Multi-factor authentication (MFA) requires the user to provide two or more verification factors to access a resource such as an application, online account, or VPN. It is essential to have an effective identity and access management (IAM) policy. Rather than simply requesting a username and password, MFA requires one or more verification factors, reducing the likelihood of a successful cyber attack.

MFA works by requesting additional verification data (factors). One-time passwords are one of the most common MFA factors that users encounter. OTPs are those 4-8-digit codes that you frequently receive via email, SMS, or a mobile app. OTPs generate a new code regularly or whenever an authentication request is submitted. The code is generated using a seed value assigned to the user when they first register, as well as another factor, which could be anything from an incremented counter to a time value.

How does MFA enhance security?

Consider your password to be similar to a front door lock. If someone discovers your password, it is as if they have found the key to the lock. Without MFA, they can stroll right in. However, MFA asks users for extra verification, such as inputting a code sent to their phone or scanning their fingerprint.This extra step makes it much harder for attackers to break in. Even if a third party obtains one type of authentication (such as your password), they will still need a second or third factor, which is more difficult to acquire.

Ciberseguridad Identidad y acceso Máster en Bellas Artes

Comparación de 10 herramientas de autenticación multifactor de código abierto

Cem Dilmegani

con

Sena Sezer

actualizado el Feb 23, 2026

Vea nuestra normas éticas

Loading Chart

Al comenzar su implementación de autenticación multifactor (MFA) gratuita y de código abierto , tenga en cuenta lo siguiente:

Soluciones MFA de nivel empresarial : Keycloak, Authelia, Authentik, Zitadel y Kanidm proporcionan una gestión completa de identidades y accesos (IAM) con soporte para múltiples protocolos de autenticación.
Las herramientas MFA ligeras , como Hanko, LLDAP, FreeIPA, privacyIDEA y Rauthy, son más fáciles de configurar y se adaptan mejor a configuraciones más pequeñas o autogestionadas.

Características de las soluciones MFA de código abierto

Arquitectura multiusuario: Permite múltiples grupos de usuarios independientes (inquilinos) con datos y configuraciones aislados.
Suplantación de token: Permite la delegación segura de tokens o la suplantación de un usuario/aplicación para acciones autorizadas.
Autenticación biométrica: Ofrece factores biométricos como huellas dactilares.
Google Llave de seguridad Titan : Un dispositivo de autenticación basado en hardware que proporciona autenticación de dos factores (2FA) resistente al phishing o inicio de sesión sin contraseña.

Todas las herramientas (excepto LDAP) admiten tokens de hardware (por ejemplo, YubiKey) y el protocolo de autenticación sin contraseña FIDO2/WebAuthN. FIDO2 no utiliza secretos compartidos, como contraseñas, lo que minimiza las vulnerabilidades asociadas a las filtraciones de datos.

Características empresariales

OpenTelemetry: Estándar de código abierto y conjunto de tecnologías para capturar y exportar métricas, trazas y registros.
Sesiones personalizadas: Permite un control preciso sobre el comportamiento de las sesiones, como por ejemplo:
- Cómo y cuándo se activa la autenticación multifactor (por ejemplo, al iniciar sesión o para acciones delicadas).
- Tipos de métodos de autenticación multifactor (MFA) compatibles (por ejemplo, TOTP, WebAuthn, SMS)
Funciones de autoservicio:
- Restablecimiento de contraseña
- Inscripción de usuarios

Soporte para la gestión de acceso privilegiado (PAM)

Las herramientas con PAM permiten gestionar los derechos de acceso de los usuarios privilegiados.

Capacidades de autoauditoría

Las funciones de autoauditoría mejoran la trazabilidad de los registros , algo fundamental para las herramientas de autenticación multifactor (MFA). Ayudan a rastrear actividades no autorizadas o sospechosas, como la activación o desactivación de la MFA, los intentos de inicio de sesión fallidos y el uso de contraseñas de un solo uso (OTP).

Soluciones MFA de nivel empresarial

Keycloak, Authelia, Authentik, Zitadel y Kanidm ofrecen amplias capacidades de autenticación multifactor (MFA) . Estas herramientas MFA gratuitas ofrecen:

Varios métodos de MFA: TOTP (contraseña de un solo uso basada en el tiempo), WebAuthn, SMS, OIDC (OpenID Connect), correo electrónico, Push, autenticación biométrica, y MFA basado en aprobación.
Varios protocolos de autenticación : OAuth2, OIDC (OpenID Connect), SAML, LDAP y RADIUS.
Mayor personalización: Control de acceso basado en roles (RBAC) granular y conexiones SSO sociales personalizadas (OIDC/OAuth2) sobre políticas de autenticación multifactor (MFA).

Capa de seguridad

Keycloak es una plataforma IAM de código abierto que abarca SSO, intermediación de identidades, inicio de sesión social y RBAC, y es compatible con SAML, OAuth2, OIDC y LDAP de forma nativa.

Keycloak admite múltiples backends de bases de datos, incluidos PostgreSQL, MySQL, MariaDB, Oracle y Microsoft SQL Server. ¹
La automatización del flujo de trabajo administrativo, las concesiones de autorización JWT, la autenticación de tokens de cuenta de servicio de Kubernetes para clientes y la compatibilidad total con OpenTelemetry para métricas y registro. ²

Keycloak es más complejo de instalar y configurar que Authelia o Authentik. La interfaz de administración predeterminada abarca una amplia área que puede resultar difícil de navegar para equipos centrados en un conjunto limitado de casos de uso.

Authelia

Authelia es un servidor de autenticación y autorización de código abierto que proporciona autenticación de dos factores (2FA) e inicio de sesión único (SSO) para aplicaciones web mediante un proxy inverso. En lugar de funcionar como una plataforma de identidad independiente, actúa como complemento de proxies como nginx, Traefik, Caddy y HAProxy, ubicándose delante de las aplicaciones y gestionando las decisiones de autenticación. La configuración se gestiona completamente mediante un archivo YAML, lo que facilita el control de versiones y la auditoría, pero requiere familiaridad con el esquema de configuración.

Arquitectura y huella de recursos

La imagen del contenedor ocupa menos de 20 MB y suele consumir menos de 30 MB de RAM, lo que la convierte en una de las opciones más ligeras de esta lista. Authelia ha obtenido la certificación OpenID Connect 1.0 y puede funcionar como proveedor OIDC para aplicaciones posteriores. ³

Actualizaciones recientes

La versión 4.39 añadió el inicio de sesión con claves de acceso/sin contraseña a través de WebAuthn, el flujo de código de dispositivo para escenarios de inicio de sesión en TV y pantalla compartida, criterios de red para políticas de autorización OIDC y compatibilidad con la referencia del método de autenticación RFC8176 para comunicar el nivel de autenticación a terceros. ⁴

Características principales

Autenticación web FIDO2 con claves de hardware como YubiKey, TOTP con aplicaciones de autenticación compatibles, notificaciones push móviles a través de Duo, inicio de sesión sin contraseña mediante claves de acceso, control de acceso basado en políticas y compatibilidad con Kubernetes mediante gráficos Helm.

Limitaciones

Authelia no tiene soporte para múltiples inquilinos, ni para PAM, ni cuenta con una interfaz de usuario integrada para la gestión de usuarios. Las cuentas de usuario se gestionan mediante un sistema backend LDAP o un archivo YAML estático.
Los equipos que necesiten un portal de autoservicio para usuarios o un sistema de gestión de dispositivos deberían evaluar Authentik o Kanidm.

Auténtico

Authentik es una plataforma IAM autohospedada que abarca SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM y autenticación directa. En comparación con Keycloak, requiere menos configuración inicial para equipos sin experiencia en infraestructura de identidad dedicada.

Actualizaciones recientes

La versión 2025.12 añadió la gestión de dispositivos de punto final para Windows, macOS y Linux a través del agente Authentik, la interfaz de usuario condicional WebAuthn, una revisión completa del control de acceso basado en roles (RBAC) con grupos multipadre y permisos heredados de roles, y la gestión centralizada de archivos con compatibilidad con S3. ⁵

La versión 2026.2 añadió un proveedor WS-Federation para SharePoint y aplicaciones nativas de Windows, un conector de flota para señales de dispositivos de punto final y acceso condicional, compatibilidad con Linux PAM para el inicio de sesión en dispositivos locales y la generación de certificados ED25519/ED448. ⁶

Seguridad

Authentik mantiene un programa anual de pruebas de penetración y un proceso formal de divulgación de vulnerabilidades CVE. En febrero de 2026 se publicaron tres vulnerabilidades CVE, incluida una crítica, que se corrigió en las versiones 2025.8.6, 2025.10.4 y 2025.12.4. Los equipos que ejecutan instancias autohospedadas deben mantener actualizadas sus actualizaciones. ⁷

Limitaciones

A partir de la versión 2025.10, Redis ya no es necesario. Authenticik solo funciona con PostgreSQL. ⁸
PostgreSQL sigue siendo una dependencia estricta, lo que añade una sobrecarga operativa para las implementaciones personales en un solo host.
Authentik tampoco cuenta con soporte nativo para OpenTelemetry.

ZITADEL

ZITADEL es una plataforma de infraestructura de identidad autogestionada basada en la arquitectura multiusuario. Es compatible con OpenID Connect, OAuth2, SAML 2, LDAP, claves de acceso/FIDO2, OTP y SCIM 2.0.

Actualizaciones recientes

ZITADEL ha completado la migración de las instancias de recursos principales, organizaciones, proyectos, aplicaciones y usuarios a una API basada en recursos v2. ⁹

Login V2 alcanzó disponibilidad general y se convirtió en la opción predeterminada para los nuevos clientes en la versión 4. Actions V2 reemplazó el sistema de extensión V1 integrado con webhooks controlados por eventos que se ejecutan fuera del proceso principal, lo que permite la compatibilidad con varios idiomas y el escalado desacoplado. ¹⁰
Se eliminó la compatibilidad con CockroachDB; PostgreSQL es la única base de datos compatible a partir de la versión 3. ¹¹

Limitaciones

La administración requiere familiaridad con el modelo de inquilinos de múltiples capas de ZITADEL, lo que añade complejidad a la configuración para implementaciones en una sola organización. La hoja de ruta de 2026 indica que el equipo está trabajando para simplificar este modelo y unificar la consola de administración. ¹²

Kanidm

Kanidm es una plataforma de gestión de identidades autohospedada escrita en Rust.

A diferencia de LDAP, que solo proporciona servicios de directorio, Kanidm incluye OAuth2 nativo, OIDC, RADIUS, gestión de claves SSH e integración con Linux PAM sin necesidad de componentes externos.
La administración se basa principalmente en la interfaz de línea de comandos (CLI); la interfaz web cubre el autoservicio del usuario y algunas tareas de gestión de cuentas, pero no todas las tareas administrativas.

Actualizaciones recientes

La interfaz web se rediseñó en esta versión, con soporte para temas. Kanidm sigue un calendario de lanzamientos trimestrales. Las actualizaciones deben realizarse secuencialmente a través de cada versión menor. ¹³

Limitaciones

El modelo de administración basado en la interfaz de línea de comandos (CLI) requiere familiaridad con las herramientas de línea de comandos. Las pruebas de rendimiento de Kanidm, realizadas con 3000 usuarios y 1500 grupos, muestran una velocidad de búsqueda aproximadamente 3 veces mayor y una velocidad de escritura 5 veces mayor en comparación con FreeIPA, aunque los resultados varían según la carga de trabajo. ¹⁴

Herramientas MFA ligeras

Hanko, LDAP, FreeIPA, privacyIDEA y Rauthy abarcan ámbitos más limitados que las plataformas IAM completas como Keycloak o Authentik. Su compatibilidad con protocolos, opciones de personalización y complejidad de implementación varían significativamente, por lo que la etiqueta de categoría "ligero" abarca un amplio espectro.

Hanko

Hanko es un servicio de autenticación de código abierto centrado en el inicio de sesión sin contraseña. Admite claves de acceso, TOTP, claves de seguridad, SSO OAuth (Apple, Google, GitHub) y SSO SAML personalizado. Incluye gestión de sesiones del lado del servidor y revocación remota de sesiones.

No admite conexiones sociales OIDC/OAuth2 personalizadas, suplantación de identidad de usuario, sesiones con privilegios/superiores, notificaciones de seguridad por correo electrónico ni metadatos de usuario personalizados. Los equipos que requieran estas funcionalidades necesitan una plataforma más completa.

LLDAP

LLDAP es un servidor LDAP ligero. Ofrece una interfaz LDAP estándar y una interfaz web para la gestión básica de usuarios y grupos, incluyendo el restablecimiento de contraseñas por correo electrónico. No proporciona protocolos de autenticación como OAuth2 u OIDC, que requieren un componente adicional (Keycloak, Authelia, etc.) que se coloque delante de él.

Por defecto, los datos de usuario se almacenan en SQLite. También se admiten MySQL/MariaDB y PostgreSQL. LLDAP se utiliza principalmente en entornos autogestionados donde las aplicaciones requieren LDAP para la búsqueda de usuarios, pero el operador desea evitar la complejidad operativa de OpenLDAP.

IDEA de privacidad

privacyIDEA es un sistema de gestión de autenticación multifactor (MFA), no un proveedor de identidad completo. Gestiona de forma centralizada los segundos factores: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, tokens push, SMS, correo electrónico y claves SSH, y los expone a través de una API que utilizan las interfaces de autenticación (Keycloak, FreeIPA, Gluu, NGINX). No gestiona los protocolos de autenticación por sí mismo.

Actualizaciones recientes

La versión 3.12 añadió solucionadores de usuarios para Entra ID y Keycloak, lo que permite a los administradores extraer datos de usuario directamente de esos directorios y asignar tokens en privacyIDEA sin un paso de sincronización independiente. ¹⁵ Esta versión también introdujo una vista previa de una interfaz de usuario web rediseñada; el reemplazo completo de la interfaz de usuario está previsto para la versión 3.13. La compatibilidad con claves de acceso como un tipo de token distinto se introdujo en la versión 3.11. ¹⁶

Limitaciones

privacyIDEA no incluye Kerberos ni otros protocolos de autenticación de forma nativa.
Los flujos de trabajo de automatización (inscripción, renovación, incorporación, baja) son configurables, pero requieren una integración de API que va más allá de lo que implica una configuración TOTP estándar en Keycloak.

FreeIPA

FreeIPA es un sistema de gestión de identidades para entornos Linux y UNIX. Incluye un directorio LDAP (389-ds), un KDC Kerberos, un servidor DNS, una autoridad de certificación y bibliotecas Samba para la integración con Active Directory en una única unidad desplegable con interfaz web y línea de comandos.

Admite tokens TOTP y OTP, así como autenticación FIDO2/passkey. FreeIPA está diseñado para entornos que requieren autenticación centralizada de hosts Linux, emisión de tickets Kerberos, gestión de políticas sudo y servicios de directorio de usuarios.

Limitaciones

La arquitectura integrada implica que la implementación de FreeIPA requiere la configuración de múltiples subsistemas.
Las actualizaciones y mejoras conllevan más riesgos que las herramientas de un solo componente, ya que los cambios en cualquier servicio incluido en el paquete pueden afectar a los demás.
No es una opción práctica para entornos que no utilizan autenticación basada en host Linux/UNIX.

Rauthy

Rauthy es un proveedor de OpenID Connect y una solución de inicio de sesión único. Admite autenticación web (WebAuthn/FIDO2/passkeys), TOTP e inicio de sesión social mediante proveedores de identidad externos (GitHub, Google, Microsoft y otros configurados como servidores OIDC genéricos). Está diseñado para un bajo consumo de recursos y se distribuye como un único archivo binario o imagen de contenedor.

A partir de la versión 0.27, Rauthy incluye un módulo rauthy-pam-nss que permite la integración de Linux PAM y NSS, admitiendo inicios de sesión en estaciones de trabajo locales mediante claves de acceso YubiKey y SSH protegido con MFA mediante contraseñas efímeras. ¹⁷

Limitaciones

Rauthy no incluye soporte para RADIUS ni un servidor LDAP integrado. Funciona como un proveedor OIDC contra el cual se autentican otras aplicaciones; no reemplaza un directorio de usuarios completo.

Preguntas frecuentes

La autenticación multifactor (MFA) requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso, como una aplicación, una cuenta en línea o una VPN. Es fundamental contar con una política eficaz de gestión de identidades y accesos (IAM). En lugar de simplemente solicitar un nombre de usuario y una contraseña, la MFA requiere uno o más factores de verificación, lo que reduce la probabilidad de un ciberataque exitoso.

La autenticación multifactor (MFA) funciona solicitando datos de verificación adicionales (factores). Las contraseñas de un solo uso son uno de los factores de MFA más comunes que encuentran los usuarios.
Las OTP son códigos de 4 a 8 dígitos que recibes con frecuencia por correo electrónico, SMS o aplicación móvil. Las OTP generan un código nuevo periódicamente o cada vez que se envía una solicitud de autenticación. El código se genera utilizando un valor semilla asignado al usuario al registrarse, además de otro factor, que puede ser desde un contador incremental hasta un valor de tiempo.

Considera tu contraseña como la cerradura de una puerta principal. Si alguien la descubre, es como si hubiera encontrado la llave. Sin autenticación multifactor, puede entrar sin problemas.

Sin embargo, la autenticación multifactor (MFA) solicita a los usuarios una verificación adicional, como introducir un código enviado a su teléfono o escanear su huella dactilar.

Este paso adicional dificulta enormemente el acceso de los atacantes. Incluso si un tercero obtiene un tipo de autenticación (como tu contraseña), aún necesitará un segundo o tercer factor, que es más difícil de conseguir.

Lecturas adicionales

Enlaces de referencia

FIPS 140-2 support - Keycloak

Keycloak 26.5.0 released - Keycloak

Keycloak

Authelia | Free Open-Source Software Modern IAM Solution

Release v4.39.0 · authelia/authelia · GitHub

authentik version 2025.12 is here! | authentik

Release 2026.2 | authentik

CVE-2026-25227 | authentik

Release 2025.10 | authentik

Zitadel Version 4 Release Candidate now available! · zitadel/zitadel · Discussion #10201 · GitHub

10.

ZITADEL Changelog | ZITADEL

11.

Release Cycle | ZITADEL Docs

12.

ZITADEL - Identity Infrastructure, Simplified

13.

Server Updates - Kanidm Administration

14.

GitHub - kanidm/kanidm: Kanidm: A simple, secure, and fast identity management platform · GitHub

15.

https://www.privacyidea.org/privacyidea-3-12-is-available/

16.

https://www.privacyidea.org/privacyidea-3-11-is-available/

17.

Introduction - Rauthy Documentation

Cem Dilmegani

Analista principal

Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.

Ver perfil completo

Investigado por