La autenticación en dos pasos con TOTP se ha convertido en el escudo imprescindible para blindar tus cuentas: un segundo código que cambia cada poco tiempo y que debes introducir además de tu contraseña. En este artículo, te traigo una guía muy completa con comparativas de apps, trucos de configuración y casos de uso reales, todo explicado al detalle y con un lenguaje cercano para que no te pierdas por el camino.
Más allá de una simple lista, aquí encontrarás información práctica para elegir la mejor aplicación de TOTP, aprender a configurarla en servicios populares (GitHub, Bitwarden, Nextcloud…), entender cómo implementarla en tu backend con Node.js y evitar errores comunes que pueden dejarte bloqueado fuera de tus cuentas. Vamos al lío.
Qué es TOTP y por qué deberías activarlo hoy
TOTP (Time-based One-Time Password) es un algoritmo que genera contraseñas de un solo uso basadas en el tiempo. Tu app y el servidor comparten un secreto; con el reloj del sistema, ambos calculan el mismo código que se renueva, normalmente, cada 30 segundos. Como funciona sin conexión, es rápido, fiable y muy cómodo, y añade una segunda capa que frena ataques incluso si tu contraseña se filtra.
Dentro de la 2FA hay varios métodos (SMS, correo, biometría, claves físicas, notificaciones push…), pero las apps de TOTP suelen ser la opción más equilibrada por privacidad, disponibilidad y control. Ojo: los SMS son útiles como rescate, pero no son tan robustos ni fiables, especialmente fuera de EE. UU.
Consejos clave antes de empezar
Primero, no borres una cuenta de 2FA de tu app sin desactivarla antes desde la web del servicio. Es fácil quedarse bloqueado de por vida. Segundo, genera y guarda bien los códigos de recuperación siempre que estén disponibles. Tercero, planifica tus copias de seguridad: elige app con respaldo en la nube cifrado, exporta a archivo encriptado o usa sincronización de cuentas para no perder los tokens al cambiar de móvil.
Un apunte de realidad: cada 39 segundos hay un ataque informático en algún lugar del mundo. Activar 2FA con TOTP tarda menos de dos minutos y multiplica tu seguridad; si además añades una clave de seguridad física como método alternativo, vas «sobrao».
Cómo elegir tu app TOTP: qué mirar y qué evitar
Las mejores apps combinan seguridad, facilidad, exportación/backup y compatibilidad multiplataforma. Es clave que puedan protegerse con biometría o PIN, oculten códigos en pantalla, y ofrezcan copias de seguridad cifradas o exportación segura. Si usas varios sistemas operativos, busca sincronización entre Android, iOS y escritorio.
¿De qué huir? De apps sin backup ni exportación, copias incompatibles entre plataformas (si rotas entre iOS y Android), o que requieren obligatoriamente cuenta con número de teléfono si no lo necesitas. El detalle fino marca la diferencia en un momento de crisis.
Comparativa completa de apps de autenticación TOTP
A continuación tienes una panorámica con las funciones y matices más relevantes de las herramientas que más aparecen en las mejores guías, documentación y análisis especializados.
Google Authenticator (Android, iOS)
Es la referencia clásica: gratuito, simple y sin cuenta obligatoria. Exporta todos los tokens de golpe mediante un único QR para migrar a otro móvil y en iOS puedes proteger el acceso con Face ID/Touch ID y buscar tokens. Carece de copias en la nube nativas y no siempre oculta códigos, lo que puede ser incómodo en público. Ideal si no quieres nube y priorizas simplicidad.
The app was not found in the store.
Go to store Google websearch
Microsoft Authenticator (Android, iOS)
Combina gestor de contraseñas y TOTP con protección biométrica/PIN, ocultación de códigos y copias en la nube. Punto flaco: los respaldos de iOS y Android son incompatibles entre sí, no exporta tokens y ocupa bastante espacio (150-200 MB). Si vives en el ecosistema Microsoft, simplifica mucho los inicios de sesión.
Microsoft Authenticator (Free, Google Play) →
Authy de Twilio (Android, iOS, Windows, macOS, Linux)
La estrella multiplataforma: sincroniza impecablemente entre móvil y escritorio, con copia en la nube y protección con PIN/biometría. Requiere crear cuenta con número de teléfono y su interfaz en móvil muestra un token a la vez, lo que es menos ágil con muchas cuentas. No exporta/importa tokens, pero como alternativa a Google/Microsoft es de lo mejorcito.
The app was not found in the store.
Go to store Google websearch
Duo Mobile (Android, iOS)
Muy popular en empresas, interfaz limpia y simple, oculta códigos y permite respaldo en Google Cloud (Android) o iCloud (iOS) sin crear cuenta nueva. No hay protección de acceso en la app y las copias de iOS/Android no son compatibles entre sí. Si no vas a cambiar de plataforma, puede servirte perfectamente.
Duo Mobile (Free, Google Play) →
FreeOTP (Android, iOS)
Proyecto de código abierto, minimalista y ligerísimo (2-3 MB). Sin nube ni exportación de tokens; en iOS no permite crear tokens con clave manual (solo QR). En iOS puedes proteger tokens con Face ID/Touch ID y los códigos se ocultan por defecto y tras 30 s de inactividad. Para quien prioriza minimalismo y privacidad.
FreeOTP Authenticator (Free, Google Play) →
andOTP (Android)
Muy completo y de código abierto: bloqueo con PIN/contraseña/huella, etiquetas, búsqueda, ocultación y bloqueo automáticos por inactividad, “botón del pánico” para borrar todo y exportación a archivo cifrado (por ejemplo en Google Drive). Está discontinuado, pero sigue siendo muy sólido. Riesgo: la facilidad de recuperar claves exige proteger muy bien el acceso.
Aegis Authenticator (Android)
Alternativa open source moderna, gratuita, con cifrado, biometría y buenas opciones de copia. Soporta importación desde Authy/andOTP y casi todos los formatos 2FA. Algunas funciones potentes requieren root, lo que no es para todo el mundo. Buen equilibrio entre seguridad y usabilidad.
Aegis Authenticator - 2FA App (Free, Google Play) →
OTP Auth (iOS, macOS)
Potente para Apple: carpetas para organizar, exportación a archivo, lectura de clave/QR por token, sincronización iCloud y protección con Face ID/Touch ID o contraseña. No oculta códigos y algunas funciones son de pago en macOS. Para iPhone/Mac, es de lo más completo.
Step Two (iOS, macOS)
Minimalista, con sincronización por iCloud y soporte Apple Watch. Sin protección de acceso, no oculta códigos, no exporta/importa tokens y la versión gratuita limita a diez tokens. En macOS necesita permiso de captura de pantalla para leer QR. Perfecto si quieres algo muy sencillo en el ecosistema Apple.
WinAuth (Windows)
Orientado a gamers: soporta tokens no estándar de Steam, Battle.net o Trion/Gamigo, además de TOTP estándar. Permite cifrar datos, exportar en texto o en archivo encriptado, proteger con contraseña o YubiKey y ocultar códigos automáticamente. Solo existe para Windows y, por norma, no se recomienda 2FA en PC, pero para juegos es una joya.
Authenticator App (ecosistema Apple)
Verificador con apps para iPhone, iPad, Mac y Apple Watch, y extensiones para casi todos los navegadores (Safari, Chrome, Brave, Tor, Vivaldi…). Tiene versión gratuita muy limitada; la de pago añade copia de seguridad y sincronización. Incluye cifrado, compartir en familia y bloqueo con Face ID. Si vives en Apple, es una opción a considerar.
2FAS (2FA Authenticator)
Sencilla, gratuita y con cifrado E2E, funciona offline y permite vincular tokens por clave o QR y sincronizarlos con Google Drive. Copias de seguridad para no perder tokens, extensión de navegador, PIN/biometría y sin anuncios. Pocas opciones avanzadas, pero muy cumplidora para el día a día.
1Password (con TOTP integrado)
Gestor de contraseñas de pago que incluye 2FA TOTP integrado. El gran plus es el autocompletado de códigos en sitios compatibles y la gestión unificada de credenciales. No es una app 2FA pura, pero si ya usas 1Password, te simplifica la vida en móvil, escritorio y navegador.
1Password: Password Manager (Free, Google Play) →
Bitwarden (con TOTP integrado)
Open source y gratuito para usuario único; la versión de pago añade TOTP que se autocompleta en webs y apps. Genera códigos de seis dígitos (SHA-1, 30 s) por defecto, y permite personalizar parámetros editando el URI otpauth. Las extensiones del navegador copian el TOTP al portapapeles tras el autocompletado si activas la opción. Muy redondo para centralizar contraseñas y 2FA.
The app was not found in the store.
Go to store Google websearch
TOTP Authenticator (BinaryBoot)
Interfaz limpia y soporte amplio de servicios 2FA. Ofrece Cloud Sync premium con Google Drive (tú controlas los datos), extensión de navegador (premium), tema oscuro, etiquetas y búsqueda, soporte multiplataforma (Android/iOS), uso en varios dispositivos (backups cifrados), widgets múltiples, personalización de iconos y seguridad biométrica con opción de bloquear capturas. La versión gratuita es algo limitada.
TOTP Authenticator – 2FA Cloud (Free, Google Play) →
Protectimus Smart OTP
Disponible en Android e iOS, compatible con relojes Android, soporta múltiples protocolos y permite proteger la app con PIN. Menos conocida, pero muy completa si buscas variedad de estándares y uso en wearables.
Protectimus SMART OTP (Free, Google Play) →
Guías prácticas: cómo activar TOTP en servicios populares
Vamos con instrucciones concretas, destiladas de documentación oficial para que configures TOTP sin perderte.
Configurar TOTP en GitHub (app TOTP o SMS, con métodos extra)
GitHub recomienda usar apps TOTP basadas en la nube y claves de seguridad como respaldo en lugar de SMS. Tras activar 2FA, tu cuenta entra en un periodo de comprobación de 28 días: si no la superas autenticándote, el día 28 se te pedirá 2FA y podrás reconfigurarla si algo falla.
- Paso a paso TOTP: Ajustes de usuario → Password and authentication → Habilitar 2FA → escanea el QR con tu app TOTP o usa la clave de configuración manual (Tipo TOTP, Etiqueta GitHub:<usuario>, Emisor GitHub, SHA1, 6 dígitos, 30 s). Verifica con un código actual y descarga los códigos de recuperación.
- SMS como alternativa: añade tu número tras pasar un CAPTCHA, introduce el código recibido por SMS y guarda los códigos de recuperación. Úsalo solo si no puedes usar TOTP.
- Claves de paso (passkeys): si ya tienes 2FA por app TOTP o SMS, agrega una passkey para iniciar sesión sin contraseña cumpliendo a la vez el requisito de 2FA.
- Claves de seguridad (WebAuthn): tras activar 2FA, registra una llave compatible. Cuenta como segundo factor y requiere tu contraseña; si la pierdes, podrás usar el SMS o tu app TOTP.
- GitHub Mobile: tras tener TOTP o SMS, puedes usar la app móvil con notificaciones push; no depende de TOTP y usa cifrado de clave pública.
Si una app TOTP no te cuadra, registra SMS como plan B y añade luego una clave de seguridad para subir el listón de seguridad sin complicarte.
Bitwarden Authenticator: generación, autocompletado y trucos
Bitwarden genera TOTPs de 6 dígitos con SHA-1 y rotación de 30 s. Puedes escanear el QR desde la extensión del navegador (icono de cámara) o introducir la clave manualmente en iOS/Android. Una vez configurado, verás el TOTP giratorio dentro del ítem y podrás copiarlo como si fuera una contraseña.
Autocompletado: las extensiones de navegador rellenan el TOTP automáticamente o lo copian al portapapeles tras el autocompletado si activas “Rellenar automáticamente al cargar la página”. En móvil, el código se copia al portapapeles después de autocompletar el login.
Si tus códigos no funcionan, sincroniza el reloj del dispositivo (activar/desactivar hora automática en Android/iOS; en macOS, lo mismo para fecha/hora y zona horaria). Si un servicio exige parámetros distintos, edita el URI otpauth manualmente en el ítem para ajustar dígitos, periodo o algoritmo.
En iOS 16+, puedes definir Bitwarden como app por defecto de verificación al escanear códigos desde la cámara: Ajustes → Contraseñas → Opciones de contraseña → Configurar códigos de verificación mediante → Bitwarden. Al escanear, pulsa «Abrir en Bitwarden» para guardarlo.
Para cuentas Microsoft Azure/Office 365: durante la configuración de 2FA, elige “otra aplicación de autenticación” en lugar de Microsoft Authenticator y escanea el QR con Bitwarden. Para Steam, usa un URI con prefijo
steam:// seguido de tu clave secreta; los códigos serán alfanuméricos de 5 caracteres.Nextcloud: TOTP y códigos de respaldo
Si tu instancia activa 2FA, en tus preferencias personales verás el código secreto y un QR para escanear con tu app TOTP. Genera y guarda los códigos de respaldo en un lugar seguro (no en el mismo móvil), porque te sacarán del apuro si pierdes el segundo factor.
Al iniciar sesión, introduce el TOTP en el navegador o selecciona otro segundo paso si lo tienes configurado. Si usas WebAuthn, no reutilices el mismo token para 2FA y para el login sin contraseña, ya que dejaría de ser “doble” factor.
Caso real corporativo: portal de Medicamentos especiales (AEMPS)
Ejemplo de flujo típico: instala una app TOTP (Microsoft/Google Authenticator, FreeOTP, Authy…) y desde el navegador solicita «Restablecer código verificación» en la página de credenciales. Te llegará un correo con un enlace que muestra un QR y un código.
Escanea el QR con tu app, verás tu primer código y vuelves al navegador para introducirlo en la página de restablecimiento. A partir de ahí, inicia sesión eligiendo el método “Código de verificación”: usuario, contraseña y el TOTP vigente mostrado en tu móvil.
Hardware keys: YubiKey como complemento de lujo
Para máxima seguridad, YubiKey de Yubico es el estándar de oro: llaves físicas IP68, sin batería, robustas y compatibles con FIDO2, U2F, OTP, Smart Card, etc. Funcionan perfecto con Google, Facebook y muchísimos servicios. Si un servicio no admite hardware, puedes usar su app autenticadora de respaldo. Incluso existen modelos con certificación FIPS para entornos que lo exijan.
Lo ideal: app TOTP + YubiKey. Te quedas con un segundo factor siempre disponible y otro de altísima seguridad para cuando quieras subir la protección al máximo.
Yubico Authenticator (Free, Google Play) →
Implementar TOTP en tu backend (Node.js con otplib)
Si desarrollas tu propia aplicación, TOTP es fácil de integrar con otplib y una pizca de Express.js. El flujo tiene dos fases: asociar un secreto TOTP al usuario y validar los códigos en el login.
- Asociación: genera un secreto en el servidor, crea el URI otpauth y muéstralo como QR (con librerías como qrcode). El usuario escanea con su app y te envía un TOTP para validar y guardar la asociación.
- Verificación: en cada inicio de sesión tras contraseña correcta, pide el TOTP y comprueba su validez con el secreto guardado. Si es válido, completas el login.
Como ves, es un patrón muy claro: sincronizas un secreto, validas el primer código y a partir de ahí comparas el TOTP rotatorio en cada acceso. Sencillo, robusto y compatible con la mayoría de apps autenticadoras.
Trucos y buenas prácticas que te ahorran disgustos
Piensa en tu «plan B»: códigos de recuperación y métodos alternativos (clave de seguridad, SMS, app móvil tipo push) y, si dependes de la sincronización en la nube, revisa si hay incompatibilidades entre iOS y Android (caso de Microsoft y Duo) para no llevarte sorpresas al cambiar de móvil.
Cuándo usar un gestor de contraseñas con TOTP integrado
Si ya usas Bitwarden o 1Password, activar el módulo TOTP unifica contraseñas y segundo factor, con autocompletado en la misma herramienta. Ventajas: rapidez y menos fricción. Desventaja: concentras más elementos sensibles en un solo lugar, así que blíndalo con 2FA fuerte y revisa opciones de exportación/backup seguro.
Resumen de apps y compatibilidades destacadas
Android: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis, andOTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (no móvil). En iOS: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, OTP Auth, Step Two, Authenticator App, TOTP Authenticator. Escritorio: Authy (Win/macOS/Linux), OTP Auth (macOS), Step Two (macOS), WinAuth (Windows).
Para tokens especiales de videojuegos, WinAuth brilla con Steam y Battle.net; Bitwarden puede manejar Steam con
steam://. En Apple, el autenticador integrado en iOS 15+ y Safari 15+ es útil, pero su autocompletado no siempre clava el tiro y no es tan ágil como una app dedicada.Checklist rápido para elegir tu app TOTP
- ¿Necesitas multiplataforma real (móvil + escritorio)? Authy es apuesta segura.
- ¿Minimalismo y sin nube? Google Authenticator o FreeOTP son buena base.
- ¿Open source con control fino? Aegis (Android) u OTP Auth (iOS) destacan.
- ¿Gestor + TOTP todo en uno? Bitwarden o 1Password simplifican muchísimo.
- ¿Mundo gaming? WinAuth soporta tokens no estándar.
Sea cual sea tu elección, genera copias de seguridad y guarda los códigos de recuperación. Es el salvavidas cuando peor pinta tiene la cosa.
Activar TOTP te da un salto enorme de seguridad con un coste mínimo de tiempo, y con las apps que has visto puedes elegir lo que mejor encaja contigo: desde soluciones simples y sin nube hasta ecosistemas sincronizados en todos tus dispositivos, pasando por gestores que autocompletan el código por ti o llaves físicas para cerrar el círculo en escenarios de alta seguridad. Con un par de buenas decisiones y un plan de respaldo, tu cuenta pasa de estar “a merced” a estar “a prueba de sustos”.
Continúar leyendo...