Todas generan los mismos códigos
Vamos a dejar esto claro: cada aplicación autenticadora que soporta TOTP produce los mismos códigos de 6 dígitos. El algoritmo está estandarizado (aquí está cómo funciona TOTP si tienes curiosidad). Así que los códigos de Google Authenticator, Authy, y una aplicación de código abierto aleatoria son idénticos para la misma clave secreta.
Las diferencias se reducen a todo lo que rodea los códigos: opciones de respaldo, soporte multi-dispositivo, la interfaz, y si confías en la empresa detrás de la aplicación.
Aquí están cómo se comparan cinco opciones populares.
La comparación
| Característica | Google Authenticator | Microsoft Authenticator | Authy | 2FAS | Aegis |
|---|---|---|---|---|---|
| Plataforma | Android, iOS | Android, iOS | Android, iOS, Escritorio | Android, iOS | Solo Android |
| Respaldo en la nube | Sincronización cuenta Google | iCloud / Google backup | Sincronización nube cifrada | Google Drive / iCloud | Solo exportación manual |
| Multi-dispositivo | Vía sincronización Google | Un teléfono + respaldo | Sí, integrado | Vía respaldo nube | No |
| Código abierto | No | No | No | Sí | Sí |
| Uso offline | Sí | Sí | Sí | Sí | Sí |
| Bloqueo biométrico | No | Sí | Sí | Sí | Sí |
| Precio | Gratis | Gratis | Gratis | Gratis | Gratis |
Google Authenticator
Google Authenticator es la aplicación en la que la mayoría de la gente piensa cuando escucha “autenticador”. Ha existido desde 2010, y durante la mayor parte de su vida fue deliberadamente básica: sin respaldo, sin sincronización, sin lujos. Tenías tus códigos en un dispositivo, y si perdías ese dispositivo, empezabas de cero.
Eso cambió en 2023 cuando Google agregó sincronización de cuenta. Tus secretos ahora se respaldan en tu cuenta de Google y se restauran cuando inicias sesión en un nuevo dispositivo. Esto arregló la queja más grande sobre la aplicación.
Todavía es minimalista. No hay PIN ni bloqueo biométrico en la propia aplicación, lo que significa que cualquiera que tome tu teléfono desbloqueado puede ver tus códigos. La interfaz es limpia pero básica. Funciona bien.
Bueno para: Personas que quieren algo simple de un nombre que reconocen. Si ya vives en el ecosistema de Google, la sincronización es conveniente.
Ten cuidado con: Sin bloqueo a nivel de aplicación. Tus códigos están solo tan protegidos como la pantalla de bloqueo de tu teléfono.
Microsoft Authenticator
La aplicación de Microsoft hace más que TOTP. Maneja aprobaciones por notificación push para cuentas de Microsoft, puede almacenar contraseñas, y soporta autocompletado. Si usas Microsoft 365 en el trabajo, hay una buena probabilidad de que tu departamento de TI ya te haya señalado esta.
Para TOTP específicamente, funciona bien. Soporta respaldo iCloud en iOS y respaldo de cuenta Google en Android. La aplicación tiene una opción de bloqueo biométrico, así que puedes requerir Face ID o una huella dactilar antes de que los códigos sean visibles.
La interfaz está más ocupada que Google Authenticator debido a todas las características extra. Si solo la estás usando para códigos TOTP, hay muchas cosas que ignorarás.
Bueno para: Personas ya en el ecosistema de Microsoft, especialmente si lo usas para trabajo. Las notificaciones push para inicio de sesión de Microsoft 365 son genuinamente convenientes.
Ten cuidado con: La aplicación puede sentirse desordenada si no usas el gestor de contraseñas o las características de autocompletado.
Authy
Authy fue uno de los primeros autenticadores en ofrecer respaldo cifrado en la nube y sincronización multi-dispositivo, cuando Google Authenticator todavía no tenía ninguno. Puedes instalar Authy en tu teléfono, tablet, y escritorio, y todos tus códigos se mantienen sincronizados.
Los respaldos están cifrados con una contraseña que tú estableces (separada de la contraseña de tu cuenta de Authy). Authy no puede leer tus secretos en sus servidores, al menos según su documentación.
Una cosa que saber: Authy discontinuó sus aplicaciones de escritorio en 2024. Si el acceso de escritorio era un punto de venta para ti, eso se ha ido. Las aplicaciones móviles todavía funcionan y todavía se sincronizan.
Authy es propiedad de Twilio, una gran compañía de comunicaciones. No es código abierto, así que estás confiando en la implementación e infraestructura de Twilio.
Bueno para: Personas que quieren sincronización automática multi-dispositivo sin pensar en ello. La configuración es sencilla y el respaldo está integrado.
Ten cuidado con: No es código abierto. Las aplicaciones de escritorio están discontinuadas. Estás confiando en Twilio con tu bóveda cifrada.
2FAS
2FAS es la opción de código abierto que no te hace renunciar a la conveniencia. Soporta respaldo en la nube a través de Google Drive o iCloud, tiene una interfaz limpia, e incluye una extensión de navegador que puede autocompletar códigos TOTP cuando inicias sesión en sitios web.
Ser código abierto significa que el código es públicamente auditable. Si te importa verificar qué está haciendo una aplicación con tus secretos, esto importa.
La extensión de navegador es un buen toque. Cuando un sitio pide tu código TOTP, recibes una notificación en tu teléfono para aprobarlo, y el código se completa automáticamente. Es similar a cómo funciona la 2FA por notificación push, pero construido sobre TOTP estándar.
Bueno para: Personas que quieren software de código abierto sin sacrificar usabilidad. La extensión de navegador es una característica de conveniencia real.
Ten cuidado con: Comunidad más pequeña que los grandes nombres. Menor reconocimiento de nombre si eso te importa para confianza.
Aegis
Aegis es solo para Android y completamente código abierto. Es la opción más transparente aquí: sin servicio en la nube, sin cuenta para crear, sin sincronización a menos que la configures tú mismo. Exportas un archivo de bóveda cifrado y gestionas respaldos como quieras.
La aplicación soporta bloqueo biométrico, tiene una interfaz limpia, y maneja todo el material estándar TOTP/HOTP sin complicaciones. Puedes importar desde la mayoría de otras aplicaciones autenticadoras si estás cambiando.
La falta de sincronización en la nube integrada es una característica o una desventaja dependiendo de tu perspectiva. Si quieres control total sobre dónde se almacenan tus secretos, Aegis te da eso. Si quieres que las cosas se sincronicen automáticamente, necesitarás emparejarlo con algo como Syncthing o gestionar respaldos manuales.
Bueno para: Usuarios de Android que quieren control y transparencia totales. Personas conscientes de la seguridad que prefieren gestionar sus propios respaldos.
Ten cuidado con: No hay versión iOS. No hay sincronización integrada. Eres responsable de tu propia estrategia de respaldo.
Entonces, ¿cuál deberías usar?
No hay una única mejor respuesta. Aquí está una guía de decisión aproximada:
- Solo quieres algo que funcione: Google Authenticator o Microsoft Authenticator. Elige cualquier ecosistema que ya uses.
- Quieres sincronización en la nube entre múltiples dispositivos: Authy o 2FAS.
- Te importa el código abierto: 2FAS (multiplataforma) o Aegis (Android).
- Quieres máximo control: Aegis. Tú gestionas todo, nada se comunica con casa.
- Usas Microsoft 365 en el trabajo: Microsoft Authenticator, ya que probablemente lo necesites de todos modos.
La verdad honesta es que cualquiera de estas aplicaciones está bien. La diferencia de seguridad entre ellas es pequeña comparada con la diferencia entre usar cualquier aplicación autenticadora y no usar una en absoluto. Elige una, configura tus cuentas, guarda tus códigos de respaldo, y sigue adelante.
Si quieres entender la mecánica detrás de los códigos que estas aplicaciones generan, revisa ¿Qué es TOTP?. Y para probar códigos sin comprometerte a nada, prueba 2fa.zip — funciona en tu navegador y no almacena nada en un servidor.