Aegis Authenticator

Aegis Authenticator es la aplicación canónica de TOTP/HOTP respetuosa de la privacidad para Android — un gestor de segundo factor de código abierto que almacena tus tokens de autenticación en una bóveda local cifrada, admite copias de seguridad JSON adecuadas bajo tu control, importa desde la mayoría de las aplicaciones competidoras y nunca llama a casa. Calificado como Grade A porque Aegis ocupa la posición de reemplazo directo de Google Authenticator con tres mejoras estructurales: bóveda cifrada (la aplicación de Google no cifra), copias de seguridad exportables (la de Google no lo hacía hasta hace poco, y aun así a través de la nube vinculada a la cuenta), y cero dependencia de la nube (tus tokens permanecen en tu dispositivo).

Background. Aegis Authenticator fue creado por Alex Bakker (con un equipo de contribuidores de la comunidad) y ha estado en desarrollo activo desde 2019. El proyecto es de código abierto bajo GPLv3 con el código en github.com/beemdevelopment/Aegis. Disponible en F-Droid (la tienda canónica de software libre de Android) y Google Play Store con compilaciones firmadas idénticas. Sin versión para iOS — las políticas de la App Store de Apple y las limitaciones de recursos del equipo han mantenido a Aegis solo para Android; para iOS, el equivalente funcional más cercano es Ente Auth (multiplataforma — listado por separado en xmr.club). Financiado enteramente por donaciones + trabajo de contribuidores; sin entidad comercial detrás del proyecto, sin venta adicional de SaaS.

What you trust. Almacenamiento solo local — tus secretos TOTP permanecen en tu dispositivo, cifrados en el archivo de bóveda de Aegis. Aegis no tiene backend; no hay servidor operado por Aegis. Cifrado de bóveda — AES-256-GCM con derivación de claves scrypt (intensiva en memoria, resistente a ataques de fuerza bruta GPU/ASIC contra la frase de contraseña de la bóveda). Soporte de desbloqueo biométrico — huella digital/rostro en Android a través del keystore del sistema operativo; la biometría es un atajo UX sobre la frase de contraseña, no un reemplazo de ella. Código abierto + documentación de compilaciones reproducibles — cualquiera puede auditar el código fuente; las versiones de GitHub son reproducibles. No llama a casa — la aplicación no incluye SDKs de análisis, no solicita permisos innecesarios y no tiene solicitudes de red en operación normal (el único uso de red es la función opcional de "iconos" que descarga logotipos para servicios conocidos). El formato de exportación es JSON — la exportación es un esquema JSON documentado, cifrado con la contraseña de la bóveda; puedes descifrarlo sin conexión con un pequeño script de Python si es necesario, lo que significa que tus secretos no están bloqueados en Aegis. Lo que no confías: la sincronización en la nube — Aegis no la tiene. Si quieres sincronización entre dispositivos, la manejas a través de tu mecanismo de sincronización de archivos existente (Nextcloud, Syncthing, exportación e importación manual). Esto es intencional: no hay nube de Aegis que comprometer.

Operational specs. Plataforma: solo Android — F-Droid (canónico), Google Play (mismo APK firmado), descarga directa de APK desde getaegis.app. Tipos de token: TOTP (RFC 6238 — los tokens estándar de 6 dígitos cada 30 segundos), HOTP (RFC 4226 — basado en contador, menos común), Steam Guard (variante de Valve), Yandex (variante rusa). Algoritmos: SHA-1, SHA-256, SHA-512. Longitudes de dígitos: códigos de 6, 7, 8 dígitos. Períodos personalizados: intervalo de actualización configurable por token. Capacidad de tokens: ilimitada (limitada solo por el almacenamiento del dispositivo). Categorización: organiza tokens en grupos; busca en toda la bóveda. Iconos: descarga automática opcional de iconos para servicios conocidos (esta es la única solicitud de red que hace la aplicación); fácilmente deshabilitable. Copia de seguridad: exportación JSON cifrada a archivo local, copia de seguridad automática opcional a una carpeta de tu elección. Importación: importa desde Authy (a través de herramienta comunitaria), andOTP, FreeOTP, FreeOTP+, Google Authenticator (mediante escaneo QR), Microsoft Authenticator (mediante escaneo QR), Bitwarden, KeePassXC, más escaneo genérico OTP-URI. Permisos: Aegis solicita permisos mínimos de Android — cámara (para escaneo QR) y almacenamiento (para acceso a archivos de copia de seguridad). Sin ubicación, sin contactos, sin estado del teléfono. Soporte de idiomas: más de 30 traducciones de la interfaz de usuario de contribuidores de la comunidad.

Philosophy. El diferenciador editorial de Aegis es la postura de local-first con copias de seguridad controladas. Los autenticadores basados en la nube (Authy, la nueva sincronización en la nube de Google Authenticator, la sincronización en la nube de Microsoft Authenticator) hacen de la conveniencia entre dispositivos el valor predeterminado, con el compromiso de que el operador de la nube se convierte en parte de tu superficie de confianza del segundo factor. Aegis dice: tu segundo factor es demasiado importante para ponerlo en la nube; mantenlo local, dale al usuario control explícito sobre las copias de seguridad y la sincronización. Esta no es la compensación correcta para usuarios que priorizan la conveniencia (la sincronización en la nube maneja "se me cayó el teléfono al inodoro"), pero para usuarios que tratan el segundo factor como infraestructura crítica, la postura local-first de Aegis es el modelo correcto.

Grade rationale. El Grade A refleja: código abierto bajo licencia GPLv3; distribución F-Droid + Google Play con APKs firmados idénticos; sin backend en la nube, sin infraestructura de operador; cifrado de bóveda AES-256-GCM + scrypt (criptografía fuerte y moderna); desbloqueo biométrico a través del keystore del sistema operativo Android (atajo UX, no omisión criptográfica); soporta tipos de token TOTP / HOTP / Steam Guard / Yandex; importación desde la mayoría de las aplicaciones competidoras (Authy, Google Auth, MS Auth, andOTP, etc.); formato de exportación JSON con esquema documentado (sin bloqueo de proveedor); permisos mínimos de Android (solo cámara + almacenamiento); más de 30 traducciones de UI; más de 6 años de continuidad operativa (desde 2019); financiado solo por donaciones (sin presión comercial); mantenedor nombrado (Alex Bakker) con presencia pública en GitHub; listado en Privacy Guides como el autenticador Android recomendado. Última verificación: 2026-05-13.

Useful when. Eres un usuario de Android que quiere una aplicación TOTP/HOTP local-first que no requiera una cuenta en la nube. Estás migrando desde Google Authenticator (que ha tenido problemas históricos: sin cifrado, copias de seguridad con pérdida, sincronización en la nube vinculada a la cuenta) y quieres un reemplazo directo. Quieres copias de seguridad exportables en JSON que tú controlas — almacénalas en tu base de datos de contraseñas KeePassXC, en almacenamiento en la nube cifrado de tu elección o en una unidad USB. Quieres un autenticador protegido biométricamente sin confiar en un operador de nube con tus secretos TOTP. Estás gestionando segundos factores familiares u organizacionales y quieres que los tokens de cada dispositivo permanezcan aislados (cada dispositivo tiene su propia bóveda Aegis; sin sincronización entre dispositivos a menos que la configures). Quieres una pila Yu-Aegis — emparejar Aegis (TOTP) con una YubiKey (token de hardware para cuentas de alto riesgo) para una cobertura de segundo factor en capas.

Caveats. Solo Android — los usuarios de iOS deben usar Ente Auth (multiplataforma, también listado en xmr.club) u otro autenticador compatible con iOS. Sin sincronización entre dispositivos — característica, no error, pero una fricción. Soluciones: (1) exportar bóveda de Aegis → almacenar en base de datos KeePassXC → sincronizar a través de tu configuración de sincronización KeePassXC existente, (2) exportar bóveda → almacenar en carpeta Nextcloud / Syncthing, (3) mantener bóvedas separadas por dispositivo con cuentas superpuestas. Sin acceso basado en web — no hay ruta de "iniciar sesión en Aegis desde la computadora de un amigo"; si no tienes tu teléfono, no tienes tus TOTPs. La disciplina de copia de seguridad importa — perder tu teléfono sin una copia de seguridad significa perder el acceso a todas las cuentas con 2FA habilitado. Cada vez que agregues un token, guarda también sus códigos de recuperación de respaldo del servicio; o mantén tu bóveda de Aegis respaldada en un lugar desde el que puedas recuperarla. Almacenar TOTP junto a contraseñas es un riesgo de compromiso único — si un compromiso alcanza tanto tu gestor de contraseñas como tu autenticador TOTP, ambos factores quedan expuestos. El patrón correcto de defensa en profundidad es mantener los secretos TOTP en un dispositivo separado (Aegis en el teléfono, contraseñas en el escritorio), y para cuentas de alto riesgo usar un token de hardware (YubiKey, Solokey). La importación de Aegis desde Google Authenticator puede ser frágil — la aplicación de Google almacena secretos en un formato cifrado personalizado; la importación mediante escaneo QR funciona token por token, pero la exportación masiva desde Google Authenticator ha tenido peculiaridades entre versiones. Planea agregar cada token individualmente durante la migración. El desbloqueo biométrico no es fortalecimiento criptográfico — es un atajo UX respaldado por el keystore de Android; si el keystore de Android está comprometido, el desbloqueo biométrico puede ser eludido. La frase de contraseña de la bóveda sigue siendo la raíz criptográfica; no hagas la frase de contraseña débil solo porque el desbloqueo biométrico es conveniente. Sin soporte para 2FA basado en SMS — Aegis maneja solo TOTP/HOTP; la 2FA basada en SMS es un sistema separado (más débil). Si un servicio solo ofrece SMS-2FA, considera si la postura de seguridad de ese servicio cumple con tus estándares.