubico Authenticator sin Yubikey Insertada
Yubico Authenticator sin Yubikey Insertada
Yubico Authenticator con Yubikey Insertada
Yubico Authenticator con Yubikey Insertada

Es Multidispositivo

Tiene versiones para todo tipo de móviles y de computadora, por lo que puedes tenerla instalada en todos tus dispositivos y solo conectándole la yubikey (vía USB o NFC) , tendrás acceso a todas tus cuentas OTP en cualquier dispositivo

De esta manera, si no tienes tu móvil y laptop a la mano, solo debes conseguir donde instalar la aplicación y al conectarle la Yubikey, tendrás acceso a todas tus cuentas OTP


Preguntas Frecuentes

  1. ¿Qué sucede si pierdo mi Yubikey?

    En caso de extraviar tu yibikey, debes tener un método alternativo de segundo factor, lo más recomendado es tener configurada siempre una segunda yubikey la cual tengas guardada en casa.

    Igualmente puedes guardar tus códigos de respaldo de un solo uso. Yo recomiendo siempre guardar estps códigos en una bóveda tipo Lastpass.

    En todo caso, luego de recuperado el acceso, debes desenrolar la Yubikey extraviada de todos los servicios donde la tenías configurada.

    Perder tu Yubikey es algo similar a perder las llaves de tu casa, debes tener algún duplicado de la llave o un mecanismo alterno para poder entrar y luego proceder a cambiar la cerradura.

  2. Cuando toco la Yubikey, ¿reconoce mi huella digital?

    Solo la Yubikey BIO puede hacer eso, el resto de las yubikey es solo por contacto y es para garantizar interacción humana a la hora de la autenticación. Es decir, puedes tener la yubikey conectada a tu equipo, pero si no la tocas, no hay autenticación.

  3. ¿Dónde puedo usar mi Yubikey?

    FIDO2 ya es un estándar y cada vez más aplicaciones las soporta, como solo un ejemplo te indico algunas de las más importantes:

    Facebook, Binance, Gmail, Dropbox, Lastpass, GreenRADIUS, GitHub, Salesforce, Bank of America, Amazon Web Services, Twitter, Coinbase, Microsoft Azure AD, Duo Securiti, 1Password, Kraken, Bitwarden, Okta, Cloudflare,

    Y cuando hablamos de OTP, cualquier aplicación que tenga OTP como segundo factor, puede ser integrada a tu Yubikey a través de Yubico Authenticator.

    A continuación una imagen donde puedes ver más aplicaciones compatibles.plataformas compatibles con yubikey

  4. ¿Puedo usar mi Yubikey para mi seguridad personal y empresarial?

    Si, la Yubikey no reconoce ni puede restringir la naturaleza del acceso. En una misma Yubikey puedes agregar tantos servicios como sea posible, sin distinción de si es empresarial o personal

  5. ¿Cuál Yubikey debo comprar?

    Todo depende de lo que vayas a usar, pero si quieres tener abiertas todas las posibilidades, te recomiendo la Yubikey 5 NFC que puedes comprar en Tienda Amazon de Yubico que tiene todas las funcionalidades disponibles.

  6. ¿Cómo conecto la Yubikey a un teléfono móvil?

    Hay dos opciones, la primera es a través del puerto USB del teléfono (si tienes una yubikey con puerto USB-C o Lightning) o la manera más estándar es usar NFC si tienes una Yubikey con esa capacidad.

  7. ¿La Yubikey es lo mismo que un token de firma electrónica?

    No, si bien es cierto que se parecen, las tecnologías son diferentes. La Yubikey se basa en FIDO2 (llave Pública / Llave Privada) mientras que los tokens de firma electrónica lo que hacen es guardar de forma segura tu archivo de firma electrónica.


visita la tienda yubico en amazon
Visita la Tienda Yubico en Amazon

Principal Solutions Engineer en ICT International MSP
Especialista en Ciberseguridad ZeroTrust | Content Marketer | Experto SEO |

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *