¿Qué app del móvil debo usar?

**Todas las populares** escanean nuestro QR: - **Google Authenticator**: Android/iOS, gratis - **Microsoft Authenticator**: gratis - **Authy**: gratis, sincronización multidispositivo - **1Password**: de pago, integración con el gestor de contraseñas - **Bitwarden Authenticator**: open source - **Aegis**: Android, open source, la mejor opción por privacidad - **Raivo OTP**: iOS, open source

¿Este secreto funcionará en mi aplicación?

**Sí** si tu app usa una librería TOTP estándar (otplib, speakeasy, twofactor). Al configurar el backend, **usa el secreto en formato base32** (32 caracteres). Los **parámetros por defecto** (SHA-1, 6 dígitos, 30 s) funcionan en cualquier librería. Para SHA-256/512, verifica que tu servidor los soporta.

¿El secreto sale del navegador?

**No**. La generación del secreto (Web Crypto API), la codificación base32 y el QR (bwip-js en el navegador) son **todo local**. **DevTools > Network** = ninguna petición. El secreto **no sale del dispositivo**.

¿SHA-1 vs SHA-256 vs SHA-512?

**SHA-1**: el valor por defecto del RFC 6238, soportado **EN TODAS PARTES**. Aunque SHA-1 está "criptográficamente roto", en **HMAC-TOTP da igual en la práctica** (no hay tiempo para ataques de colisión dentro de la ventana de 30 s). **SHA-256/512**: más fuertes, pero algunas apps 2FA antiguas no los soportan. **Quédate con SHA-1** salvo que necesites algo más fuerte por motivos concretos.

**Estándar = 6 dígitos** (10^6 = 1M de combinaciones). **8 dígitos** = 100M, mucho más difícil de adivinar. **Pero** la mayoría de servidores TOTP esperan **6, no 8**. Revisa la documentación de tu app antes de cambiarlo.

¿Y si pierdo el móvil con el Authenticator?

**Si guardaste el secreto** (copia en papel): añádelo a un Authenticator nuevo y obtendrás **los mismos códigos**. **Si no**: la recuperación de TOTP es imposible. Recurre a los [códigos de respaldo](/es/generador-codigos-respaldo). **Sin códigos de respaldo** solo queda la recuperación de cuenta del servicio (correo, SMS, soporte). **Lección**: **guarda siempre el secreto + los códigos de respaldo** la primera vez que configuras el 2FA.

¿Puedo usar el mismo secreto en varios dispositivos?

**Sí**. El secreto es una clave: **cualquier dispositivo cuyo Authenticator tenga el mismo secreto** genera **los MISMOS códigos**. Puedes tener Authenticator en el móvil + portátil + el secreto en papel. **Los tres** te dan el mismo código de 6 dígitos a la vez. **Es una característica, no un bug**: te da redundancia por si pierdes el móvil.

Generador de secreto TOTP 2FA - gratis

Código QR para escanear

Secreto (base32)

-

Escríbelo a mano si la app no puede leer el QR.

URI otpauth://

Emisor

Nombre del servicio que se muestra en la app.

Cuenta

Tu correo o login en la lista de cuentas.

Algoritmo

Dígitos

Periodo

La mayor compatibilidad: SHA-1, 6 dígitos, 30 s. Algunas apps no admiten SHA-256 ni 8 dígitos.

Secreto generado localmente, nunca se envía a un servidor.

Generar también códigos de respaldo

¿Cómo añado 2FA (Google Authenticator) a mi aplicación?

Genera un secreto TOTP para 2FA: una clave aleatoria + código QR listo para escanear para Google Authenticator, Authy, 1Password, Microsoft Authenticator y Aegis.

El estándar RFC 6238: secreto base32 de 160 bits + el URI estándar "otpauth://totp/..." que usan todas las apps 2FA populares.

Ideal para añadir 2FA a tu propia aplicación, probar integraciones o migrar el 2FA entre autenticadores.

Cómo usarlo

"Issuer" = nombre de la app o servicio (p. ej. "MiServicio", "Banco ABC"). Aparece como título en el Authenticator.

"Cuenta" = identificador del usuario (p. ej. "juan@empresa.com"). Aparece debajo del issuer.

Deja los valores por defecto SHA-1, 6 dígitos, 30 s: el estándar del sector. Todos los Authenticator populares lo soportan.

Escanea el QR con la app Authenticator del móvil. O copia el secreto e introdúcelo como "Setup Key".

El móvil empezará a mostrar códigos de 6 dígitos que se renuevan cada 30 s.

Guarda el secreto en un sitio seguro (papel, gestor de contraseñas). Sin él, si pierdes el móvil, no podrás recuperar el acceso. Genera también códigos de respaldo para más protección.

Cuándo es útil

Cuatro situaciones típicas en las que un generador de secretos TOTP resuelve un problema concreto:

Construir tu propia app con 2FA. Genera un secreto por usuario y guárdalo en el servidor; aquí puedes probar el flujo antes de integrar una librería como otplib/speakeasy.
Migrar de Google Authenticator a Authy/1Password/Aegis. Importa vía QR.
Añadir 2FA a herramientas que no lo soportan de forma nativa (tu propio VPS, servicios privados con SSH-OTP).
Formación. Ver exactamente cómo es un URI otpauth, qué campos lleva y cómo base32 codifica el secreto.

Para usuarios finales: si un servicio (Google, GitHub) te genera un QR, no necesitas esta herramienta: usa su flujo integrado.

Preguntas y respuestas

TOTP (Time-based One-Time Password): el estándar RFC 6238 para autenticación en dos pasos. La app Authenticator guarda un secreto compartido con el servidor; cada 30 segundos calcula un código de 6 dígitos a partir del secreto + la hora actual. El servidor hace lo mismo y compara. Un atacante que conozca tu contraseña pero no tenga el móvil con el Authenticator no puede entrar.

¿Cómo añado 2FA (Google Authenticator) a mi aplicación?

Genera un secreto TOTP para 2FA: una clave aleatoria + código QR listo para escanear para Google Authenticator, Authy, 1Password, Microsoft Authenticator y Aegis.

El estándar RFC 6238: secreto base32 de 160 bits + el URI estándar "otpauth://totp/..." que usan todas las apps 2FA populares.

Ideal para añadir 2FA a tu propia aplicación, probar integraciones o migrar el 2FA entre autenticadores.

Cómo usarlo

"Issuer" = nombre de la app o servicio (p. ej. "MiServicio", "Banco ABC"). Aparece como título en el Authenticator.

"Cuenta" = identificador del usuario (p. ej. "juan@empresa.com"). Aparece debajo del issuer.

Deja los valores por defecto SHA-1, 6 dígitos, 30 s: el estándar del sector. Todos los Authenticator populares lo soportan.

Escanea el QR con la app Authenticator del móvil. O copia el secreto e introdúcelo como "Setup Key".

El móvil empezará a mostrar códigos de 6 dígitos que se renuevan cada 30 s.

Cuándo es útil

Cuatro situaciones típicas en las que un generador de secretos TOTP resuelve un problema concreto:

Construir tu propia app con 2FA. Genera un secreto por usuario y guárdalo en el servidor; aquí puedes probar el flujo antes de integrar una librería como otplib/speakeasy.
Migrar de Google Authenticator a Authy/1Password/Aegis. Importa vía QR.
Añadir 2FA a herramientas que no lo soportan de forma nativa (tu propio VPS, servicios privados con SSH-OTP).
Formación. Ver exactamente cómo es un URI otpauth, qué campos lleva y cómo base32 codifica el secreto.

Para usuarios finales: si un servicio (Google, GitHub) te genera un QR, no necesitas esta herramienta: usa su flujo integrado.

Preguntas y respuestas

Generador de secreto TOTP 2FA

¿Cómo añado 2FA (Google Authenticator) a mi aplicación?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de códigos de respaldo 2FA

Generador de contraseñas

Generador de códigos QR

Generador de secreto TOTP 2FA

¿Cómo añado 2FA (Google Authenticator) a mi aplicación?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de códigos de respaldo 2FA

Generador de contraseñas

Generador de códigos QR