Noticia Seguridad física para tus cuentas: guía de uso de OnlyKey en móvil

compudemano

compudemano

Moderador
26 Jul 2013
403.764
47
38
Cr 15 13-35 Lc 1 Los Alpes, Pereira - Colombia
www.compudemano.com
Seguridad física para tus cuentas guía de uso de OnlyKey en móvil


Si tienes un OnlyKey y un móvil Android, es muy probable que hayas encontrado tutoriales sueltos, foros en inglés y guías incompletas que no terminan de explicar cómo sacarle partido al dispositivo en el día a día. Aquí vas a ver todo unificado: desde cómo conectarlo por OTG hasta usarlo como llave FIDO2, teclado seguro, generador TOTP o para cifrar archivos directamente desde el navegador del teléfono.

La idea es que, al terminar de leer, tengas claro qué necesitas comprar, cómo enchufar el OnlyKey al móvil, qué permisos hay que aceptar y qué flujos reales de uso funcionan mejor combinándolo con la biometría de Android (huella, rostro o PIN). Verás también cómo encaja OnlyKey frente a otras llaves U2F/FIDO2 y qué problemas típicos puedes encontrarte con navegadores, tiempo TOTP o compatibilidades.

OnlyKey y móviles Android: cómo se llevan en la práctica​


Los smartphones modernos con Android incluyen ya un autenticador de hardware interno compatible con FIDO2/WebAuthn, que es lo que usan muchas webs cuando te ofrecen “usar este dispositivo” con huella o PIN. Es decir, tu propio móvil puede comportarse como una llave de seguridad integrada sin necesidad de accesorios.

Sin embargo, OnlyKey añade una capa extra porque separa tus secretos del teléfono: almacena contraseñas complejas, soporta varios factores 2FA (TOTP, FIDO2/U2F, OTP estilo YubiKey, challenge-response HMAC), guarda claves PGP y permite cifrar/firmar archivos o mensajes. En Android, el uso más cómodo es emplear OnlyKey para el primer inicio de sesión y después dejar que la biometría del móvil se encargue de los accesos diarios.

Con este enfoque te obligas a usar contraseñas largas y 2FA fuerte en el alta inicial, gestionadas por OnlyKey, y luego disfrutas de la rapidez de la huella o el reconocimiento facial. El resultado es que aunque alguien robe el móvil, no basta con conocer una contraseña: necesitaría también la biometría o el PIN del dispositivo, y en muchos casos incluso el propio OnlyKey.

Ten presente además que OnlyKey compite en el mismo terreno que otras llaves FIDO2 como YubiKey, Nitrokey, Titan, Authenton o Token2. Todas comparten la base FIDO2/WebAuthn, pero OnlyKey destaca por su enfoque multiprotocolo y la integración profunda con TOTP, PGP, SSH y gestores de contraseñas, algo muy interesante si trabajas desde Linux, usas Firefox y quieres centralizar tu seguridad en un único dispositivo.

Requisitos previos para usar OnlyKey en Android​


Antes de conectar el dispositivo al móvil y volverte loco con ventanas de permisos, conviene revisar una pequeña checklist de requisitos técnicos para que Android reconozca y use correctamente el OnlyKey.

  • Firmware al día: asegúrate de que tu OnlyKey tiene la versión de firmware más reciente. Las actualizaciones corrigen errores, amplían compatibilidades (incluida WebAuthn en navegadores móviles) y añaden mejoras de seguridad. La carga se hace desde la app de escritorio oficial siguiendo la guía del fabricante.
  • Adaptador USB OTG correcto: en Android el OnlyKey actúa como un dispositivo USB. Si tienes un OnlyKey DUO con USB-C podrás conectarlo directamente a la mayoría de smartphones modernos. Si tu modelo es USB-A, necesitarás un adaptador OTG USB-A a USB-C o microUSB certificado para OTG, no vale cualquier cable barato que solo sirva para carga.
  • Permisos USB en Android: la primera vez que lo enchufes, Android mostrará un aviso preguntando si permites que una app (normalmente el navegador) acceda al dispositivo USB. Es clave aceptar este permiso, y si puedes marcar “recordar” mejor, para que no te esté preguntando cada dos minutos.
  • Claves PGP/OpenPGP cargadas si vas a cifrar: si tu objetivo es cifrar o descifrar archivos y mensajes desde el móvil, OnlyKey debe tener ya claves PGP generadas o importadas. Esto se hace con la app de escritorio o usando las herramientas recomendadas por el fabricante antes de pasar a Android.

En paralelo, muchos fabricantes de NAS o servicios corporativos que integran FIDO2 (como servidores con autenticación Passkey, QNAP, etc.) exigen también conexión HTTPS con dominio válido y navegador compatible con WebAuthn. Si vas a usar OnlyKey con este tipo de servicios desde el móvil, revisa que cumples esos requisitos (nombre de dominio, nada de IP directa o SmartURLs que cambien de destino).

Biometría de Android y OnlyKey: combinación inteligente​


Android trae de serie un autenticador FIDO2 interno ligado a huella, rostro o PIN. Esto permite iniciar sesión en muchas webs con “usar este dispositivo” sin tocar el OnlyKey. Lo más sensato para la mayoría de usuarios es combinar ambas cosas en lugar de elegir solo una.

Un flujo muy práctico consiste en usar OnlyKey para el onboarding de nuevas apps y servicios: introduces usuario, contraseña robusta y, si procede, segundo factor (TOTP, FIDO2, OTP). Una vez dentro, activas el desbloqueo con huella o reconocimiento facial que ofrezca la propia app o el navegador.

De este modo, la seguridad inicial es alta porque las credenciales nacen fuera del móvil, en un dispositivo protegido por PIN y resistente a malware, mientras que el día a día es cómodo gracias a la biometría integrada. Si más adelante el servicio soporta Passkeys/FIDO2 residente, puedes registrar también la llave integrada del móvil como otro autenticador y tener redundancia.

En entornos empresariales donde se exigen estándares como FIDO2 obligatorio, Zero Trust o autenticadores certificados, esta combinación de llave física externa + autenticador biométrico interno es justo lo que muchas compañías (Cloudflare, T-Mobile, grandes plataformas) están desplegando a gran escala.

OnlyKey como teclado seguro y generador TOTP en Android​


Cuando lo conectas por USB/OTG, Android detecta OnlyKey básicamente como un teclado HID estándar. Gracias a eso, casi todo lo que hace en un ordenador de sobremesa lo puede reproducir igual en el móvil, sin apps adicionales.

  • Contraseñas estáticas: puedes guardar contraseñas largas, únicas y complejas en los slots de OnlyKey y dejar que el dispositivo las “teclee” en cualquier campo de contraseña de Android, ya sea en apps nativas o en el navegador.
  • Usuario + contraseña en cadena: en un mismo slot se puede configurar que escriba primero el usuario, luego un tabulador o retorno de carro y después la contraseña, adaptándose a formularios más básicos o más puñeteros.
  • OTP tipo YubiKey: OnlyKey también puede emitir OTP compatibles con el formato Yubico® OTP, que se escriben directamente en campo de texto, igual que una YubiKey física configurada en modo OTP.

En cuanto a la autenticación basada en tiempo, OnlyKey puede generar códigos TOTP de 6 dígitos, como haría Google Authenticator o Aegis, renovando el código cada 30 segundos. Aquí hay un detalle importante: OnlyKey no tiene batería interna, así que no almacena la hora cuando se desenchufa.

Si conectas el dispositivo al móvil y pulsas un botón configurado con TOTP sin haber sincronizado la hora antes, OnlyKey escribirá “NOTSET” en lugar del código. La solución es sencilla y funciona tanto en Android como en iOS:


Este pequeño truco convierte a OnlyKey en un auténtico sustituto de la app de autenticación cuando estás fuera de casa: no necesitas la app de escritorio, solo un navegador compatible en el móvil.

OnlyKey como llave FIDO2/U2F/WebAuthn en Android​


guía de uso de OnlyKey en móvil


OnlyKey viene preparado de fábrica para funcionar como llave de seguridad FIDO U2F, FIDO2 y WebAuthn, igual que otros dispositivos del mercado (YubiKey, Nitrokey, Titan, SoloKeys, etc.). En Android el flujo es prácticamente idéntico al de escritorio, solo que todo pasa por el navegador del móvil.

Para registrar OnlyKey como llave de seguridad en una web compatible desde Android, el proceso típico es el siguiente:

  • Conecta OnlyKey al móvil mediante el adaptador OTG apropiado.
  • Introduce el PIN en el teclado táctil del dispositivo para desbloquearlo.
  • Abre Chrome o Firefox y accede a la página donde quieras añadir una llave de seguridad.
  • En la configuración de seguridad de la web elige agregar llave de seguridad FIDO / Security key / Passkey de hardware.
  • Acepta los diálogos emergentes de Android que piden usar un dispositivo de seguridad externo.
  • Cuando la luz azul del OnlyKey parpadee, toca cualquier botón para confirmar el registro.

En los inicios de sesión posteriores, la web disparará el flujo WebAuthn y Android volverá a mostrar el cuadro de autenticación correspondiente. Mientras la luz azul parpadea, OnlyKey bloquea temporalmente la escritura de contraseñas para que no metas un password en un campo equivocado en lugar de confirmar el reto FIDO.

Un punto importante: aunque ya tuvieras la llave registrada desde un PC, muchos servicios tratan cada navegador y dispositivo como un contexto separado. Esto implica que tendrás que repetir el registro de la llave también en Android (y en iOS) para poder usarla allí como FIDO2/U2F.

Cifrado y descifrado de archivos con OnlyKey en Android​


Una de las funciones más potentes del ecosistema OnlyKey es poder cifrar y descifrar archivos directamente desde el navegador del móvil usando las claves PGP almacenadas en el dispositivo. Todo esto se hace vía WebCrypt, la aplicación web oficial alojada en apps.crp.to que se comunica con OnlyKey a través de WebUSB.

Cifrar archivos desde el móvil​


Para cifrar documentos en Android con OnlyKey, el flujo habitual es bastante directo si sigues estos pasos con calma y con los permisos bien aceptados.

  • Conecta el OnlyKey por OTG y desbloquéalo con tu PIN.
  • Abre el navegador y visita .
  • Cuando aparezca el aviso de permisos USB, pulsa en “Permitir” para que el navegador pueda acceder al dispositivo.
  • Si todo va bien, verás un mensaje del estilo “OnlyKey Secure Connection Established”, señal de que la comunicación cifrada está activa.
  • Introduce tu usuario de Keybase u otro identificador compatible para el remitente y el destinatario; si te estás cifrando a ti mismo, basta con repetir tu usuario en ambos campos.
  • Selecciona los archivos que quieres proteger y pulsa en el botón de cifrar y firmar.
  • Acepta las ventanas emergentes adicionales que aparezcan para seguir permitiendo el acceso a OnlyKey.
  • Cuando el dispositivo muestre un código de desafío de varios dígitos, introdúcelo en el propio OnlyKey para autorizar la operación PGP.

Ese código de desafío es una capa de seguridad fuerte que impide que un malware con acceso al navegador pueda ordenar operaciones de cifrado/firmado sin tu interacción física. Si en tu caso priorizas la rapidez sobre la paranoia, en la app de escritorio de OnlyKey puedes desactivar este challenge para PGP y dejar solo una pulsación de botón como confirmación.

Descifrar archivos en Android​


El proceso inverso, descifrar un archivo .gpg recibido, es muy similar:

  • Conecta OnlyKey al smartphone y desbloquéalo con el PIN.
  • Abre el navegador y entra en .
  • Acepta el cuadro de permisos USB cuando aparezca.
  • Comprueba que la web muestra que la conexión segura con OnlyKey está establecida.
  • Introduce tu usuario de Keybase (o el identificador de claves correspondiente).
  • Selecciona el archivo cifrado con extensión .gpg y pulsa en descifrar.
  • Permite de nuevo los diálogos emergentes que piden seguir usando el dispositivo.
  • Introduce en OnlyKey el código de desafío que se muestre para autorizar el descifrado.
  • El navegador descargará un archivo .zip con el contenido en claro; necesitarás una app de descompresión de archivos (ZArchiver, RAR, WinZip, etc.) para abrirlo en Android.

Como antes, puedes ajustar en las preferencias de OnlyKey si quieres obligar siempre al uso de challenge code o permitir aprobar solo con un toque, dependiendo de tu equilibrio personal entre seguridad y comodidad.

Seguridad física en móvil: OnlyKey frente a llave integrada y NFC​


Cuando te planteas usar llaves de seguridad de hardware en el móvil, conviene tener en mente el equilibrio entre comodidad, seguridad física y superficie de ataque. De forma muy resumida, podríamos comparar tres tipos de autenticadores habituales:

Llave integrada de Android (FIDO2 interno)Llave USB tipo OnlyKeyLlave NFC externa
Seguridad físicaMedia/alta: requiere acceso al móvil y superar PIN/biometríaAlta: dispositivo aparte protegido por PIN propioMás baja: potencialmente vulnerable a ataques de proximidad (lector cercano)
ComodidadMuy alta: todo integrado en el propio teléfonoInferior: hay que conectar y desbloquear la llave cada vezMedia: basta con acercar la llave al lector NFC compatible

En el día a día, la llave FIDO2 interna de Android suele ser la opción más cómoda para usos básicos, mientras que una llave USB con PIN como OnlyKey aporta un plus de aislamiento ideal para cuentas críticas, sistemas corporativos o cifrado PGP.

OnlyKey “sobre la marcha” sin app de escritorio​


Una de las grandes virtudes de OnlyKey es que está pensado para funcionar casi en cualquier equipo o móvil sin necesidad de instalar nada, aprovechando que se presenta como teclado USB y que existe la web apps.crp.to para las tareas avanzadas.

En Android, esto se traduce en que puedes:

  • Conectar OnlyKey por OTG, entrar a y sincronizar la hora para TOTP.
  • Usarlo para escribir contraseñas largas y únicas en cualquier app (banca, redes sociales, correo, gestor de contraseñas).
  • Aprovechar las secciones de cifrado/descifrado de archivos y mensajería sin instalar software adicional en el móvil.

Este enfoque hace que OnlyKey encaje muy bien como “llave suiza” portátil de seguridad: la llevas en el llavero, la enchufas cuando la necesitas y no dependes de tu ordenador principal para nada crítico salvo para mantenimiento y configuración más avanzada.

Gestores de contraseñas, OnlyKey y Android​


Aunque OnlyKey puede guardar hasta 24 cuentas por perfil en sus slots, en la práctica es habitual combinarlo con un gestor de contraseñas para manejar cientos de servicios. La táctica más recomendable es usar OnlyKey para proteger el acceso al gestor, no para reemplazarlo por completo.

Algunos enfoques útiles pueden ser:

  • Configurar un slot de OnlyKey con la contraseña maestra y/o 2FA de KeePassXC, Bitwarden, LastPass, Dashlane o el gestor de Google (Smart Lock).
  • De esta forma, solo se puede abrir el gestor si la llave física está presente y desbloqueada.
  • Reservar OnlyKey para las cuentas más críticas (correo principal, banco, identidad corporativa, acceso a NAS, etc.) y gestionar el resto desde el gestor software.

En escritorio, la integración con KeePassXC va un paso más allá usando HMAC-SHA1 en modo challenge-response: para abrir la base de datos hace falta tanto la contraseña maestra como una respuesta que solo OnlyKey puede generar, lo que dificulta muchísimo un ataque incluso si logran robar el fichero cifrado.

En Android lo más realista suele ser sincronizar tu base KeePassXC en la nube usando cifrado adicional (por ejemplo, con Cryptomator) y usar la biometría del móvil o una clave FIDO2 compatible como segundo factor para desbloquearla, reservando OnlyKey para operaciones críticas cuando tengas acceso a un ordenador.

Configuración avanzada y preferencias que afectan al uso en móvil​


La mayoría de las opciones avanzadas de OnlyKey se ajustan mejor desde la aplicación de escritorio, pero es importante conocerlas porque determinan la experiencia cuando conectas la llave a un Android.

  • Tiempo de bloqueo por inactividad: puedes fijar cuánto tiempo permanece OnlyKey desbloqueado sin pulsaciones. Unos 30 minutos es un punto medio; si sueles usarlo en espacios públicos quizá quieras minimizar ese tiempo.
  • Velocidad de tecleo: si ves que en Android se pierden caracteres o la app se atranca, baja la velocidad. Si todo va fluido, puedes subirla para que las contraseñas se escriban casi al instante.
  • Distribución de teclado: es clave para quienes usan disposición española u otras; si el layout de OnlyKey no coincide con el del sistema, caracteres como ñ, tildes o símbolos pueden salir mal.
  • Modos de clave derivada/almacenada y HMAC: definen si para operaciones de SSH, PGP o challenge-response basta con pulsar un botón o hace falta introducir código de desafío. Esto cambia radicalmente lo cómodo que es usar cifrado y autenticación fuerte desde el móvil.
  • Modo de borrado y full wipe: puedes exigir que, al hacer fábrica, también se borre el firmware. Es una medida extrema para amenazas de alto nivel, pero ojo porque luego tendrás que recargar el firmware tú mismo.
  • Sysadmin Mode: permite que OnlyKey escriba combinaciones como Ctrl+Alt+Del, flechas, borrar, etc. En móvil tiene menos peso, pero puede ser útil si usas Android como cliente de escritorio remoto con teclado físico.

Tener estas preferencias bien definidas te permite ajustar OnlyKey a tu perfil de riesgo (más paranoico o más cómodo) y a la vez evitar sustos cuando lo conectas en movilidad.

Copias de seguridad seguras de OnlyKey desde cualquier parte​


OnlyKey incorpora una función muy interesante llamada Secure Encrypted Backup Anywhere, que permite volcar toda su configuración a un texto cifrado usando una frase de backup que tú defines. Ese texto incluye slots, preferencias y claves protegidas criptográficamente.

La copia se hace normalmente desde la app de escritorio, pero el mecanismo es universal: OnlyKey “escribe” la copia como si fuera un teclado, de modo que puedes pegarla en un editor de texto, en un correo o en el propio cuadro de la aplicación. Después, para restaurar, se vuelve a alimentar ese texto cifrado al dispositivo.

En un móvil Android no es muy cómodo dejar que la llave escriba un backup kilométrico dentro de una app, pero es importante entender que la filosofía del dispositivo es no depender de un software propietario concreto: mientras haya un campo de texto y el OnlyKey pueda actuar como teclado, es posible llevarse una copia de seguridad contigo.

Combinando esta capacidad con una buena gestión de contraseñas, la biometría del móvil y los estándares FIDO2/WebAuthn, OnlyKey se convierte en una pieza central bastante flexible de tu estrategia de seguridad personal: puedes iniciar sesión con contraseñas fuertes, usarlo como llave FIDO2, generar TOTP, cifrar y descifrar archivos, reforzar gestores de contraseñas y, en definitiva, reducir tu dependencia de contraseñas débiles y autenticaciones basadas en SMS o notificaciones push fácilmente suplantables.

Continúar leyendo...
 
Iniciar sesión o registrarme para responder aquí.
Arriba Abajo