¿No tienes (o no quieres) un smartphone pero necesitas verificación en dos pasos en Windows 10 (22H2)? Aquí te explico cómo activar 2FA y generar códigos desde tu PC con autenticadores TOTP de escritorio o con llaves FIDO2, con pasos concretos, trucos y soluciones a los problemas habituales.

Resumen de la pregunta

¿Cómo activar la verificación en dos pasos (2FA) y usar códigos de autenticación desde un PC con Windows 10 (22H2) cuando no se tiene ni se desea un smartphone? Además, ¿existe Microsoft Authenticator para Windows y qué alternativas reales pueden usarse sin teléfono?

Lo esencial

• Microsoft Authenticator no tiene versión para Windows (solo iOS/Android).
• Sí puedes usar 2FA en un PC: instala un autenticador TOTP de escritorio o usa una llave de seguridad FIDO2/WebAuthn por USB.
• En la mayoría de servicios (incluida la cuenta Microsoft en muchos escenarios) puedes configurar TOTP sin escanear QR: el sitio muestra una clave secreta Base32 para introducirla manualmente en tu app de escritorio.

Alternativas viables en Windows (sin móvil)

Aplicaciones TOTP de escritorio

Un autenticador TOTP (Time-based One-Time Password) genera códigos de 6 dígitos que cambian cada 30 segundos. Es el mismo mecanismo que usan los autenticadores móviles, pero reside en tu PC. Úsalo en cualquier servicio que ofrezca “Aplicación de autenticación / Authenticator app / TOTP”.

• Ejemplos de apps de escritorio: TOTP Authenticator (Microsoft Store), KeePassXC (gestor de contraseñas con TOTP integrado), Proton Pass para Windows (incluye TOTP).
• Ventajas: sin conexión, multi‑servicio, interfaz grande (accesible), copia de seguridad sencilla si usas un gestor con base de datos cifrada.
• Buenas prácticas: anota la clave secreta Base32 al activarla y guárdala fuera de línea; así podrás reconstruir tu autenticador si cambias de PC.

Llaves de seguridad FIDO2/WebAuthn (p. ej., YubiKey)

Son dispositivos físicos que conectas por USB (o NFC). Cuando un servicio permite “llave de seguridad”, puedes registrarla y después iniciar sesión tocando la llave (o con PIN de la llave). Es una experiencia rápida, muy segura y no requiere teléfono.

• Ventajas: resistencia a phishing (vinculan el inicio de sesión al dominio real), velocidad y comodidad sin códigos.
• Requisitos: el servicio debe soportar “llave de seguridad”, “FIDO2” o “WebAuthn”.
• Consejo: compra dos llaves (principal + respaldo) y guarda una en lugar seguro.

SMS o correo electrónico

Son menos seguros (vulnerables a SIM swapping y phishing), pero sirven como “puente” cuando un servicio no permite TOTP ni llaves. Úsalos como último recurso.

Emuladores Android en PC

Instalar un emulador solo para ejecutar una app autenticadora añade complejidad y superficie de ataque. No recomendado salvo que tengas otros motivos para mantener el emulador.

---

Pasos prácticos: activar TOTP en Windows sin escanear un QR

1. Instala un autenticador TOTP de escritorio en tu PC (p. ej., TOTP Authenticator, KeePassXC o Proton Pass).
2. Abre el servicio donde deseas activar 2FA (tu cuenta Microsoft u otro):
   • En la sección Seguridad / Verificación en dos pasos elige Aplicación de autenticación.
   • Si solo te muestra un código QR, busca la opción “No puedo escanear”, “Configuración manual” o equivalente. Aparecerá una clave secreta (cadena Base32).
3. Introduce la clave secreta en tu app TOTP de escritorio y verifica introduciendo el código de 6 dígitos que genere.
4. Guarda los códigos de recuperación en papel y fuera del PC.
5. (Opcional) Añade un segundo factor de respaldo: otra app TOTP (con respaldo de su base de datos) o una llave FIDO2.

Parámetros TOTP más comunes (los que esperan la mayoría de servicios):

• Algoritmo: HMAC‑SHA1 (algunos permiten SHA‑256)
• Dígitos: 6
• Periodo: 30 segundos

Ejemplo de clave y URI TOTP (ficticios):

SECRETO (Base32): JBSWY3DPEHPK3PXP
URI otpauth: otpauth://totp/Servicio:usuario?secret=JBSWY3DPEHPK3PXP&issuer=Servicio&period=30&digits=6&algorithm=SHA1

---

Guías paso a paso por aplicación (Windows)

Opción A: KeePassXC (TOTP integrado)

1. Instala KeePassXC y crea/abre tu base de datos (.kdbx) con una contraseña maestra fuerte (o archivo clave).
2. Añade una entrada por servicio (usuario/contraseña).
3. En la entrada, abre Editar → Configurar TOTP (o clic derecho → Configurar TOTP).
4. Pega la clave secreta Base32 que te mostró el sitio. Ajusta:
   • Periodo: 30 s
   • Dígitos: 6
   • Algoritmo: SHA‑1 (por compatibilidad; cambia solo si el sitio lo pide)
5. Guarda. Para ver un código, selecciona la entrada → Mostrar TOTP. Copia el código (caduca cada 30 s) y pégalo en el sitio.
6. Respaldo: guarda tu .kdbx en una ubicación cifrada (por ejemplo, unidad con BitLocker) y haz copia adicional fuera de línea. Prueba la restauración.

Opción B: TOTP Authenticator (Microsoft Store)

1. Instala la app y ábrela.
2. Elige Añadir cuenta → Introducir clave manualmente.
3. Pega la clave Base32, asigna un nombre (emisor) y confirma.
4. Introduce el código generado en el sitio para completar el alta.
5. Respaldo: exporta/respaldar la configuración si la app lo permite, y guarda tus claves originales (Base32) y códigos de recuperación fuera de línea.

Opción C: Proton Pass (Windows)

1. Instala Proton Pass para Windows e inicia sesión.
2. Crea o edita un elemento de inicio de sesión y añade el campo One‑Time Password (TOTP).
3. Pega la clave Base32 del servicio. Proton Pass generará el código cada 30 s.
4. Completa la verificación en el sitio y guarda el elemento.
5. Respaldo: exporta de forma cifrada y almacena tu exportación con la misma higiene que tus copias de seguridad.

---

Configurar 2FA en tu cuenta Microsoft sin smartphone

Microsoft prioriza su propia app con notificaciones (“aprueba el número”), pero en muchos casos puedes usar códigos TOTP o llaves FIDO2 desde el PC.

1. Ve a la sección de Seguridad de tu cuenta Microsoft (cuenta personal).
2. Activa Verificación en dos pasos si aún no lo has hecho.
3. En Métodos de inicio de sesión o Métodos de seguridad, busca:
   • Aplicación de autenticación → en la pantalla del QR, selecciona “No puedo escanear” o “Configuración manual” para ver la clave Base32 e introducirla en tu autenticador de escritorio.
   • Llave de seguridad (FIDO2/WebAuthn) → registra una llave USB y protégela con PIN.
4. Si no aparece la opción de TOTP, prueba:
   • Cambiar a “Usar un método diferente” → “Código de una aplicación”.
   • Temporalmente habilitar SMS, terminar la activación de 2FA y luego regresar a métodos para añadir TOTP o una llave FIDO2.
5. Guarda los códigos de recuperación y verifica que puedes iniciar sesión con el nuevo método desde el PC.

---

Usar llaves FIDO2 en Windows 10 (22H2)

Windows 10 22H2 reconoce llaves FIDO2 sin controladores adicionales. En sitios compatibles, verás opciones como “Llave de seguridad”, “FIDO2” o “Passkey”.

Registro de una llave en un sitio web

1. En la sección de seguridad del sitio, elige Agregar llave de seguridad.
2. Conecta la llave USB cuando te lo pida el navegador, toca el sensor y define un PIN si es la primera vez.
3. Asigna un nombre a la llave (p. ej., “Llave‑USB‑Casa”) y guarda.

Gestión en Windows

1. Abre Configuración → Cuentas → Opciones de inicio de sesión → Llaves de seguridad.
2. Desde ahí puedes gestionar PIN y restablecer una llave si fuese necesario.

Consejo de continuidad: registra al menos dos factores diferentes (p. ej., TOTP + FIDO2 o dos llaves FIDO2). Si pierdes uno, el otro te salva.

---

Problemas frecuentes y cómo resolverlos

“Mi cuenta Microsoft no me da opción de otra app”

• En algunos flujos Microsoft empuja su app con notificaciones. Busca “Usar un método diferente” → “Código de una app” o “Configuración manual / No puedo escanear” para ver la clave secreta.
• Si de verdad no aparece, añade una llave FIDO2 como método principal o usa SMS como puente, termina la activación y vuelve a Métodos para agregar TOTP.

“Los códigos TOTP no coinciden”

• Verifica la hora del PC: Configuración → Hora e idioma → Fecha y hora → activar “Establecer hora automáticamente” y pulsar “Sincronizar ahora”.
• Confirma que el periodo es 30 s, dígitos 6 y SHA‑1 (salvo que el sitio especifique otros valores).
• Repite el alta con la clave correcta (sin espacios; Base32 distingue mayúsculas). Si el sitio te da un nuevo secreto, borra el anterior en tu app.

“Mi navegador no detecta la llave FIDO2”

• Usa un navegador actualizado con soporte WebAuthn (Edge, Chrome, Firefox).
• Prueba otro puerto USB y desconecta hubs intermedios.
• En políticas corporativas, puede requerirse habilitación por TI.

Accesibilidad y visión reducida

• Prefiere apps TOTP de escritorio (ventanas más grandes, posibilidad de copiar con un clic).
• Llaves FIDO2 evitan escribir códigos; útil para reducir errores.

Copia de seguridad y recuperación

• En KeePassXC o Proton Pass, realiza backups cifrados y guarda una copia offline.
• Conserva los códigos de recuperación impresos y fuera del PC.
• Si reinstalas Windows: reinstala tu app TOTP y restaura tu base de datos/backup; en FIDO2, las llaves siguen funcionando porque la credencial está en la llave, no en el sistema.

---

Comparativa rápida (PC)

Opción	Qué es	Ventajas	Limitaciones
TOTP de escritorio (TOTP Authenticator, KeePassXC, Proton Pass)	App que genera códigos 2FA de 30 s	Funciona 100% en PC, offline, multi‑servicio	Debes guardar bien la clave secreta y hacer backups
Llave FIDO2 (p. ej., YubiKey)	Factor físico por USB/NFC	Muy segura y cómoda, sin códigos; resistente a phishing	Solo si el sitio soporta llaves
SMS/correo	Códigos enviados por el servicio	Sencillo, sin instalar nada	Menos seguro; no siempre disponible
Emulador Android	Ejecutar apps móviles en PC	Permite usar apps móviles	Pesado y complejo; no recomendado solo para 2FA

---

Decisión rápida: ¿TOTP o FIDO2?

• Si el servicio admite llaves → elige FIDO2 como primer factor o segundo factor: es más seguro y rápido.
• Si no admite llaves → usa TOTP de escritorio.
• Si nada de lo anterior está disponible → habilita SMS/correo como puente y vuelve a revisar más adelante.

---

Checklist de implementación (particular o pyme)

1. Elegir herramienta principal: FIDO2 (con dos llaves) o TOTP de escritorio (con base de datos respaldada).
2. Activar 2FA en todos los servicios críticos (correo, almacenamiento, banca, redes sociales, gestores de contraseñas).
3. Imprimir y guardar códigos de recuperación en lugar seguro.
4. Registrar un método de respaldo (segunda llave o duplicado del secreto TOTP en otra app protegida).
5. Probar un escenario de recuperación (PC sin conexión, llave perdida, reinstalación de Windows).
6. Documentar dónde están los respaldos (sin credenciales en claro) y quién los custodia.

---

Buenas prácticas imprescindibles

• Guarda la clave secreta Base32 al activar TOTP; sin ella, reconstruir el autenticador puede ser imposible si pierdes el PC.
• Dos factores activos: TOTP + FIDO2 o dos llaves FIDO2.
• Minimiza la exposición: no pegues claves TOTP en chats/correos; usa copia manual y bórralas después.
• Protege tu PC: BitLocker habilitado, cuenta sin privilegios para el día a día, actualizaciones al día.
• Desconfía de apps desconocidas; prioriza software abierto o de reputación conocida y descárgalo desde fuentes oficiales (Microsoft Store o sitio del editor).
• Sincronización de hora: imprescindible para que TOTP funcione; activa “hora automática”.

---

Escenarios prácticos y soluciones

Quiero tener los códigos TOTP en dos PCs

Comparte el mismo secreto Base32 en ambos autenticadores (importarlo cuando actives 2FA). Alternativamente, sincroniza la base de datos de KeePassXC entre equipos pero con cifrado fuerte y canal seguro.

No quiero que mis códigos dependan de un archivo local

Usa llaves FIDO2. La credencial vive en la llave; puedes iniciar sesión desde cualquier PC compatible sin “restaurar” nada.

Mi banco no permite TOTP ni llaves

Algunos servicios restringen los métodos por política. Mantén SMS como método disponible, refuerza la seguridad del correo asociado y revisa periódicamente si ya admiten TOTP/FIDO2.

Necesito separar vida personal y trabajo

Usa dos bóvedas (por ejemplo, dos bases .kdbx) o dos llaves distintas; así evitas mezclar secretos. Si la empresa gestiona dispositivos, consulta la política antes de instalar software.

---

Glosario mínimo

• TOTP: códigos temporales basados en tiempo (RFC 6238). Normalmente 6 dígitos, 30 s.
• HOTP: códigos basados en contador (RFC 4226). Menos usado en web moderna.
• FIDO2/WebAuthn: estándar de llaves de seguridad sin contraseña o como segundo factor; resistente a phishing.
• Passkey: credencial WebAuthn con experiencia de “sin contraseña”; puede residir en una llave o en el dispositivo (Windows Hello).
• Base32: codificación alfanumérica de la clave secreta TOTP (A–Z y 2–7).

---

Preguntas frecuentes

¿Puedo usar Windows Hello como 2FA? Sí, cuando el sitio soporta passkeys (WebAuthn). Windows Hello (PIN/biometría) actúa como factor local. No sustituye a TOTP en sitios que no soportan passkeys.

¿Se puede exportar TOTP a otro equipo? Sí. Exporta la base de datos (KeePassXC/Proton Pass) o vuelve a registrar el servicio usando la clave Base32 guardada.

¿Es seguro tener TOTP en el mismo PC que las contraseñas? Es práctico, pero aumenta el riesgo si el equipo se compromete. Mitiga con cifrado de disco, contraseñas maestras fuertes y un segundo factor físico (FIDO2) para cuentas críticas.

¿Pasa algo si cambio la hora del PC? Sí: los códigos TOTP dependen de la hora exacta. Mantén la sincronización automática activa.

¿Qué hago si pierdo la llave FIDO2? Usa tu método de respaldo (segunda llave o TOTP) y revoca la llave perdida desde la configuración del servicio.

---

En dos líneas

• No necesitas un smartphone para 2FA en Windows: usa TOTP de escritorio o una llave FIDO2.
• Durante el alta, solicita la clave secreta (en lugar del QR), introdúcela en tu app TOTP del PC, verifica y guarda los códigos de recuperación.

---

Plantillas y notas rápidas

Plantilla de registro TOTP sin QR

1. Seguridad → 2FA → Aplicación de autenticación.
2. Elegir “No puedo escanear” / “Configuración manual”.
3. Copiar clave Base32.
4. Pegar en la app TOTP de escritorio → confirmar.
5. Guardar códigos de recuperación en papel.

Checklist de salud del sistema (Windows 10)

• Hora automática y sincronizada.
• BitLocker activo en unidades con secretos.
• Cuenta estándar para uso diario; actualizaciones al día.
• Respaldo cifrado verificado (prueba de restauración).

Modelo de amenazas (rápido)

Riesgo	Mitigación en PC sin móvil
Phishing	Prefiere FIDO2; verifica dominio antes de introducir códigos TOTP.
Malware en el PC	Actualizaciones, antivirus, no ejecutar binarios dudosos; separa trabajo/personal.
Pérdida de acceso	Segunda llave o duplicado del secreto TOTP; códigos de recuperación impresos.
Fallo de disco	Backups cifrados y probados.

---

Conclusión

Operar 2FA en Windows 10 (22H2) sin smartphone es totalmente viable y, bien hecho, seguro y cómodo. Para la mayoría de usuarios, la combinación TOTP de escritorio + una llave FIDO2 ofrece el mejor equilibrio entre compatibilidad y seguridad. La clave está en guardar tus secretos Base32 y códigos de recuperación, mantener el PC protegido y disponer de un método de respaldo. Con esa base, podrás activar 2FA en prácticamente cualquier servicio sin depender de un teléfono.