¿Por qué hemos diseñado la YubiKey de esta forma?

En 2008, lanzamos la primera YubiKey inspirándonos en el término “ubicuidad” y con la misión de ofrecer un acceso seguro, fácil y disponible para todos. En aquel momento, la empresa estaba constituida por menos de 10 personas, pero nuestra estrategia era sencilla: si nos centrábamos en seguir desarrollando la tecnología de YubiKey colaborando estrechamente con algunos gigantes tecnológicos, conseguiríamos un internet más seguro para todos.

Hoy, 12 años después, estamos más cerca de cumplir este objetivo. Yubico comercializó la primera llave de seguridad FIDO en 2014 y ahora todos los buscadores y plataformas líderes del mercado respaldan los estándares de YubiKey, FIDO y WebAuthn en los que fuimos pioneros. Tal y como lo imaginamos en su momento, el número de autenticadores compatibles con FIDO que están ahora en el mercado ha crecido, incluidos los que vienen integrados en ordenadores y teléfonos. Cuantas más organizaciones adopten los estándares más crecerán los ecosistemas, beneficiando así a los usuarios de YubiKey.

Puede que no exista nunca una solución milagrosa para todas las necesidades de autenticación, pero YubiKey se ha diseñado para abarcar el mayor número de casos posible. La línea actual de productos YubiKey es el resultado directo de una innovación continuada y de la colaboración con nuestros clientes, partners y usuarios para conseguir los niveles más altos de seguridad, usabilidad y durabilidad. A continuación se muestra un resumen a alto nivel de las opciones de diseño y producción de Yubico y el porqué de estas decisiones.

Un autenticador externo minimiza la superficie de ataque

Los autenticadores FIDO están ahora integrados directamente en teléfonos y ordenadores, algo ideal para que los clientes los adopten en mayor número y para que aumente la variedad de casos en los que se pueden usar. Sin embargo, estos componentes polivalentes vienen con un vector de ataque más amplio y con riesgos de seguridad potenciales, como es el caso del problema de Intel Spectre.

Expertos en seguridad del mundo físico y del digital están de acuerdo en que minimizar la superficie de ataque es imperativo para lograr una mejor defensa. Para mejorar la seguridad de las cuentas digitales, creamos YubiKey como un autenticador externo que se centra exclusivamente en la autenticación y en el cifrado sin estar conectado a internet. A diferencia de otros autenticadores integrados, la YubiKey puede funcionar sin baterías, funciona en todos los ordenadores y teléfonos y sirve como una raíz de confianza asequible para todos los dispositivos.

Los dispositivos de menor tamaño reducen el impacto medioambiental

YubiKey se ha diseñado para ser muy duradera. Cuenta con un diseño monobloque, sin baterías y sin piezas móviles. El diseño más común de YubiKey tipo llavero tiene un peso similar a una tarjeta de crédito. Hemos diseñado todos nuestros productos y embalajes para que sean lo más livianos y planos posible, ayudando así a minimizar el volumen de los envíos y la huella de carbono.

USB y NFC son factores de forma seguros y fáciles de usar

Algunos de los autenticadores FIDO (incluidos los teléfonos, los ordenadores y las llaves de seguridad) utilizan la comunicación Bluetooth Low Energy (BLE) durante el flujo de autenticación. Sin embargo, el Bluetooth fue concebido para audio, no para seguridad. A pesar de que se han llevado a cabo mejoras de seguridad desde que se crearon las primeras especificaciones de BLE, todavía existe el riesgo de que esta se vea comprometida dentro de un rango de varios metros. Además, BLE añade complejidad para los usuarios, lo que aumenta el número de llamadas a los servicios de asistencia y los costes asociados.

Las investigaciones han probado que en los despliegues masivos de usuario basados en FIDO de YubiKeys con USB y NFC han dado como resultado cero apropiaciones de cuentas y una reducción del 92 % de las llamadas para asistencia lo que conlleva decenas de millones de ahorro en costes.

Los elementos seguros ofrecen mayor protección física

En general, permitir que el código sea analizado por un número más amplio personas es bueno para la seguridad, pero, desafortunadamente, los problemas de seguridad del código abierto, como el caso de Heartbleed, son también una realidad.

La primera YubiKey se fabricó con componentes ya listos para usar. Algo más tarde, para mejorar la seguridad física de la YubiKey, decidimos fabricar nuestro hardware en elementos seguros, que también se usan en los chips de las tarjetas de crédito y de los pasaportes. Los elementos seguros aseguran la autenticidad del origen de los componentes y ayudan a evitar que los estafadores que estén en posesión física del dispositivo extraigan o alteren el código.

Los elementos seguros de vanguardia no permiten implementaciones de código abierto ya que los chips están protegidos y tienen restricciones en cuanto a documentación y herramientas. Para salvaguardar la calidad y la integridad de los productos de Yubico, nuestros equipos de ingenieros y de seguridad llevan a cabo revisiones continuas de seguridad internas y también realizadas por terceros.

La biometría y los PIN coexistirán en un mundo sin contraseñas

FIDO y WebAuthn nos van a ayudar en breve a olvidar nuestras complicadas contraseñas y a sustituirlas por autenticadores FIDO físicos con una potente criptografía de clave pública. Estos dispositivos serán el primer factor fuerte (lo que se tiene) y podrán combinarse con un PIN (lo que se sabe) y con biometría (lo que se es).

Aunque la biometría tiene ventajas, las imágenes estáticas como las de huellas digitales no son necesariamente más seguras que un PIN. Este mismo año, Yubico lanzará YubiKey Bio, que soportará tanto las huellas digitales como los PIN. El producto vendrá con un diseño fino y robusto y con prestaciones de seguridad mejoradas en comparación con las que están disponibles en el mercado hoy en día.

La cadena de suministro importa

Los productos de Yubico se fabrican en los Estados Unidos y en Suecia. Nos lo pensamos bien antes tomar esta decisión para asegurar así la integridad de nuestros productos. FIDO únicamente certifica la interoperabilidad, pero actualmente no ha establecido política de seguridad alguna ni lleva a cabo revisiones de la seguridad del producto. Por lo tanto, corresponde a los usuarios y a los prestadores de servicios elegir los proveedores en los que confiar.

La autenticación sigue evolucionando

La YubiKey se diseñó pensando en el futuro. Para crear una hoja de ruta perfecta desde el presente hacia el futuro, hemos incluido protocolos de seguridad previamente existentes y otros más actualizados en un mismo dispositivo.
Para poder hacer que un autenticador funcione con una amplia gama de sistemas, servicios y aplicaciones, la YubiKey soporta contraseñas estáticas, contraseñas de un solo uso (OTP, por sus siglas en inglés), tarjeta inteligente (PIV, por sus siglas en inglés), OpenPGP, FIDO U2F y FIDO2.

El nuevo modelo de suscripción de Yubico, YubiEnterprise, permite a las empresas actualizar un porcentaje de sus YubiKeys a medida que se introducen nuevos modelos y características.

Seguimos adelante con nuestra misión de hacer un internet más seguro para todos

Dado el crecimiento del mercado de los autenticadores FIDO, nuestros clientes nos preguntan qué opciones tienen. En general, respondemos que se centren en FIDO2 y WebAuthn, que prueben muchos de los autenticadores disponibles y, finalmente, que usen los comentarios de los usuarios y las estadísticas de implementación para tomar una decisión. Con códigos abiertos, los prestadores de servicios y los usuarios no están limitados a un proveedor o a una sola opción de diseño, sino que pueden cambiar a medida que el mercado evoluciona.

Para ganar cuota de mercado y confianza a largo plazo, en Yubico seguiremos innovando, impulsando los códigos abiertos y centrándonos en nuestros clientes.

Talk to our teamTalk to our team

Share this article: