Android Ayuda » Aplicaciones » Listas
14 minutos
La seguridad online ya no es opcional: cada poco tiempo se produce un ataque y las cuentas sin protección adicional son un blanco fácil. Activar una segunda verificación con apps de códigos temporales puede marcar la diferencia, y en Android hay un ecosistema enorme de opciones. En esta guía vas a encontrar un repaso completo de las apps de autenticación en dos pasos y generadores TOTP, con sus puntos fuertes y sus limitaciones, para que elijas con criterio y sin sorpresas desagradables. La idea es que tengas claro qué ofrece cada app y cómo encaja con tu día a día.
A lo largo del artículo verás alternativas puras de 2FA, gestores de contraseñas con TOTP integrado, soluciones multiplataforma y herramientas pensadas para empresas o para casos de uso muy concretos como videojuegos. También añadimos consejos prácticos de configuración, copias de seguridad y recuperación. Si ya usas 2FA, probablemente descubrirás funciones que no estabas aprovechando.
La verificación en dos pasos, también llamada 2FA o autenticación multifactor, añade una capa adicional al inicio de sesión: además de tu clave, introduces un código que cambia solo o confirmas un aviso. Ese segundo factor puede ser un código TOTP, un SMS, una notificación push, biometría o incluso una llave física.
El flujo es sencillo: introduces usuario y contraseña, el servidor valida y pide el segundo factor, la app o dispositivo genera o recibe el código y tú lo confirmas. Al completar ese segundo paso, demuestras que eres el titular legítimo.
Para la mayoría de servicios de Internet, el estándar práctico es TOTP de 6 dígitos que rota cada 30 segundos. Las apps de esta guía se centran en ese escenario, con matices según cada proveedor.
Piensa qué necesitas: ¿sincronización en la nube, exportación e importación, soporte multiplataforma, uso sin cuenta, interfaz mínima o funciones avanzadas de organización? También valora si quieres separar tu gestor de contraseñas de tu autenticador o prefieres un todo en uno.
Importantísimo: no borres cuentas 2FA de la app sin desactivar primero la verificación en el servicio correspondiente. Si eliminas el token desde el autenticador sin desactivar 2FA en la web, te puedes quedar bloqueado.
Disponible en Android e iOS, es la referencia por sencillez. Permite exportar e importar todos los tokens a la vez mediante un QR y, en iOS, incluye búsqueda y protección con Face ID o Touch ID. Históricamente no ofrecía copia en la nube, pero ahora puede sincronizar códigos en varios dispositivos con tu cuenta de Google, cifrados en tránsito y en reposo.
Configuración y gestión útiles: puedes ordenar códigos arrastrando, editar etiquetas, eliminar entradas y transferirlos entre dispositivos. Si pierdes el móvil, borra remotamente o elimina los códigos sincronizados desde tu cuenta. Si usas el modo sin cuenta, tendrás que migrar manualmente con la función de exportación.
Funciona en Android e iOS, y brilla si usas cuentas de Microsoft gracias al inicio de sesión simplificado con aprobaciones. Oculta códigos, protege el acceso con PIN o biometría y soporta copia de seguridad en la nube. Como puntos menos favorables, la copia de seguridad entre iOS y Android es incompatible y la app ocupa bastante más espacio que alternativas ligeras.
Multiplataforma de verdad: Android, iOS, Windows, macOS y Linux con sincronización entre todos. Requiere crear cuenta vinculada a un número de teléfono. La interfaz en móvil muestra un token destacado y el resto en iconos, lo que no encanta si guardas muchas cuentas. No permite exportar a archivo y el código activo no se puede ocultar, pero su ecosistema y backups son de lo mejor.
Muy popular en entornos corporativos, con Android e iOS, interfaz limpia y códigos ocultables. No exige crear cuenta; las copias tiran de Google Cloud en Android e iCloud en iOS, pero no se mezclan entre sí. No permite exportar tokens y carece de bloqueo de acceso integrado, algo a tener en cuenta si compartes dispositivo.
Proyecto open source para Android e iOS. Minimalista a tope y ultraligera. En iOS solo admite QR para añadir tokens, mientras que en Android permite crear tokens manuales con parámetros avanzados como TOTP u HOTP, dígitos, algoritmo y periodo. No tiene sincronización en nube ni exportación de tokens, y el control de acceso es básico, aunque en iOS puede proteger tokens con Face ID o Touch ID.
Exclusiva de Android, gratuita y open source. Incluye etiquetas, búsqueda, ocultado de códigos y funciones de seguridad avanzadas. Permite ver la clave secreta o el QR de cada token, y exportar todos a un archivo cifrado en Google Drive de un toque. Se puede bloquear con contraseña o huella, configurar auto-bloqueo y cuenta con un botón del pánico para borrar todo si lo necesitas.
Otra opción Android, gratuita y de código abierto, con cifrado robusto, copias de seguridad y protección biométrica. Soporta la mayoría de formatos de 2FA y ofrece una gestión cuidada. Algunas funciones avanzadas están orientadas a usuarios con dispositivos rooteados, por lo que no todo el mundo las aprovechará.
Aplicación gratuita con interfaz clara, cifrado de extremo a extremo, soporte offline y sin anuncios. Permite añadir tokens por clave o QR, sincronizar con Google Drive y crear copias de seguridad para no perder códigos al cambiar de móvil. Incluye PIN o biometría y ofrece extensión para navegador, aunque no es de las más cargadas de extras.
App de pago con versión gratuita limitada. Integra cifrado, bloqueo con Face ID y extensiones para navegadores modernos como Safari, Chrome, Brave, Vivaldi o incluso Tor. Si pagas, habilitas copia de seguridad y sincronización, además de opciones para compartir en familia.
Apuesta por sacar partido al ecosistema Apple con iCloud para copias, app en macOS y Apple Watch. Permite ver el secreto o el QR de cualquier token, exportar todos a archivo y organizar en carpetas, incluso ajustar el tamaño de fuente. Le falta ocultar códigos y algunas opciones de personalización de iconos quedan para la versión de pago.
Minimalista en iOS y macOS, con sincronización por iCloud y compatibilidad con Apple Watch. En macOS puede escanear QR mediante captura de pantalla con tu permiso. No incluye protección de acceso, no oculta códigos ni permite exportar e importar, y limita a diez tokens en la versión gratuita.
Diseñada para Windows y muy apreciada por jugadores: permite tokens no estándar de Steam, Battle.net o servicios específicos de publishers. También genera TOTP estándar para redes y servicios habituales. Protege el acceso con contraseña o YubiKey, oculta códigos por defecto, exporta en texto plano o cifrado y puede leer QR desde archivos locales o enlaces.
Completa y disponible en Android e iOS, con compatibilidad con múltiples protocolos y protección mediante PIN. En Android es compatible con relojes inteligentes para consultar códigos desde la muñeca. Una alternativa versátil si quieres cubrir distintas plataformas y modos de uso.
Genera códigos TOTP y está repleta de extras como sincronización en la nube en Google Drive para copias, historial de cambios, etiquetas para organizar, varios widgets y modo oscuro. Ofrece extensión de navegador para empujar el código al escritorio, personalización de iconos y protección con biometría o PIN. Incluye exportaciones cifradas y opciones multiplataforma para mover datos entre Android e iOS.
Existen apps de autenticación que combinan TOTP y HOTP, con soporte de SHA1, SHA256 y SHA512, tokens a 30 o 60 segundos, protección por contraseña, control de capturas y generador de contraseñas fuertes. Si buscas algo directo para Android con QR integrado y opciones de personalización visual, pueden encajar.
No es un autenticador puro, es un gestor de contraseñas premium que añade TOTP dentro de cada entrada compatible. Está disponible para todas las plataformas, y el atractivo es tener en la misma ficha usuario, contraseña y código de verificación. Ideal si ya gestionas tu vida digital en 1Password y quieres autocompletar también los códigos.
Open source y gratuito para uso individual, con una opción de pago anual muy asequible que activa el generador TOTP integrado. Los códigos se autocompletan en webs y apps desde las extensiones y el móvil. Permite añadir el secreto con el icono de cámara en la extensión, introducir claves manualmente, ver y copiar el código y hasta personalizar parámetros mediante URIs otpauth.
Si te gusta centralizar credenciales y códigos, es una opción muy eficiente. Recuerda proteger bien el acceso a tu bóveda y activar 2FA en el propio Bitwarden.
App independiente del gestor LastPass, con notificaciones push de un toque, copia de seguridad en la nube y soporte para smartwatches. Disponible en Android, iOS y Windows. La marca arrastra sombras tras incidentes de seguridad pasados, así que sopesa los pros y contras antes de adoptarla.
En iPhone a partir de iOS 15 y en Safari 15 en Mac tienes un generador de códigos integrado en la sección de contraseñas. Se sincroniza con iCloud, soporta autocompletado y permite añadir tokens escaneando con la cámara del iPhone. Aunque la idea es cómoda, tiene limitaciones: cuesta encontrarlo, muestra un token por pantalla, no oculta códigos, no exporta e incluso en iOS puede verse la contraseña junto al código.
Si buscas el nivel máximo, una llave física como YubiKey es el estándar dorado. No usan batería, son muy resistentes, y soportan FIDO2, U2F, OTP y tarjeta inteligente, entre otros. Se integran con servicios populares y algunas tienen ediciones con certificación FIPS.
Algunas organizaciones recomiendan soluciones concretas según el sistema. Por ejemplo, se sugiere Microsoft Authenticator para móviles, FortiToken Mobile II en Windows y KeePassXC en Linux o macOS como opción abierta que combina gestor y generador OTP, y si buscas aislamiento, consulta GrapheneOS. Si ya usas otro autenticador, no tienes por qué cambiar, y suele haber versiones de escritorio cuando no se puede usar el móvil.
Combina apps si lo necesitas: una para trabajo, otra para cuentas personales o una minimalista en el reloj y otra completa en el móvil. Activa siempre el bloqueo por PIN o biometría en la app, sobre todo si permite exportar o ver secretos.
Haz copias de seguridad de tus tokens cuando la app lo permita, o conserva códigos de recuperación y claves secretas, como explican servicios como Dropbox sobre la confirmación en dos pasos. En apps sin exportación, la copia y restauración nativa de la app o del sistema es tu salvavidas al cambiar de teléfono.
Si un código no funciona, comprueba que lo introduces dentro del tiempo activo, que corresponde al servicio correcto y que la hora de tu dispositivo está bien sincronizada. La desincronización de reloj es una causa habitual de errores con TOTP.
Si pierdes el móvil, borra el dispositivo de forma remota si es posible; si tus códigos estaban sincronizados con la cuenta del proveedor, elimínalos desvinculando el dispositivo; si no, visita los servicios donde usabas 2FA y vuelve a vincular con el nuevo teléfono. Actuar rápido reduce el riesgo de acceso no autorizado.
Sea cual sea tu elección, la clave está en proteger el acceso a la app, planificar copias y entender sus límites. Con un poco de orden, el 2FA te da un salto enorme en seguridad sin complicarte la vida.