¿Qué es FIDO2 y cómo funciona? El protocolo detrás de YubiKey explicado
FIDO2 es un estándar abierto de autenticación basado en criptografía de clave pública, diseñado para eliminar el uso de contraseñas y hacer el phishing prácticamente inútil. Es el protocolo que hace funcionar a la YubiKey, a las passkeys y a la autenticación biométrica de tu móvil. En este post explicamos cómo funciona técnicamente, sin necesidad de ser desarrollador para entenderlo.
¿Cómo funciona FIDO2 técnicamente?
FIDO2 se basa en un par de claves criptográficas: una pública y una privada. La clave privada nunca sale del dispositivo — ni se envía por internet, ni se almacena en ningún servidor. Esto es lo que hace que FIDO2 sea fundamentalmente distinto a una contraseña.
🔐 El par de claves explicado
Clave privada: se genera y se queda dentro de tu YubiKey o dispositivo. Nunca se transmite a ningún sitio.
Clave pública: se envía al servicio (Google, GitHub, tu banco) cuando registras la llave. El servicio la guarda para verificar futuras autenticaciones.
Resultado: aunque el servidor del servicio sea hackeado, la clave pública por sí sola no permite a nadie acceder a tu cuenta.
El proceso tiene dos fases diferenciadas:
Cuando activas FIDO2 en un servicio, tu dispositivo genera un nuevo par de claves específico para esa web. La clave pública se envía y se guarda en el servidor; la privada se queda en tu YubiKey.
Cada vez que inicias sesión, el servicio envía un reto criptográfico. Tu dispositivo lo firma con la clave privada y devuelve la firma. El servidor verifica la firma con la clave pública que ya tenía guardada. Si coincide, entras.
En ningún momento se transmite una contraseña ni un dato secreto reutilizable — solo una firma válida para ese intento concreto.
FIDO2 vs U2F vs WebAuthn — ¿son lo mismo?
Los tres términos están relacionados pero no son sinónimos exactos:
| Protocolo | Qué es |
|---|---|
| U2F | El protocolo original de Yubico y Google (2014). Solo funcionaba como segundo factor — necesitabas contraseña + llave. |
| WebAuthn | El estándar web (W3C) que define cómo los navegadores se comunican con dispositivos de autenticación. Es la "API" que usan los sitios web. |
| FIDO2 | El conjunto completo: incluye WebAuthn más el protocolo CTAP (cómo el navegador habla con tu YubiKey). Permite login sin contraseña, no solo como segundo factor. |
En la práctica, cuando una YubiKey moderna dice "FIDO2", significa que es compatible con WebAuthn y puede usarse tanto como segundo factor (como U2F) como método de login completo sin contraseña.
Por qué FIDO2 es resistente al phishing
La razón por la que FIDO2 frena el phishing no es solo que use criptografía — es que incluye verificación de dominio (origin binding). Cuando registras tu llave en una web, esa clave queda asociada exactamente a ese dominio.
⚠️ Lo que pasa con una web falsa
Si alguien crea una web idéntica a tu banco pero con un dominio diferente (por ejemplo, "banco-segura.com" en lugar de "banco.com"), tu YubiKey simplemente no responde. La llave verifica el dominio antes de firmar nada — si no coincide, no hay autenticación posible. Esto es lo que hace inútil el phishing tradicional contra FIDO2: ni siquiera puedes "equivocarte" introduciendo tus credenciales en el sitio falso, porque no hay credenciales que introducir.
Esta es la diferencia fundamental frente al 2FA por SMS o las apps de autenticación: esos métodos generan un código que tú copias y pegas — y ese código puede ser robado o introducido en el sitio equivocado. FIDO2 elimina ese paso por completo.
¿Qué dispositivos usan FIDO2?
FIDO2 no es exclusivo de YubiKey. Estos son los dispositivos más comunes que lo soportan:
YubiKey, Google Titan, y otras llaves USB/NFC certificadas FIDO2. La opción más segura porque la clave privada vive en un chip dedicado, aislado del resto del sistema.
Face ID, huella digital en Android o iPhone. El propio teléfono actúa como autenticador FIDO2, usando su chip de seguridad integrado.
Reconocimiento facial o huella en portátiles con Windows. Funciona como autenticador FIDO2 integrado en el sistema operativo.
Si quieres entender mejor qué es físicamente una llave de este tipo, consulta nuestra guía sobre qué es una security key y cómo funciona.
FIDO2 y las passkeys — ¿es lo mismo?
No exactamente, pero están directamente relacionados. Una passkey es una credencial FIDO2 — usa el mismo protocolo de clave pública/privada por debajo. La diferencia es de implementación y experiencia de usuario:
🔄 La relación entre ambos
FIDO2: el protocolo técnico — cómo se generan y verifican las claves.
Passkey: el nombre comercial que Apple, Google y Microsoft usan para credenciales FIDO2 que además se sincronizan entre tus dispositivos a través de la nube (iCloud Keychain, Google Password Manager).
Una YubiKey también puede almacenar passkeys — la diferencia es que con la llave física la clave privada no se sincroniza a ningún sitio, se queda físicamente en el dispositivo.
Preguntas frecuentes
¿FIDO2 funciona sin internet?
El proceso de firma criptográfica ocurre localmente en tu dispositivo, sin necesidad de conexión. Pero para completar el login necesitas conexión con el servicio al que te autenticas — el reto y la verificación de la firma sí requieren comunicación con el servidor.
¿Puedo perder acceso a mis cuentas si pierdo mi llave FIDO2?
Si solo tienes una llave registrada y no configuraste un método alternativo, sí. Por eso se recomienda registrar siempre una segunda llave de backup en cada servicio que uses con FIDO2.
¿Todos los navegadores soportan FIDO2?
Sí. Chrome, Firefox, Edge y Safari soportan WebAuthn/FIDO2 de forma nativa desde hace varios años. No necesitas instalar ninguna extensión adicional.
¿FIDO2 sustituye completamente a la contraseña?
Puede hacerlo. Cuando un servicio implementa FIDO2 como método de login completo (no solo como segundo factor), puedes entrar sin escribir ninguna contraseña — solo con tu llave o tu biometría. Muchos servicios todavía lo ofrecen solo como 2FA adicional a la contraseña.
Veredicto
FIDO2 no es una moda técnica — es el cambio real en cómo nos autenticamos
A diferencia de las contraseñas o los códigos SMS, FIDO2 elimina el dato secreto que viaja por internet. No hay nada que un atacante pueda robar en un servidor o interceptar en tránsito que le sirva para entrar en tu cuenta.
Entender el protocolo no es obligatorio para usarlo — pero ayuda a entender por qué una YubiKey es una inversión en seguridad real, no solo un accesorio más.
TE PUEDE INTERESAR
¿Qué YubiKey comprar según tu dispositivo? Guía completa 2026
