Google Authenticator funciona. Ese es exactamente el problema. Cuando algo funciona, no lo cuestionas, y llevas años usándolo sin preguntarte si hay una opción mejor. Con una app de autenticación en dos factores ese hábito tiene un coste de seguridad concreto que vale la pena conocer.
El problema con Google Authenticator que nadie explica bien
Google Authenticator genera códigos TOTP fiables, se configura en segundos y funciona offline. Todo eso sigue siendo verdad. El problema está en cómo maneja tus claves cuando activas la sincronización con tu cuenta de Google.
Desde que Google añadió la sincronización en la nube, tus secretos 2FA se almacenan en los servidores de Google sin cifrado de extremo a extremo. Eso significa que Google puede técnicamente acceder a ellos, y que si alguien consigue acceso completo a tu cuenta de Google, no solo accede a tu correo y tus documentos sino también a todas las claves de segundo factor que proteges con esa misma app. Es una centralización de riesgo que resulta paradójica en una herramienta cuyo propósito es añadir una capa de seguridad independiente.
Authy, que fue durante años la alternativa de referencia, tuvo en 2024 una filtración que expuso 33 millones de números de teléfono de sus usuarios. Es código cerrado y pertenece a Twilio, una empresa de telecomunicaciones cuyo modelo de negocio no gira en torno a la privacidad. Suficientemente bien como para seguir usándolo, pero no suficientemente bueno como para recomendarlo si existen mejores opciones.
La app que lo hace mejor: Bitwarden Authenticator
Bitwarden Authenticator es la alternativa que uso desde hace meses y que recomendaría a cualquiera que esté pensando en cambiar. Es gratuita, de código abierto y disponible en Android e iOS.
La diferencia técnica clave respecto a Google Authenticator es el cifrado local. Bitwarden Authenticator cifra tus códigos 2FA en el propio dispositivo antes de que salgan de él. No hay una clave maestra en los servidores de Bitwarden. Ni siquiera ellos pueden leer tus códigos. Si el servidor de Bitwarden sufre una filtración, lo que se expone es datos cifrados que no sirven de nada sin la clave que solo existe en tu dispositivo.
La experiencia de uso es limpia y directa: interfaz sencilla, configuración por QR o clave manual, biométrico para abrir la app y sin cuenta obligatoria para el uso básico. No tiene la curva de aprendizaje de Aegis ni la complejidad de Ente Auth para el usuario medio.
Cómo migrar desde Google Authenticator en menos de cinco minutos
El proceso de migración es más sencillo de lo que parece. Abre Google Authenticator y toca el menú de las tres líneas en la esquina superior izquierda. Selecciona Transferir cuentas y luego Exportar cuentas. El sistema te pedirá verificación de identidad y luego generará un código QR con todos tus registros.
Abre Bitwarden Authenticator, toca el icono de añadir cuenta y selecciona la opción de escanear código QR de otra app. Apunta la cámara al código de Google Authenticator y todos tus registros se importan en un solo paso.
Antes de desactivar Google Authenticator, comprueba que los códigos de Bitwarden funcionan correctamente haciendo login en uno o dos servicios. Una vez confirmado, puedes eliminar los registros de Google Authenticator y desinstalar la app si quieres.
Otras alternativas según tu perfil
Bitwarden Authenticator es la recomendación general, pero no es la única opción válida dependiendo de lo que priorices.
Aegis Authenticator es la opción más robusta en privacidad para Android. Código abierto, almacenamiento completamente local sin sincronización en la nube, bóveda cifrada con contraseña o biométrico y exportación manual de backups. No tiene app para iOS ni sincronización automática entre dispositivos, lo que la hace menos conveniente pero más segura para quien prefiere control total sobre sus datos.
Ente Auth cubre el hueco que Aegis deja en multiplataforma. Código abierto con sincronización cifrada de extremo a extremo disponible en Android, iOS, Windows, Mac, Linux y web. Es la opción más completa para quien usa varios dispositivos y necesita que sus códigos estén sincronizados sin sacrificar privacidad. Requiere crear una cuenta en Ente para la sincronización.
2FAS es la opción más subestimada del mercado. Código abierto, sin cuenta obligatoria, interfaz cuidada y extensión de navegador para Chrome y Firefox que permite aprobar logins con un toque en el móvil sin copiar el código manualmente. Hace backup en Google Drive o iCloud según la plataforma. No tiene cifrado de extremo a extremo en el backup, pero el diseño general es muy sólido y su extensión de navegador es una comodidad difícil de dejar una vez que la pruebas.
Microsoft Authenticator sigue siendo la mejor opción si vives en el ecosistema Microsoft y gestionas muchas cuentas corporativas, pero no es recomendable para uso personal si la privacidad importa: recopila telemetría y está diseñada para empujar hacia cuentas Microsoft.
Lo que nunca deberías usar
El SMS como segundo factor es la opción más débil disponible y la única que recomendaría evitar activamente. Los ataques de SIM swapping, donde alguien convence a tu operadora de transferir tu número a una SIM que controlan, permiten interceptar códigos SMS sin acceso físico a tu teléfono. Si un servicio solo ofrece 2FA por SMS, úsalo porque es mejor que nada, pero activa una app de autenticación en cuanto el servicio lo permita.
La barrera que nadie debería ignorar
Hay un paso que la mayoría de usuarios salta y que puede dejarte bloqueado fuera de tus cuentas si pierdes el móvil: guardar los códigos de recuperación que los servicios te dan cuando activas el 2FA.
Esos códigos, habitualmente una lista de 8 a 10 claves de un solo uso, son tu única salida si pierdes acceso a la app de autenticación. Guárdalos en un gestor de contraseñas cifrado o imprímelos y guárdalos en un lugar físico seguro. No en una nota en el móvil. No en un documento sin cifrar en la nube.
Con eso cubierto, cambiar de Google Authenticator a una alternativa más segura es una de las mejoras de seguridad más fáciles que puedes hacer hoy.
¿Qué app de autenticación usas y por qué no has cambiado? Cuéntamelo en los comentarios.
0 Comentarios