¿Puedes usar un USB como llave de seguridad FIDO2? Esto es lo que nadie te explica
No, un pendrive USB normal no puede funcionar como llave de seguridad FIDO2 ni como passkey. Puede servir para bloquear el acceso a tu ordenador con herramientas como USB Raptor, pero eso es algo completamente diferente. En este post explicamos la diferencia real y qué opciones existen desde 25 €.
Qué hace un USB normal (y qué no puede hacer)
Un pendrive almacena archivos. Con el software adecuado, puedes configurarlo para que Windows se bloquee cuando lo retiras — útil si compartes ordenador en una oficina o en casa.
Pero eso no es autenticación FIDO2. No funciona con Google, GitHub, Dropbox ni ningún servicio online. No protege tus cuentas si alguien tiene tu contraseña. No es una llave de seguridad.
La confusión viene de artículos que mezclan dos cosas distintas bajo el mismo título: "usar un USB como llave de seguridad". Técnicamente no es incorrecto, pero el nivel de protección no tiene nada que ver.
Qué necesita una llave FIDO2 de verdad
Una llave FIDO2 certificada lleva dentro un chip criptográfico dedicado. Ese chip genera una clave privada que nunca sale del dispositivo — ni cuando lo conectas, ni cuando lo pierdes.
Cuando un servicio como Google te pide autenticación, la llave firma un reto criptográfico y devuelve la respuesta. El servicio verifica que la firma es válida. En ningún momento viaja una contraseña por la red.
Un pendrive genérico no tiene ese chip. No puede generar ni almacenar claves criptográficas de este tipo. No hay software que supla esa carencia de hardware.
Existen proyectos de código abierto que convierten una Raspberry Pi Pico en una llave FIDO2 funcional. Son válidos para aprender y experimentar, pero no tienen certificación oficial, no han pasado auditorías de seguridad y requieren mantenimiento técnico. Para proteger tus cuentas del día a día, una llave certificada es la opción correcta.
Llaves de seguridad reales desde 25 €
Existen opciones certificadas FIDO2 por debajo de 30 €. Para la mayoría de usuarios que quieren proteger Gmail, redes sociales o el banco online, son más que suficientes.
ChipNet FIDO2 Basic
Llave FIDO2 de entrada. Compatible con los servicios más comunes. Buena opción para empezar sin gastar mucho.
Thetis FIDO2 Security Key
Compatible con passkeys y los principales servicios online. Diseño compacto con tapa protectora para el conector.
Security Key NFC
La opción de entrada de Yubico. Añade NFC para usarla también en el móvil sin cables ni adaptadores.
YubiKey 5 NFC
Para usuarios con necesidades más avanzadas. Añade soporte para SSH, OpenPGP y almacenamiento de passkeys en la propia llave.
¿Cuál te conviene según tu caso?
| Caso de uso | Opción recomendada |
|---|---|
| Proteger Gmail, redes sociales y banco online | ChipNet o Thetis (~25 €) |
| Proteger también el móvil por NFC | Security Key NFC (~35 €) |
| Puerto USB-C (MacBook, portátil moderno) | Security Key C NFC (~35 €) |
| Developer — SSH, GitHub, OpenPGP | YubiKey 5 NFC (~69 €) |
| Aprender sin gastar | Raspberry Pi Pico + Pico Fido (DIY, sin certificación) |
¿Qué YubiKey comprar según tu dispositivo? Guía completa 2026 →
Preguntas frecuentes
¿Un pendrive puede proteger mis cuentas de Google o Instagram?
No. Para proteger cuentas online necesitas una llave con chip FIDO2 certificado. Un pendrive solo puede bloquear el acceso local a tu ordenador con software adicional, pero no funciona como segundo factor en servicios web.
¿Qué diferencia hay entre una llave FIDO2 y el 2FA por SMS?
El SMS puede interceptarse con técnicas como el SIM swapping — alguien convence a tu operadora de que le transfiera tu número. Una llave FIDO2 no transmite ningún código por la red: la autenticación se resuelve con criptografía directamente entre la llave y el servicio. Es mucho más difícil de atacar.
¿Necesito dos llaves?
Es lo recomendable. Si pierdes la única llave que tienes registrada, puedes quedarte sin acceso a tus cuentas. Lo habitual es registrar dos: una de uso diario y otra guardada como copia de seguridad.
¿La llave funciona en el móvil?
Sí, los modelos con NFC funcionan acercando la llave a la parte trasera del móvil. No necesitas adaptadores ni cables. Compatible con Android e iOS en los servicios que soporten FIDO2.
Un USB no es una llave FIDO2
La diferencia no es de software — es de hardware. Un pendrive genérico no tiene chip criptográfico certificado y no puede proteger tus cuentas online.
Hay opciones certificadas desde 25 €. Para la mayoría de usuarios, ChipNet o Thetis son suficientes para empezar. Si quieres NFC para el móvil, la Security Key NFC de Yubico es el siguiente paso.
Los proyectos DIY como Pico Fido son interesantes para aprender, no para el día a día.
