Sus inicios de sesión más valiosos (correo electrónico, registradores de dominios, banca, paneles de control en la nube, gestores de contraseñas) conllevan un riesgo desmesurado. Si uno de ellos falla, todo lo que está conectado a él puede caer después. La buena noticia es que no necesita un presupuesto empresarial para reforzarlos. Tres pasos le permitirán alcanzar la mayor parte de su objetivo: inscriba claves de seguridad de hardware que admitan FIDO2/WebAuthn, asigne a esas claves nombres que pueda reconocer en situaciones de estrés y realice un simulacro de recuperación rápida para saber que nada se estropeará si se le estropea el teléfono o le roban el portátil. No se trata tanto de acumular gadgets como de eliminar la incertidumbre. Un segundo factor que nunca llega, una aplicación de autenticación vinculada a un dispositivo perdido o una información de recuperación imprecisa pueden dejarte fuera de juego en el peor momento. Con dos claves físicas, etiquetas claras y una ruta de respaldo practicada, te aseguras el éxito y mantienes la rapidez de inicio de sesión en los dispositivos que utilizas a diario.
Añade al menos dos claves de seguridad FIDO a todas las cuentas de alto valor
Empieza por registrar dos claves de hardware en cualquier lugar donde se ofrezca: proveedor de correo electrónico, gestor de contraseñas, servicios financieros, plataformas de desarrolladores y consolas en la nube. Las claves modernas utilizan WebAuthn/FIDO2, que evita el phishing al vincular la autenticación al origen real del sitio. Elija una clave «itinerante» que funcione en todos los dispositivos (USB-C con NFC es una excelente opción versátil) y, si su plataforma lo admite, añada una «clave de plataforma» en su teléfono o portátil principal para mayor comodidad diaria. Mantenga una clave de hardware en su llavero como principal y guarde la de respaldo fuera del sitio en una pequeña caja ignífuga. Durante la transición, no elimine inmediatamente su aplicación de autenticación ni los códigos TOTP; déjelos habilitados durante una semana y compruebe que todas las rutas de inicio de sesión funcionan. Siempre que sea posible, reduzca el uso de SMS a un último recurso. Por último, confirme que los proveedores críticos utilizan FIDO de forma predeterminada en las nuevas sesiones y repita el registro en cualquier lugar donde la configuración de seguridad esté aislada, como paneles de control separados para la facturación y el acceso de los desarrolladores.
Asigna a cada clave un nombre claro y una etiqueta física que puedas entender rápidamente.
En la configuración de seguridad de cada cuenta, cambie el nombre de las claves para que en el futuro sepa al instante qué es cada cosa. Utilice un esquema sencillo y duradero, como «YubiKey-NFC-Principal-2025» y «Clave-de-reserva-Oficina-Caja». Si el sitio le permite añadir notas, incluya el tipo de conector (USB-C, NFC) y los dispositivos con los que lo utiliza habitualmente. El etiquetado físico también es importante: añada una pequeña pegatina o etiqueta con un identificador breve y un método de contacto no confidencial, como un alias de correo electrónico. Evite imprimir los nombres de las cuentas directamente en la llave; las etiquetas deben ayudarle a identificar el dispositivo sin dar pistas al atacante. Mantenga un inventario ligero en las notas seguras de su gestor de contraseñas: una entrada para cada llave, dónde se encuentra y las cuentas en las que está registrada. Para familias o equipos pequeños, añada las iniciales del propietario y un código de color para no registrarla por error. Los nombres claros evitan clics por pánico y eliminaciones accidentales cuando se limpian los dispositivos o se rotan los equipos.
Realice un simulacro de recuperación anual para que un dispositivo perdido nunca le deje fuera
Una vez al año, simule un mal día. En un perfil de navegador nuevo o en un dispositivo de repuesto, cierre sesión en todas partes y, a continuación, intente volver a iniciar sesión en su cuenta más importante utilizando únicamente los métodos registrados. Demuestre que puede autenticarse con su llave de hardware principal y, a continuación, confirme que la llave de hardware de respaldo también funciona. A continuación, pruebe su ruta sin hardware: utilice una clave de acceso almacenada en su teléfono o sus códigos TOTP y compruebe que los correos electrónicos de recuperación llegan realmente a una bandeja de entrada supervisada. Rote los códigos de respaldo si su proveedor admite su regeneración y guarde el nuevo conjunto en el almacenamiento seguro de archivos de su administrador de contraseñas. Compruebe que su número de teléfono de rescate y su correo electrónico secundario estén actualizados, y elimine los dispositivos antiguos de la lista de «dispositivos de confianza». Cuando haya terminado, anote dos líneas en su registro de seguridad con la fecha y los resultados. Configure un recordatorio en el calendario para repetir este ejercicio cada año; los pequeños ensayos evitan grandes bloqueos.
Deja una respuesta