Las contraseñas hace tiempo que dejaron de ser una barrera fiable entre los datos personales y los atacantes. Se roban mediante phishing, se obtienen por medio de bases de datos filtradas y se interceptan con software malicioso. En este contexto, la autenticación de dos factores dejó de ser una opción adicional y se convirtió en el nivel básico de higiene digital. Una de las herramientas más sencillas y populares para activarla sigue siendo Google Authenticator.
Esta pequeña aplicación no requiere conexión continua a internet, no depende de los SMS ni del operador móvil. Genera códigos de un solo uso directamente en el dispositivo del usuario. A continuación se explica en detalle cómo funciona Google Authenticator, cómo instalarlo y configurarlo, y qué matices conviene tener en cuenta para no perder el acceso a las cuentas. Sobre los principios básicos de la autenticación de dos factores —en este material.
Qué es Google Authenticator y cómo funciona
Google Authenticator es una aplicación gratuita para generar códigos de verificación de un solo uso. Implementa el estándar TOTP, es decir, el algoritmo de contraseñas de un solo uso basado en el tiempo. Cada código es válido aproximadamente 30 segundos y luego se actualiza automáticamente.
El principio de funcionamiento es bastante simple. Al activar la autenticación de dos factores en un sitio, el servicio muestra un código QR o una clave secreta. El usuario lo escanea con la aplicación. A partir de ese momento se establece un secreto criptográfico compartido entre el servicio y la aplicación. Con ese secreto y la hora actual el dispositivo genera un código de seis dígitos. El servidor realiza el mismo cálculo y compara el resultado.
El punto clave es que los códigos se crean de forma local. La aplicación no necesita internet para generarlos. Esto protege frente a ataques relacionados con la intercepción de SMS, el desvío de la tarjeta SIM o el bloqueo de la señal. El soporte del estándar TOTP hace que Google Authenticator sea compatible con miles de servicios: desde el correo y las redes sociales hasta sistemas corporativos y VPN protegidas frente al software malicioso.
Instalación y configuración inicial
La aplicación está disponible para Android y iOS. Se instala desde las tiendas oficiales Google Play o App Store. Al iniciarla, la interfaz propone añadir la primera cuenta.
Luego hay que entrar en la configuración de seguridad del servicio donde se quiere activar la autenticación de dos factores. Por lo general la sección se llama «Seguridad», «Verificación en dos pasos» o «Autenticación de dos factores». En la lista de métodos de verificación se elige la aplicación autenticadora.
El servicio mostrará un código QR. En Google Authenticator se pulsa «Agregar código», se elige escanear el código QR y se apunta la cámara hacia la pantalla. En segundos aparecerá en la aplicación el nombre del servicio y el código de seis dígitos. Ese código se introduce en el sitio para confirmar la vinculación.
Si no es posible escanear, se puede introducir la clave secreta manualmente. Esta opción conviene cuando la cámara no está disponible o la configuración se realiza en un solo dispositivo. Tras la verificación exitosa, la autenticación de dos factores queda activada.
Cómo usar Google Authenticator en el uso diario
Después de la configuración, la aplicación no requiere atención constante. Al iniciar sesión en una cuenta protegida, el usuario introduce el nombre y la contraseña y a continuación abre Google Authenticator para ver el código actual. Este se actualiza cada 30 segundos, lo que se indica con un temporizador junto a los dígitos.
Si no da tiempo a introducir el código, basta esperar a que aparezca uno nuevo. En la mayoría de los casos el servicio admite un pequeño desfase temporal, aunque no conviene abusar de ello. Si el reloj del smartphone está muy desajustado, los códigos pueden no coincidir con los del servidor. Por ello se recomienda activar la sincronización automática de la hora.
En la aplicación se pueden guardar decenas de cuentas. Para mayor comodidad se reetiquetan para identificar cada servicio con rapidez. Algunas versiones permiten la sincronización entre dispositivos a través de la cuenta de Google, lo que reduce el riesgo de perder los datos al cambiar de teléfono.
Recuperación de acceso y riesgos por pérdida del dispositivo
El principal temor de los usuarios es perder el smartphone. Si el dispositivo se roba o deja de funcionar, el acceso a los códigos desaparece. Para evitar esa situación, al activar la autenticación de dos factores el servicio suele ofrecer guardar códigos de recuperación. Esos códigos deben conservarse en un lugar seguro, preferiblemente fuera del teléfono.
También es recomendable activar la sincronización dentro de la aplicación, si está disponible. En ese caso los códigos pueden recuperarse en un nuevo dispositivo tras iniciar sesión en la cuenta de Google. Sin embargo, esta opción incrementa la dependencia de una sola cuenta, algo a valorar al analizar el modelo de amenazas.
Algunos servicios permiten vincular varios métodos de verificación: la aplicación autenticadora, una clave de seguridad física, correo de respaldo. La combinación de métodos reduce el riesgo de bloqueo total.
Ventajas y limitaciones de Google Authenticator
Entre sus ventajas figuran la simplicidad, la autonomía y la compatibilidad con el estándar TOTP. La aplicación no transmite los códigos por canales externos ni exige registrar una cuenta adicional. Es adecuada tanto para usuarios particulares como para empresas que implementan la autenticación de dos factores de forma obligatoria.
No obstante, Google Authenticator no protege frente al phishing en tiempo real. Si el usuario introduce el código de un solo uso en un sitio falso, el atacante podrá utilizarlo de inmediato. Para protegerse de ese tipo de ataques se emplean claves de seguridad con soporte FIDO2 o tecnologías como las passkeys.
Aun así, en el ámbito masivo Google Authenticator sigue siendo un compromiso razonable entre comodidad y seguridad. Aumenta de forma notable la protección de las cuentas respecto al uso de una sola contraseña.
Conclusión
Google Authenticator es una herramienta que hace accesible la protección básica de las cuentas a cualquier persona. Funciona mediante un estándar abierto, no depende de la conexión móvil y no requiere una configuración compleja. Con un enfoque adecuado para la copia de seguridad y el almacenamiento de los códigos, la recuperación del acceso no se convierte en un problema.
En un contexto de filtraciones de datos y campañas de phishing, la autenticación de dos factores dejó de ser una recomendación para usuarios avanzados. Es el nivel mínimo de protección. Google Authenticator no resuelve todas las necesidades de seguridad de la información, pero elimina una parte significativa de los riesgos habituales. Para la mayoría de los escenarios es suficiente para navegar con mayor tranquilidad.
