Aegis v3.0 – una app 2FA gratuita, segura y de código abierto para Android

Recepción general de Aegis

  • Ampliamente elogiada por estar pulida, ser fiable y “impecable” para muchos usuarios.
  • Valorada por ser gratuita, de código abierto, impulsada por la comunidad e independiente de grandes proveedores.
  • Vista como lo bastante confiable para 2FA crítica, aunque algunos señalan que los autenticadores son especialmente sensibles y quieren comprender más a fondo su historial.

Funciones, copias de seguridad y migración

  • Fortalezas clave: almacenamiento local por defecto, cifrado fuerte, contraseña opcional específica de la app, importación/exportación, grupos/carpetas, búsqueda, ordenación según uso, iconos, interfaz Material 3 y buen rendimiento incluso en Android de gama baja.
  • Opciones de copia de seguridad: exportación JSON cifrada bajo demanda, copias de seguridad locales automáticas, copia de seguridad opcional en Android/Google Cloud y capacidad de sincronizar copias cifradas mediante herramientas como Syncthing o nubes de terceros.
  • Aegis puede importar copias de seguridad de andOTP; varios usuarios migraron desde andOTP (ahora sin mantenimiento) y otras apps como FreeOTP y Authy con pocos problemas.

Comparaciones con otros autenticadores

  • Contraste positivo con Google Authenticator y Authy: Aegis es FOSS, no está vinculado a un número de teléfono, no está sincronizado inherentemente con la nube y tiene copia de seguridad/restauración sencillas.
  • Authy recibe críticas por el bloqueo con el proveedor, por no tener copia de seguridad/exportación oficial y por la discontinuación de la app de escritorio.
  • Algunos prefieren KeePass/Bitwarden/2FAS/etc. para integrar contraseñas+TOTP; otros no quieren combinar factores en una sola herramienta.

Sincronización en la nube, Google Authenticator y Retool

  • Preocupación de que la sincronización en la nube de Google Authenticator exponga los secretos TOTP a nuevas vías de ataque y haya intervenido como una capa en la brecha de Retool.
  • Desacuerdo sobre cuánto se debe culpar a GA: algunos lo ven como “otro agujero más en el queso suizo”; otros enfatizan que TOTP en sí es susceptible de phishing y abogan por WebAuthn/passkeys en su lugar.
  • Se describe la sincronización en la nube como opcional, pero se critica el diseño manipulador del proceso de incorporación y los controles poco claros.

UX de 2FA, modelos de seguridad y alternativas

  • Quejas comunes: gestionar docenas de códigos TOTP es incómodo; la 2FA por SMS es poco fiable e insegura.
  • Mitigaciones de Aegis: búsqueda, grupos, iconos y ordenación.
  • Debate sobre el mejor modelo:
    • Algunos guardan TOTP en gestores de contraseñas por comodidad; otros insisten en una separación estricta para preservar la verdadera multifactor.
    • Algunos sostienen que TOTP está “obsoleto” frente a métodos resistentes al phishing (WebAuthn, passkeys, llaves de hardware); otros siguen viendo TOTP como práctico y beneficioso.
  • Preocupación más amplia de que los usuarios normales encuentran todo esto confuso, con serio riesgo de quedarse bloqueados si se pierden el teléfono o las cuentas.