Cuando inicies tu gratuita e implementación de autenticación de múltiples factores (MFA) de código abierto, considera:
- Soluciones de MFA de nivel empresarial: Keycloak, Authelia, Authentik, Zitadel y Kanidm ofrecen gestión completa de identidad y acceso (IAM) con soporte para múltiples protocolos de autenticación.
- Herramientas de MFA ligeras: Hanko, LLDAP, FreeIPA, privacyIDEA y Rauthy son más simples de configurar y mejor adaptadas a configuraciones más pequeñas o autoalojadas.
Características de las soluciones de MFA de código abierto
- Arquitectura multiinquilino: Permite múltiples grupos de usuarios independientes (inquilinos) con datos y configuraciones aislados.
- Suplantación de token: Permite la delegación segura de tokens o la suplantación de un usuario/usuario para acciones autorizadas.
- Autenticación biométrica: Ofrece factores biométricos como huellas dactilares.
- Google Titan Security Key: Un dispositivo de autenticación basado en hardware que proporciona 2FA resistente al phishing o inicio de sesión sin contraseña.
Todas las herramientas (excepto LDAP) admiten tokens de hardware (por ejemplo, YubiKey) y el protocolo de autenticación sin contraseña FIDO2 / WebAuthN. FIDO2 no utiliza secretos compartidos, como contraseñas; minimiza las vulnerabilidades asociadas con las violaciones de datos.
Características empresariales
- OpenTelemetry: Estándar de código abierto y un conjunto de tecnologías para capturar y exportar métricas, rastros y registros.
- Sesiones personalizadas: Permite un control fino sobre los comportamientos de la sesión, como:
- Cómo y cuándo se activa el MFA (por ejemplo, al iniciar sesión, para acciones sensibles).
- El tipo de métodos de MFA admitidos (por ejemplo, TOTP, WebAuthn, SMS)
- Funciones de autoservicio:
- Restablecimiento de contraseña
- Registro de usuario
Soporte para gestión de acceso privilegiado (PAM)
Las herramientas con PAM le permiten administrar los derechos de acceso de los usuarios privilegiados.
Capacidades de autoauditoría
Las capacidades de autoauditoría mejoran la trazabilidad de los registros, lo cual es crítico para las herramientas de autenticación de múltiples factores (MFA). Ayudan a rastrear actividades no autorizadas o sospechosas, como habilitar/deshabilitar MFA, intentos de inicio de sesión fallidos y uso de OTP.
Soluciones de MFA de nivel empresarial
Keycloak, Authelia, Authentik, Zitadel y Kanidm ofrecen amplias capacidades de MFA. Estas herramientas gratuitas de MFA ofrecen:
- Varios métodos de MFA: TOTP (contraseña de un solo uso basada en tiempo), WebAuthn, SMS, OIDC (OpenID Connect), Correo electrónico, Push, autenticación biométrica y MFA basado en aprobación.
- Varios protocolos de autenticación: OAuth2, OIDC (OpenID Connect), SAML, LDAP y RADIUS.
- Mayor personalización: RBAC granular y conexiones sociales personalizadas de SSO (OIDC/OAuth2) sobre políticas de MFA.
Keycloak
Keycloak es una plataforma IAM de código abierto que cubre SSO, intermediación de identidad, inicio de sesión social y RBAC, y admite SAML, OAuth2, OIDC y LDAP de inmediato.
- Keycloak admite múltiples backends de bases de datos, incluidos PostgreSQL, MySQL, MariaDB, Oracle y Microsoft SQL Server.1
- Automatización del flujo de trabajo administrativo, concesiones de autorización JWT, autenticación de token de cuenta de servicio de Kubernetes para clientes y soporte completo de OpenTelemetry para métricas y registro. 2
Keycloak es más complejo de instalar y configurar que Authelia o Authentik. La interfaz de administración predeterminada cubre una amplia superficie que puede ser difícil de navegar para equipos centrados en un conjunto limitado de casos de uso.
Authelia
Authelia es un servidor de autenticación y autorización de código abierto que proporciona 2FA y SSO para aplicaciones web a través de un proxy inverso. En lugar de actuar como una plataforma de identidad independiente, funciona como un compañero de proxies como nginx, Traefik, Caddy y HAProxy, situándose frente a las aplicaciones y manejando las decisiones de autenticación. La configuración se gestiona completamente a través de un archivo YAML, lo que facilita el control de versiones y la auditoría, pero requiere familiaridad con el esquema de configuración.
Arquitectura y huella de recursos
La imagen del contenedor tiene menos de 20 MB y normalmente utiliza menos de 30 MB de RAM, lo que la convierte en una de las opciones más ligeras de esta lista. Authelia obtuvo la certificación OpenID Connect 1.0 y puede actuar como proveedor de OIDC para aplicaciones aguas abajo.3
Actualizaciones recientes
La versión 4.39 agregó claves de acceso/inicio de sesión sin contraseña a través de WebAuthn, flujo de código de dispositivo para escenarios de inicio de sesión en TV y pantalla compartida, criterios de red para políticas de autorización OIDC y soporte de referencia de método de autenticación RFC8176 para comunicar el nivel de autenticación a terceros.4
Características clave
FIDO2 WebAuthn con claves de hardware como YubiKey, TOTP con aplicaciones autenticadoras compatibles, notificaciones push móviles a través de Duo, inicio de sesión sin contraseña a través de claves de acceso, control de acceso basado en políticas y soporte de Kubernetes a través de Helm chart.
Limitaciones
- Authelia no tiene multiinquilinato, no tiene soporte PAM y no tiene interfaz de usuario de gestión de usuarios integrada; las cuentas de usuario se gestionan a través del backend LDAP o un archivo YAML estático.
- Los equipos que necesitan un portal de autoservicio para usuarios o gestión de dispositivos deben evaluar Authentik o Kanidm en su lugar.
Authentik
Authentik es una plataforma IAM autoalojada que cubre SSO, LDAP, OAuth2/OpenID Connect, SAML, SCIM y autenticación directa. En comparación con Keycloak, requiere menos configuración inicial para equipos sin experiencia en infraestructura de identidad dedicada.
Actualizaciones recientes
La versión 2025.12 agregó gestión de dispositivos de punto final para Windows, macOS y Linux a través del Agente Authentik, UI condicional de WebAuthn, una revisión completa de RBAC con grupos de varios padres y permisos heredados por roles, y gestión centralizada de archivos con soporte de S3.5
La versión 2026.2 agregó un proveedor de WS-Federation para SharePoint y aplicaciones nativas de Windows, un conector de flota para señales de dispositivos de punto final y acceso condicional, soporte de PAM de Linux para inicio de sesión local de dispositivos y generación de certificados ED25519/ED448.6
Seguridad
Authentik mantiene un programa anual de pruebas de penetración y un proceso formal de divulgación de CVE. Se publicaron tres CVE en febrero de 2026, incluido uno crítico, parcheado en las versiones 2025.8.6, 2025.10.4 y 2025.12.4. Los equipos que ejecutan instancias autoalojadas deben mantener las actualizaciones.7
Limitaciones
- A partir de la versión 2025.10, Redis ya no es necesario; Authentik se ejecuta solo en PostgreSQL.8
- PostgreSQL sigue siendo una dependencia obligatoria, lo que agrega sobrecarga operativa para implementaciones personales de un solo host.
- Authentik tampoco tiene soporte nativo de OpenTelemetry.
ZITADEL
ZITADEL es una plataforma de infraestructura de identidad autoalojada construida en torno al multiinquilinato. Admite OpenID Connect, OAuth2, SAML 2, LDAP, claves de acceso/FIDO2, OTP y SCIM 2.0.
Actualizaciones recientes
ZITADEL completó la migración de recursos principales (instancias, organizaciones, proyectos, aplicaciones y usuarios) a una API v2 basada en recursos.9
- Login V2 alcanzó la disponibilidad general y se convirtió en el predeterminado para nuevos clientes en v4. Actions V2 reemplazó el sistema de extensiones integrado V1 con webhooks impulsados por eventos que se ejecutan fuera del proceso principal, habilitando soporte políglota y escalado desacoplado.10
- El soporte de CockroachDB se eliminó; PostgreSQL es la única base de datos admitida desde la versión 3. 11
Limitaciones
La administración requiere familiaridad con el modelo de inquilinos de múltiples capas de ZITADEL, lo que agrega complejidad de configuración para implementaciones de una sola organización. La hoja de ruta de 2026 indica que el equipo está trabajando en simplificar este modelo y unificar la consola de administración.12
Kanidm
Kanidm es una plataforma de gestión de identidad autoalojada escrita en Rust.
- A diferencia de LDAP, que solo proporciona servicios de directorio, Kanidm incluye OAuth2 nativo, OIDC, RADIUS, gestión de claves SSH e integración de PAM de Linux sin requerir componentes externos.
- La administración es principalmente basada en CLI; la interfaz de usuario web cubre el autoservicio del usuario y algunas tareas de gestión de cuentas, pero no todas las tareas administrativas.
Actualizaciones recientes
La interfaz de usuario web se reescribió en esta versión, con soporte de temas. Kanidm sigue un calendario de lanzamiento trimestral. Las actualizaciones deben realizarse secuencialmente a través de cada versión menor.13
Limitaciones
El modelo de administración basado en CLI requiere comodidad con las herramientas de línea de comandos. Las propias pruebas de rendimiento de Kanidm con 3,000 usuarios y 1,500 grupos informan aproximadamente 3 veces más rápido en búsquedas y 5 veces más rápido en operaciones de escritura en comparación con FreeIPA, aunque los resultados varían según la carga de trabajo.14
Herramientas de MFA ligeras
Hanko, LDAP, FreeIPA, privacyIDEA y Rauthy cubren ámbitos más estrechos que las plataformas IAM completas como Keycloak o Authentik. Su soporte de protocolos, opciones de personalización y complejidad de implementación varían significativamente, por lo que la etiqueta de categoría "ligero" cubre una amplia gama.
Hanko
Hanko es un servicio de autenticación de código abierto centrado en el inicio de sesión sin contraseña. Admite claves de acceso, TOTP, claves de seguridad, SSO de OAuth (Apple, Google, GitHub) y SAML SSO personalizado. Incluye gestión de sesiones del lado del servidor y revocación remota de sesiones.
No admite conexiones sociales personalizadas de OIDC/OAuth2, suplantación de usuarios, sesiones privilegiadas/de escalonamiento, notificaciones de seguridad por correo electrónico o metadatos de usuario personalizados. Los equipos que requieren esas capacidades necesitan una plataforma más completa.
LLDAP
LLDAP es un servidor LDAP ligero. Expone una interfaz LDAP estándar y una interfaz de usuario web para la gestión básica de usuarios y grupos, incluido el restablecimiento de contraseñas por correo electrónico. No proporciona protocolos de autenticación como OAuth2 u OIDC, que requieren un componente separado (Keycloak, Authelia, etc.) colocado frente a él.
Por defecto, los datos de usuario se almacenan en SQLite. MySQL/MariaDB y PostgreSQL también son compatibles. LLDAP se utiliza principalmente en entornos autoalojados donde las aplicaciones requieren LDAP para búsquedas de usuarios, pero el operador desea evitar la sobrecarga operativa de OpenLDAP.
privacyIDEA
privacyIDEA es un sistema de gestión de MFA, no un proveedor de identidad completo. Gestiona centralizadamente los segundos factores: TOTP, HOTP, OCRA, mOTP, YubiKey (HOTP/TOTP/AES), FIDO U2F, FIDO2/WebAuthn, tokens push, SMS, correo electrónico y claves SSH y los expone a través de una API que consumen las interfaces de autenticación (Keycloak, FreeIPA, Gluu, NGINX). No maneja los protocolos de autenticación en sí mismo.
Actualizaciones recientes
La versión 3.12 agregó resolutores de usuarios para Entra ID y Keycloak, permitiendo a los administradores extraer datos de usuario directamente de esos directorios y asignar tokens en privacyIDEA sin un paso de sincronización separado.15 Esta versión también introdujo una vista previa de una interfaz de usuario rediseñada; el reemplazo completo de la interfaz de usuario está planificado para la versión 3.13. El soporte de claves de acceso como tipo de token distinto se introdujo en la versión 3.11.16
Limitaciones
- privacyIDEA no incluye Kerberos ni otros protocolos de autenticación de forma nativa.
- Los flujos de trabajo de automatización (registro, renovación, incorporación, desincorporación) son configurables pero requieren integración de API más allá de lo que implica una configuración TOTP lista para usar en Keycloak.
FreeIPA
FreeIPA es un sistema de gestión de identidad para entornos Linux y UNIX. Agrupa un directorio LDAP (389-ds), un KDC de Kerberos, un servidor DNS, una autoridad de certificación y bibliotecas de Samba para la integración de Active Directory en una única unidad desplegable con una interfaz de usuario web y una CLI.
Admite tokens TOTP y OTP, así como autenticación FIDO2/clave de acceso. FreeIPA está diseñado para entornos que requieren autenticación centralizada de hosts Linux, emisión de tickets de Kerberos, gestión de políticas sudo y servicios de directorio de usuarios.
Limitaciones
- La arquitectura agrupada significa que desplegar FreeIPA implica configurar múltiples subsistemas.
- Las actualizaciones y las mejoras conllevan más riesgo que las herramientas de un solo componente porque los cambios en cualquier servicio agrupado pueden afectar a los demás.
- No es una opción práctica para entornos que no utilizan autenticación de host basada en Linux/UNIX.
Rauthy
Rauthy es un proveedor de OpenID Connect y una solución de inicio de sesión único. Admite WebAuthn/FIDO2/claves de acceso, TOTP e inicio de sesión social a través de proveedores de identidad externos (GitHub, Google, Microsoft y otros configurados como orígenes genéricos de OIDC). Está diseñado para un bajo consumo de recursos y se envía como un único binario o imagen de contenedor.
Desde la versión 0.27, Rauthy incluye un módulo rauthy-pam-nss que habilita la integración de PAM y NSS de Linux, admitiendo inicios de sesión locales de estaciones de trabajo a través de claves de acceso YubiKey y SSH asegurado con MFA mediante contraseñas efímeras.17
Limitaciones
Rauthy no incluye soporte RADIUS ni un servidor LDAP integrado. Funciona como un proveedor de OIDC contra el que se autentican otras aplicaciones; no reemplaza un directorio de usuarios completo.
Preguntas frecuentes
La autenticación de múltiples factores (MFA) requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso como una aplicación, una cuenta en línea o una VPN. Es esencial tener una política efectiva de gestión de identidad y acceso (IAM). En lugar de simplemente solicitar un nombre de usuario y una contraseña, MFA requiere uno o más factores de verificación, lo que reduce la probabilidad de un ciberataque exitoso.
MFA funciona solicitando datos de verificación adicionales (factores). Las contraseñas de un solo uso son uno de los factores de MFA más comunes que encuentran los usuarios.
Las OTP son esos códigos de 4-8 dígitos que recibes frecuentemente por correo electrónico, SMS o una aplicación móvil. Las OTP generan un nuevo código regularmente o cada vez que se presenta una solicitud de autenticación. El código se genera utilizando un valor de semilla asignado al usuario cuando se registra por primera vez, así como otro factor, que podría ser cualquier cosa desde un contador incrementado hasta un valor de tiempo.
Considera tu contraseña como similar a una cerradura de puerta principal. Si alguien descubre tu contraseña, es como si hubiera encontrado la llave de la cerradura. Sin MFA, pueden entrar directamente.
Sin embargo, MFA pide a los usuarios una verificación adicional, como ingresar un código enviado a su teléfono o escanear su huella dactilar.
Este paso adicional hace que sea mucho más difícil para los atacantes entrar. Incluso si un tercero obtiene un tipo de autenticación (como tu contraseña), aún necesitará un segundo o tercer factor, que es más difícil de adquirir.
Lectura adicional
- Top 10 Soluciones de Autenticación de Múltiples Factores (MFA)
- Top 10 Herramientas de RBAC de Código Abierto Basadas en Estrellas de GitHub
Cita esta investigación
Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.
@misc{dilmegani2026,
author = {Dilmegani, Cem and Sezer, Sena},
title = {{Comparar 10 Herramientas de MFA de Código Abierto}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/open-source-mfa}},
note = {AIMultiple. Recuperado el 3 de Junio de 2026}
}









Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.