Transferencia de Google Authenticator: Migrar la autenticación de dos factores a un nuevo teléfono.
Si pierdes el teléfono donde guardas tus códigos de autenticación, Coinbase te pondrá en una cola de verificación de identidad de 48 a 72 horas antes de que puedas volver a acceder a tu cuenta. En Binance puede tardar una semana. En un exchange pequeño, podría tardar un mes. Ese es el precio de un código de autenticación no migrado, y es la única razón por la que existe esta guía.
Esta guía explica cómo usar la transferencia de Google Authenticator en iOS o Android, en ambas direcciones, utilizando los dos métodos que funcionan: la exportación mediante código QR, incluida en la aplicación desde mayo de 2020, y la sincronización en la nube de la cuenta de Google, disponible desde abril de 2023, con una advertencia de seguridad importante. También aborda el caso de emergencia en el que el teléfono antiguo se pierde o es robado, los riesgos de transferir códigos de autenticación de dos factores a un teléfono nuevo y qué hacer con cuentas en línea de alto valor donde la recuperación no siempre es posible. El objetivo: migrar Google Authenticator sin perder el acceso a tus cuentas y mantener tus códigos de Google Authenticator a salvo.
Por qué es importante transferir Google Authenticator antes de cambiar de teléfono.
La autenticación de dos factores por SMS desaparece con la tarjeta SIM. Un ataque de portabilidad, un cambio de operador, incluso una transferencia fallida de eSIM, y el código termina en el teléfono de otra persona. El Informe de Delitos en Internet de 2024 del FBI registró 982 denuncias de intercambio de SIM y pérdidas directas de 25,98 millones de dólares (una disminución con respecto a los 72,65 millones de dólares de 2022, pero las mismas estafas siguen siendo la puerta de entrada al robo de identidad y al vaciado de monederos de criptomonedas). Los códigos de un solo uso de una aplicación de autenticación se almacenan en el almacenamiento seguro del dispositivo, no en la red del operador, razón por la cual Microsoft ha podido afirmar durante años que activar la autenticación de dos factores bloquea más del 99,9 % de los intentos automatizados de compromiso de cuentas.
La desventaja es evidente. Cada código reside en un solo teléfono. Si se te cae al río, lo restableces de fábrica por accidente o se lo das a tu hijo durante "cinco minutos", no podrás acceder a tus cuentas hasta que hayas completado el proceso de recuperación en cada servicio. Por lo tanto, guarda tus códigos, genéralos solo en un dispositivo que controles y considera el cambio a un teléfono nuevo como un mantenimiento rutinario.
Antes de empezar: prepara la aplicación Google Authenticator en ambos teléfonos.
Una cantidad sorprendente de transferencias fallidas se deben a la falta de preparación, no a un software defectuoso. Tres cosas suelen causar problemas: una aplicación desactualizada, la falta de configuración biométrica y una conexión Wi-Fi inestable. Abre Google Authenticator en el teléfono antiguo y comprueba que se inicie y muestre los códigos rotativos actuales. Actualízalo a través de Google Play (Android versión 7.0 o posterior, lanzado el 14 de noviembre de 2024) o la App Store. Instala la misma aplicación Google Authenticator en el teléfono nuevo, inicia sesión con tu cuenta de Google habitual y activa la biometría; la solicitud de exportación no mostrará el código QR sin una huella digital o el desbloqueo facial. Conecta ambos dispositivos, conéctalos a la misma red Wi-Fi de confianza y desactiva cualquier VPN.
Mientras se actualizan los teléfonos, haga una lista de todos los servicios vinculados a la aplicación de autenticación. La mayoría de las personas tienen diez o más cuentas de autenticación sin darse cuenta: cada cuenta de Google, GitHub, cada Exchange, administrador de contraseñas, consola de AWS, CMS. La tabla a continuación muestra dónde se encuentran los códigos de respaldo para los servicios que bloquean el acceso con mayor frecuencia. Mantenga esa lista y las contraseñas seguras para cada servicio a mano; algunos procesos de recuperación requieren ambas antes de desbloquear el dispositivo antiguo.
| Servicio | Dónde se encuentran los códigos de respaldo | Notas |
|---|---|---|
| cuenta de Google | myaccount.google.com → Seguridad → Verificación en 2 pasos | 10 códigos de un solo uso |
| Microsoft | account.microsoft.com → Seguridad → Seguridad avanzada | Código de recuperación, también correo electrónico de respaldo |
| GitHub | Configuración → Contraseña y autenticación → Códigos de recuperación | 16 códigos |
| Coinbase | Configuración → Seguridad → Códigos de copia de seguridad | Vinculado a la verificación de identidad al reiniciar |
| Binance | Centro de usuario → Seguridad → Autenticación de dos factores (2FA) | Recuperación de cuenta en 24 horas a 7 días. |
| AWS | Centro de identidades IAM → Perfil de usuario | Hasta 8 dispositivos MFA |
| Facebook / Instagram | Centro de cuentas → Contraseña y seguridad | 10 códigos de recuperación |
Exportar e importar: transfiere tu Google Authenticator mediante código QR.
La exportación mediante código QR se lanzó en mayo de 2020. Sigue siendo el método recomendado en la página de ayuda de Google para iOS, y transfiere las claves de cada cuenta seleccionada de un teléfono a otro sin necesidad de un servidor intermedio. Sin nube, sin cuenta de Google.
Empieza con el teléfono antiguo. Abre la aplicación y busca el menú: Android coloca tres líneas horizontales en la esquina superior izquierda; iPhone coloca tres puntos, normalmente en la esquina superior derecha, aunque algunas versiones los colocan en la parte inferior. Toca el menú, elige Transferir cuentas y luego Exportar cuentas. La aplicación te pedirá tu huella digital, Face ID o el código de acceso del dispositivo. Una vez que hayas completado la solicitud biométrica, verás una lista de todas las cuentas de Google Authenticator en el dispositivo. Marca las que quieras mover (la casilla permite la selección múltiple) y toca Siguiente. Ahora la aplicación genera un código QR que contiene el material semilla cifrado para hasta diez cuentas a la vez. ¿Tienes más de diez? Verás una cola de códigos QR, numerados, y la aplicación te indicará cuál estás viendo.
Ahora, con el nuevo teléfono, abre Google Authenticator, toca "Comenzar" o pulsa el icono de más (+) en la esquina inferior derecha si la aplicación ya está abierta. Selecciona "Escanear un código QR". Si durante la importación te pregunta si estás importando desde una cuenta existente, responde que sí. Sostén el nuevo teléfono frente a la pantalla del antiguo y deja que la cámara enfoque el código QR. El nuevo dispositivo mostrará cada cuenta importada. Toca "Siguiente" para añadir más códigos QR al lote.
Los códigos originales permanecen en el teléfono antiguo. Primero, verifica el nuevo dispositivo y luego realiza la limpieza. Abre un servicio vinculado, inicia sesión y comprueba que el código de verificación de seis dígitos del nuevo código de autenticación coincida con el que espera el servicio. Una vez que hayas accedido correctamente a dos servicios, elimina las entradas de la aplicación del teléfono antiguo o, mejor aún, restablece el dispositivo para su reventa.
En la práctica, pueden surgir algunos problemas. La transferencia de Android a Android casi siempre es limpia. La transferencia de Android a iPhone a veces no muestra algunas cuentas después de la importación, especialmente cuando el escaneo del código QR codifica más de cinco entradas; reduce el tamaño del lote e inténtalo de nuevo. La transferencia de iPhone a Android a veces se bloquea en la pantalla de exportación porque la implementación de iOS de Google es más lenta que la de Android; si esto sucede, cierra la aplicación, ábrela de nuevo y comienza la exportación otra vez. Una VPN en cualquiera de los dispositivos también puede corromper el escaneo debido a la limitación de velocidad de la cámara en algunos clientes VPN. Desactívala para la transferencia. Los códigos de transferencia que contiene el código QR tienen un límite de tiempo, por lo que si el reloj del nuevo teléfono no está sincronizado, es posible que veas códigos no válidos después de la importación; abre el menú de la aplicación y toca Corrección de hora para códigos para sincronizar el reloj del dispositivo.
Sincroniza los códigos de Google Authenticator con tu cuenta de Google.
La sincronización en la nube, añadida el 24 de abril de 2023 con la versión 6.0 para Android y la 4.0 para iOS, es la opción más práctica. Una vez activada, cada código que añadas o elimines aparecerá en todos los teléfonos que tengan la misma cuenta de Google, sin necesidad de códigos QR. Para la mayoría de los inicios de sesión habituales, esto es justo lo que la gente busca.
Vale la pena detenerse en la advertencia de seguridad. A las 48 horas del lanzamiento en abril de 2023, los investigadores de seguridad de Mysk Inc. demostraron que el tráfico que transportaba las semillas TOTP a los servidores de Google no estaba cifrado de extremo a extremo. Google se comprometió públicamente a añadir E2EE "más adelante", pero al momento de escribir esto, la sincronización solo está protegida por el cifrado del lado del servidor de Google, lo que significa que Google mismo puede leer las semillas. Para una cuenta de Spotify o Twitter, esto es una compensación aceptable a cambio de perder el acceso. Para un gestor de contraseñas maestras o una plataforma de intercambio de criptomonedas, prefiero el método QR y acepto la fricción.
Para activar la sincronización, abre Google Authenticator en el teléfono antiguo, toca el avatar o el icono de perfil en la esquina superior derecha e inicia sesión con la cuenta de Google que quieras usar como respaldo. Aparecerá un indicador de nube verde junto a cada entrada sincronizada. Abre la misma aplicación en el teléfono nuevo, inicia sesión con la misma cuenta de Google y los códigos aparecerán en cuestión de segundos. No hay que escanear ningún código QR ni se te pedirá ningún dato biométrico.
Si buscas una transferencia de Google Authenticator prácticamente sin complicaciones, la sincronización es la solución; pero úsala solo para cuentas de bajo valor si desconfías de su diseño sin cifrado de extremo a extremo. Mantén las claves de acceso de alto valor (banca, criptomonedas, GitHub) vinculadas a un solo dispositivo mediante exportación por código QR, o trasládalas por completo a una clave de acceso o una clave de hardware. La ficha técnica de CISA de 2022 sobre autenticación multifactor resistente al phishing, reafirmada en 2024, sitúa a las claves de hardware FIDO2 por encima de cualquier método TOTP.
Configura Google Authenticator en un nuevo dispositivo sin el teléfono antiguo.
Si el teléfono antiguo ya se perdió, fue robado o quedó inutilizable, ninguno de los métodos anteriores funciona, ya que todos requieren el dispositivo original. No existe la opción de "restaurar desde la nube" a menos que hayas activado la sincronización antes de la pérdida. La siguiente es la única opción, y es lenta.
Para cada servicio vinculado, debes iniciar sesión de otra manera y volver a vincular la autenticación de dos factores (2FA) al nuevo teléfono individualmente. Los códigos de respaldo son la forma más rápida de recuperar tu cuenta: Google emite diez códigos de respaldo de un solo uso desde tu cuenta de Google durante la configuración de 2FA, GitHub emite dieciséis y la mayoría de las plataformas de intercambio emiten entre ocho y doce. Si los tienes guardados en un gestor de contraseñas o impresos, usa uno para iniciar sesión, luego ve directamente a la configuración de seguridad, elimina la vinculación del autenticador anterior de otro dispositivo y vincula el nuevo teléfono escaneando un nuevo código QR para enviar los códigos nuevamente a tu cuenta de Google.
Si no tienes códigos de respaldo, el proceso se ralentizará. La ayuda de Coinbase indica que el restablecimiento de la autenticación de dos factores (2FA) tarda entre 48 y 72 horas, e incluso más cuando se activa la verificación de identidad. Algunos bancos requieren una visita presencial. En resumen: configura Google Authenticator con códigos de respaldo vinculados a un gestor de contraseñas el mismo día que lo actives y guarda una copia impresa en un lugar donde no esté tu teléfono. En cualquier caso, mantén una lista de verificación con el nombre de usuario y el correo electrónico de recuperación para cada cuenta en línea protegida por Authenticator.
Transfiere códigos 2FA entre Android y iPhone sin perder el acceso.
La migración entre plataformas es donde se concentran la mayoría de los hilos de ayuda. La transferencia de Google Authenticator funciona en ambas direcciones entre iOS y Android, pero se repiten dos modos de fallo. El primero es que el escaneo del código QR de exportación se realiza correctamente, pero el nuevo dispositivo muestra solo un subconjunto de las cuentas. Esto casi siempre se debe al límite de diez cuentas por código QR que se activa silenciosamente, especialmente cuando la aplicación de iOS genera el código QR. Reduzca la exportación a cinco cuentas a la vez. El segundo es que el menú de exportación muestra "no hay cuentas para exportar" en iOS, aunque los códigos claramente se estén ejecutando. La solución en las compilaciones de 2026 es actualizar a la última versión de TestFlight o App Store, cerrar la aplicación forzosamente y desactivar y volver a activar la configuración biométrica del dispositivo una vez.
Toma capturas de pantalla de cada código QR de exportación antes de escanearlo: en un segundo dispositivo o imprímelas. Cualquier dispositivo puede escanear un código QR para importarlo, pero Google no permite regenerar la misma exportación, por lo que una captura de pantalla limpia puede marcar la diferencia entre cinco minutos de trabajo y el caos descrito anteriormente. Ya sea que estés migrando en iOS o Android, guardar esas capturas de pantalla de los códigos QR de forma segura (en una nota encriptada en tu gestor de contraseñas) es la medida de seguridad más económica.
Utilice cuentas de Google Authenticator con exchanges de criptomonedas y Web3
El secuestro de una cuenta en un exchange o billetera de criptomonedas es prácticamente irreversible: una vez que los fondos se transfieren, se pierden. Los códigos de autenticación son el requisito mínimo, y el informe de Microsoft sobre un aumento interanual del 146 % en el phishing de adversario en el medio hasta 2024 significa que incluso TOTP no es suficiente por sí solo. La campaña AiTM de mayo de 2026, basada en un "código de conducta", afectó a más de 35 000 usuarios en 13 000 organizaciones de 26 países: los atacantes se infiltraron en páginas de inicio de sesión legítimas, capturaron el código TOTP en tiempo real y robaron la cookie de sesión antes de que el usuario se diera cuenta. Vincule primero una llave de hardware (YubiKey o similar) a la cuenta maestra de Google, luego agregue Authenticator en el lado del exchange y desactive la 2FA por SMS en el momento en que se confirme que Authenticator funciona. Las cifras del IC3 del FBI para 2024 sitúan las pérdidas totales por ciberdelincuencia en 16 600 millones de dólares, y las quejas relacionadas con las criptomonedas siguen aumentando cada año.
Los procesadores de pagos con criptomonedas merecen el mismo trato que las plataformas de intercambio. Plisio, por ejemplo, admite TOTP para cuentas de comerciantes, y vincularlo mediante Google Authenticator (o cualquier aplicación compatible con TOTP) protege el panel de control de las transacciones salientes. Al migrar a un nuevo teléfono, trate el panel de control de la pasarela de pago como si fuera una billetera digital: solo exportación mediante código QR, sin sincronización en la nube, y códigos de respaldo nuevos generados y almacenados después de la migración.
Alternativas a la aplicación Google Authenticator que vale la pena considerar
El colapso de Authy sacudió el mercado. El 19 de marzo de 2024, Twilio eliminó las aplicaciones de escritorio de Authy meses antes de la fecha anunciada originalmente para agosto. Luego, en julio de 2024, unos atacantes robaron 33.420.546 números de teléfono de Authy a través de una API no autenticada, y Twilio confirmó la brecha de seguridad. Dos ataques en cuatro meses. Los usuarios de Authy se dispersaron.
| Aplicación | Sincronización en la nube | Sincronización E2EE | Plataformas | Código abierto |
|---|---|---|---|---|
| Autenticador de Google | Sí (desde 2023) | No (solo del lado del servidor) | iOS, Android | No |
| 2FAS | Sí (opcional) | Sí | iOS, Android, navegador | Sí |
| Égida | No (solo copia de seguridad local) | N / A | Androide | Sí |
| Autenticación de entrada | Sí | Sí | iOS, Android, escritorio | Sí |
| Autenticador de Microsoft | Sí | Sí | iOS, Android | No |
| Aplicación de contraseñas de iOS 18 | Llavero de iCloud | Sí | iOS, macOS | No |
En septiembre de 2024, Apple hizo algo importante que vale la pena mencionar. iOS 18 convirtió el Llavero de iCloud en una aplicación dedicada a Contraseñas que genera códigos TOTP de forma nativa, se autocompleta en Safari y se sincroniza con cifrado de extremo a extremo. Para los usuarios exclusivos de Apple, esto elimina por completo la necesidad de una aplicación de autenticación independiente. Para los demás, la tabla anterior ofrece una lista de las mejores opciones.
Mantén tus códigos de Google Authenticator a salvo después de la transferencia.
Revisa esta lista en cuanto termine la importación. Inicia sesión en al menos tres de los servicios vinculados más importantes desde el nuevo teléfono y confirma que los códigos funcionan, y que la pantalla principal de la aplicación de autenticación muestra todas las cuentas esperadas. Genera códigos de respaldo en cada servicio que acabas de transferir; guárdalos en un administrador de contraseñas y en papel, en diferentes lugares. Borra el teléfono antiguo a través de Buscar mi iPhone o Buscar mi dispositivo Android antes de entregarlo. Para la cuenta maestra de Google, agrega una clave de acceso o una clave de seguridad de hardware, de modo que incluso otro teléfono con tu Autenticador instalado no sea suficiente por sí solo. Esta configuración en capas es lo que detiene las campañas de AiTM que Microsoft ha estado rastreando hasta 2026. Más importante aún, es lo que convierte la próxima transferencia de Google Authenticator en un proceso de quince minutos en lugar de una situación de pánico.
