OnlyKey: guía completa de uso en dispositivos Android

  • OnlyKey funciona en Android como teclado seguro, generador TOTP y llave FIDO2/U2F, usando adaptador OTG cuando es necesario.
  • El móvil puede combinar la biometría integrada con OnlyKey: este protege el alta inicial y la biometría simplifica los accesos posteriores.
  • Desde Chrome o Firefox en Android, OnlyKey permite cifrar y descifrar archivos y ajustar la hora para generar códigos TOTP correctos.
  • Combinando OnlyKey con gestores de contraseñas y sus opciones avanzadas de firmware se logra un nivel alto de seguridad también en móvil.
Joaquin Romero

14 minutos

cómo usar OnlyKey

Si tienes un OnlyKey y quieres usarlo con tu móvil Android, seguramente te habrás encontrado con información dispersa, poco clara o demasiado técnica. Aquí vas a encontrar una guía completa y práctica para usar OnlyKey en dispositivos Android, desde los primeros requisitos hasta funciones avanzadas como FIDO2, TOTP, cifrado de archivos y uso combinado con gestores de contraseñas.

Vamos a repasar todas las formas en las que puedes aprovechar OnlyKey con Android: como teclado seguro, como llave de seguridad FIDO2/U2F, para generar códigos TOTP, para cifrar y descifrar archivos desde el navegador y para integrarlo con tu flujo de trabajo diario. La idea es que, cuando termines, tengas claro qué necesitas, cómo conectarlo y qué puedes hacer realmente con él en tu móvil.

OnlyKey y móviles Android: cómo encajan

Los smartphones actuales ya incluyen un autenticador de hardware integrado compatible con FIDO2 (lo que usan las webs para “usar este dispositivo” con huella o PIN). Esto significa que Android ya trae una llave de seguridad interna que trabaja con huella dactilar, PIN o reconocimiento facial, y que para la mayoría de usuarios es suficiente para el día a día.

Sin embargo, OnlyKey aporta varias ventajas frente a depender solo del móvil: almacenamiento seguro de contraseñas complejas, múltiples factores de autenticación, funciones de llave de seguridad FIDO2/U2F y opciones de cifrado de archivos y mensajes. En Android, lo más habitual es usar OnlyKey para el primer inicio de sesión en una app o servicio y después activar el desbloqueo biométrico del propio móvil para los accesos siguientes.

Esta combinación permite obligarte a usar contraseñas fuertes y 2FA la primera vez (gestionadas por OnlyKey) y luego aprovechar la comodidad de la huella o el reconocimiento facial de Android, sin estar conectando el dispositivo en cada inicio de sesión.

Usar tu Android como llave de seguridad para iniciar sesión en Windows
Artículo relacionado:
Usar tu Android como llave de seguridad para iniciar sesión en Windows

Requisitos previos para usar OnlyKey en Android

Antes de ponerte a probar cosas, es importante revisar algunos requisitos básicos para que OnlyKey funcione bien en Android y evitar fallos tontos:

  • Firmware actualizado: asegúrate de que tu OnlyKey tiene la última versión de firmware. Las nuevas versiones corrigen errores, mejoran la compatibilidad con navegadores móviles y añaden funciones de seguridad. La carga de firmware se realiza desde la app de escritorio de OnlyKey, siguiendo las instrucciones oficiales del fabricante.
  • Adaptador adecuado: en Android necesitas un adaptador USB On-The-Go (OTG). Si tu OnlyKey es modelo DUO con conector USB-C, normalmente no necesitas adaptador adicional en móviles con USB-C; si es el modelo con USB-A, necesitarás un adaptador OTG USB-A a USB-C o microUSB compatible con tu teléfono.
  • Permisos de USB en Android: la primera vez que conectes OnlyKey, Android te mostrará un aviso para permitir que el navegador o la app acceda al dispositivo USB. Es importante aceptar ese permiso para que el móvil pueda comunicarse con OnlyKey.
  • Clave de cifrado cargada si vas a usar funciones de cifrado: para cifrar y descifrar archivos o mensajes con OnlyKey, es necesario que el dispositivo tenga claves PGP/OpenPGP configuradas. Esto se hace con la app de escritorio o siguiendo la guía de generación e importación de claves del fabricante.

Biometría integrada de Android y OnlyKey: mejor juntos

En Android puedes usar la llave de seguridad integrada del teléfono (el módulo FIDO2 interno) con huella o PIN. Un buen enfoque práctico es:

  • Usar OnlyKey en el primer inicio de sesión para introducir una contraseña larga y el segundo factor (TOTP, FIDO, OTP, etc.).
  • Una vez dentro de la app o servicio, activar el inicio de sesión con huella dactilar o reconocimiento facial que ofrezca la aplicación.

De este modo refuercas la seguridad inicial del alta (las credenciales se crean y se introducen desde un dispositivo físico externo, OnlyKey) y a partir de ahí usas la comodidad de la biometría de Android. Si pierdes el móvil, el atacante necesitará también el PIN/huella del dispositivo y no solo la contraseña, lo que reduce bastante el riesgo.

OnlyKey como teclado seguro y generador TOTP en Android

Android detecta OnlyKey fundamentalmente como un teclado USB (dispositivo de entrada HID). Eso significa que muchas funciones básicas que usas en el ordenador también funcionan en el móvil:

  • Contraseñas estáticas: puedes almacenar contraseñas complejas en los slots de OnlyKey y hacer que las “teclee” en cualquier campo de contraseña en Android (apps o navegador), igual que en un PC.
  • Usuario + contraseña: en un mismo slot puedes guardar usuario y contraseña, y OnlyKey escribirá ambos en secuencia, con retornos de carro o tabuladores según lo que hayas configurado.
  • OTP estilo YubiKey: los códigos Yubico® OTP que OnlyKey puede generar también se escriben de forma directa en cualquier campo de texto.

En cuanto a los códigos TOTP (tipo Google Authenticator), OnlyKey también puede generar códigos de un solo uso de 6 dígitos que se renuevan cada 30 segundos. En Android funcionan igual que en escritorio, con un matiz importante: el dispositivo necesita tener la hora correctamente ajustada.

Como OnlyKey no tiene batería interna, no guarda la hora cuando lo desconectas. Por eso, si lo conectas a Android y pides un TOTP sin que la hora se haya sincronizado antes, OnlyKey puede escribir “NOTSET” en lugar del código. Para evitarlo, basta con:

  • Abrir en el navegador de Android (Chrome o Firefox) la web https://apps.crp.to.
  • Conectar OnlyKey y aceptar la ventana emergente que pide permiso para acceder al dispositivo.
  • La propia web se encarga de enviar la hora actual a OnlyKey, y a partir de ese momento los TOTP se generarán correctamente en cualquier app o web.

Es un truco muy útil para usar TOTP “on-the-go” sin la app de escritorio, únicamente con el navegador del móvil.

Usar OnlyKey como llave de seguridad en Android (FIDO2/U2F/WebAuthn)

OnlyKey puede actuar como llave de seguridad compatible con FIDO U2F, FIDO2 y WebAuthn. En Android, el proceso es muy parecido al de un ordenador, pero pasando por el navegador del móvil (Chrome o Firefox) y aceptando algunos cuadros de diálogo extra de permisos.

No necesitas configuración previa especial para usarlo como llave FIDO2/U2F: OnlyKey viene listo de serie como security key. Los pasos típicos para registrarla y usarla en Android serían:

  • Conectar OnlyKey al móvil usando el adaptador OTG correspondiente.
  • Desbloquear OnlyKey introduciendo el PIN en su teclado táctil.
  • Abrir el navegador (Chrome o Firefox en Android) y entrar en la página en la que quieras registrar la llave de seguridad.
  • En la configuración de seguridad de esa página, elegir añadir una llave de seguridad FIDO/U2F/FIDO2.
  • Android mostrará mensajes emergentes pidiendo permiso para usar un dispositivo de seguridad externo; hay que ir aceptando estas ventanas.
  • Cuando OnlyKey empiece a parpadear en azul, basta con pulsar cualquier botón del dispositivo para completar el registro.

Una vez registrado, en futuros inicios de sesión el flujo será similar: la web te pedirá usar la llave de seguridad, Android abrirá el diálogo de autenticación WebAuthn, OnlyKey parpadeará en azul y tendrás que tocar un botón para confirmar. Mientras la luz azul parpadea, OnlyKey desactiva la escritura de contraseñas para evitar que sin querer escribas un password en lugar de responder al desafío FIDO.

Ten en cuenta que, aunque ya hubieras registrado OnlyKey como llave de seguridad en un ordenador de sobremesa, muchas webs piden volver a registrar la llave específicamente en Android, porque el navegador y el sistema gestionan las credenciales de forma separada por dispositivo.

Cifrado y descifrado de archivos con OnlyKey en Android

Otra función potente es la capacidad de cifrar y descifrar archivos directamente desde el navegador del móvil usando las claves PGP que almacena OnlyKey. Esto se hace mediante la web de OnlyKey (WebCrypt) que interactúa con el dispositivo a través de la API WebUSB en Android (Chrome o Firefox).

Cifrar archivos desde Android

Para cifrar archivos con OnlyKey usando un móvil Android, el flujo típico es:

  • Conectar OnlyKey al móvil mediante el adaptador OTG.
  • Introducir el PIN para desbloquear el dispositivo.
  • Abrir el navegador y acceder a la URL https://apps.crp.to/encrypt-file.
  • Android mostrará una ventana emergente para conceder permiso al navegador para acceder a OnlyKey; hay que aceptar.
  • Si todo va bien, la web mostrará un mensaje tipo “OnlyKey Secure Connection Established”, indicando que la comunicación cifrada con el dispositivo está activa.
  • Indicar el nombre de usuario de Keybase u otro identificador soportado, tanto del remitente como del destinatario (en caso de cifrar para ti mismo, ambos serán el mismo usuario).
  • Seleccionar los archivos que quieres cifrar y pulsar en el botón de cifrar y firmar.
  • Es probable que aparezcan varias ventanas emergentes de permiso para que el navegador siga usando el dispositivo; hay que ir aceptándolas.
  • Cuando OnlyKey muestre un código de desafío en su pantalla táctil, tendrás que introducirlo en el propio dispositivo para autorizar la operación.

Ese código de desafío sirve como medida de seguridad adicional para operaciones PGP. Si prefieres priorizar la comodidad, en las preferencias de la app de OnlyKey puedes desactivar el uso del código de desafío para PGP y hacer que baste con pulsar cualquier botón para autorizar la acción. Eso sí, renuncias a una capa de protección extra frente a uso no autorizado.

comparativa entre Google Titan M vs Samsung Knox
Artículo relacionado:
Google Titan M vs Samsung Knox: seguridad, privacidad y qué móvil te conviene

Descifrar archivos en Android

El proceso para descifrar archivos en Android usando OnlyKey sigue una lógica parecida:

  • Conectar OnlyKey al móvil por OTG y desbloquearlo con el PIN.
  • Abrir el navegador y entrar en https://apps.crp.to/decrypt-file.
  • Aceptar el aviso de permisos de dispositivo USB.
  • Confirmar que la web indica algo tipo conexión segura establecida con OnlyKey.
  • Introducir tu nombre de usuario de Keybase (o el correspondiente sistema de claves que estés usando).
  • Seleccionar el archivo cifrado con extensión .gpg que quieras descifrar.
  • Aceptar las ventanas emergentes que aparecerán para permitir la comunicación repetida con OnlyKey.
  • Cuando el dispositivo muestre el código de desafío, introducirlo en OnlyKey para autorizar el descifrado.
  • Al terminar, el navegador descargará un archivo comprimido .zip con el contenido descifrado.
  • En Android, necesitarás una app de descompresión de zips (tipo WinZip, RAR, ZArchiver, etc.) para abrir ese .zip y acceder a los archivos.

De nuevo, puedes elegir entre mantener el código de desafío para máxima seguridad o cambiar las preferencias de PGP para aceptar solo una pulsación de botón como autorización rápida cuando la usabilidad sea más importante que la capa extra de verificación.

Seguridad física y comodidad en móviles: OnlyKey vs NFC vs llave integrada

Al usar autenticación fuerte en móviles conviene tener claro el equilibrio entre seguridad física, comodidad y tipo de llave que utilizas. A grandes rasgos podríamos compararlo así:

Llavero de seguridad integrado en Android Llave USB tipo OnlyKey Llave NFC externa
Seguridad física Media/alta, requiere acceso físico al móvil y al PIN/biometría Alta, es un dispositivo separado y protegido por PIN Más baja, puede ser vulnerable a ataques de proximidad (acercar un lector)
Comodidad de uso Muy alta, todo integrado en el propio teléfono Más baja, hay que conectar por USB/OTG cada vez que se use Media, basta con acercar la llave al lector NFC

Desde un punto de vista práctico, la llave de seguridad integrada de Android suele ser más cómoda que una llave NFC y al mismo tiempo más segura que depender únicamente de contraseñas. OnlyKey, al ir por USB y requerir PIN propio, aporta un nivel extra de aislamiento: aunque alguien tenga tu móvil, sin el dispositivo y su PIN no puede reproducir tus factores de autenticación.

Usar OnlyKey «sobre la marcha» sin app de escritorio

Una de las gracias de OnlyKey es que puedes usarlo en casi cualquier equipo o móvil aunque no tenga la app oficial instalada, aprovechando que se comporta como un teclado y que existe la web apps.crp.to para operaciones más avanzadas.

En Android, esto se traduce en que puedes:

  • Conectar OnlyKey por OTG y entrar a apps.crp.to para sincronizar la hora y usar TOTP.
  • Utilizar OnlyKey para teclear contraseñas complejas en cualquier app, sin necesidad de instalar nada especial en el móvil.
  • Acceder a las funciones de cifrado/descifrado de archivos únicamente desde el navegador, sin software adicional.

Esto permite que OnlyKey funcione bien como dispositivo «portátil» de seguridad: lo llevas contigo, lo enchufas al móvil cuando lo necesites y no dependes tanto de tener una máquina concreta configurada.

Gestores de contraseñas, OnlyKey y Android

OnlyKey puede almacenar directamente hasta 24 cuentas en sus slots (dos por cada uno de los seis botones en cada perfil), pero en muchos casos te interesa combinarlo con un gestor de contraseñas para escalar a cientos de credenciales.

La estrategia recomendada es usar OnlyKey para proteger el acceso al gestor de contraseñas más que para reemplazarlo por completo. Por ejemplo:

  • Configurar un slot de OnlyKey con las credenciales y/o 2FA de KeePassXC, LastPass, Dashlane o el propio gestor de Google (Smart Lock).
  • Hacer que solo puedas abrir el gestor si tienes físicamente tu OnlyKey conectado y desbloqueado.
  • Guardar en el gestor el resto de contraseñas menos críticas, de modo que OnlyKey quede reservado para las cuentas realmente importantes o para la llave maestra.

En escritorio, OnlyKey se integra de forma muy potente con KeePassXC mediante challenge-response HMAC-SHA1: para abrir la base de datos necesitas la contraseña maestra y a la vez una respuesta generada por OnlyKey. En Android, el enfoque más realista es usar el gestor de contraseñas con sincronización (por ejemplo, KeePassXC sincronizado vía nube cifrada o un gestor online) y validar el acceso inicial con OnlyKey cuando tengas un ordenador o, si el gestor lo permite, usar la propia llave de seguridad integrada de Android como segundo factor.

Configuración, preferencias y modos avanzados de OnlyKey

Aunque gran parte de la configuración avanzada se hace mejor desde la aplicación de escritorio de OnlyKey, conviene saber qué opciones existen porque afectan al uso en Android:

  • Tiempo de bloqueo por inactividad: puedes definir cuánto tiempo permanece OnlyKey desbloqueado sin usarse. Un valor típico son 30 minutos, pero si te preocupa la seguridad física puedes reducirlo para que se bloquee antes.
  • Velocidad de tecleo: si ves que Android pierde caracteres o la app no registra bien lo que OnlyKey escribe, puedes bajar la velocidad de tecleo. Y si tu móvil va sobrado, puedes subirla para que las contraseñas se introduzcan prácticamente al instante.
  • Distribución de teclado: si viajas o usas un teclado con distribución diferente a la de EE. UU., puedes ajustar el layout de OnlyKey (español, francés, alemán, etc.), lo que evita desajustes al escribir caracteres especiales.
  • Modos de clave derivada y almacenada: para operaciones de SSH o PGP puedes elegir si tienes que introducir un código de desafío de 3 dígitos en el dispositivo o si basta con pulsar un botón. Esto influye directamente en cómo de cómodo o seguro será usar OnlyKey desde el móvil para cifrar o firmar.
  • Modo HMAC: define si las operaciones de challenge-response requieren o no pulsación de botón. En usos como el cifrado de disco completo o automatizaciones, puede interesar no exigir interacción física.
  • Modo de borrado: es posible activar un borrado completo que, además de borrar los datos, borre también el firmware en caso de restauración de fábrica. Es una medida extrema para escenarios de alta amenaza, pero ten en cuenta que luego tendrás que recargar firmware.
  • Sysadmin Mode: permite a OnlyKey escribir combinaciones de teclas complejas (Ctrl+Alt+Del, teclas de navegación, etc.), algo útil sobre todo en entornos de escritorio o servidores, menos relevante en móviles pero importante si usas teclado físico con Android o estaciones de trabajo remotas.

Muchas de estas opciones no se tocan a diario, pero saber que existen te ayuda a adaptar OnlyKey a tu nivel de seguridad y a tu forma de trabajar, también cuando lo conectas a un teléfono Android.

Copia de seguridad segura de OnlyKey desde cualquier sitio

Otra característica interesante de OnlyKey es que permite hacer una copia de seguridad cifrada de toda su configuración en forma de texto. Esa copia incluye cuentas, preferencias y claves y se protege con una frase o clave de copia de seguridad que tú defines.

El procedimiento estándar se hace con la app de escritorio, pero conceptualmente funciona igual en cualquier sistema: OnlyKey «escribe» la copia como si fuera un teclado, de forma que puedes pegar el texto en un editor, en un correo o en la propia app y guardarlo donde prefieras. Después, para restaurar, se importa ese texto cifrado y se vuelve a escribir en el dispositivo.

En el contexto de Android no es muy cómodo teclear un backup tan largo directamente en una app del móvil, pero es importante entender que OnlyKey está diseñado para que las copias de seguridad puedan hacerse casi en cualquier lado donde haya un campo de texto y el dispositivo pueda funcionar como teclado.

características de la cerradura Xiaomi Smart Door Lock 4 Pro
Artículo relacionado:
Xiaomi Smart Door Lock 4 Pro: características, seguridad y domótica en tu puerta

Con todo esto, OnlyKey se convierte en una pieza bastante flexible dentro de tu ecosistema de seguridad: en Android puedes usarlo tanto para gestionar logins con contraseñas fuertes, como para actuar como llave FIDO2, generar TOTP, cifrar y descifrar archivos o reforzar el acceso a gestores de contraseñas. La clave está en combinar bien sus funciones con la biometría y la llave integrada del propio móvil para conseguir un equilibrio razonable entre seguridad fuerte y comodidad en el día a día. Comparte la información y más usuarios conocerán todo sobre OnlyKey.