Yubico para empresas: cuántas YubiKey necesitas y cómo gestionarlas
Proteger un equipo de trabajo no es lo mismo que proteger una cuenta personal. Cuando hay 10, 50 o 200 personas con acceso a sistemas críticos, la pregunta no es si usar YubiKey — es cómo organizarlo sin que se convierta en un problema operativo.
Esta guía es para responsables IT, directores de operaciones y cualquier persona que tenga que tomar esa decisión: cuántas llaves pedir, cómo distribuirlas y qué herramientas existen para gestionarlas.
¿Cuántas YubiKey necesita tu empresa?
La regla base: una llave por empleado, más una de backup por cada perfil crítico. Pero el número real depende de quién tiene acceso a qué.
No todos los roles tienen el mismo nivel de exposición. Un empleado con acceso solo al correo corporativo no necesita el mismo nivel de protección que alguien con acceso a servidores de producción o datos financieros.
| Perfil | Llaves recomendadas | Por qué |
|---|---|---|
| Empleado estándar (correo, apps SaaS) | 1 llave | Acceso limitado, riesgo medio |
| Manager con acceso a datos sensibles | 2 llaves | Sin backup, un incidente bloquea el acceso |
| IT / sysadmin / DevOps | 2 llaves mínimo | Acceso a sistemas y servidores críticos |
| C-level / dirección | 2 llaves + 1 en custodia | Objetivo prioritario en ataques dirigidos |
| Remoto / contratista externo | 1-2 llaves según acceso | Conexión fuera del perímetro corporativo |
Yubico recomienda registrar siempre al menos dos llaves por usuario. Si alguien pierde la suya y no hay backup registrado, recuperar el acceso puede tardar horas — o días. En entornos críticos, eso tiene un coste real.
Referencia rápida por tamaño de equipo
Para orientarte antes de hacer el pedido:
| Tamaño del equipo | Llaves mínimas | Llaves recomendadas | Notas |
|---|---|---|---|
| 1–10 personas | 10 | 15–20 | Incluir backup para perfiles críticos |
| 11–50 personas | 50 | 65–80 | Backup para IT y dirección como mínimo |
| 51–200 personas | 200 | 250–280 | Considerar despliegue por fases |
| 200+ personas | Variable | Contactar con Yubico directamente | Programa Yubico for Enterprise con precios escalonados |
Qué modelo de YubiKey elegir para empresa
El modelo depende de los puertos disponibles en los equipos del equipo. En entornos mixtos — portátiles nuevos USB-C y equipos de escritorio USB-A — lo más habitual es elegir un modelo y complementarlo con adaptadores, o distribuir dos modelos distintos.
YubiKey 5 NFC (USB-A)
El modelo más extendido en entornos corporativos. Compatible con la mayoría de equipos de escritorio y portátiles con puerto USB-A. NFC permite usarla también desde móvil sin adaptadores.
YubiKey 5C NFC (USB-C)
Para equipos modernos con USB-C. MacBooks, portátiles Dell o Lenovo de últimas generaciones. Si el parque de equipos es mayoritariamente USB-C, este es el modelo.
YubiKey 5 Nano / 5C Nano
Para personas que trabajan siempre en el mismo equipo y prefieren dejar la llave insertada permanentemente. Queda casi al ras del puerto — sin sobresalir.
Si tienes equipos USB-A y USB-C en la misma organización, la opción más práctica suele ser estandarizar en YubiKey 5 NFC (USB-A) y distribuir adaptadores USB-C donde sea necesario. Reduce el número de referencias a gestionar.
Cómo gestionar las YubiKey en una organización
El mayor error en despliegues empresariales no es elegir el modelo equivocado — es no tener un sistema para saber qué llave tiene quién, qué accesos tiene registrados y qué hacer cuando alguien se va.
Yubico Enterprise Subscription
Yubico ofrece un programa de suscripción para empresas que incluye reemplazo de llaves sin coste adicional, soporte prioritario y acceso a YubiEnterprise Delivery — un sistema para distribuir llaves directamente a empleados remotos sin pasar por el departamento IT.
YubiKey Manager
La herramienta oficial de Yubico para configurar llaves individualmente. Permite gestionar los slots de la llave, ver qué aplicaciones tiene configuradas y resetear una llave antes de reasignarla. Gratuita, disponible para Windows, macOS y Linux.
Yubico SCIM Tool
Para organizaciones que usan proveedores de identidad como Okta, Azure AD o Google Workspace. Permite aprovisionar y desaprovisionar llaves de forma automática cuando un empleado se incorpora o sale de la empresa.
Registro en el IdP
Sea cual sea la herramienta, el flujo de gestión siempre pasa por el proveedor de identidad. La YubiKey no tiene valor si no está registrada en el sistema que controla los accesos. El proceso estándar es: asignar llave → el empleado la registra en el IdP → IT verifica el registro → se activa el acceso.
El protocolo de offboarding tiene que incluir explícitamente la YubiKey. Primero se desactiva el acceso en el IdP. Después se recoge la llave física. Si no se puede recuperar — empleado remoto, pérdida — se revoca el registro y se resetea la llave si vuelve a usarse.
Proteger las llaves físicamente
Una YubiKey sin funda acaba arañada en el fondo de una mochila o en el llavero golpeándose con las llaves del coche. En un despliegue de empresa, donde las llaves pasan por muchas manos y situaciones distintas, la protección física no es un detalle menor.
Holdtag fabrica accesorios específicos para YubiKey — fundas, bandejas formato tarjeta de crédito y carteras con bloqueo RFID — diseñados para uso diario en entornos profesionales. Fabricados en España, en PLA+ de alta resistencia.
Bandeja YubiKey 2 ranuras
Formato tarjeta de crédito. Dos ranuras — llave principal y backup en la misma tarjeta. Cabe en cualquier cartera. Ideal para perfiles que llevan dos llaves.
Funda YubiKey PLA+
Protección para uso diario con llavero integrado. Protege contra golpes y arañazos. Para quien lleva la llave siempre encima.
Para pedidos de empresa con volumen, condiciones especiales o personalización, consulta la página de soluciones para empresas.
Soluciones para empresas →Preguntas frecuentes
¿Se puede usar una sola YubiKey para varios servicios?
Sí. Una YubiKey puede estar registrada en múltiples servicios al mismo tiempo — Google Workspace, Microsoft 365, GitHub, Okta y otros. No hay límite práctico de registros. Cada servicio guarda su propio registro de la llave.
¿Qué pasa si un empleado pierde su YubiKey?
Si hay una llave de backup registrada, el empleado puede acceder con ella mientras se gestiona el reemplazo. Si no hay backup, IT tiene que recuperar el acceso por otro método — lo que puede llevar tiempo. Por eso el backup es esencial en perfiles críticos.
¿Se puede reutilizar una YubiKey de un empleado que se ha ido?
Sí, pero con el protocolo correcto. Primero hay que revocar todos los registros del IdP. Después se puede resetear la llave con YubiKey Manager y reasignarla a otro empleado. Si no se sigue este orden, existe riesgo de que la llave anterior siga activa en algún servicio.
¿YubiKey funciona con Google Workspace y Microsoft 365?
Sí, ambas plataformas son compatibles con YubiKey como método de autenticación FIDO2. Google Workspace lo soporta de forma nativa. Microsoft 365 también, a través de Azure Active Directory. La configuración requiere habilitarlo desde el panel de administración.
¿Hay descuentos por volumen para empresas?
Yubico ofrece el programa YubiEnterprise Subscription para pedidos de empresa, con precios escalonados y servicio de reemplazo incluido. Para accesorios Holdtag en volumen, puedes consultar las condiciones en la página de soluciones para empresas.
La YubiKey funciona en empresa — si hay un sistema detrás
La llave física es la parte fácil. Lo que hace que un despliegue funcione o falle es el proceso: quién tiene qué llave, qué accesos tiene registrados y qué pasa cuando alguien se va. Sin ese sistema, acabas con llaves perdidas, accesos sin revocar y departamento IT gestionando excepciones.
Empieza por los perfiles de mayor riesgo — IT, dirección, accesos a sistemas críticos. Define el protocolo de onboarding y offboarding antes de comprar las primeras llaves. Y asegúrate de que cada perfil crítico tiene su backup registrado desde el día uno.
