Te roban la YubiKey: qué hacer en los próximos 10 minutos
Te roban la YubiKey. O la pierdes. O simplemente no la encuentras y no sabes si está en el bolsillo de la chaqueta o en manos de alguien más.
Tienes una ventana de tiempo. No mucha. Esto es lo que tienes que hacer.
Plan de acción inmediato
El orden importa. Empieza por lo que más daño puede causar si alguien accede antes que tú.
Antes de cualquier otra cosa. Si te roban el móvil con sesiones abiertas, revocar la YubiKey no sirve de nada — la sesión sigue activa. En Google ve a "Gestionar dispositivos" y cierra todas. En el resto de servicios busca "Cerrar sesión en todos los dispositivos". Esto primero, siempre.
Es la llave maestra. Quien controla tu email puede resetear casi cualquier cuenta. Ve a la configuración de seguridad, elimina la YubiKey como método de autenticación y activa temporalmente otro — app de autenticación o código de verificación.
Revolut, PayPal, Wise, ING. Entra desde otro dispositivo, revoca la YubiKey en la configuración de seguridad. Si no puedes acceder, llama directamente al banco y bloquea el acceso digital.
Binance, Coinbase, Kraken. Si tienes fondos, esta es prioridad máxima. Entra, revoca la YubiKey y activa 2FA alternativo. Si no puedes acceder, usa el proceso de recuperación de cuenta del exchange.
Bitwarden, 1Password, KeePass. Si tu gestor usa la YubiKey como segundo factor, revócala desde otro dispositivo o usa los códigos de emergencia que generaste al configurarlo.
Google, GitHub, redes sociales, cualquier otro servicio donde tengas la YubiKey registrada. Revoca cuenta por cuenta desde la configuración de seguridad de cada servicio.
Si no llevas un registro, la forma más rápida es buscar en el email notificaciones de cuando la configuraste. Busca "security key", "llave de seguridad" o "YubiKey" en tu bandeja de entrada.
Si tienes una YubiKey de backup
Esta es la situación ideal. Tienes una segunda llave configurada — la activas y sigues operativo.
El proceso es el mismo para cada servicio: entra con tu segundo factor alternativo (la backup key o códigos de emergencia), ve a la configuración de seguridad y elimina la llave robada de la lista de dispositivos de confianza.
Una vez revocada en todos los servicios, la llave robada es inútil — aunque alguien la tenga, no puede autenticarse con ella en ninguna de tus cuentas.
Revocar la llave específica elimina ese dispositivo de tu cuenta. Desactivar el 2FA elimina toda la protección. Asegúrate de hacer lo primero, no lo segundo.
Si no tienes backup
Más incómodo, pero tiene solución.
La mayoría de servicios tienen métodos de recuperación alternativos que configuraste cuando activaste la YubiKey. El problema es que mucha gente los configura y los olvida.
Google, GitHub y muchos otros servicios generan códigos de un solo uso al activar el 2FA. Si los guardaste — en un gestor de contraseñas, en papel, en un archivo — úsalos ahora.
Si configuraste una app de autenticación (Google Authenticator, Aegis, Authy) además de la YubiKey, úsala para entrar y revocar la llave robada.
Si no tienes ningún método alternativo, cada servicio tiene un proceso de recuperación de cuenta. Suele requerir verificación de identidad y puede tardar entre horas y días. Es el camino más lento — otra razón para tener backup configurado de antemano.
Solo las que tienen la YubiKey como único segundo factor y no tienen método alternativo configurado. Si tienes app de autenticación o códigos de emergencia como backup, el riesgo es mínimo — la llave robada no sirve de nada sin el resto de tus credenciales.
Recomendación: configura tu PIN antes de que sea tarde
Si tu YubiKey no tiene PIN configurado, quien la encuentre puede usarla directamente para autenticarse en tus cuentas — si conoce tu contraseña. Con PIN activado, la llave queda bloqueada tras varios intentos fallidos y se vuelve inútil para cualquiera que no sepa el código.
Configurar el PIN tarda menos de 2 minutos desde YubiKey Manager. Si todavía no lo has hecho, hazlo ahora — antes de que necesites este post.
→ Cómo configurar el PIN en YubiKey Manager
Bandeja formato tarjeta
Lleva tu YubiKey en la cartera — siempre encima, siempre localizada. Formato tarjeta de crédito estándar.
Cartera Slim con bloqueo RFID
Cartera minimalista con ranura para YubiKey y AirTag integrado. Si la pierdes, la localizas.
Perder la YubiKey tiene solución. Perder el acceso a tus cuentas, no siempre.
Si tienes backup configurado y PIN activado, perder la llave es un inconveniente menor — revocas, activas la segunda y sigues. Si no tienes ninguno de los dos, el proceso es largo y puede costarte el acceso a cuentas críticas.
La prevención real no es saber qué hacer cuando pasa — es llevarla siempre encima y tenerla protegida para no perderla.
Preguntas frecuentes
¿Pueden usar mi YubiKey sin PIN?
Sí. Si no tienes PIN configurado, cualquiera que tenga la llave puede usarla directamente — siempre que conozca también tu contraseña. Con PIN activado, la llave se bloquea tras varios intentos fallidos y se vuelve inútil.
¿Pueden clonar mi YubiKey?
No. La YubiKey está diseñada para ser imposible de clonar — las claves privadas nunca salen del dispositivo físico. Para autenticarse con ella, necesitan el objeto en la mano. No hay copia posible.
¿Qué pasa si no tengo backup configurado?
Tendrás que usar los métodos de recuperación de cada servicio — códigos de emergencia, segundo factor alternativo o el proceso de recuperación de cuenta del proveedor. Puede ser lento. Por eso configurar una segunda YubiKey de backup es la recomendación más importante de este post.
¿Qué pasa si me olvido del PIN?
Si introduces el PIN incorrectamente un número determinado de veces, la YubiKey se bloquea. Para desbloquearla necesitas la PUK (PIN Unblocking Key) que se genera al configurar el PIN. Si tampoco tienes la PUK, la llave queda inutilizable y tendrás que comprar una nueva. Guarda siempre la PUK en un lugar seguro — en tu gestor de contraseñas, por ejemplo.
