¿Qué es FIDO2?
FIDO (Fast Identity Online) es el término general que engloba el conjunto más reciente de especificaciones de la FIDO Alliance.
Las passkeys, basadas en la tecnología FIDO2, permiten a los usuarios autenticarse de forma rápida y segura en servicios en línea sin necesidad de utilizar contraseñas.
La autenticación mediante passkeys y FIDO2 es la solución del sector —preparada para el futuro— al desafío global de las contraseñas y responde a todas las limitaciones de la autenticación tradicional, al proporcionar una autenticación resistente al phishing junto con una experiencia de usuario mejorada tanto en entornos de escritorio como móviles.
¿Por qué deberían las organizaciones plantearse adoptar FIDO?
Cómodo
FIDO2 es un método de autenticación sin contraseñas, por lo que los usuarios no necesitan recordar sus claves. Para facilitar su adopción, puede combinarse con biometría, como las huellas dactilares.
Resistente al phishing
Gracias al uso de criptografía asimétrica de clave pública, FIDO2 protege frente a ataques de phishing, ya que cada clave privada está vinculada a un dominio de servicio. Si el servicio al que se intenta acceder es falso, la autenticación falla.
Prevenir los ataques
La clave de seguridad FIDO2 protege frente a ataques de intermediario (Man-in-the-Middle, también conocidos como MiTM) porque cada clave privada se almacena de forma segura en el dispositivo hardware.
Solución preparada para el futuro
Las aplicaciones web modernas son compatibles con FIDO2. Las agencias y los analistas de ciberseguridad consideran la clave de seguridad FIDO2 como la tecnología «de referencia» en la que invertir (NIST, ENISA, CSA, Gartner...).
Autenticación en cualquier lugar
Varios formatos, como tarjetas inteligentes y tokens USB, con opción sin contacto, permiten a los usuarios autenticarse desde sus dispositivos móviles o desde escritorios compartidos.
Fáciles de implementar
Basado en un estándar abierto, FIDO2 simplifica la compatibilidad entre sistemas. Elimina los costes asociados al soporte técnico por contraseñas y reduce la carga operativa de TI (no se requiere una infraestructura independiente).
Principales vectores iniciales de ataque en brechas de datos
El 49 %
Credenciales robadas o comprometidas
16 %
Suplantación de identidad (phishing)
Para reducir el riesgo de robo de identidad y brechas de seguridad al acceder a recursos digitales sensibles, como sesiones de Windows y aplicaciones web, Thales recomienda a las organizaciones habilitar autenticación multifactor sin contraseñas y resistente al phishing para sus usuarios con altos privilegios, trabajadores de primera línea y usuarios en general, utilizando passkeys vinculadas a claves de seguridad hardware.
La guía completa sobre autenticación multifactor resistente al phishing, passkeys y claves de seguridad FIDO
La combinación de FIDO2 con la autenticación basada en PKI ofrece a los proveedores soluciones preparadas para el futuro para implantar autenticación sin contraseñas y proteger el acceso a aplicaciones basadas en la nube.
Ventajas de las claves de seguridad FIDO2 de Thales
Los dispositivos de autenticación multifactor de Thales utilizan protocolos actuales y emergentes para admitir varias aplicaciones al mismo tiempo. Utilice una única clave de seguridad que combine FIDO2, WebAuthn, U2F y PKI para acceder tanto a espacios físicos como a recursos lógicos.
Seguridad de primer nivel
Thales controla todo el ciclo de fabricación y desarrolla sus propias bibliotecas criptográficas FIDO, lo que reduce el riesgo de vulneraciones.
Compatibilidad con múltiples casos de uso
- Combine FIDO, PKI y acceso físico en un único dispositivo.
- Experiencia de autenticación sólida desde terminales móviles.
Comodidad para el usuario con el fin de mejorar la adopción
- Compatibilidad con biometría (huella dactilar en tarjeta inteligente)
- Detector de presencia sensible en la clave USB FIDO
Cumple las estrictas normas de seguridad del mercado
- Certificación U2F y FIDO2
- Cumple la normativa de EE. UU. y la UE para autenticación resistente al phishing
- Fabricación en Europa y opción de cumplimiento con la Ley de Acuerdos Comerciales (TAA)
- Certificaciones FIPS y CC para operaciones PKI
Robustez y escalabilidad para una larga vida útil
- Claves USB FIDO de plástico moldeado rígido, con evidencias de manipulación
- Sin daños en los puertos USB gracias al detector de presencia sensible
- Compatibilidad con actualizaciones de firmware para mejorar el mantenimiento y la capacidad de actualización
Preparado para FIDO empresarial
- Cumple las especificaciones FIDO 2.1
- Benefíciese de las funciones empresariales FIDO de Thales
- Utilice SafeNet FIDO Key Manager de forma gratuita
Encuentre la clave de seguridad FIDO2 que se adapte mejor a sus necesidades
Thales admite numerosos recorridos de autenticación sin contraseñas con una amplia gama de autenticadores FIDO.
Tokens USB FIDO
Acceso seguro a aplicaciones y dispositivos web mediante FIDO
Serie SafeNet eToken FIDO
- Solución ideal para que las organizaciones prescindan de las contraseñas
- Tokens USB compactos, con evidencias de manipulación, disponibles en tipo A y C
- Sensor de detección de presencia para confirmar la presencia humana
- Ideal para usuarios con privilegios, trabajadores de primera línea y trabajadores temporales
- Acceso rápido para los empleados a cualquier dispositivo compartido, como un PC o una tableta
Thales Enterprise features
- Manage FIDO Keys
- Ensure appropriate usage of FIDO Keys
- Unblock FIDO Keys
- Manage Reset
- Ensure Persistent PIN Length
- Enforce user verification
FIDO USB Tokens
Secure access to web applications and devices using FIDO
SafeNet eToken FIDO series
- Ideal solution for organizations to go passwordless
- Compact, tamper-evident USB tokens, available in type A, type C and NFC in option
- Presence detection sensor to confirm human presence
- Ideal for privilege users, frontline and temporary workers
- Quick access for employees to any shared device such as PC or tablet
FIDO + Biometría
Simplifique la adopción por parte de los usuarios.
SafeNet IDPrime FIDO Bio Smart Card
Combinando biometría y NFC, la innovadora SafeNet IDPrime FIDO Bio Smart Card permite a los usuarios finales autenticarse desde varios tipos de dispositivos de forma segura y sencilla, con solo una huella dactilar en lugar de una contraseña.
Authenticate to your data with your fingerprint
eToken Fusion Bio
By combining biometric fingerprint verification, FIDO2, and PIN-based PKI support in a single device, it brings phishing-resistant, passwordless authentication to life without disrupting users. A simple fingerprint replaces passwords and codes, strengthening identity security while accelerating user adoption of phishing-resistant MFA across the organization.
Tarjetas inteligentes FIDO + PKI
Amplíe la autenticación moderna FIDO a casos de uso basados en PKI.
Serie de tarjetas inteligentes SafeNet IDPrime FIDO
- Nueva generación de tarjetas inteligentes PKI
- Facilita la migración a la nube y la modernización de la autenticación
- Compatibilidad con casos de uso FIDO y PKI: autenticación, firma digital y cifrado de archivos
- Una única acreditación para proteger el acceso a aplicaciones heredadas, dominios de red y servicios en la nube
- Uso en múltiples dispositivos, desde ordenadores de sobremesa hasta tabletas, gracias a NFC
- Ayuda a las organizaciones a cumplir sus regulaciones sectoriales
Tokens USB FIDO + PKI
Amplíe la autenticación moderna FIDO a casos de uso basados en PKI.
SafeNet eToken serie Fusion
- Nueva generación de tokens USB PKI
- Facilita la migración a la nube y la modernización de la autenticación
- Compatibilidad con casos de uso FIDO y PKI: autenticación, firma digital y cifrado de archivos
- Un único token para proteger el acceso a aplicaciones heredadas, dominios de red y servicios en la nube
- Uso en múltiples dispositivos, desde ordenadores de sobremesa hasta tabletas, gracias a la opción NFC
- Ayuda a las organizaciones a cumplir sus regulaciones sectoriales
- «Preparado para entornos empresariales FIDO», disponible como opción para ayudar a las organizaciones a controlar su ciclo de vida
FIDO + Acceso físico
Combine el acceso digital con el físico.
Thales ofrece a las organizaciones tarjetas inteligentes que combinan el acceso físico con la autenticación digital mediante PKI/FIDO. Converged Badge es una solución ideal para las organizaciones que necesitan proteger el acceso a áreas seguras y a recursos digitales sensibles. El coste de despliegue de acreditaciones y de gestión del parque de dispositivos se reduce de forma significativa, y se facilita la adopción por parte de los empleados.
Gestionar claves FIDO
Controle el ciclo de vida de sus claves FIDO gracias a las funciones empresariales FIDO de Thales.
Las funciones empresariales FIDO de Thales permiten a las organizaciones gestionar sus claves FIDO de forma segura y sencilla a lo largo de todo su ciclo de vida. Incorporan una capa de administración y políticas de configuración que ayudan a los equipos de TI a desplegar, administrar y dar soporte al usuario final. Más allá de las especificaciones FIDO2.1 de la FIDO Alliance, las funciones empresariales FIDO de Thales ofrecen a las organizaciones:
- Mejor seguridad: refuerzo de la verificación del usuario durante la autenticación desde cualquier dispositivo, gestión de la longitud mínima del PIN y protección de la política de PIN definida, evitando que los datos de las claves FIDO se borren de forma maliciosa o no intencionada.
- Uso adecuado de los activos de la organización: limitar el uso de los autenticadores FIDO a una lista de servicios preferentes.
- Reducción de los costes de TI y mejor experiencia de usuario: desbloqueo de la clave FIDO sin restablecer todos los datos de la clave, y posibilidad de que los usuarios finales configuren y cambien su PIN en autoservicio.
Obtenga más información sobre las funciones empresariales FIDO de Thales compatibles con SafeNet FIDO Key Manager, Versasec Credential Management System y OneWelcome FIDO Key Lifecycle Management Solution.
Acceso seguro a Microsoft 365 y dispositivos Windows
Thales y Microsoft colaboran para ofrecer a los clientes de Microsoft 365 autenticación con FIDO y autenticación basada en certificados (CBA).
Con Entra ID, los clientes de Microsoft pueden utilizar tokens basados en certificados X.509 de Thales, tarjetas inteligentes y autenticadores FIDO para todas sus necesidades de protección de identidad.
Todas las claves de seguridad FIDO de Thales (tokens o tarjetas inteligentes) son plenamente compatibles y están integradas con Microsoft Entra ID.
Para obtener más información sobre las claves de seguridad FIDO2 de Thales para entornos Microsoft, vea la demostración en vídeo, consulte nuestra ficha técnica de la solución y descargue la guía de instalación. Consulte nuestra oferta en Azure Marketplace.
Colabore con un referente en identidad
Reconocida en 2024 por Microsoft Security como Identity Trailblazer, Thales es el único proveedor que ofrece claves de seguridad FIDO USB-C y USB-A con el logotipo de Microsoft Security en uno de sus lados. Son ideales para proteger los servicios en la nube y el inicio de sesión en Windows.
Recursos recomendados
Investigación de analistas
Thales, nombrado líder en autenticación sin contraseñas para empresas por KuppingerCole
Es un dispositivo USB o una tarjeta inteligente complementaria que permite acceder de forma segura a servicios en línea sensibles sin utilizar una contraseña. Utiliza el estándar FIDO2 (Fast Identity Online) desarrollado por la FIDO Alliance.
El protocolo FIDO (Fast Identity Online) requiere un «gesto del usuario» (tocar o pulsar el token) o una verificación del usuario (mediante un PIN o un dato biométrico) antes de que la clave privada pueda utilizarse para firmar la respuesta a un desafío de autenticación.
Para acceder a un servicio en línea, solo tiene que seguir las instrucciones que aparecen en la interfaz de usuario: cuando se le solicite, conecte el token al puerto USB de su dispositivo, toque el sensor sensible para confirmar su presencia, introduzca su PIN y habrá iniciado sesión. Si utiliza un token sin contacto y biométrico, como la SafeNet FIDO Bio Smart Card, simplemente acerque la tarjeta a su dispositivo mientras coloca el dedo en el sensor biométrico y eso es todo.
En FIDO2, las passkeys son sustitutos de las contraseñas que permiten un inicio de sesión más rápido, accesible y seguro en sitios web y aplicaciones. Son resistentes al phishing y a los ataques de reutilización de credenciales (credential stuffing), y están diseñadas de modo que no existan secretos compartidos.
Existen dos tipos de passkeys: sincronizadas, que pueden exportarse a otro dispositivo a través de un servicio en la nube y vinculadas al dispositivo, que se almacenan en un único dispositivo y no pueden copiarse. Las claves o tokens de seguridad FIDO2 son passkeys vinculadas al dispositivo.
Sí, los tokens FIDO2 pueden utilizarse con cualquier dispositivo móvil, pero, según el conector del token (USB-C o USB-A), el usuario puede necesitar un adaptador. Si el token y el dispositivo son compatibles con NFC, el usuario también puede utilizar esta funcionalidad acercando el token a la parte posterior de su dispositivo móvil.
El token FIDO2 de Thales está listo para usar y no requiere instalar software ni controladores. Puede configurar su token FIDO2 registrándolo en un servicio en línea. Las instrucciones de configuración pueden variar según el proveedor del servicio, así que siga las indicaciones que aparezcan en la interfaz de usuario. Por lo general, el proveedor le solicitará definir su nombre de inicio de sesión, un código PIN y asignar un nombre al token FIDO2 registrado. Como alternativa, puede utilizar SafeNet FIDO Key Manager para configurar y cambiar el PIN de su token FIDO2 de Thales.
Para obtener más información sobre este tema, consulte nuestra sección específica.
Los tokens FIDO2 son compatibles con todos los servicios en línea que admiten el estándar FIDO2.
Puede consultar nuestra página de servicios compatibles con FIDO para obtener más información.
Existen varias ventajas al utilizar passkeys FIDO2 en lugar de contraseñas tradicionales:
- Seguridad: credenciales de inicio de sesión únicas para cada sitio web que nunca se almacenan en un servidor, lo que elimina el riesgo de phishing y otras formas de ataque.
- Experiencia de usuario: inicio de sesión mediante métodos integrados sencillos en el propio dispositivo o utilizando claves de seguridad FIDO2 fáciles de usar.
- Privacidad: claves únicas para cada sitio web que no pueden emplearse para rastrear a los usuarios entre diferentes sitios. Los datos biométricos, cuando se utilizan, nunca abandonan el dispositivo del usuario.
- Escalabilidad: permite habilitar FIDO2 mediante sencillas llamadas API compatibles con los principales navegadores y plataformas.
Basada en criptografía, la autenticación FIDO2 está reconocida por agencias de ciberseguridad de todo el mundo como uno de los métodos de autenticación más seguros. Un token hardware FIDO2 es resistente al phishing y a los ataques de intermediario (Man-in-the-Middle).
FIDO y CBA son los dos protocolos de autenticación reconocidos como resistentes al phishing por organismos reguladores de ciberseguridad como el NIST, ENISA, ANSSI y la agencia neerlandesa de ciberseguridad NCSC (National Cybersecurity Center).
Basada en criptografía asimétrica de clave pública, la clave de seguridad FIDO2 (token USB o tarjeta inteligente) evita el phishing porque cada clave privada está vinculada al dominio del proveedor del servicio. Si el dominio es falso, la autenticación falla. Además, todas las claves privadas se almacenan de forma local y segura en la clave FIDO2, lo que evita los ataques de intermediario (Man-in-the-Middle).
Sí, los tokens FIDO2 incorporan la protección de los datos personales mediante criptografía de clave pública. FIDO2 cumple los requisitos de la Administración estadounidense y de las agencias de seguridad de la UE para la autenticación multifactor reforzada. Las claves de seguridad FIDO hardware están evaluadas por el NIST en AAL3 («Assurance Level 3»), el nivel de garantía más alto en autenticación según el NIST.
