Si alguna vez ha utilizado un token de hardware para aprobar transacciones bancarias digitales o ha pulsado una YubiKey para generar un código de inicio de sesión, ha utilizado la tecnología de contraseñas de un solo uso basadas en HMAC (HOTP). Para ayudarle a comprender cómo puede utilizar HOTP para proteger sus cuentas, exploraremos cómo funciona HOTP, sus beneficios y limitaciones, y lo compararemos con otros métodos de OTP.

¿Qué es HOTP?

HOTP significa contraseña de un solo uso basada en HMAC. Es un método de autenticación de dos factores (2FA) que genera códigos de inicio de sesión de un solo uso bajo demanda.

HMAC, o Código de Autenticación de Mensajes basado en Hash, es una técnica criptográfica que utiliza una clave secreta y una función de hash para producir un valor seguro y resistente a manipulaciones. HOTP aplica HMAC junto con un contador para garantizar que cada código de autenticación sea único y solo se pueda utilizar una vez.

Debido a que los códigos HOTP siguen siendo válidos hasta que se usan o se reemplazan, son ideales para el trabajo remoto y otros entornos donde no es posible una sincronización de hora confiable o una conectividad constante.

¿Cómo funciona HOTP?

La autenticación HOTP se basa en dos componentes compartidos: una clave secreta y un contador. Tanto el dispositivo del usuario como el servidor de autenticación almacenan estos valores y los utilizan para generar de forma independiente el mismo código de un solo uso.

Configuración: cuando se configura un token de hardware, se comparte una clave secreta entre el dispositivo y el servidor de la aplicación, y se almacena de forma segura en ambos lados.

Generación de un código: el dispositivo utiliza una función de hash criptográfica llamada HMAC para combinar la clave secreta con el valor del contador actual. El resultado es una contraseña de un solo uso corta e impredecible.

Autenticación: cuando ingresa el código HOTP, el servidor realiza el mismo cálculo utilizando su propia copia de la clave secreta y del contador. Si los códigos coinciden, se concede el acceso.

Explicación del sistema de contadores de HOTP

HOTP se basa en un sistema de contador único compartido entre su dispositivo y el servidor de autenticación. Cada vez que genera un nuevo código, el contador se incrementa. Después de un inicio de sesión exitoso, el servidor también actualiza su contador. Mientras los contadores del dispositivo y del servidor permanezcan sincronizados, los códigos coincidirán y le concederán acceso.

Piense en HOTP como un talonario de vales numerados que usted arranca y utiliza en secuencia. Un vale utilizado no se puede volver a usar y debe utilizar el siguiente. El sistema de contadores de HOTP funciona de manera similar.

Autenticación HOTP vs. otras OTP

HOTP vs. OTP

Las contraseñas de un solo uso (OTP) es un término amplio para las diversas contraseñas de un solo uso que utilizamos para el 2FA. HOTP es un tipo específico de OTP que se basa en un sistema basado en contadores para generar sus códigos.

HOTP vs. TOTP

Las contraseñas de un solo uso basadas en el tiempo (TOTP) generan automáticamente un nuevo código cada 30 a 60 segundos. El ejemplo más común de TOTP son los códigos generados por las apps de autenticación. HOTP, por el contrario, genera un nuevo código solo cuando se solicita, utilizando un contador en lugar de un temporizador.

Esta diferencia afecta la seguridad de cada método de OTP. La rápida expiración de TOTP les da a los atacantes una ventana de oportunidad muy pequeña. Por el contrario, los códigos de HOTP podrían seguir siendo válidos durante días e incluso semanas.

Sin embargo, HOTP es más confiable en situaciones en las que los dispositivos tienen relojes poco fiables. Por ejemplo, equipos en ubicaciones remotas con conexiones de internet débiles.

HOTP frente a códigos de SMS y correo electrónico

Los códigos de OTP enviados a través de SMS y correo electrónico son susceptibles de interceptación porque deben viajar a través de redes celulares y de internet. HOTP genera códigos en el dispositivo, lo que lo hace más seguro y, al mismo tiempo, proporciona un acceso constante incluso durante las interrupciones de la red.

¿Cuáles son los beneficios y las limitaciones de HOTP?

Los beneficios de la autenticación de HOTP

Existen varias ventajas al usar HOTP como su método de OTP preferido:

  • Funciona sin conexión: HOTP puede funcionar sin conexión, lo que lo hace ideal para ubicaciones con acceso restringido a internet.
  • Sin presión de tiempo: los códigos de HOTP no expiran automáticamente, por lo que puede tomarse su tiempo para ingresar el código.
  • Algoritmo reconocido: HOTP está definido por RFC 4226(nueva ventana), lo que garantiza la compatibilidad entre proveedores de software y tokens de hardware de varios distribuidores.
  • Menos dependencias: el sistema basado en contador de HOTP no depende de relojes precisos ni de una conectividad continua, lo que puede hacerlo más predecible en ciertos entornos.

Las limitaciones de la autenticación de HOTP

Al igual que con todas las tecnologías, HOTP conlleva algunas consideraciones importantes:

  • Validez indefinida: los códigos de HOTP pueden permanecer activos de forma indefinida si no se generan códigos nuevos. Esto les da a los atacantes más tiempo para explotar los códigos robados.
  • Sincronización del contador: si genera códigos sin usarlos, los contadores de su dispositivo y del servidor pueden desincronizarse, lo que provocará fallas de autenticación.
  • Gestión manual: dado que los códigos no expiran automáticamente, debe recordar generar códigos nuevos después de cada uso.

Dé un paso hacia una seguridad de contraseñas más sólida

Aunque es posible que HOTP no ofrezca el beneficio de seguridad de la expiración automática o la comodidad de los códigos de SMS, su sistema basado en contador ofrece ventajas únicas. Es un sistema de 2FA probado con un acceso confiable sin conexión, y la ausencia de presión de tiempo podría hacer que algunos lo prefieran.
Para gestionar fácilmente sus contraseñas y códigos de 2FA en una sola ubicación cifrada, considere usar Proton Pass. Nuestro gestor de contraseñas seguro con un autenticador de 2FA integrado mantiene todas sus credenciales y códigos de 2FA protegidos con un cifrado de extremo a extremo completo. Mantener su vida digital segura y cómoda nunca ha sido tan sencillo.