Cómo usar el móvil como autenticador FIDO2 para sesiones de Windows

Si estás cansado de pelearte con contraseñas imposibles, SMS de verificación y códigos que caducan en 30 segundos, usar el móvil como autenticador FIDO2 para iniciar sesión en Windows y en tus aplicaciones corporativas es, literalmente, un cambio de juego. La idea es sencilla: tu teléfono se convierte en tu llave de seguridad, y tú solo tienes que desbloquearlo con huella, cara o PIN para demostrar que eres tú.

En los últimos años, gigantes como Microsoft, Google, Apple y muchos proveedores de seguridad han apostado por FIDO2 y las passkeys como sustitutos reales de las contraseñas. Esta tecnología ya no es algo experimental: funciona en Windows 10/11, Android, iOS, macOS, ChromeOS y en los navegadores más usados. Y, lo que nos interesa aquí, te permite usar tu móvil como autenticador FIDO2 tanto para acceder a recursos en la nube como para sesiones de Windows gestionadas por tu organización.

Qué es FIDO2, passkeys y por qué tu móvil puede ser un autenticador

Cuando hablamos de usar el móvil como autenticador para Windows, en realidad estamos hablando de usar estándares FIDO2 y passkeys (llaves de acceso). FIDO significa Fast Identity Online, una alianza de empresas que lleva años diseñando formas de autenticarse sin depender de contraseñas frágiles y reutilizadas.

FIDO2 es el estándar moderno que agrupa dos piezas clave: WebAuthn (del W3C, la parte del navegador y las apps) y CTAP2 (el protocolo que habla con el autenticador, como tu teléfono o tu llave física). Juntos permiten que un servicio online te pida que te autentiques con el móvil, con Windows Hello, con una llave FIDO2 USB/NFC, etc., en lugar de obligarte a recordar una contraseña más.

En este modelo, tu móvil puede actuar como un autenticador FIDO de tipo multiplataforma: almacena de forma segura la clave privada y es capaz de firmar desafíos que le envían Windows, Microsoft Entra ID, Google u otros servicios. Tú desbloqueas el teléfono con tu método habitual (huella, cara, PIN), y el dispositivo realiza la parte criptográfica por ti.

Bajo el capó, FIDO2 utiliza criptografía de clave pública. Cada vez que registras una passkey para un servicio concreto, se genera un par de claves: la privada se guarda en el autenticador (tu móvil, tu PC, una llave física) y nunca sale de ahí; la pública se envía al servicio y se asocia con tu cuenta. Cuando vuelves a iniciar sesión, el servidor lanza un reto que tu autenticador firma con la clave privada, y el servidor verifica esa firma con la clave pública.

El resultado práctico es que no hay contraseñas que filtrar, ni códigos de un solo uso que interceptar, ni secretos compartidos que puedan robarse del servidor. Si alguien intenta hacer phishing, aunque te lleve a una web falsa, el desafío criptográfico no será válido para tu clave pública real, así que el ataque se cae por su propio peso.

Tipos de autenticadores FIDO2 y el papel del móvil

En el ecosistema FIDO2 se distinguen dos grandes tipos de autenticadores: de plataforma y multiplataforma. Entender esta diferencia te ayudará a ver dónde encaja el móvil cuando hablamos de sesiones de Windows.

Un autenticador de plataforma es aquel que va integrado en el propio dispositivo: por ejemplo, Windows Hello en un portátil con lector de huellas o cámara compatible, Touch ID en un MacBook o el sensor de huellas de un portátil moderno. Solo se usa desde el mismo equipo donde está instalado y no se puede “sacar” a otro dispositivo.

Los autenticadores multiplataforma son los que puedes usar desde varios dispositivos distintos. Aquí entran en juego las llaves de seguridad FIDO2 (YubiKey, SoloKey, Nitrokey, llaves NFC/USB genéricas) y, muy importante para nuestro tema, los teléfonos móviles Android e iOS usados como autenticadores externos para otros equipos.

Dependiendo de la configuración, tu móvil puede comportarse de dos formas: como autenticador de plataforma (cuando utilizas una passkey directamente en el propio navegador/app del móvil) o como autenticador multiplataforma (cuando el móvil se usa para iniciar sesión en otro dispositivo, por ejemplo un PC con Windows, mediante un código QR y Bluetooth).

Además de los móviles y llaves físicas, hay otros autenticadores software y hardware compatibles, como Windows Hello, Touch ID, Face ID, autenticadores móviles especializados y aplicaciones tipo Hideez Authenticator que amplían el abanico de opciones para entornos empresariales mixtos, donde conviven apps modernas FIDO2 con sistemas legacy basados aún en contraseñas.

Compatibilidad FIDO2 en Windows, navegadores y servicios

Para que el móvil pueda funcionar como autenticador FIDO2 en sesiones de Windows, es fundamental que todo el camino soporte FIDO2/WebAuthn: el sistema operativo, el navegador o la app, y el servicio de identidad. Por suerte, el soporte actual es muy amplio.

En el lado del sistema operativo, Windows 10 (a partir de la versión 1903) y Windows 11 soportan autenticación FIDO2 de forma nativa, especialmente si el dispositivo está unido a Microsoft Entra ID (antes Azure AD) o a un dominio híbrido. Windows Hello actúa como autenticador de plataforma y, además, el sistema puede trabajar con llaves FIDO2 USB/NFC y con autenticadores móviles.

En cuanto a navegadores, Chrome, Edge, Firefox y Safari incluyen soporte WebAuthn desde hace varias versiones, tanto en desktop como en móvil. Esto permite que servicios como Microsoft Entra, Google, Bitwarden u otros gestores de contraseñas y proveedores de SSO puedan iniciar el flujo de autenticación FIDO2 desde el propio navegador.

A nivel de servicios, casi todo el ecosistema que importa hoy en día soporta o está adoptando passkeys: Microsoft Entra ID, Google Accounts, Google Workspace, proveedores SSO corporativos, gestores de contraseñas como Bitwarden y plataformas de identidad como Hideez Cloud Identity. Cada uno integra FIDO2 de forma ligeramente distinta, pero la idea central es la misma: tu autenticador (móvil, llave o Windows Hello) firma desafíos en lugar de introducir contraseñas.

En entornos empresariales, además, Microsoft Entra ID permite gestionar FIDO2 como un método de autenticación oficial, con políticas específicas para habilitarlo, restringir AAGUID concretos (modelos de llaves o autenticadores) y aplicarlo en condiciones de acceso condicional. Esto es clave cuando quieres asegurar recursos sensibles y aplicar MFA resistente al phishing.

Iniciar sesión con passkeys FIDO2 en Microsoft Entra usando el móvil

El primer escenario práctico para usar el móvil como autenticador FIDO2 con Windows suele pasar por Microsoft Entra ID, ya que muchas sesiones de Windows 10/11 empresariales están unidas a Entra y usan esa identidad para recursos como Office, Teams, SharePoint y apps internas.

Entra soporta tres grandes modelos de passkeys FIDO2 para usuarios: claves de acceso guardadas en el propio dispositivo de inicio de sesión, claves almacenadas en otro dispositivo (como tu móvil) y claves alojadas en una llave de seguridad física. Todos estos modelos se pueden combinar en una misma organización.

Cuando la passkey está guardada en el mismo dispositivo (por ejemplo, en un portátil Windows con Windows Hello o en el móvil donde tienes Microsoft Authenticator y la passkey), el flujo es muy directo: navegas al recurso (Office, portal de la empresa, etc.) y seleccionas la opción de autenticación con Face, huella, PIN o clave de seguridad. El sistema abre una ventana de seguridad y te pide que te identifiques con el método configurado.

Si la passkey está en otro dispositivo, como tu móvil, el proceso incorpora autenticación entre dispositivos. En Windows 11 23H2 o posterior, por ejemplo, al elegir iniciar sesión con clave de seguridad se te ofrece seleccionar un dispositivo externo como “iPhone, iPad o dispositivo Android”. El PC muestra un código QR, que escaneas con la cámara de tu móvil; después, el teléfono te pedirá tu biometría o PIN y, usando Bluetooth e Internet, completará la autenticación en el equipo remoto.

En ambos casos, una vez completado el flujo, quedas autenticado contra Microsoft Entra ID, lo que a su vez te permite acceder a tus aplicaciones en la nube y, en entornos bien integrados, a sesiones de Windows o apps de escritorio que dependen de esa identidad.

Uso específico de Microsoft Authenticator con passkeys en Android e iOS

Una de las formas más cómodas de usar el móvil como autenticador FIDO2 en entornos Microsoft es mediante Microsoft Authenticator con soporte de claves de acceso. Esta app puede actuar como autenticador FIDO2 tanto en el mismo dispositivo (autenticación local) como entre dispositivos (para iniciar sesión en un PC Windows u otro equipo).

En iOS, puedes utilizar Authenticator como autenticador de plataforma para iniciar sesión en Microsoft Entra ID en un navegador del propio iPhone o iPad y en aplicaciones nativas de Microsoft como OneDrive, SharePoint u Outlook. El sistema te mostrará la opción de “C ara, huella digital, PIN o clave de seguridad” y, al seleccionarla, te pedirá Face ID, Touch ID o el PIN del dispositivo.

Para autenticación entre dispositivos en iOS, el proceso clásico es: en el otro equipo (por ejemplo, un Windows 11), vas a la página de inicio de sesión de Microsoft Entra, eliges otras formas de inicio de sesión, seleccionas autenticación con clave de seguridad y escoges dispositivo iPhone/iPad/Android. En ese momento se muestra un código QR en la pantalla del PC.

Con tu iPhone, abres la app de cámara del sistema (no la cámara integrada en Authenticator, ya que esta no entiende el QR de WebAuthn) y apuntas al código. El iPhone te ofrece la opción de “Iniciar sesión con la clave de acceso” y, tras verificar tu identidad con Face ID, Touch ID o PIN, el móvil completa la autenticación FIDO2 con el PC usando Bluetooth más conexión a Internet.

En Android, el comportamiento es similar, aunque con algunos matices. La autenticación del mismo dispositivo en un navegador requiere Android 14 o posterior para usar Authenticator como almacén de passkeys en el propio teléfono. Puedes entrar en la web de Mi información de seguridad, elegir opciones de inicio de sesión y seleccionar cara, huella, PIN o clave de seguridad. Si tienes varias passkeys guardadas, el sistema te pedirá elegir cuál quieres usar.

Para autenticación entre dispositivos en Android, en el PC sigues el mismo patrón: recurso de Entra, elegir clave de seguridad, seleccionar dispositivo Android. El equipo remoto muestra un QR, que puedes escanear con la cámara del sistema o desde la propia app Authenticator, entrando en la cuenta de clave de acceso y usando el botón de escanear código QR visible en los detalles de la passkey.

En todos estos escenarios es imprescindible tener Bluetooth y conexión a Internet activos en ambos dispositivos. Si la organización tiene políticas restrictivas con el Bluetooth, es posible que el administrador deba configurar excepciones para permitir emparejamientos únicamente con autenticadores FIDO2 habilitados para passkeys.

Otros casos de uso FIDO2: Google, Bitwarden y SSO empresarial

Más allá de Microsoft y Windows, el mismo concepto de usar el móvil como autenticador FIDO2 encaja perfectamente con Google Passkeys, gestores de contraseñas FIDO2 y soluciones SSO corporativas. Todo suma para que el móvil se convierta en el núcleo de tu identidad digital.

En Google, puedes crear llaves de acceso para tu cuenta personal o de Workspace y usar el método de desbloqueo de pantalla del móvil (huella, cara, PIN) como factor principal. Una vez configurada la passkey en tu teléfono Android o iPhone, puedes iniciar sesión en tu cuenta de Google en un PC usando el flujo de “Probar otra manera” / “Usar tu llave de acceso” y escaneando un código QR que aparece en el navegador del ordenador.

La experiencia es parecida: el PC muestra un código QR, tú lo escaneas con la cámara o el escáner integrado del móvil, y el teléfono te pide que lo desbloquees. Tras verificar tu biometría o PIN, el móvil firma el desafío FIDO2 y el PC obtiene acceso a tu cuenta. Después, Google puede sugerirte crear una passkey local en el propio ordenador, pero eso es opcional.

Bitwarden, por su parte, permite habilitar inicio de sesión en dos pasos con FIDO2 WebAuthn en sus aplicaciones. Puedes registrar llaves de seguridad físicas certificadas FIDO2, pero también usar autenticadores nativos como Windows Hello o Touch ID. En móviles, es posible usar claves con NFC (como YubiKey NFC) acercándolas a la zona de lectura del teléfono; a veces hay que “hacer puntería” porque la posición del lector NFC varía según el modelo.

En escenario empresarial, plataformas como Hideez Cloud Identity combinan passkeys FIDO2 sincronizadas (las que puedes tener en Google o iCloud) con autenticadores móviles propios basados en códigos QR dinámicos. El flujo típico consiste en que, para iniciar sesión en un PC, abres la app en tu teléfono, escaneas un código QR mostrado en la pantalla del equipo y autorizas el inicio de sesión desde el móvil, que actúa como autenticador seguro.

Este enfoque es especialmente útil cuando tienes una mezcla de aplicaciones modernas compatibles con FIDO2 y sistemas heredados que aún dependen de usuario y contraseña. Algunas llaves de hardware y soluciones de identidad incluso permiten que la misma llave funcione como autenticador FIDO2 para servicios nuevos y como gestor de contraseñas cifrado para aplicaciones antiguas.

Habilitar FIDO2/passkeys en organizaciones con Microsoft Entra

Si tu objetivo es que los usuarios puedan usar el móvil como autenticador FIDO2 en sesiones de Windows y aplicaciones corporativas, el camino pasa por activar formalmente el método FIDO2 en Microsoft Entra ID y definir qué tipos de autenticadores se permiten.

Desde el Centro de administración de Microsoft Entra, un administrador de directivas de autenticación puede ir a Entra ID → métodos de autenticación → Directivas y localizar el método “clave de seguridad (FIDO2)”. Ahí se puede habilitar globalmente o para grupos de seguridad concretos, configurar si se permite el autoservicio de registro y decidir si se exige atestación de los dispositivos.

La opción de atestación permite que solo se acepten llaves y autenticadores FIDO2 provenientes de proveedores legítimos, ya que cada fabricante publica un AAGUID (GUID de atestación del autenticador) que identifica marca y modelo. Además, se puede aplicar una “directiva de restricción de claves” para autorizar solo ciertos AAGUID y bloquear el resto, muy útil cuando quieres tener un parque controlado de llaves o autenticadores móviles corporativos.

Para escenarios más avanzados, Microsoft ofrece Microsoft Graph API para gestionar FIDO2. A través del endpoint de configuración FIDO2 de authenticationMethodsPolicy se puede automatizar el alta de credenciales, validar AAGUID específicos o incluso aprovisionar llaves de seguridad FIDO2 en nombre de los usuarios (versión preliminar), usando CTAP y creationOptions devueltas por Entra.

Una vez que el método FIDO2 está bien configurado, puedes crear intensidades de autenticación basadas en passkeys y usarlas en directivas de acceso condicional. Por ejemplo, establecer una regla que exija autenticación con llaves de acceso FIDO2 (y opcionalmente limitar a uno o varios AAGUID de autenticadores móviles o llaves concretas) para acceder a aplicaciones críticas o a sesiones de escritorio remoto.

También se contemplan escenarios de mantenimiento: eliminación de passkeys de usuarios desde el centro de administración, cambios de UPN (en cuyo caso el usuario debe borrar su antigua llave FIDO2 y registrar una nueva) y limitaciones como la no compatibilidad actual con usuarios invitados B2B para el registro de credenciales FIDO2 directamente en el tenant de recursos.

Configurar y usar llaves de seguridad FIDO2 junto al móvil

Aunque el foco de este texto es el móvil como autenticador, en muchos entornos tiene sentido combinarlo con llaves de seguridad físicas FIDO2, especialmente para administradores, personal con acceso crítico o usuarios que necesitan un segundo método robusto.

La configuración suele empezar desde portales de seguridad de cuentas, por ejemplo en https://aka.ms/mfasetup o en páginas de “Mi información de seguridad” de Microsoft Entra. Ahí seleccionas “Llave de seguridad”, escoges si es USB o NFC y sigues el asistente, que varía según el sistema operativo y el tipo de llave. Al final se asigna un nombre a la llave para identificarla en el futuro.

Una vez registrada, la llave se puede usar desde navegadores compatibles (Edge, Chrome, Firefox) o incluso para iniciar sesión en equipos Windows 10/11 proporcionados y configurados por la organización. Además, sistemas como RSA ofrecen utilidades específicas (RSA Security Key Utility) para gestionar el PIN de la llave, cambiarlo, resetear el dispositivo e integrarlo con productos de autenticación corporativa como SecurID.

En el contexto de FIDO2, las llaves de hardware son simplemente otro tipo de autenticador multiplataforma. Tu móvil puede coexistir con ellas: puedes tener passkeys sincronizadas en el móvil, llaves físicas para usos críticos y autenticadores de plataforma como Windows Hello en tus equipos de trabajo. Cuantos más métodos robustos y bien gestionados tengas, menos dependerás de contraseñas débiles.

En cualquier caso, tanto si usas llaves físicas como móviles, es recomendable que el administrador defina políticas claras de alta, baja y sustitución de autenticadores, así como procedimientos para actuar en caso de pérdida o robo de un dispositivo (revocar la passkey asociada, revisar accesos recientes, forzar MFA en el próximo inicio de sesión, etc.).

Ventajas y limitaciones reales de usar FIDO2 con el móvil

Mejora clara tanto en seguridad como en usabilidad al usar el móvil como autenticador FIDO2 para sesiones de Windows y servicios asociados, aunque también hay pegas y matices que conviene conocer.

La principal ventaja es que la autenticación se vuelve resistente al phishing y a ataques de robo de credenciales. Como la clave privada nunca sale del móvil y solo se usa para firmar desafíos criptográficos, un atacante no puede “robarte” la contraseña porque simplemente no existe. Incluso si un servicio sufre una brecha, lo que se expone son claves públicas, inútiles sin el autenticador físico.

Otra ventaja importante es la experiencia de usuario: desbloquear el móvil con huella o cara es muchísimo más rápido y natural que escribir contraseñas largas, gestionar OTPs por SMS o recordar respuestas a preguntas de seguridad. En muchos casos, además, se elimina la necesidad de una segunda capa de MFA tradicional, ya que FIDO2 en sí mismo cumple los requisitos de MFA fuerte y resistente al phishing.

A nivel regulatorio, adoptar FIDO2 ayuda a las organizaciones a alinearse con normativas como GDPR, HIPAA, PSD2 o NIS2, y con las guías de NIST o CISA que recomiendan MFA resistente al phishing. No es casualidad que gobiernos y grandes corporaciones estén inclinándose hacia soluciones FIDO en el marco de estrategias de zero trust.

En el lado de las limitaciones, uno de los problemas más claros es el legado tecnológico. Muchas aplicaciones, VPNs antiguas, escritorios remotos específicos o sistemas internos no soportan FIDO2 ni SSO moderno. Para ellos, seguirás necesitando contraseñas o autenticadores clásicos, aunque puedas envolver parte del acceso con un IdP moderno que hable FIDO2 hacia fuera.

Además, en muchos servicios todavía la contraseña no desaparece del todo. A menudo se mantiene como mecanismo de recuperación si pierdes todas tus passkeys, lo que significa que, si no se gestiona bien, sigue existiendo un “plan B” menos seguro. La industria está avanzando hacia modelos en los que puedas depender exclusivamente de passkeys, pero de momento todavía verás contraseñas por todas partes.

Otro matiz importante es la diferencia entre passkeys sincronizadas y passkeys ligadas al dispositivo. Las primeras se replican mediante servicios en la nube (como iCloud Keychain o Google Password Manager), lo que mejora la comodidad pero complica el control corporativo; las segundas se quedan ancladas a un único hardware (móvil corporativo, llave física), lo que da más control a TI a costa de algo de comodidad para el usuario.

Para muchos usuarios y empresas, usar el móvil como autenticador FIDO2 para sesiones de Windows y acceso a recursos en la nube es una forma muy razonable de subirse al tren de la autenticación sin contraseñas: combina la seguridad de la criptografía de clave pública con la comodidad de desbloquear el teléfono que ya llevas siempre encima, se integra con Windows 10/11, Microsoft Entra, Google y otros servicios modernos, y permite convivir con llaves físicas y sistemas heredados mientras haces la transición hacia un mundo donde las contraseñas pintan cada vez menos.