La autenticación de dos factores es ahora la opción predeterminada para bancos, correo electrónico, plataformas sociales y la mayoría de los lugares de trabajo SaaS. Cada cuenta activa agrega otro código de seis dígitos para recordar, y la aplicación que contiene esos códigos se ha convertido silenciosamente en una de las piezas de software más críticas para la seguridad de su teléfono. Google Authenticator funciona, pero en 2026 ya no es la elección obvia. La sincronización en la nube llegó en 2023 sin end-to-end encryption, lo que generó críticas públicas de investigadores de seguridad en Mysk, y la aplicación sigue siendo propietaria y solo para Android y iOS. Ahora existen mejores alternativas Google Authenticator y la mayoría de ellas son gratuitas.
Comparamos siete aplicaciones 2FA durante el último mes: cómo cifran la bóveda, cómo realizan copias de seguridad, si se sincronizan entre dispositivos y qué sucede si pierde su teléfono. Los ganadores son de código abierto, trabajan sin conexión y le permiten decidir dónde residen los datos. Aegis, Ente Auth y 2FAS lideran el grupo, con algunas selecciones especializadas que vale la pena conocer.
Comparación rápida
| Aplicación | Lo mejor para | Código abierto | Sincronización entre dispositivos | E2E copia de seguridad cifrada | Gratis |
|---|---|---|---|---|---|
| Aegis Authenticator | Usuarios avanzados de Android | Sí (GPL-3.0) | No (exportación manual) | Sí (archivo de almacén) | Sí |
| Ente Auth | Multiplataforma con respaldo en la nube | Sí (AGPL-3.0) | Sí | Sí | Sí |
| 2FAS | Sincronización sin cuenta y emparejamiento de navegador | Sí (GPL-3.0) | Sí | Nube y manual | Sí |
| Bitwarden Authenticator | Usuarios Bitwarden | Sí (GPL-3.0) | Sólo locales | Locales | Sí |
| Microsoft Authenticator | Microsoft 365 inicios de sesión | No | Sí (cuenta Microsoft) | Sí (con contraseña) | Sí |
| FreeOTP | Fichas mínimas y sencillas | Sí (Apache 2.0) | No | No (exportación manual) | Sí |
| Yubico Authenticator | Almacenamiento de llaves de hardware | Sí | Al otro lado de YubiKeys | N/A (en hardware) | Sí |
Por qué la gente se va Google Authenticator
Tres problemas concretos surgen una y otra vez en los hilos de los usuarios, los artículos de seguridad y nuestras propias pruebas.
Sincronización sin end-to-end encryption de forma predeterminada. Google agregó sincronización en la nube opcional en abril de 2023. En el lanzamiento, los secretos sincronizados viajaron a través de la infraestructura de Google sin end-to-end encryption, lo que significa que una cuenta de Google comprometida (o una citación) podría exponerlos. Posteriormente, Google agregó una frase de contraseña de cifrado opcional, pero es voluntaria y muchos usuarios nunca la habilitan.
Código cerrado. Google Authenticator fue de código abierto hasta 2020 y ahora es software gratuito propietario. La versión de código abierto más reciente está archivada en GitHub y congelada en una versión de 2020. Para una aplicación que tiene las claves de sus otras cuentas, esa es una brecha de confianza significativa.
Bloqueo de cuenta. La sincronización en la nube solo funciona dentro de una cuenta de Google. Cambie a otro proveedor de teléfono o desee una copia de seguridad portátil y volverá a las transferencias manuales.
Nada de esto hace que Google Authenticator sea inseguro. Simplemente significa que ahora existen mejores alternativas Google Authenticator para casi todos los casos de uso.
Las alternativas
1. Aegis Authenticator, mejor para uso sin conexión de Android
Aegis Authenticator es la elección de facto para cualquiera que guarde sus códigos 2FA en un solo dispositivo Android y quiera un cifrado local sólido. La bóveda está cifrada con AES-256-GCM, la contraseña se ejecuta a través de scrypt y el desbloqueo se puede vincular al Android Keystore para datos biométricos. Nada sale del teléfono a menos que tú lo pidas.
Aegis vs Google Authenticator: código abierto bajo GPL-3.0, criptografía auditada y una ruta de importación desde Authy, andOTP, FreeOTP, Microsoft Authenticator, Steam y el propio Google Authenticator. Las copias de seguridad son automáticas en una carpeta de su elección, incluido cualquier proveedor de nube que exponga el Storage Access Framework (Nextcloud, Cryptomator, ProtonDrive). La versión actual es la v3.4.2, lanzada en febrero de 2026.
Donde se queda corto: Solo Android. No hay iOS ni cliente de escritorio, ni sincronización integrada entre dispositivos. Si intercambia teléfonos, restaura desde el archivo de la bóveda cifrada.
Precios: Gratis, sin anuncios, sin telemetría.
Migrando desde Google Authenticator: Utilice el código QR de “Transferir cuentas” de Google Authenticator, escanéelo con Aegis y listo. Las llaves se transfieren limpiamente.
Download: En pocas palabras: Si sus códigos se encuentran en un teléfono Android, Aegis es la opción local más sólida en 2026.
2. Ente Auth, mejor para multiplataforma con respaldo end-to-end encrypted
Ente Auth es lo más parecido a un reemplazo directo Google Authenticator que se ejecuta en todas partes. Aplicaciones nativas para Android, iOS, macOS, Windows, Linux, además de un cliente web en auth.ente.io y un CLI para secuencias de comandos. La copia de seguridad en la nube es end-to-end encrypted y utiliza el mismo protocolo que utiliza Ente Photos, que ha sido auditado por Cure53.
El pulido es lo que sorprende a la mayoría de la gente. Ente Auth le muestra el siguiente código antes de que caduque el actual (para que no tenga que esperar al escribirlo en una ventana de 2 segundos), admite etiquetas y fijación, tiene una búsqueda real y le permite compartir un código como un enlace por tiempo limitado en lugar de dictar dígitos a través de una llamada telefónica. Los códigos funcionan sin conexión y puedes usar la aplicación completamente sin una cuenta si no quieres una copia de seguridad en la nube.
Ente Auth vs Google Authenticator: sincronización end-to-end encrypted (conocimiento cero, sin suscripción), código abierto bajo AGPL-3.0, disponible en todos los sistemas operativos principales y gratuito para siempre. La sincronización de Google Authenticator requiere una cuenta de Google y solo incluye un modo de cifrado basado en contraseña que la mayoría de los usuarios nunca activan.
Donde se queda corto: La sincronización en la nube requiere una cuenta de Ente. La aplicación de Android pesa alrededor de 14 MB, que es más grande que Aegis o 2FAS. Los íconos de algunos emisores especializados faltan en el paquete de íconos.
Precios: Gratis, perpetuamente. Ente gana dinero con Ente Photos.
Migración desde Google Authenticator: El importador integrado acepta el código QR de transferencia de Google Authenticator, además de archivos de exportación Aegis, 2FAS, Authy y archivos de exportación simples JSON.
Download: En pocas palabras: Elija Ente Auth si usa más de un dispositivo o desea recuperarlo sin confiarle sus secretos a Google.
3. 2FAS, mejor para sincronizar sin una cuenta
2FAS existe desde 2015 y silenciosamente creció hasta convertirse en uno de los autenticadores independientes más utilizados en el Play Store, con cinco millones de instalaciones de Android. El gancho es la sincronización que no necesita una cuenta: empareja la aplicación móvil con una extensión de navegador 2FAS a través de un canal local cifrado y los códigos fluyen automáticamente a un mensaje de clic para completar en su computadora. Sin registro, sin correo electrónico, sin correo electrónico de recuperación para phishing.
La aplicación de Android es de código abierto en GPL-3.0, admite copia de seguridad manual y en la nube, protección biométrica o PIN al iniciarse, Apple Watch en iOS, organización por grupos y etiquetas, y funciona completamente sin conexión. El código base, la aplicación iOS, la extensión del navegador y el servidor de sincronización están todos en una sola organización GitHub para su inspección.
2FAS vs Google Authenticator: simplicidad similar, pero con autocompletar del navegador propio, sincronización entre dispositivos sin bloquearlo a una cuenta de proveedor y una base de código de fuente abierta que puede auditar.
Donde se queda corto: Aún no hay una aplicación de escritorio nativa (la extensión del navegador es la historia del escritorio). La copia de seguridad en la nube utiliza Google Drive en Android y iCloud en iOS, lo cual es conveniente pero vincula la recuperación a esos proveedores.
Precio: Gratis, sin nivel premium.
Migrando desde Google Authenticator: Escanea la transferencia de Google QR. 2FAS importa cada entrada intacta.
Download: En pocas palabras: La aplicación de código abierto más fácil de recomendar a un usuario sin conocimientos técnicos que quiere sus códigos en su teléfono y computadora portátil.
4. Bitwarden Authenticator, mejor para usuarios de Bitwarden
Bitwarden Authenticator es una aplicación TOTP independiente lanzada por Bitwarden en 2024. Está intencionalmente separada del administrador de contraseñas Bitwarden, por lo que los secretos nunca se guardan en la misma bóveda que las contraseñas que protegen. La aplicación es gratuita, de código abierto bajo GPL-3.0 y funciona en Android y iOS.
El caso de uso es limitado pero valioso: si ya usa Bitwarden para contraseñas y desea mantener los códigos TOTP fuera de esa misma bóveda para una defensa en profundidad, esta es la aplicación adecuada. Es deliberadamente mínimo, sin sincronización en la nube hoy, solo secretos locales y una opción de exportación.
Donde se queda corto: Solo local. No hay sincronización entre dispositivos ni copia de seguridad en la nube a partir de la versión actual. Si necesita acceso entre dispositivos, mire Ente Auth o 2FAS en su lugar. La interfaz de usuario también es sencilla en comparación con Aegis o Ente.
Precio: Gratis.
Migración desde Google Authenticator: Entrada manual o escaneo de código QR por cuenta. Aún no hay ninguna importación masiva de la transferencia de Google QR.
Download: En pocas palabras: Una elección clara si ya confías en Bitwarden y quieres tus códigos TOTP en una aplicación separada y de un solo propósito.
5. Microsoft Authenticator, mejor para inicios de sesión Microsoft 365
Microsoft Authenticator vale la pena si inicias sesión en Microsoft 365, Entra ID o en cualquier organización que utilice Microsoft como proveedor de identidad. Admite inicio de sesión sin contraseña, mensajes de aprobación push (toque para aprobar en lugar de escribir seis dígitos) y coincidencia de números para defenderse contra ataques de fatiga de MFA. Para cuentas que no son Microsoft, funciona como una aplicación TOTP estándar para cualquier servicio que admita el algoritmo.
La copia de seguridad en la nube es end-to-end encrypted en su cuenta Microsoft en iOS, con restauración en un nuevo dispositivo protegido por la contraseña de su cuenta Microsoft y opciones de recuperación. En Android, la copia de seguridad también utiliza tu cuenta Microsoft. Los códigos funcionan sin conexión una vez agregados.
Microsoft Authenticator vs Google Authenticator: más funciones para usuarios empresariales, aprobaciones automáticas y un modelo de respaldo que ha estado maduro durante años. El problema es que la aplicación es de código cerrado y te lleva al ecosistema de identidad de Microsoft.
Donde se queda corto: Fuente cerrada. La copia de seguridad requiere una cuenta Microsoft. La aplicación pesa alrededor de 60 MB e incluye funciones de administración de cuentas no relacionadas con TOTP.
Precio: Gratis.
Migrar desde Google Authenticator: Aegis puede importar desde Google Authenticator y reexportar a Microsoft Authenticator. La importación directa dentro de Microsoft Authenticator es limitada.
Download: En resumen: La elección correcta si la mitad de tus inicios de sesión son cuentas Microsoft. Omítelo de lo contrario.
6. FreeOTP, mejor para tokens mínimos y sencillos
FreeOTP es el proyecto que Red Hat lanzó para brindar a la comunidad de código abierto un autenticador limpio con licencia Apache 2.0. Hace una cosa: generar códigos TOTP y HOTP. No hay sincronización, ni paquete de íconos, ni notas, ni datos biométricos en la mayoría de las compilaciones, ni una interfaz de usuario sofisticada. Para las personas que desean la superficie de ataque más pequeña posible y una licencia permisiva, ese minimalismo es la característica.
El sucesor mantenido, FreeOTP+, agrega algunos toques de calidad de vida como copia de seguridad y restauración desde un archivo cifrado, manteniendo el mismo modelo simple. Ambas son buenas opciones para un dispositivo secundario que guarda en un cajón para una recuperación de emergencia.
FreeOTP vs Google Authenticator: código abierto, sin cuenta de Google, sin sincronización en la nube. No perderá los códigos de una contraseña de Google olvidada, pero no los recuperará si pierde el teléfono sin una exportación manual.
Donde se queda corto: No hay copia de seguridad en la nube ni sincronización del dispositivo. La interfaz de usuario es básica. Las actualizaciones son poco frecuentes en comparación con Aegis o 2FAS.
Precio: Gratis.
Migrando desde Google Authenticator: Escaneo manual o ingreso por cuenta. Sin importación masiva.
Download: En pocas palabras: Utilice FreeOTP cuando desee el autenticador más pequeño y aburrido posible. Aegis es una elección más potente para el uso diario.
7. Yubico Authenticator, mejor para almacenamiento de claves de hardware
Yubico Authenticator almacena secretos de TOTP en un YubiKey, no en tu teléfono. El teléfono lee YubiKey sobre USB-C o NFC, solicita la clave para calcular el código y lo muestra. Saque la llave y los códigos desaparecerán. Este es el modelo de amenaza más fuerte de la lista: un teléfono robado nunca tuvo los secretos y un volcado forense nunca los encuentra.
El problema es obvio. Necesitas un YubiKey 5 o un token compatible (entre 50 y 70 USD) y debes tocarlo cada vez que necesites un código. Para cuentas sensibles (administrador raíz, tesorería, correo electrónico de recuperación), esa compensación vale la pena. Para Twitter o Reddit de todos los días, es excesivo.
Yubico Authenticator vs Google Authenticator: los secretos nunca salen de un dispositivo de hardware, no hay nada en la nube y no hay riesgo de perder códigos si el teléfono es robado o reemplazado. El mismo conjunto de códigos está disponible en iOS, Android, Windows, macOS y Linux siempre que la llave esté conectada.
Donde se queda corto: Requiere hardware. Más lento por código. Las ranuras OTP YubiKey gratuitas tienen un límite de 32 entradas en YubiKey 5 NFC, por lo que no se amplía a cien cuentas.
Precios: La aplicación es gratuita. YubiKey 5 NFC comienza en 55 USD el yubico.com.
Migración desde Google Authenticator: Cada cuenta debe volver a inscribirse en YubiKey. Por diseño, no existe una ruta de importación masiva.
Download: En pocas palabras: La opción más paranoica que todavía funciona para los humanos normales. Combínalo con una de las aplicaciones anteriores para la cola larga.
Cómo elegir
Si solo usas Android y quieres un teléfono, una bóveda: Aegis. La criptografía es sólida, la ruta de importación es limpia y usted controla dónde reside el archivo de respaldo.
Si tienes un iPhone, una tableta Android y una computadora de escritorio Linux: Ente Auth. Sincronización cifrada de extremo a extremo que simplemente funciona, es gratuita, de código abierto y tiene funciones completas en todas las plataformas.
Si desea sincronizar y puede usar una extensión del navegador en lugar de una aplicación de escritorio: 2FAS. El autocompletar desde la extensión al teléfono es la opción gratuita más sencilla.
Si ya confías en Bitwarden para las contraseñas y, por principio, quieres tus códigos TOTP en otro lugar: Bitwarden Authenticator. Mismo proveedor, aplicación independiente, bóveda independiente.
Si la mayoría de sus inicios de sesión son Microsoft 365 o Entra ID: Microsoft Authenticator. Las aprobaciones automáticas agilizan los inicios de sesión diarios y la historia de respaldo está madura.
Si desea una aplicación sencilla en papel y fácil de realizar auditorías: FreeOTP. Hace una cosa.
Si proteges la tesorería, la raíz o cualquier cosa que pueda arruinar tu año si se ve comprometida: Yubico Authenticator con un YubiKey 5. Combínalo con Aegis o Ente Auth para las cuentas diarias.
Permanezca en Google Authenticator si solo usa un dispositivo Android, inicia sesión principalmente en los servicios de Google, ha habilitado manualmente la frase de contraseña de cifrado para la sincronización de la cuenta de Google y no necesita los códigos en ningún otro lugar. Para todos los demás, uno de los siete anteriores se adapta mejor.
Preguntas frecuentes
¿La sincronización en la nube de Google Authenticator es end-to-end encrypted? No por defecto. Google agregó la sincronización en la nube en abril de 2023, y los investigadores de seguridad de Mysk señalaron públicamente que los secretos sincronizados viajaron a los servidores de Google sin end-to-end encryption. Desde entonces, Google ha agregado una frase de contraseña de cifrado opcional, pero debes activarla tú mismo. Aplicaciones como Ente Auth usan la sincronización end-to-end encrypted de forma predeterminada sin contraseña que olvidar.
¿Cuál es la mejor alternativa gratuita Google Authenticator? Para uso exclusivo de Android, Aegis Authenticator. Para múltiples dispositivos, Ente Auth. Ambos son de código abierto, ambos son realmente gratuitos y ningún nivel premium bloquea la copia de seguridad.
¿Puedo importar mis códigos Google Authenticator a otra aplicación? Sí. Abra Google Authenticator, toque el menú, elija “Transferir cuentas”, luego “Exportar cuentas” y escanee los códigos QR resultantes con Aegis, Ente Auth o 2FAS. Los tres aceptan directamente el formato de transferencia de Google. Los códigos funcionan en ambas aplicaciones después de la importación, por lo que puede verificar la nueva aplicación antes de eliminar Google Authenticator.
¿Son las aplicaciones de autenticación de código abierto realmente más seguras? El código abierto no garantiza la seguridad, pero elimina un paso de confianza. Cualquiera puede auditar el código de Aegis, Ente Auth, 2FAS, FreeOTP y Bitwarden Authenticator. Esto ha detectado errores reales en el pasado. Las aplicaciones de código cerrado como Microsoft Authenticator y Google Authenticator dependen completamente de la palabra del proveedor.
¿Qué sucede si pierdo mi teléfono con mi aplicación 2FA instalada? Depende de la aplicación. Con Aegis restaura desde su archivo de bóveda cifrado (en la nube o local). Con Ente Auth o 2FAS vuelves a iniciar sesión en un nuevo dispositivo y tus códigos se restauran mediante la sincronización end-to-end encrypted. Con Google Authenticator restauras desde la sincronización de la cuenta de Google, asumiendo que la tenías activada. Con FreeOTP o Bitwarden Authenticator sin respaldo, recurre a los códigos de recuperación de cada servicio, por lo que escribir los códigos de recuperación sigue siendo importante independientemente de la aplicación.
¿Estas aplicaciones funcionan sin Internet? Sí. La generación de código TOTP es puramente un cálculo secreto y de reloj, no se necesita red. Las siete aplicaciones generan códigos sin conexión. Internet solo es necesario para la sincronización y la copia de seguridad, cuando corresponda.
¿Es 2FAS realmente gratuito o me falta un nivel pago? 2FAS Auth es gratuito sin nivel premium. El producto pago es 2FAS Pass, que es un administrador de contraseñas independiente. El autenticador y el administrador de contraseñas son aplicaciones independientes con precios independientes.
Fuentes y lecturas adicionales
- Aegis Authenticator en GitHub (GPL-3.0, bóveda AES-256-GCM)
- Ente Auth en GitHub (AGPL-3.0, end-to-end encrypted copia de seguridad)
- 2FAS en GitHub (GPL-3.0, sincronización sin cuenta)
- Proyecto Bitwarden Authenticator
- Microsoft Authenticator descripción general
- FreeOTP de Red Hat
- Yubico Authenticator
- Análisis de seguridad de Mysk de la sincronización en la nube de Google Authenticator, publicado en X en abril de 2023
