Inicio / Software / How-To
How-To

Cómo configurar llaves hardware de seguridad con tu Apple ID

Apple añade el soporte de uso de llaves hardware para reforzar la seguridad en torno a Apple ID
Por Alfonso Casas y Glenn Fleishman
Macworld MAY 8, 2023 12:48 am PDT
yubikey
Imagen: Yubikey/Foundry

El ID de Apple puede llegar a ser la clave que brinda acceso a los tesoros que guardas en la nube, pero si la clave o el acceso cae en manos equivocadas, puede provocar que un intruso llegue a destruir tus recuerdos y contactos que tengas almacenados, además de que pueda acceder a tu información financiera restableciendo contraseñas.

Apple sigue buscando formas adicionales para proteger tu vida online y la de tus dispositivos añadiendo medidas de seguridad extra cuando inicias sesión en tu Apple ID y a través de los sitios web iCloud.com. La última mejora llegó el pasado mes de enero de 2023 y tan solo es necesario que estés usando al menos iOS 16.3, iPadOS 16.3 o macOS 13.2 en tus dispositivos.

Esta actualización te permite usar llaves hardware de seguridad que se conectan a través de un puerto USB o Lightning, o bien, se conectan a través de NFC como un “segundo factor” de autenticación, un extra de seguridad adicional que permite demostrar que eres el titular legítimo de la cuenta.

Está diseñado en torno a un protocolo respaldado por la industria llamado FIDO (por el nombre del grupo comercial que lo desarrolló), y se trata del uso de una llave de seguridad que tiene un chip en su interior que puede generar un conjunto de claves de cifrado para cada sitio en el que te registras con la clave de seguridad.

No se pueden falsificar, interceptar ni duplicar. De hecho, necesitas ser propietario de una llave física para poder usarla.

Actualmente, varias son las empresas que comercializan estas llaves. La firma Yubico fue pionera y tiene la mayor variedad, incluida una que tiene conectores USB-C y Lightning en cada uno de sus extremos.

Su precio puede oscilar entre los 20 y los 60 € en función del modelo. Aunque algunas empresas las regalan como promoción para mejorar la seguridad de las cuentas, Apple exige dos para poder inscribirlas en la cuenta de Apple ID.

Por qué deberías usar una llave hardware de seguridad

El coste de dos llaves y la necesidad de tenerlas cada vez que necesites iniciar sesión en tu cuenta ID de Apple podría ser algo en su contra para que llegue a tener una gran adopción.

El actual sistema de autenticación de doble factor (2FA) basado en códigos que emplea Apple es posible que funcione bien para la mayoría, y sólo requiere la posesión de un dispositivo de confianza asociado a tu cuenta Apple ID o a un número de teléfono que hayas validado para que sea de confianza para recibir mensajes de texto o llamadas de voz automáticas.

Sin embargo, las llaves hardware de seguridad se utilizan cada vez en más sitios web como método de protección más robusta y, si empiezas a utilizarlas, puede que te resulte más cómodo que otros métodos de inicio de sesión.

¿Cuáles son las ventajas que aportan? Pues en esencia, puedes utilizar la misma llave hardware en varios dispositivos y plataformas, por lo que no estás atando el inicio de sesión a, por ejemplo, el sistema de sincronización del llavero de iCloud.

Si estás interesado en cambiar a las claves de cifrado por hardware para los inicios de sesión de tu ID de Apple, en primer lugar deberás comprar dos de las llaves que hemos mencionado anteriormente y después seguir leyendo.

Oferta de llaves hardware de seguridad de la marca Yubico FIDO
La oferta de llaves FIDO de Yubico es muy completa e incluye muchos tamaños y conectores.

Yubico

Una nota importante: Apple no deja muy claro en su documento sobre las llaves de seguridad para Apple ID, que las llaves de seguridad sustituyan al envío por parte de la empresa de códigos de seis dígitos a través de dispositivos o números de teléfono de confianza.

Apple señala: “Una clave de seguridad puede actuar como la segunda pieza de información, en lugar del código de verificación de seis dígitos que se utiliza normalmente.” Sin embargo, en las pruebas realizadas, con las llaves de seguridad activadas no se puede utilizar el método basado en códigos.

Al desactivar las llaves de seguridad, se vuelve de manera automática a los códigos.

Cómo funcionan un par de llaves

Las claves de seguridad utilizan criptografía de clave pública, algo de lo que quizá hayas oído hablar antes. Toda la complejidad queda oculta para el usuario, uno de los objetivos de la Alianza FIDO.

En la criptografía de clave pública, cada vez que se necesita una nueva identidad -por ejemplo, una clave para demostrar que eres propietario de una cuenta en un sitio web-, un sistema operativo u otro software generan aleatoriamente una clave robusta mediante la cual, obtienes una clave pública y otra privada que se entrelazan matemáticamente.

El software o hardware mantienen la clave privada en estricto secreto. Por lo general, nunca sale de tu dispositivo y puede que ni siquiera sea accesible por parte del propietario. La clave pública, sin embargo, puede compartirse libremente. Otros poseedores de tu clave pública pueden utilizarla tanto para cifrar mensajes que sólo tú puedes leer tú, descifrándolos con tu clave privada, como para verificar que un documento u otro mensaje que les envías es válido.

Tu dispositivo puede “firmar” criptográficamente un mensaje con la clave privada, y cualquiera que tenga la clave pública puede estar seguro de que sólo lo has firmado tú.

Con una llave de seguridad de hardware y los protocolos FIDO, te registras en un sitio web a través de la configuración de tu cuenta para utilizar la autenticación de doble factor con una clave hardware. Tu llave hardware crea el secreto único para el sitio y transmite la clave pública al sitio, la cual es almacenada con la información de tu cuenta.

Cuando inicies sesión más tarde, ocurrirá lo siguiente:

  • El sitio emite un mensaje utilizando la clave pública que almacenó previamente para tí.
  • Tu sistema operativo se comunica con la clave de seguridad para que genere una respuesta, firmando el mensaje con la clave privada de ese sitio web. (Si la clave pública proporcionada por el sitio web no coincide, indica un posible intento de phishing, y el proceso falla).
  • Tu sistema operativo devuelve el mensaje firmado.
  • El sitio web utiliza la clave pública almacenada para validar que eres tú. Si es así, ya has iniciado sesión.

Aunque todo esto pueda parecer complicado, todo se realiza de manera transparente para el usuario. Para utilizar una llave de seguridad, tienes que insertarla cuando se te pida en un conector USB tipo A, USB-C o Lightning y pulsarla o tocarla.

Puedes dejarla insertada y activarla cuando te lo pida tu dispositivo o la página web. Con una llave de seguridad de tipo NFC contactless, bastará con acércala a un dispositivo compatible con NFC. La llave de seguridad genera entonces la información en el momento de la inscripción o cuando vuelvas a iniciar sesión más tarde.

Registra tu Apple ID con llaves hardware de seguridad

Puedes inscribirte en la autenticación con llave de seguridad para tu Apple ID a través de iOS 16.3/iPadOS 16.3 o versiones posteriores, así como con macOS 13.2 o posterior. No puedes inscribirte en iCloud.com ni en el sitio web del ID de Apple.

Apple exige que tengas al menos dos llaves de seguridad por si pierdes una. Es conveniente que las guardes en lugares diferentes.

En cualquier situación anterior en la que se te pida introducir un código para la autenticación, necesitarás tener a mano una de tus llaves de seguridad. Apple señala explícitamente que siempre es así para todas las tareas que listamos a continuación:

  • Añadir un nuevo dispositivo.
  • Iniciar sesión en una página web de Apple con tu Apple ID.
  • Restablecer la contraseña de tu ID de Apple.
  • Desbloquear una cuenta de Apple ID bloqueada.
  • Añadir o eliminar claves de seguridad (pero no eliminar por completo la autenticación de claves de seguridad).

Advertencia Si pierdes ambas llaves (o si te las roban, se rompen o destruyen), puedes seguir confiando en los dispositivos de confianza para recuperar el acceso a la cuenta o eliminar las claves y registrar otras nuevas.

Sin embargo, si no puedes utilizar tus claves de seguridad y pierdes el acceso a todos los dispositivos de confianza, es probable que tu cuenta de Apple ID quede inutilizada de por vida.

Después de habilitar las llaves de seguridad, debes usar un iPhone o iPad siempre que necesites iniciar sesión en un nuevo Apple Watch, Apple TV o HomePod (cualquier modelo). No puedes usar un Mac para este fin.

Cómo configurar una llave de seguridad y asociarla a tu Apple ID (macOS)

A continuación te explicamos cómo configurar llaves de seguridad para tu Apple ID en macOS:

  1. Dirígete a ‘Configuración> Ajustes del sistema> Nombre de cuenta> Contraseña y seguridad’ y haz clic en ‘Añadir’ a la derecha de la etiqueta ‘Claves de seguridad’.
  2. Apple ofrece una descripción general de cómo afectan las llaves de seguridad a tu cuenta. Haz clic en ‘Añadir llaves de seguridad’ para continuar.
  3. Apple te advierte de que se necesitan dos llaves; haz clic en ‘Continuar’.
  4. Aunque en el cuadro de diálogo aparezca ID de Apple y “ID de Apple desea realizar cambios”, introduce la contraseña de tu cuenta de macOS y haz clic en ‘Permitir’.
  5. Para añadir cada llave de seguridad, se te presentará una pantalla ‘Añadir la primera llave de seguridad’ o ‘Segunda llave de seguridad’. Sigue estos pasos para ambos casos:
    1. Haz clic en ‘Continuar’.
    2. Cuando se te pida que añadas llaves de seguridad, inserta la llave si tiene conector y actívala: pulse un botón, mantenla pulsada de una forma determinada o toca sobre ella.
    3. Pon un nombre único a la llave -quizá escribe un número en ella con un rotulador indeleble- y haz clic en ‘Continuar’. Por defecto, Apple rellena y asigna un nombre concreto a la llave.
Apple rellena y asigna un nombre a la llave
Haz clic en Añadir para iniciar el proceso.
  1. Después de registrar ambas llaves, Apple ofrece una lista de los dispositivos con los que has iniciado sesión en tu cuenta de iCloud. Puedes seleccionar los que deseas desconectar en este paso, hacer clic en ‘Mantener la sesión iniciada’ en todos o incluso hacer clic en ‘Cancelar’ para finalizar el proceso.
  2. En la pantalla de confirmación, haz clic en ‘Listo’.

Apple enviará un correo electrónico a la dirección asociada a tu Apple ID de Apple para confirmar la inscripción (o avisarte).

Cómo configurar una llave hardware de seguridad con tu Apple ID (iOS/iPadOS)

El proceso es casi idéntico al de macOS, salvo por dos diferencias:

  • Empieza en ‘Ajustes> Nombre de cuenta> Contraseña y seguridad’ y toca en ‘Añadir claves de seguridad’.
  • Cuando se te pida añadir una llave en el paso 5->1 anterior, también puedes acercar una llave de seguridad equipada con NFC a la parte superior de tu iPhone o iPad y ésta será reconocida y activada.

Cómo eliminar las llaves de seguridad o desactivarlas por completo

Apple no requiere que una llave de seguridad esté presente para eliminarla o desactivarla como dispositivo de autenticación de tu cuenta.

Para hacerlo, dirígete a ‘Ajustes (iOS/iPadOS)/Ajustes del sistema (macOS)> Nombre de cuenta> Contraseña y seguridad’. Pulsa en ‘Claves de seguridad’ o haz clic en ‘Editar’ junto a la etiqueta ‘Claves de seguridad’.

(Esto supone un riesgo para la seguridad: alguien con acceso al código de acceso de tu iPhone o iPad puede desactivar la autenticación por clave de seguridad de hardware y luego utilizar la verificación de doble factor basada en código , como comenta en un artículo el Wall Street Journal que puede suceder sobre robos y ataques físicos).

Apple te permite ver llaves y cuando las has registrado
Apple te permite ver tus llaves y cuándo las has registrado.

Puedes eliminar una sola llave sólo si tienes tres o más inscritas.

En iOS/iPadOS:

  • Toca una entrada y podrás cambiarle el nombre, o toca ‘Eliminar clave’ y confirma para eliminarla. Necesitarás una llave de seguridad para terminar.
  • Pulse Eliminar ‘todas las claves’ y confirma pulsando ‘Eliminar’ para desactivar la autenticación. A continuación, introduce el código de acceso de tu iPhone o iPad.
  • Pulsa ‘Añadir clave de seguridad’ para registrar llaves adicionales. Apple te pedirá una de tus llaves de seguridad existentes para finalizar.

En macOS:

  • Haz clic en el nombre de una entrada para cambiar el nombre.
  • Seleccione una entrada y haga clic en el icono menos (-) para eliminarla y confirmar su eliminación; a continuación, proporcione la clave de seguridad.
  • Haz clic en ‘Eliminar todas las llaves’ e introduce la contraseña de tu cuenta de macOS.
  • Haga clic en el icono más (+) para inscribir llaves adicionales. Apple te pedirá que introduzcas una llave de seguridad ya registrada para finalizar.

En ambos casos, la 2FA basada en código habrá sido reactivada de nuevo.