Si utilizas la autentificación en dos pasos con códigos únicos generados en una aplicación, Google Authenticator no es tu única opción. Desde que se creó la solución original de Google hace más o menos una década, han aparecido en escena una serie de alternativas que la superan en comodidad y funcionalidad.
Hace tan solo tres años, podías contar las aplicaciones de autentificación disponibles en el mercado con los dedos de una mano, pero ahora es fácil perderse entre las opciones. Aquí están las 10 más notables.
- Aplicaciones de autentificación para Android: andOTP, Twilio Authy, Google Authenticator, Microsoft Authenticator, Duo Mobile de Cisco, FreeOTP
- Aplicaciones de autentificación iOS 15: OTP auth, Step Two, Twilio Authy, Google Authenticator, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP, el autentificador incorporado de iOS
- Aplicaciones de autentificación Windows: WinAuth, Twilio Authy
- Authenticator apps for macOS: Step Two, OTP Auth (solo versión de pago), Twilio Authy
1. Google Authenticator
Sistemas operativos: Android, iOS
Cualquiera que lea esta publicación probablemente ya esté familiarizado con el popular Google Authenticator. Pero, no podemos escribir sobre las aplicaciones de autentificación sin mencionar esta; además, podemos usar el autentificador de Google como referencia para evaluar el resto de los programas.
En general, Google Authenticator es una solución práctica para aquellos que prefieren no involucrarse con la sincronización de tokens a través de la nube. En cambio, la aplicación puede exportar todos los tokens creados en ella, creando un solo código QR para importarlos en masa a un nuevo dispositivo. En la versión de iOS se ha habilitado recientemente una opción para buscar tokens y proteger el acceso a la aplicación con Touch ID o Face ID, a diferencia de la versión de Android. Google Authenticator sigue sin ocultar los códigos generados, lo que puede resultar problemático si lo usas en público. (Por cierto, ningún autentificador para Android permite las capturas de pantalla, por lo que todas las capturas que aparecen en esta publicación provienen de las versiones iOS de las aplicaciones).
Pros:
- No es necesario crear una cuenta.
- Protección Face ID/Touch ID para acceder a la aplicación (solo en la versión de iOS).
- Interfaz simple con configuraciones mínimas.
- Capacidad para exportar e importar todos los tokens a la vez.
- Capacidad de buscar por nombre de token (solo en la versión de iOS).
Contras:
- Sin protección de inicio de sesión (versión de Android).
- Incapacidad para ocultar los códigos.
- Sin copia de seguridad/sincronización en la nube.
- Mayor riesgo potencial, debido a la facilidad de exportar tokens, si la aplicación desbloqueada cae en manos equivocadas.
Conclusión
Google Authenticator carece de algunas funciones útiles, pero si no deseas involucrarte en el almacenamiento de tokens en la nube, es una opción decente.
2. Microsoft Authenticator
Sistemas operativos: Android, iOS
Muchos usuarios que buscan una alternativa a Google Authenticator recurren a Microsoft Authenticator basándose únicamente en la reputación del desarrollador. En parte, esto está justificado: la aplicación de Microsoft incluye algunos complementos útiles al conjunto básico de funciones. Por ejemplo, puede ocultar códigos en la pantalla y almacenar tokens en la nube y las versiones para iOS y Android protegen los inicios de sesión de la aplicación. Microsoft Authenticator también es útil si trabajas con cuentas de Microsoft regularmente, en cuyo caso no necesitarás introducir un código, solo tendrás que tocar el botón en la aplicación para confirmar el inicio de sesión.
Sin embargo, esta aplicación también presenta inconvenientes. En primer lugar, las aplicaciones de Android y iOS utilizan sistemas de copia de seguridad en la nube completamente incompatibles y no puedes transferir tokens de ninguna otra forma. Para los usuarios de dispositivos con diferentes sistemas operativos, eso sería un factor decisivo. En segundo lugar, Microsoft Authenticator necesita aproximadamente 10 veces el espacio de almacenamiento de Google Authenticator, unos 150 MB–200 MB en comparación con los 15 MB–20 MB del autentificador de Google.
Pros:
- Acceso protegido con código PIN, huella digital o Face ID.
- Copia de seguridad/sincronización con la nube.
- Ocultación de los códigos.
- No se requiere una cuenta (siempre y cuando mantengas la copia de seguridad en la nube deshabilitada).
- Inicio de sesión de cuenta de Microsoft muy simplificado.
- Compatibilidad con Apple Watch (versión iOS).
Contras:
- Es necesario iniciar sesión en la cuenta de Microsoft para la copia de seguridad/sincronización (solo versión de Android).
- Incompatibilidad entre los sistemas de copias de seguridad/sincronización de iOS y Android.
- Incapacidad para exportar o importar tokens.
- Pesado (requiere 150 MB–200 MB).
Conclusión
Microsoft Authenticator simplifica enormemente el inicio de sesión en las cuentas de Microsoft, pero es difícil excusar su enorme tamaño y que las copias de seguridad en la nube de iOS y Android sean incompatibles.
3. Twilio Authy
Sistemas operativos: Android, iOS, Windows, macOS, Linux
La principal ventaja de Twilio Authy es su completo soporte multiplataforma. Authy no solo ofrece versiones para todos los sistemas operativos actuales, sino que además la aplicación los sincroniza todos fácilmente. Sin embargo, ese fácil acceso presenta una desventaja: la aplicación requiere una cuenta vinculada a tu número de teléfono para funcionar.
La interfaz de la aplicación es muy diferente a la de otros autentificadores. En lugar de una lista, aparecen algo así como un conjunto de pestañas, por lo que en un momento dado, muestra solo el token seleccionado, dejando que el resto aparezca como pequeños iconos que puedes seleccionar en la parte inferior de la pantalla. Si tienes muchos tokens, esto puede ser un inconveniente. Los usuarios de escritorio sí pueden ver los tokens en una lista, pero esta opción no está disponible en la versión para móvil.
Pros:
- Acceso protegido con código PIN, huella digital o Face ID.
- Copia de seguridad/sincronización en la nube.
- Disponibilidad para todos los sistemas operativos populares.
- Compatibilidad con Apple Watch (versión iOS).
- Posibilidad de buscar por token.
Contras:
- Requiere una cuenta vinculada a un número de teléfono.
- Muestra solo un token a la vez.
- Inconveniencia a la hora de buscar tokens.
- Incapacidad para ocultar el código del token activo.
- Incapacidad para exportar e importar tokens.
Conclusión
No puedes usar Twilio Authy sin configurar una cuenta y la interfaz del smartphone no es tan fácil de usar como nos gustaría que fuera, pero dado que las aplicaciones para todos los sistemas operativos se sincronizan perfectamente entre sí, vale la pena echarle un vistazo a esta aplicación.
4. Duo Mobile de Cisco
Sistemas operativos: Android, iOS
Duo Mobile, adquirida por Cisco en el 2018, es una de las aplicaciones de autentificación más antiguas. Su principal ventaja es una interfaz limpia y fácil de usar. También oculta los códigos y no requiere la creación de una cuenta. Sin embargo, el software carece de otras características importantes: en primer lugar, la protección de acceso, que no tiene ni la versión de iOS ni la de Android.
Duo Mobile utiliza dos sistemas para la copia de seguridad en la nube: Google Cloud en la plataforma Android y iCloud en la plataforma iOS. Los usuarios pueden utilizar sus propias cuentas de Google y Apple para que la aplicación funcione, lo que significa que no tienen que crear una nueva cuenta para ello. Sin embargo, los usuarios no pueden sincronizar datos entre las versiones de Android y iOS, la aplicación no admite la exportación de archivos y no hay opción de ver una clave secreta o código QR para tokens que ya están guardados (lo que podría ser útil si necesitas hacer una sincronización manual).
Pros:
- Interfaz limpia y fácil de usar.
- Capacidad para ocultar códigos.
- No es necesario crear una cuenta.
- Copia de seguridad/sincronización en la nube.
- Compatibilidad con Apple Watch (versión iOS).
Contras:
- Sin protección de acceso.
- Incapacidad para exportar o importar tokens.
- Sistemas de respaldo/sincronización incompatibles para iOS y Android.
Conclusión
Duo Mobile de Cisco puede satisfacer tus necesidades si usas y tienes pensado usar siempre un único sistema operativo móvil.
5. FreeOTP
Sistemas operativos: Android, iOS
Esta aplicación de autentificación de código abierto se creó después de que Google cerrara el código fuente de su Authenticator. La interfaz de FreeOTP es ultraminimalista, sin nada superfluo. Este enfoque minimalista se hace especialmente evidente en la versión de iOS, que carece incluso de la opción de crear un token basado en una clave secreta, dejando solo el escaneo de códigos QR. La versión de Android conserva ambas opciones y ofrece mucha flexibilidad en la creación manual de tokens, lo que permite a los usuarios elegir el tipo de generación (TOTP o HOTP), la cantidad de caracteres en el código, el algoritmo y el intervalo de actualización de los códigos.
Una desventaja es que ninguna versión de la aplicación es compatible con la sincronización en la nube o la exportación e importación de tokens en forma de archivo, por lo que una vez que comienzas a usar la aplicación, no puedes salir de ella. Además, en FreeOTP, no puedes establecer un código PIN ni proteger el acceso a la aplicación de ninguna otra manera (en la versión de iOS, puedes proteger tokens individuales con Touch ID o Face ID). Sin embargo, la aplicación oculta los códigos de forma predeterminada y también los oculta automáticamente después de 30 segundos de inactividad. La ventaja principal de FreeOTP es que ocupa un espacio de almacenamiento mínimo, alrededor de 2 a 3 MB (en comparación, Google Authenticator requiere de 15 a 20 MB y Microsoft Authenticator, de 150 a 200 MB).
Pros:
- Sin necesidad de una cuenta.
- Interfaz sencilla.
- Códigos ocultos por defecto.
- Códigos ocultos automáticamente después de 30 segundos de inactividad.
- Requisito mínimo de almacenamiento.
- Protección Touch ID o Face ID para tokens (solo versión iOS).
- Capacidad de buscar por nombre de token (versión de iOS).
Contras:
- Incapacidad para generar un token con una clave secreta (versión de iOS; requiere escanear un código QR).
- Incapacidad para exportar e importar tokens.
- Incapacidad para realizar copias de seguridad/sincronizar.
- Falta de protección de acceso.
Conclusión
Al igual que todas las aplicaciones de código abierto, FreeOTP es un poco peculiar, pero se lo permitimos porque su interfaz y los requisitos generales de almacenamiento son muy ligeros.
6. andOTP
Sistemas operativos: Android
El autentificador andOTP tiene todo lo que puedes imaginar para guardar tokens de manera cómoda y segura, y algo más. Por ejemplo, las características de andOTP incluyen la compatibilidad con etiquetas y búsqueda de tokens por nombre. También hay una opción para conectar un “botón del pánico” para que, en caso de emergencia, puedas borrar todos los tokens de la aplicación y reiniciar.
La aplicación te permite ver tu clave secreta o código QR para cada token individualmente. También puedes guardar todos tus tokens a la vez en un archivo cifrado en Google Drive, lo que significa que con un toque puedes hacer una copia de seguridad en la nube o exportar a un archivo. El acceso a la aplicación se puede proteger con una contraseña o la huella digital que usas para iniciar sesión en tu dispositivo Android. Sin embargo, para mayor seguridad, puedes configurar un código PIN diferente o incluso una contraseña larga específicamente para andOTP, además de configurar la aplicación para que se bloquee después de un período de inactividad (ek que tú mismo definas). Hay tres o cuatro pantallas de configuración más: esta aplicación es el sueño de todo geek.
Pros:
- Protección de acceso con un código PIN o contraseña establecida en la aplicación, o con el PIN de inicio de sesión del sistema operativo o la huella digital.
- Posibilidad de ver la clave secreta o el código QR de cualquier token.
- Posibilidad de exportar todos los tokens a la vez a un archivo cifrado en Google Drive.
- Ocultación de código.
- Ocultación automática de códigos cuando el usuario está inactivo (después de 5 a 60 segundos, según lo configures).
- Bloqueo automático de la aplicación cuando el usuario está inactivo (después de 10 a 360 segundos, según lo configures).
- Búsqueda flexible de tokens por nombre o usando etiquetas personalizables.
- Opción de usar el botón del pánico para borrar todos los tokens.
- Ajustes flexibles y abundantes.
Contras:
- Disponibilidad solo para Android.
- Facilidad de recuperación de claves, lo que significa un mayor riesgo si la aplicación desbloqueada cae en manos equivocadas.
Conclusión
andOTP es el autentificador con más funciones para Android y seguramente complacerá a todos los geeks de autentificadores.
7. OTP auth
Sistemas operativos: iOS, macOS (5,99 €)
Si eres un usuario de iPhone y, tras leer las descripciones anteriores de andOTP, has comenzado a sentir celos de los propietarios de Android, tenemos buenas noticias para ti: también está disponible una aplicación de autentificación de vanguardia para iOS. Los creadores de OTP Auth entienden claramente los problemas de las personas que usan la 2FA en muchos servicios, por lo que esta aplicación presenta un sistema de carpetas para organizar el almacenamiento de tokens.
Además, OTP Auth te permite ver la clave secreta o el código QR en cualquier momento para cualquier token o exportarlos todos a la vez a un archivo de tu smartphone. La aplicación también es compatible con la sincronización de iCloud. Los usuarios pueden proteger el inicio de sesión de la aplicación con Touch ID o Face ID o usar una contraseña diferente para OTP Auth. Preferimos esto lo último, dado lo fácil que resulta exportar tokens desde esta aplicación. La única característica útil que falta es la capacidad para ocultar códigos.
Pros:
- Capacidad para ver la clave secreta o el código QR de cualquier token.
- Capacidad de exportar todos los tokens a un archivo a la vez.
- Copia de seguridad/sincronización con iCloud.
- Sistema de carpetas para el almacenamiento organizado de tokens.
- Compatibilidad con Apple Watch.
- Configuración del formato de visualización de códigos.
- Protección de acceso con contraseña o Touch ID/Face ID.
Contras:
- Existe solo para iOS y macOS (y solo como una versión de pago para macOS).
- Incapacidad para ocultar códigos.
- Personalización de iconos disponible solo en la versión de pago.
- Mayor riesgo potencial, debido a la facilidad de recuperación de claves, si la aplicación desbloqueada cae en manos equivocadas.
Conclusión
OTP Auth es el autentificador más rico en funciones para iOS y cuenta con una exportación de token fácil y conveniente.
8. Step Two
Sistemas operativos: iOS, macOS
Si andOTP te parece exagerado y el requisito de registro de Twilio Authy te asusta, pero aún necesitas un autentificador para iOS y macOS, deberías considerar seriamente Step Two. La interfaz es minimalista: tanto la versión de iOS como la de macOS recuerdan a la aplicación de la Calculadora de Apple, y eso resulta agradable a su manera.
En combinación con su interfaz minimalista, Step Two presenta unas configuraciones y características mínimas, aunque ofrece sincronización con iCloud. Además, la aplicación de escritorio admite el análisis de códigos QR, que ejecuta a través de una captura de pantalla (lo que requiere el permiso de los usuarios, haciendo esta función algo arriesgada; en teoría, permite al programa ver todo lo demás que estés haciendo).
Pros:
- Sin características innecesarias.
- No es necesario crear una cuenta.
- Copia de seguridad/sincronización con iCloud.
- Capacidad para escanear códigos QR (versión macOS).
- Compatibilidad con Apple Watch.
- Capacidad de buscar por nombre de token.
Contras:
- Sin protección de acceso.
- No oculta los códigos.
- Incapacidad para exportar e importar tokens.
- Máximo de diez tokens en la versión gratuita.
- Se necesita otorgar permiso para realizar capturas de pantalla con el objetivo de escanear un código QR (versión macOS).
Conclusión
Step Two es un autentificador minimalista para cualquiera que tenga un Mac y iPhone y no necesite toda una parafernalia.
9. WinAuth
Sistemas operativos: Windows
WinAuth se dirige principalmente a los jugadores. El superpoder único de la aplicación es su compatibilidad con tokens no estándar para la autentificación en los juegos de Steam, Battle.net y Trion/Gamigo. Si estás buscando una alternativa a Steam Guard, Battle.net Authenticator o Glyph Authenticator/RIFT Mobile Authenticator, esta puede ser la aplicación para ti.
Sin duda, la aplicación también admite tokens estándar, incluidos tokens para Guild Wars 2 y otros juegos de NCSoft (que, por alguna razón, los desarrolladores registran por separado) y todos los demás: Google, Facebook, Instagram, Twitter, etc. WinAuth usa una contraseña para iniciar sesión y para los tokens individuales. La aplicación oculta los códigos de forma predeterminada, incluso automáticamente, y te permite cifrar los datos que almacena y exporta.
Pros:
- Compatibilidad con tokens no estándar para servicios de juegos, lo que significa que puede reemplazar a Steam Guard y Battle.net Authenticator, así como a Glyph Authenticator y RIFT Mobile Authenticator.
- Compatibilidad con la exportación de tokens en un archivo de texto sin cifrar o en un archivo cifrado.
- Códigos ocultos.
- Ocultación automática de código después de más de 10 segundos de inactividad del usuario.
- Protección de acceso mediante contraseña o YubiKey (es decir, U2F).
- Protección adicional de contraseñas disponible para cada token.
- Portátil, con unidad flash y opciones de almacenamiento en la nube.
- Posibilidad de cifrar los datos almacenados.
- Capacidad para escanear el código QR desde el archivo (local o en Internet).
Contras:
- La creación de tokens de Steam requiere proporcionar a WinAuth tu nombre de usuario y contraseña.
- En general, no se recomienda usar una aplicación de autentificación en dos pasos en un PC.
- Sin versión para otros sistemas operativos.
- Mayor riesgo potencial, debido a la facilidad de recuperación de claves, si la aplicación desbloqueada cae en manos equivocadas.
Conclusión
A los jugadores les encantará WinAuth porque permite la creación de los tokens no estándar que favorecen los editores de juegos.
10. El autentificador integrado en iOS y macOS
Sistemas operativos: iOS (integrado en el sistema), macOS (integrado en el navegador Safari)
A partir de iOS 15, todas las versiones del sistema operativo de iPhone cuentan con un generador de códigos de un solo uso incorporado. Para encontrarlo, dirígete a Ajustes → Contraseñas, selecciona una cuenta almacenada (o crea una nueva) y, bajo el título Opciones de cuenta, selecciona Configurar código de verificación… El resto es como de costumbre: puedes escanear el código QR o introducir manualmente la clave secreta o escanear el código QR del autentificador directamente desde la aplicación de la cámara y luego agregar un token a una cuenta existente en Contraseñas. Por desgracia, el último método no te pedirá que crees una nueva cuenta.
Ahora en macOS también hay un autentificador incorporado o, más específicamente, en las versiones 15 y posteriores del navegador Safari. Para encontrarlo, abre Safari y, en el menú de la parte superior de la pantalla, dirígete a Safari → Preferencias → Contraseñas. Seleccione una cuenta (o pulsa + para crear una nueva), toca Editar y, en la ventana que se abre, pulsa en Introduce la clave de configuración… (aquí no hay una opción de código QR). Los tokens se sincronizan automáticamente usando iCloud, por lo que no tendrás que activarlos de nuevo en el Mac si ya los has creado en un iPhone.
En teoría, el autentificador integrado de iOS/macOS es compatible con la opción de autocompletado, pero en la práctica, todavía no funciona muy bien. Hicimos un pequeño experimento con una cuenta de Twitter y la autentificación en dos pasos con el código que recibimos. Los resultados fueron variados: cuando iniciamos sesión en la aplicación de Twitter, el sistema completó con éxito un código de autentificación, pero cuando intentamos iniciar sesión en el sitio web de Twitter en Safari, el código nunca apareció, ya lo intentáramos en iOS o en macOS.
Pros:
- Disponibilidad en todos los iPhone (iOS 15 y posteriores) y en todos los Mac (independientemente del sistema operativo, Safari 15 y posteriores).
- Sin necesidad de crear una cuenta independiente.
- Posibilidad de agregar un token directamente desde la aplicación de la cámara (pero solo a una cuenta existente; no funcionará para crear una nueva).
- Opción de autocompletado para códigos de un solo uso.
- Protección de acceso mediante Touch ID o Face ID.
- Copia de seguridad/sincronización con iCloud.
Contras:
- Se encuentra en las profundidades de los ajustes de iOS o Safari.
- Visualización de un solo token a la vez.
- Incapacidad para ocultar códigos.
- Contraseña de la cuenta visible junto al código (versión de iOS).
- Almacenamiento conjunto de los tokens y contraseñas 2FA, contrario a los principios de autentificación en dos pasos.
- Incapacidad para exportar e importar tokens.
Conclusión
A simple vista, la incorporación de un autentificador en el sistema operativo parece una buena idea. Sin embargo, en este caso, la opción de autocompletado no funciona del todo y el autentificador es demasiado difícil de encontrar.
Recuerda hacer una copia de seguridad
Para terminar, te dejamos con algunos consejos. Primero, no estás limitado a usar una sola aplicación de autentificación. Una opción puede ser mejor para algunos propósitos, otra para otros. Puedes, y debes, combinar las aplicaciones según tus necesidades.
En segundo lugar, te recomendamos prestar atención a la seguridad. Instala un bloqueo de dispositivo de confianza y siempre asegúrate de habilitar la protección de acceso a la aplicación, especialmente si planeas usar uno de los autentificadores que te permite exportar tokens fácilmente (Google Authenticator, andOTP, OTP auth, o WinAuth). Con estas aplicaciones, que priorizan la facilidad de acceso, un posible atacante no solo podría robar un código único que funciona durante 30 segundos, sino también clonar rápidamente todos los tokens.
En tercer lugar, recuerda hacer una copia de seguridad de tus tokens, especialmente si has elegido una de las aplicaciones en las que no puedes ver la clave secreta o el código QR o exportar tokens a un archivo (es decir, la mayoría). Esta copia de seguridad te resultará útil si pierdes tu smartphone o si, por ejemplo, la aplicación deja de funcionar correctamente después de una actualización rutinaria. En la mayoría de los casos, recuperar un autentificador sin una copia de seguridad será mucho más difícil.