Laboratorio de seguridad con llaves hardware físicas.

 Empezamos por lo más sencillo: comprobar que la llave funciona como FIDO2 puro en servicios de prueba, sin tocar nada crítico.

Esta es una ruta muy simple y progresiva:

---

1. Paso cero: preparar la llave con el software de ChipNet

1. Entra en la página de Manuales y Utilidades de ChipNet . Allí tienes para tu modelo:
   • Enlace WINDOWS: FIDO2_SK MANAGER_WINDOWS.zip
   • Enlace MAC OS: MAC_FIDO2.zip.​
2. Descarga el paquete que corresponda a tu sistema (por ejemplo, Windows).
3. Descomprime el .zip y ejecuta el gestor (FIDO2_SK Manager o similar).
4. Conecta la llave ChipNet FIDO2.
5. Desde el gestor verifica, solo a modo de prueba:
   • Que el programa detecta la llave.
   • Que puedes ver el estado del PIN (si está puesto o no).
   • Que puedes cambiar el PIN si hace falta.

Objetivo de este paso: comprobar que la llave responde, sin registrar credenciales importantes todavía.

---

2. Paso 1: prueba en una web de test FIDO2 (totalmente inocua)

Antes de ir a servicios más complejos de credenciales o trabajar con cuentas reales, usa un “playground” de WebAuthn:

1. Elige una web de prueba FIDO2 como una demo de WebAuthn (por ejemplo, demos o “playgrounds” de FIDO2/WebAuthn donde registras un usuario ficticio, no una cuenta real).
2. Crea un usuario de pruebas en esa demo (por ejemplo pruebas-fido2-usuario1).
3. Cuando la demo te pida registrar una credential FIDO2:
   • Inserta la llave ChipNet.
   • Si la llave tiene PIN, introdúcelo.
   • Toca la llave cuando parpadee // lo que demuestra que tienes acceso físico.
4. Cierra sesión en la demo y vuelve a iniciar para comprobar que la autenticación FIDO2 funciona (usuario de pruebas + llave, sin usar ninguna cuenta real).

Objetivo: ver todo el flujo WebAuthn (registro → autenticación) sin riesgo.

---

3. Paso 2: prueba con una cuenta “dummy” de gestor de contraseñas

Ahora sí, repetimos lo mismo con un entorno real, pero usando una cuenta de pruebas, sin contraseñas reales:

1. Crea una cuenta gratuita por ejemplo en Bitwarden solo para laboratorio (correo secundario, contraseña maestra de pruebas).​
2. Entra al Web Vault de esa cuenta de pruebas.
3. Ve a Account Settings → Security → Two-step Login → FIDO2 WebAuthn.​
4. Registra la llave ChipNet como segundo factor siguiendo el asistente (PIN + toque).
5. Cierra sesión y prueba varias veces el login:
   • Usuario + contraseña maestra de pruebas.
   • Bitwarden pide 2FA con llave.
   • Inserta la llave, introduce PIN y tócala.

Objetivo: tener dominado el flujo concreto de un gestor de contraseñas real como Bitwarden sin tocar tu bóveda el entorno real.

---

4. Paso 3: comprobar comportamiento con PIN y sin PIN

Si quieres entender bien el tema del PIN antes de usarlo “en serio”:

1. Con la cuenta de pruebas, observa si Bitwarden te pide siempre PIN o solo toque, según cómo tengas configurada la llave y cómo Bitwarden pide la “user verification”.
2. Desde el software de ChipNet/FIDO2 Manager:
   • Comprueba si puedes activar/desactivar PIN (o cambiarlo) y repite la prueba en la demo FIDO2 y en Bitwarden de pruebas.
3. Decide tu política:
   • Para uso serio (Bitwarden real, correo, acceso corporativo) → mantener PIN activado.
   • Para pruebas de laboratorio poco sensibles → puedes comprobar qué ocurre sin PIN, pero solo a modo didáctico.

---

5. Próximo paso …

Cuando se tenga dominados estos tres niveles de prueba (demo FIDO2, Bitwarden de laboratorio y juego con PIN), el siguiente escalón puede ser:

• Usar la llave como login en Windows (Windows Logon, con el paquete “FIDO2_WINDOWS LOGON” ).​
• Luego, ya sí, se trabaja con certificados/DNIe y Administración Electrónica se puede probar a usar los enlaces de “DNI A UN CLICK” de NFC Plus/BioPass, pero eso es ya un nivel avanzado.