A primeros de mayo, Google avisó de que activaría la autenticación en dos pasos (2FA) en sus cuentas de correo. Si bien existen distintas opciones 2FA en las cuentas de Google para identificarse en dos pasos, es habitual que la gente instale la aplicación «Google Authenticator» para identificarse no solo en el correo, sino en multitud de webs y aplicaciones que permiten activar esta capa extra de seguridad.
Sin embargo, la aplicación de Google para 2FA es la opción menos segura, por 3 razones muy importantes:
No tiene acceso protegido
Cualquiera que tenga acceso a tu teléfono móvil, puede abrir la aplicación de Google y acceder a tus códigos 2FA. Es cierto que el móvil se puede proteger con huella o clave de acceso (que en ocasiones se pueden sortear), pero cuantas más barreras pongamos al acceso al resto de nuestros servicios, más minimizaremos la pérdida completa de nuestras cuentas.
No tiene sincronización multi-dispositivo
En principio podrías pensar que esto no es realmente necesario, pero… ¿qué pasa si de repente tu móvil deja de ser accesible porque acaba en el fondo de una piscina o te lo roban? Automáticamente, pierdes el acceso a todas las cuentas en las que tengas activado el 2FA y no tengan una opción secundaria para acceder a ellas (sí, esto ha ocurrido).
No hace copias de seguridad
Si cambias de móvil, tendrás que migrar manualmente todas tus cuentas con 2FA a la aplicación de Google Authenticator del nuevo dispositivo. ¿En serio, Google? Si bien es cierto que hace poco (primavera 2020) añadieron la opción de «Transferir cuentas» (lo cual puedes hacer de 10 en 10 cuentas, escaneando un QR), no creo que sea el sistema más seguro ni el más fiable, ya que permite a cualquier persona con acceso al móvil, exportar tus accesos a cualquier otra cuenta 2FA que no sea la tuya.
Alternativas a Google Authenticator
Resulta paradójico descubrir que una aplicación de seguridad como Google Authenticator no es realmente tan segura… Aquí dejo algunas alternativas más fiables y con mejor nivel de seguridad:
1Password Authenticator
De pago (3$/mes), pero con la robustez y profesionalidad que 1password nos tiene acostumbrados. Con el paquete se incluyen muchas más funcionalidades que sin duda te van a resultar muy útiles.
Twilio Authy
La alternativa de Twilio. Es gratuita y tiene todas las opciones mínimas recomendadas (copia de seguridad, multi-dispositivo y bloqueo de aplicación). Como extra tiene aplicación de escritorio, bastante práctico en mi opinión. Además, te añade un logo específico de cada aplicación, muy útil para encontrar el código rápidamente.
Microsoft Authenticator
Gratuito. Tiene activado por defecto comprobación de identidad (por huella), permite hacer backup en tu cuenta de Microsoft y existe la posibilidad de tenerlo instalado en varios dispositivos con la misma cuenta.
LastPass Authenticator
Gratuito, propiedad de LogMein. Otra opción totalmente válida, aunque no dispone de la opción de multi-dispositivo, la cual considero necesaria para tener un acceso rápido a tus cuentas en caso de pérdida del móvil. Actualización: sí es posible conseguir acceso en dos dispositivos, aunque utilizando cierto «hack», no de manera nativa.