defensiva
FIDO2
WebAuthn
passkeys

Qué es FIDO2: MFA resistente a phishing y passkeys

Qué es FIDO2: estándar abierto de FIDO Alliance con WebAuthn y CTAP, base de las passkeys y de la MFA resistente a phishing frente a TOTP y SMS.

Secra6 de julio de 202611 min de lectura

FIDO2 es el estándar abierto de autenticación que sustituye la contraseña por criptografía de clave pública y que hace posibles las passkeys y la MFA resistente a phishing. Lo desarrollan la FIDO Alliance y el W3C, y en 2026 es la base técnica sobre la que se apoyan Apple, Google, Microsoft y prácticamente todos los proveedores de identidad para eliminar el secreto compartido, el eslabón más débil de la autenticación tradicional. Cuando un usuario se registra con una passkey o pulsa una llave de seguridad, por debajo está trabajando FIDO2.

Esta guía explica qué es FIDO2, sus dos componentes (WebAuthn y CTAP), cómo se construyen las passkeys encima, por qué es resistente a phishing frente a TOTP, SMS y push, qué llaves de seguridad físicas existen y cómo abordar un despliegue empresarial sin quedarte bloqueado por la recuperación de cuentas.

Lo esencial sobre FIDO2

  • FIDO2 no es un producto, es un estándar abierto compuesto por WebAuthn (API del navegador) y CTAP (protocolo hacia el autenticador).
  • Se basa en criptografía de clave pública: el secreto (la clave privada) nunca sale del dispositivo ni viaja por la red.
  • Es resistente a phishing porque la firma está ligada al origen (dominio), así que no funciona en un dominio suplantado.
  • Las passkeys son credenciales FIDO2 descubribles, sincronizables entre dispositivos o ancladas a hardware.
  • Encaja con NIS2, ISO 27001 A.5.17, ENS y el nivel AAL3 de NIST SP 800-63B, y es la MFA que recomiendan CISA e INCIBE frente a ataques de intermediario.

Qué es FIDO2

FIDO2 es un marco de autenticación sin contraseña basado en pares de claves criptográficas. En el registro, el autenticador (tu teléfono, tu portátil o una llave física) genera un par de claves único para ese servicio: la clave privada se queda custodiada en el dispositivo, protegida por hardware seguro (Secure Enclave, TPM, elemento seguro de la llave), y la clave pública se envía al servidor, que la guarda asociada a tu cuenta.

En cada inicio de sesión el servidor envía un reto (challenge) aleatorio. El autenticador lo firma con la clave privada, previa verificación del usuario (huella, rostro o PIN), y devuelve la firma. El servidor la valida con la clave pública que guardó. Nunca se transmite un secreto reutilizable, así que no hay nada que robar en tránsito, nada que filtrar en una brecha de base de datos y nada que reutilizar en un ataque de credential stuffing.

Este diseño es lo que separa a FIDO2 de la contraseña y del segundo factor tradicional: la seguridad no depende de que el usuario elija un secreto largo ni de que el servidor lo almacene bien, sino de una propiedad matemática y del control físico del dispositivo.

FIDO2 = WebAuthn + CTAP

FIDO2 se entiende mejor como la suma de dos especificaciones que trabajan juntas.

WebAuthn: la API del navegador

WebAuthn (Web Authentication) es la recomendación del W3C que expone la autenticación FIDO2 a las aplicaciones web. Es una API JavaScript (navigator.credentials.create() para registrar y navigator.credentials.get() para autenticar) implementada de forma nativa en Chrome, Safari, Firefox y Edge. El servidor (que en la jerga se llama relying party) envía sus parámetros, el navegador orquesta la interacción con el autenticador y devuelve una aserción firmada.

Aquí aparece la pieza clave de la resistencia a phishing: WebAuthn liga cada credencial al rpId, el identificador del dominio de la relying party. La firma solo se produce para el origen legítimo. WebAuthn admite dos tipos de autenticador: de plataforma (integrados, como Touch ID, Windows Hello o el sensor del móvil) y itinerantes o roaming (externos, como una YubiKey por USB o NFC).

CTAP: el protocolo hacia el autenticador

CTAP (Client to Authenticator Protocol), en su versión actual CTAP2, es el protocolo que permite al navegador o al sistema operativo comunicarse con un autenticador externo por USB, NFC o Bluetooth. Es lo que hace que una llave física conectada por USB-C, o tu teléfono usado como llave por proximidad, pueda participar en el flujo WebAuthn.

La regla mental es simple: WebAuthn habla con el navegador, CTAP habla con el autenticador. Juntos forman FIDO2. Un autenticador de plataforma puede resolver todo internamente sin CTAP; un autenticador itinerante necesita CTAP como puente. Las firmas usan algoritmos COSE como ES256 (ECDSA con P-256) o EdDSA, negociados durante el registro.

Cómo se construyen las passkeys sobre FIDO2

Una passkey es, técnicamente, una credencial FIDO2 descubrible (antes llamada resident key): la clave se almacena en el autenticador junto a los metadatos de la cuenta, de modo que el usuario no necesita teclear su nombre de usuario. El dispositivo ya sabe qué credencial ofrecer para cada sitio.

Las passkeys se dividen en dos familias que conviene distinguir en un diseño empresarial:

  • Passkeys sincronizadas: se replican de forma cifrada entre los dispositivos del usuario a través de iCloud Keychain, Google Password Manager o un gestor como 1Password o Bitwarden. Cómodas para consumo y para PYMEs, porque sobreviven a la pérdida del móvil.
  • Passkeys ancladas al dispositivo (device-bound): la clave nunca sale del hardware. Es el modelo de las llaves físicas y el que exige la alta seguridad, porque el factor "algo que tienes" es literal.

Cada credencial lleva un AAGUID que identifica el modelo de autenticador, un credential ID y opcionalmente una atestación (attestation) que prueba de qué fabricante procede. La atestación es lo que permite a una empresa exigir que solo se registren autenticadores homologados, un control decisivo en entornos regulados.

Por qué FIDO2 es resistente a phishing

La MFA tradicional añade un segundo factor, pero muchos de esos factores siguen siendo secretos que el usuario puede entregar por error a un atacante. FIDO2 elimina esa posibilidad de raíz.

FactorSecreto compartidoVulnerable a phishing/AiTMLigado al origen
SMS OTPSí (código)Sí, y además a SIM swappingNo
TOTP (Google Authenticator)Sí (semilla y código)Sí, se puede reintroducir en un proxyNo
Push con aprobaciónSí (la aprobación)Sí, MFA fatigue y AiTMNo
FIDO2 / passkeyNoNoSí (rpId)

Tres propiedades explican la diferencia. Primero, no hay secreto compartido: no existe un código que el usuario pueda leer y pegar en una web falsa. Segundo, la credencial está ligada al origen: aunque el usuario caiga en un dominio suplantado, el autenticador no firmará para ese dominio, así que un kit de intermediario tipo Evilginx no obtiene nada usable. Tercero, es resistente a ataques de intermediario (AiTM) que hoy sortean el push y el TOTP robando la cookie de sesión, porque no hay reto que un proxy pueda reenviar con éxito a otro origen.

Por eso CISA clasifica FIDO2 como la única MFA verdaderamente resistente a phishing y la sitúa por encima del TOTP y del push. Es también la implementación natural del principio de verificación fuerte en una arquitectura Zero Trust, donde la identidad es el nuevo perímetro.

Llaves de seguridad FIDO2: el hardware

Cuando el requisito es máxima seguridad o cumplimiento estricto, la opción es una llave de seguridad FIDO2: un dispositivo físico dedicado que actúa como autenticador itinerante vía CTAP2. Las referencias del mercado en 2026:

  • YubiKey 5 (Yubico): la más extendida en empresa. Formatos USB-A, USB-C, NFC y Lightning. Soporta FIDO2/WebAuthn, además de PIV (smart card), OpenPGP y TOTP en el mismo dispositivo.
  • Google Titan Security Key: FIDO2 por USB-C y NFC, buena relación precio prestaciones para despliegues amplios.
  • Feitian y Token2: alternativas competitivas con formatos biométricos y variantes económicas para dotar a plantillas grandes.

Para el diseño empresarial, la regla práctica es entregar dos llaves por usuario crítico: una de uso diario y otra de respaldo guardada en lugar seguro. Esto resuelve de antemano el problema de recuperación que suele descarrilar los proyectos. Las llaves son inmunes al malware del puesto (la clave privada nunca sale del elemento seguro) y a la clonación, lo que las convierte en el factor "algo que tienes" más robusto disponible, comparable en garantías a un certificado en tarjeta inteligente respaldado por una PKI.

Despliegue empresarial: roadmap y recuperación

Un despliegue FIDO2 en una organización se apoya en el proveedor de identidad. Microsoft Entra ID, Okta, Ping y Google Workspace soportan WebAuthn de forma nativa, e integrarlo en tu gestión de identidades y accesos suele ser cuestión de política, no de reingeniería.

Un roadmap realista por fases:

  1. Piloto con administradores y cuentas privilegiadas. Son el objetivo más valioso y donde el ataque de intermediario duele más. Empieza con llaves físicas device-bound.
  2. Registro con atestación obligatoria. Configura la política para aceptar solo autenticadores homologados (por AAGUID) en las cuentas sensibles. Apóyate en la FIDO Metadata Service.
  3. Passkeys para el grueso de la plantilla. Passkeys de plataforma (Windows Hello, Touch ID) para el trabajo diario, con acceso condicional que exija factor resistente a phishing en los recursos críticos.
  4. Jubilación progresiva de factores débiles. Retira SMS y, cuando la cobertura sea suficiente, el TOTP. Una MFA fuerte conviviendo con un SMS de respaldo baja al nivel del eslabón más débil.

El punto que hunde los proyectos es la recuperación. Si un usuario pierde su único autenticador y el único camino de recuperación es un SMS o una pregunta de seguridad, has reintroducido justo el vector que querías eliminar. Diseña la recuperación con antelación: registro obligatorio de dos autenticadores por usuario, llaves de respaldo custodiadas, y para casos límite un proceso asistido por el service desk con verificación de identidad reforzada, no un simple correo de restablecimiento.

Preguntas frecuentes

¿Las passkeys reemplazan a las contraseñas?

Esa es la dirección, pero la transición dura años. Una passkey ofrece seguridad muy superior (sin secreto compartido, resistente a phishing, ligada al dispositivo) y mejor experiencia, y en muchos servicios ya puede ser el único método. Sin embargo, las contraseñas conviven por inercia de aplicaciones legacy y por casos de recuperación. El objetivo razonable en 2026 es passkey primero donde se pueda y contraseña solo como fallback donde no haya alternativa.

¿Cuál es la diferencia entre FIDO2 y WebAuthn?

WebAuthn es una parte de FIDO2, no un sinónimo. FIDO2 es el estándar completo y se compone de dos piezas: WebAuthn, la API que usan el navegador y la aplicación web, y CTAP2, el protocolo que comunica el cliente con un autenticador externo. Cuando alguien dice "iniciar sesión con WebAuthn" se refiere al flujo visible en el navegador, pero por debajo, si hay una llave física de por medio, también está actuando CTAP.

¿FIDO2 es MFA?

Sí, y de la más fuerte. Una autenticación FIDO2 combina "algo que tienes" (el autenticador con su clave privada) y "algo que eres o sabes" (la verificación de usuario mediante biometría o PIN que desbloquea la clave). Eso satisface la definición de multifactor en un solo gesto y alcanza el nivel AAL3 de NIST SP 800-63B, el más alto, algo que ni el SMS ni el TOTP consiguen.

¿Una passkey sincronizada es menos segura que una llave física?

Tiene un modelo de amenaza distinto. La passkey sincronizada es más cómoda y sobrevive a la pérdida del dispositivo, pero su seguridad depende de la cuenta de nube que la replica (iCloud, Google). La llave física device-bound no se sincroniza nunca, así que exige respaldo físico pero elimina el riesgo del proveedor de nube. Para cuentas privilegiadas y entornos regulados, el hardware device-bound sigue siendo la recomendación.

¿Funciona FIDO2 si no tengo conexión con el servidor de identidad en cada paso?

El autenticador opera en local: genera y custodia la clave, y firma el reto sin depender de servicios externos más allá del propio servidor que emite el challenge. Esto lo hace robusto frente a fallos de servicios de terceros y elimina dependencias como la recepción de un SMS, que puede fallar por cobertura o por SIM swapping.

Recursos relacionados

FIDO2 con Secra

En Secra ayudamos a organizaciones B2B a diseñar y desplegar autenticación resistente a phishing sin romper la operación. Evaluamos tu stack de identidad, definimos el modelo de passkeys y llaves físicas según criticidad, resolvemos la recuperación antes de que sea un problema y encajamos todo con tu marco normativo (NIS2, ENS, ISO 27001). Si tu organización quiere jubilar el SMS y el TOTP y adoptar FIDO2, contacta con Secra o revisa nuestros servicios de consultoría GRC.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo