- Las apps 2FA basadas en TOTP añaden una capa clave de seguridad sobre la contraseña, reduciendo drásticamente el riesgo de robo de cuentas en Android.
- Los autenticadores de código abierto ofrecen transparencia, menos rastreo y opciones como cifrado local, bloqueo por biometría y copias de seguridad seguras.
- Herramientas como Proton Authenticator, Aegis, Ente Auth, FreeOTP, andOTP o 2FAS cubren distintos perfiles, desde sincronización E2EE hasta uso totalmente offline.
- Combinar varios autenticadores y gestionar bien las copias de seguridad y métodos de recuperación es esencial para no perder acceso a tus cuentas críticas.
Si usas Android a diario, tienes decenas de cuentas online y sigues confiando solo en la contraseña, estás jugando con fuego. Hoy en día, tener una app de autenticación multifactor en el móvil ya no es un capricho para frikis de la seguridad, sino una pieza básica para no acabar con tus cuentas secuestradas tras la enésima filtración de datos.
Lo fácil es tirar de Google Authenticator y olvidarse, pero cada vez más usuarios preferimos apostar por autenticadores de código abierto, sin anuncios, sin rastreadores y con copias de seguridad bien cifradas. En Android hay vida (y muy buena) más allá de Google, con opciones como Aegis, Ente Auth, Proton Authenticator, FreeOTP, andOTP o 2FAS, que han ido cogiendo fuerza gracias a su enfoque en la privacidad.
Qué es la autenticación multifactor y por qué importa tanto en Android
La autenticación multifactor (MFA) combina algo que sabes (tu contraseña) con algo que tienes (normalmente el móvil) o algo que eres (biometría) para ponerle las cosas muy difíciles a un atacante. En el caso de las apps 2FA de Android, ese “algo que tienes” suelen ser códigos de un solo uso basados en el tiempo (TOTP), un estándar del IETF en el que el servicio y tu app comparten un secreto.
Cada 30 segundos, la app genera un código de seis dígitos usando la hora actual y esa clave secreta compartida. El servidor hace el mismo cálculo y, si el código coincide, te deja entrar. Aunque alguien robe uno de esos códigos, no puede recuperar la clave original ni predecir los futuros, de modo que su ventana de ataque es muy pequeña.
Las organizaciones de seguridad recomiendan usar aplicaciones TOTP en el móvil en lugar de soluciones de escritorio siempre que sea posible. Android e iOS proporcionan un aislamiento entre apps y un modelo de permisos mucho más robusto que la mayoría de sistemas de escritorio, donde un malware con privilegios suficientes puede espiar más fácilmente lo que ocurre en la pantalla o la memoria.
Además, muchas apps modernas de autenticación permiten usar biometría o PIN para proteger el acceso, cifran los datos localmente y ofrecen copias de seguridad cifradas de extremo a extremo, algo clave para no perder todos tus tokens si cambias de móvil o este se rompe.
Ventajas de usar apps 2FA de código abierto en Android
Una de las grandes preguntas es por qué apostar por un autenticador de código abierto en Android cuando la propia Google ofrece su solución. La respuesta mezcla transparencia, control y privacidad.
Cuando el código fuente es público, cualquier investigador de seguridad puede auditar cómo se manejan los secretos, cómo se implementa el cifrado y si hay funciones sospechosas. No dependes solo de la “palabra” de la empresa, sino de una comunidad capaz de revisar y reportar fallos, algo especialmente importante cuando hablamos de las llaves de acceso a tus cuentas.
Además, muchos proyectos open source evitan modelos de negocio basados en anuncios, rastreadores o explotación de metadatos. En varias de las herramientas recomendadas, no hace falta ni crear una cuenta: instalas la app, añades tus tokens y listo, sin registro, sin telemetría y con uso totalmente anónimo.
Algunos organismos y guías de seguridad independientes establecen criterios muy claros para recomendar un autenticador seguro: el código debe ser público, la app no debe requerir conexión a Internet para funcionar, y si ofrece sincronización en la nube, ésta debe ser siempre opcional y con cifrado de extremo a extremo (E2EE). Aplicaciones como Ente Auth o Aegis se mueven justamente en esa línea.
También conviene tener en cuenta puntos prácticos: varias apps open source destacan por su tamaño ridículo, ausencia de anuncios y rendimiento, algo que se agradece en dispositivos modestos o saturados de bloatware.
Proton Authenticator: 2FA cifrada y multiplataforma sin ataduras
Proton, conocida por Proton Mail, Proton VPN o Proton Pass, ha lanzado su propia app 2FA: Proton Authenticator. Está disponible gratis para Android, iOS, Windows, macOS y Linux, y llega con una idea clara: ofrecer autenticación de doble factor sin compromisos de privacidad.
Uno de los grandes problemas de Google Authenticator es que, aunque cifra los códigos en el dispositivo y en tránsito, las copias de seguridad en la nube no están protegidas con cifrado de extremo a extremo. En la práctica, tus códigos pueden almacenarse en texto plano en los servidores, algo que no encaja con un modelo de amenaza más exigente.
Proton Authenticator, en cambio, cifra todo antes de salir del dispositivo. Las copias de seguridad y la sincronización entre móviles y ordenadores son E2EE, de modo que solo tú tienes las claves para descifrar los datos. Ni Proton ni terceros pueden leer tus secretos, incluso si alguien accede a los servidores.
Además, la app incorpora funciones de seguridad básicas pero imprescindibles: bloqueo con código o biometría para que, aunque alguien agarre tu móvil desbloqueado, no pueda entrar a tus tokens tan alegremente. También puedes usar Proton Authenticator totalmente offline, generando códigos de forma local incluso si no quieres sincronizar nada.
La importación y exportación es otro punto fuerte: puedes migrar fácilmente desde otros autenticadores mediante exportación masiva o escaneando códigos QR. Admite TOTP, autenticación para Steam, distintos algoritmos (SHA1, SHA256, SHA512), diferentes longitudes de código y ajustes de intervalo de tiempo para adaptarse a servicios algo más exóticos.
Aegis Authenticator para Android: potencia, cifrado y simplicidad
Aegis Authenticator es una de las apps 2FA de código abierto más apreciadas entre usuarios de Android preocupados por la privacidad. Se centra en ofrecer un almacén de tokens cifrado, bloqueo de acceso y mucha flexibilidad en el día a día.
Entre sus funciones clave destaca el cifrado local del almacén, que puede protegerse con contraseña o con biometría, y su capacidad para organizar los tokens de forma cómoda. Aegis permite exportar copias de seguridad cifradas, lo que facilita el cambio de dispositivo sin renunciar a la seguridad.
Una de las particularidades que genera más debate es que, por diseño, no integra sincronización en la nube. Para algunos usuarios esto es una molestia, porque obliga a gestionar las copias de forma manual; para otros, es precisamente una ventaja de seguridad: tu almacén no sale a Internet a menos que tú lo decidas y bajo tus propias condiciones.
A nivel de compatibilidad, Aegis soporta los formatos estándar más populares de 2FA (TOTP/HOTP) y trabaja sin conexión, como cualquier autenticador bien diseñado. Para quienes valoran un equilibrio entre control absoluto, código abierto y buena usabilidad, sigue siendo una de las mejores apuestas en Android.
Algunos usuarios avanzados aprovechan opciones con root para funciones adicionales, pero la experiencia básica funciona perfectamente sin necesidad de modificar el sistema, con una interfaz clara y sin adornos innecesarios.
Ente Auth: sincronización cifrada y auditoría de seguridad
Ente Auth es otra solución de código abierto pensada para quienes quieren 2FA robusta y sincronizada. Su infraestructura de servidor se sometió a una auditoría de seguridad por parte de Cure53, lo que añade un plus de confianza en su diseño y en la implementación del cifrado cuando se usa con cuenta online.
La filosofía de Ente se basa en que la sincronización en la nube sea siempre opcional y E2EE. Puedes utilizar la app solo en local si prefieres reducir superficie de ataque, o activar la cuenta para tener tus tokens disponibles en varios dispositivos, manteniendo el cifrado extremo a extremo.
Como cualquier buen autenticador moderno, Ente Auth genera códigos TOTP en el dispositivo, funciona sin conexión y permite copias de seguridad seguras para no perder los tokens al cambiar de smartphone. Al estar alineado con criterios estrictos (código público, sin requisitos de conexión, sincronización opcional), es especialmente interesante para usuarios que siguen recomendaciones de organizaciones de privacidad.
El enfoque de la app encaja muy bien con un ecosistema Android donde muchos usuarios buscan alternativas a Google centradas en la privacidad, complementando otros servicios cifrados y de código abierto para correo, almacenamiento o gestión de contraseñas.
FreeOTP y andOTP: minimalismo y control total del archivo de tokens
FreeOTP es un clásico entre las apps de autenticación de código abierto, creado como respuesta a que Google cerrase el código de su autenticador. Su filosofía es la simplicidad absoluta: interfaz minimalista, sin adornos y sin funciones superfluas, lo que se traduce en un consumo de almacenamiento minúsculo (en torno a 2-3 MB).
En Android, FreeOTP permite añadir tokens tanto mediante códigos QR como a partir de una clave secreta, elegir si usas TOTP u HOTP y configurar detalles como el algoritmo, longitud del código o periodo de refresco. En iOS, en cambio, la versión es algo más limitada y puede obligarte al escaneo por QR.
La app no ofrece sincronización en la nube ni exportación de tokens a archivo, y tampoco integra un sistema de copia de seguridad propio. Eso implica que, una vez dentro del ecosistema de FreeOTP, salir puede ser un dolor de cabeza si no guardas las claves secretas por tu cuenta. A cambio, no necesita cuenta ni conexión, oculta los códigos por defecto y en iOS puede proteger tokens individuales con Face ID o Touch ID.
andOTP, por su parte, fue durante años el autenticador más completo y “geek” de Android. Ofrecía búsqueda de tokens, etiquetas, un “botón del pánico” para borrar todo en caso de emergencia, exportación cifrada a Google Drive, posibilidad de ver la clave secreta o el QR de cada token y un abanico enorme de opciones de seguridad (bloqueo automático, PIN independiente, ajuste de tiempos, etc.).
Una de sus grandes ventajas era la facilidad para realizar copias de seguridad cifradas en un archivo, lo que permitía migrar entre dispositivos o guardar una copia offline con seguridad. Sin embargo, el proyecto ha dejado de recibir nuevas funciones y no se recomienda para usuarios que necesiten una herramienta con soporte activo, aunque sigue siendo sólido para quien ya lo usa y sabe lo que hace.
2FAS, Authy y otras alternativas multiplataforma
Más allá del ecosistema estrictamente open source, existen apps que, aun no siendo 100 % libres, se centran en ofrecer buenas garantías de privacidad, uso anónimo y soporte multiplataforma. Entre ellas destacan 2FAS y Authy (Twilio Authy).
2FAS se presenta como el autenticador más sencillo y privado posible. Es gratuito, con código abierto, sin cuenta obligatoria, sin almacenamiento de contraseñas ni metadatos, y permite usar la app de forma completamente anónima. Funciona offline, soporta TOTP y HOTP, y ofrece sincronización entre dispositivos móviles, además de extensiones para navegador.
La app permite restaurar tokens con copias de seguridad, proteger el acceso con PIN o biometría y cuenta con una interfaz muy limpia. Apuestan por no saturar al usuario con opciones avanzadas, priorizando que funcione en prácticamente cualquier web con 2FA estándar y que la experiencia sea cómoda para todo el mundo.
Twilio Authy, por otro lado, lleva años siendo un peso pesado del sector. Su gran baza es el soporte multiplataforma real: Android, iOS, Windows, macOS y Linux, todo sincronizado en la nube. Esto la hace muy atractiva si te mueves constantemente entre móvil y varios ordenadores.
El lado menos amable es que necesita crear una cuenta vinculada a tu número de teléfono y su interfaz en móvil solo muestra un token a la vez, lo que puede ser engorroso si tienes muchísimos servicios. No obstante, cifra las copias de seguridad, protege el acceso con PIN o biometría y facilita mucho el uso de 2FA cuando trabajas con varios sistemas operativos a diario.
Google Authenticator, Microsoft Authenticator y otras opciones cerradas
Aunque el enfoque principal de este artículo son las soluciones abiertas y centradas en la privacidad, también es útil entender qué ofrecen los grandes autenticadores propietarios y qué limitaciones tienen si buscas máximo control.
Google Authenticator es la referencia clásica. Es simple, gratuito, no requiere cuenta aparte (más allá de tu cuenta de Google) y permite exportar todos los tokens en un único código QR para migrar a otro dispositivo. En iOS, además, permite proteger el acceso con Face ID o Touch ID y buscar por nombre.
Sin embargo, no oculta los códigos en pantalla, carece de sincronización en la nube con E2EE y en Android ni siquiera ofrece protección de acceso por PIN o biometría integrada. Esto, unido al historial de conflictos de Google con la privacidad en Europa, hace que muchos usuarios acaben mirando hacia alternativas más respetuosas.
Microsoft Authenticator combina autenticador 2FA y gestor de contraseñas. Protege el acceso con biometría o PIN, oculta códigos, sincroniza en la nube y simplifica mucho el login en cuentas de Microsoft (basta con aprobar una notificación). No necesita cuenta si desactivas la copia de seguridad, pero si quieres sincronización tendrás que iniciar sesión en tu cuenta Microsoft.
Su talón de Aquiles es que las copias de seguridad de iOS y Android son incompatibles entre sí y que la app es muy pesada (alrededor de 150-200 MB). Si combinas Android y iPhone, esto puede ser un problema serio al cambiar de móvil.
Otros nombres habituales son Duo Mobile de Cisco (buena interfaz, posibilidad de ocultar códigos, sin cuenta obligatoria, pero sin exportación de tokens y con backups separados entre iOS y Android), LastPass Authenticator (muy completo pero lastrado por los incidentes de seguridad del gestor de contraseñas) o soluciones integradas en gestores como 1Password o Bitwarden, que generan los códigos directamente en tus bóvedas de contraseñas, con autocompletado incluido.
Recomendaciones prácticas para usar MFA en Android sin sustos
Una de las mejores decisiones que puedes tomar es no casarte con una sola app. Puedes mezclar soluciones según tus necesidades: usar un autenticador open source y offline para las cuentas más críticas (banco, correo principal, gestores de contraseñas) y otro con sincronización cómoda para cuentas menos sensibles o de uso más casual.
Sea cual sea la app, activa siempre que puedas la protección de acceso (PIN, contraseña o biometría) si permite exportar tokens o ver claves secretas. En estos casos, si alguien accede a la app desbloqueada, no solo podría robar el código de 30 segundos, sino también clonar todos tus tokens en otro dispositivo.
Otro punto crítico es la copia de seguridad. Muchas apps, especialmente las más minimalistas, no permiten exportar tokens ni ver la clave secreta una vez añadida. Si pierdes el móvil o la app se corrompe tras una actualización, recuperar el acceso a algunos servicios puede ser un auténtico vía crucis, con formularios de soporte interminables.
Para reducir riesgos, asegúrate de que al menos tus servicios más importantes ofrecen códigos de recuperación, llaves de seguridad físicas (U2F/FIDO2) o algún mecanismo alternativo de acceso. Y si tu autenticador permite exportar a un archivo cifrado, plantéate guardar una copia en un lugar muy seguro, como un almacenamiento offline protegido por una contraseña fuerte.
Finalmente, si decides usar autenticadores de escritorio, como WinAuth o soluciones integradas en gestores de contraseñas para PC, ten claro que la superficie de ataque en escritorio es mayor: el malware tiene más margen para registrar teclas, capturar pantalla o inyectarse en procesos. Siempre que puedas, mantén tus tokens TOTP en Android y deja el ordenador solo como consumidor del código.
Con todo este panorama de apps abiertas y cerradas, offline y sincronizadas, minimalistas y ultracompletas, la clave está en elegir una combinación que encaje con tu forma de trabajar: si valoras la privacidad y el control, las opciones de autenticación multifactor en Android de código abierto como Aegis, Ente Auth, FreeOTP, 2FAS o Proton Authenticator te ofrecen justamente ese equilibrio entre seguridad fuerte, transparencia y comodidad diaria para que no tengas que sacrificar tu privacidad a cambio de protección.
