La mejor authenticator app depende de lo que valores: Authy gana en copias de seguridad cifradas, Microsoft Authenticator en integración corporativa y Google Authenticator en simplicidad. Todas generan códigos TOTP de seis dígitos que caducan cada 30 segundos y funcionan sin conexión a internet. Una 2fa app convierte tu móvil en una llave física: aunque te roben la contraseña, el atacante necesita ese código rotatorio para entrar. Aquí está MataSpam, tu filtro de correo con mala leche y buen criterio, para comparar las cuatro grandes sin marketing de por medio. Te diremos cuál instalar según tu caso, qué trampas tiene cada una y por qué el SMS para 2FA es el primo tonto de la familia. Spoiler: ninguna app es perfecta, pero cualquiera es infinitamente mejor que un solo password.
Qué es una app autenticadora y por qué un código TOTP vale más que un SMS
Una app TOTP (Time-based One-Time Password) genera códigos a partir de una clave secreta compartida y la hora actual. El estándar está definido en el RFC 6238, publicado por la IETF en 2011. Ni el servidor ni tu móvil envían nada por la red: ambos calculan el mismo número en paralelo.
Esto importa porque el 2FA por SMS tiene un agujero conocido. El SIM swapping permite a un atacante portar tu número a otra tarjeta SIM y recibir tus códigos. El propio NIST estadounidense desaconseja el SMS como segundo factor desde su guía SP 800-63B. Una authenticator app no depende de la red móvil, así que ese ataque no funciona.
Las cuatro apps que comparamos usan el mismo estándar. La diferencia está en la copia de seguridad, la sincronización entre dispositivos y la cantidad de telemetría que se llevan de regalo.
Comparativa: Google, Microsoft, Authy y dos alternativas serias
| App | Backup en la nube | Multi-dispositivo | Código abierto | Punto fuerte |
|---|---|---|---|---|
| Google Authenticator | Sí (cuenta Google) | Limitado | No | Simplicidad extrema |
| Microsoft Authenticator | Sí (cuenta MS) | Sí | No | Login sin contraseña + empresa |
| Authy | Sí (cifrado E2E) | Sí | No | Backup cifrado robusto |
| Aegis (Android) | Local/manual | No | Sí | Privacidad y cifrado AES |
| 2FAS | Sí (opcional) | Sí | Sí | Open source multiplataforma |
Google Authenticator añadió sincronización en la nube en 2023. Útil, pero al principio esa sincronización viajaba sin cifrado de extremo a extremo, según denunciaron investigadores de seguridad ese mismo año. Google lo corrigió después. Si buscas lo más sencillo y vives dentro del ecosistema Google, cumple.
Microsoft Authenticator es la navaja suiza corporativa. Permite login sin contraseña en cuentas Microsoft, notificaciones push de aprobación y se integra con Azure Active Directory (ahora Entra ID). Si trabajas en una empresa con Microsoft 365, probablemente ya la tengas impuesta. No es mala cosa.
Authy (de Twilio) fue durante años la favorita de quienes cambiaban de móvil a menudo. Su backup cifrado con contraseña propia y la sincronización multi-dispositivo la hacían cómoda. Ojo: Twilio sufrió una brecha en agosto de 2022 vía phishing a empleados, y en 2024 se filtraron millones de números de teléfono asociados a cuentas Authy. Los códigos no se comprometieron, pero conviene saberlo. Además, Authy retiró su app de escritorio en 2024.
Para quien prioriza privacidad, Aegis en Android y 2FAS en ambos sistemas son alternativas de código abierto auditables. Aegis cifra la bóveda localmente y exporta backups que tú controlas. Nada de nubes ajenas si no quieres.
Cómo configurar tu primera 2fa app paso a paso
El proceso es casi idéntico en cualquier google authenticator o equivalente. Te lo resumimos sin paja:
- Entra en los ajustes de seguridad de la cuenta que quieres proteger (Gmail, Instagram, tu banco).
- Busca verificación en dos pasos o autenticación de dos factores y elige "app de autenticación".
- El servicio muestra un código QR. Ábrelo escaneando con tu app autenticadora.
- La app empieza a generar códigos de seis dígitos. Introduce el actual para confirmar el emparejamiento.
- Guarda los códigos de recuperación que te ofrece el servicio. Esto es lo que más gente se salta y luego llora.
Ese último punto es crítico. Si pierdes el móvil y no tienes backup ni códigos de recuperación, te quedas fuera de tu propia cuenta. Apúntalos en un gestor de contraseñas o en papel guardado a buen recaudo. Si te interesa cómo blindar tu móvil más allá del 2FA, échale un ojo a nuestra guía sobre cómo detectar una app espía instalada en tu móvil.
Errores que te dejan en pelotas pese a tener 2FA
Tener una 2fa app no te hace invulnerable. El factor humano sigue siendo el eslabón débil.
- Phishing de código en tiempo real: una web falsa te pide usuario, contraseña y el código TOTP, y los reenvía al sitio real al instante. El código caduca en 30 segundos, pero al atacante le sobra. Verifica siempre el dominio. Los ataques de typosquatting con dominios falsos que imitan webs legítimas son la antesala habitual de este timo.
- MFA fatigue: el atacante ya tiene tu contraseña y bombardea tu Microsoft Authenticator con notificaciones push hasta que apruebas una por hartazgo. Así cayó Uber en 2022. Nunca apruebes una notificación que no hayas iniciado tú.
- No hacer backup: móvil al váter, cuenta perdida.
- Capturas del QR en la galería: ese QR es la clave maestra. Si se sincroniza a una nube comprometida, adiós.
Para entender cómo los atacantes ejecutan acciones en tu nombre aprovechando sesiones abiertas, nuestro artículo sobre el ataque CSRF complementa bien esta lectura. Y si quieres comprobar si tu correo ya anda filtrado por ahí, pásate por Have I Been Pwned: te dice en qué brechas aparece tu email.
Preguntas frecuentes
¿Qué pasa si pierdo el móvil con la authenticator app?
Sin backup, pierdes acceso a las cuentas protegidas. Por eso debes guardar los códigos de recuperación al configurar el 2FA y elegir apps como Authy o 2FAS con sincronización cifrada. Recuperar el acceso sin nada de eso implica el lento proceso de verificación de identidad de cada servicio.
¿Es Authy más segura que Google Authenticator?
Authy ofrece backup cifrado de extremo a extremo y multi-dispositivo, algo que Google tardó en igualar. A cambio, Authy pide tu número de teléfono y sufrió filtraciones de esos números en 2024. Para máxima privacidad, una app open source como Aegis supera a ambas.
¿Puedo usar la misma app para todas mis cuentas?
Sí. Una sola totp app puede almacenar decenas de cuentas distintas, cada una con su código independiente. Bancos, redes sociales y correo conviven sin problema en la misma aplicación.
¿Sirve la app autenticadora sin internet?
Sí. Los códigos TOTP se calculan con la hora del dispositivo y la clave secreta, sin conexión. Solo necesitas que la hora del móvil esté sincronizada correctamente para que coincida con el servidor.
¿Por qué no debería usar el 2FA por SMS?
El SMS es vulnerable al SIM swapping, donde un atacante clona tu número para interceptar los códigos. El NIST lo desaconseja desde hace años. Una app autenticadora elimina ese vector porque nada viaja por la red móvil.
El siguiente paso
Abre ahora mismo los ajustes de seguridad de tu correo principal y activa la verificación en dos pasos con una authenticator app. Es el cambio de cinco minutos que más fortifica tu vida digital. Si gestionas la seguridad de una empresa y quieres ir más allá del 2FA individual, el equipo de Piqture especializado en soluciones con inteligencia artificial trabaja estos frentes a diario, y en nuestro blog encontrarás más guías como esta para no caer en la próxima trampa.
