Es probable que haya tenido que ingresar un código de seis dígitos de una app de autenticación al iniciar sesión en línea. Eso se conoce como una contraseña de un solo uso basada en el tiempo, o TOTP, y es una forma increíblemente sencilla de mejorar la seguridad de sus cuentas en línea.
Gracias a la rápida expiración de 30 a 60 segundos de estos códigos, resulta casi imposible para los ciberdelincuentes acceder a su cuenta, incluso si logran robar sus contraseñas. Exploraremos qué son las TOTP, cómo funcionan y cómo se comparan con otros métodos de autenticación.
¿Qué es TOTP?
Una TOTP es un tipo de contraseña de un solo uso (OTP) que genera códigos temporales utilizando el tiempo como elemento clave. Estos códigos cambian cada 30 a 60 segundos, lo que hace que sea extremadamente difícil de comprometer para los ciberdelincuentes. En el improbable caso de que de alguna manera descubran su código, su corta vida útil hace que rápidamente sea casi inútil para un atacante.
TOTP es un método de autenticación de dos factores (2FA) que añade una capa de seguridad adicional a su nombre de usuario y contraseña. Es cómodo de usar (solo debe generar el código desde una app de autenticación) y su naturaleza basada en el tiempo lo hace muy seguro.
¿Cómo funciona TOTP?
En pocas palabras, TOTP funciona al compartir una clave secreta entre el servicio que usted protege y su aplicación de TOTP.
Cuando usted activa el 2FA, escanea un código QR para compartir la clave secreta con su autenticador TOTP. Las aplicaciones de TOTP son gratuitas, y entre las más comunes se encuentran Google Authenticator y Microsoft Authenticator. Si está utilizando un gestor de contraseñas seguro, este podría incluir un autenticador 2FA integrado que genera códigos TOTP. Proton Pass es uno de esos gestores de contraseñas; almacena sus contraseñas de forma segura y genera sus códigos 2FA, todo en una sola aplicación.
Una vez completada la configuración inicial, el servicio en el que está iniciando sesión y la app de autenticación se sincronizan para calcular de forma independiente el mismo código al mismo tiempo utilizando la clave secreta. Cuando inicie sesión, se le solicitará que ingrese un código 2FA. Si el código del servicio coincide con el que usted ingrese, habrá iniciado sesión.
Las diferencias entre TOTP y otras contraseñas de un solo uso
TOTP es solo uno de los varios métodos de contraseña de un solo uso (OTP). Aquí tiene una breve descripción de cómo se compara TOTP con ellos. También puede encontrar una guía más extensa sobre la diferencia entre TOTP, OTP y HOTP.
TOTP vs. OTP
OTP es un término general para las contraseñas de un solo uso. TOTP es un tipo de OTP que utiliza un modelo basado en el tiempo para generar códigos OTP. Todas las TOTP son OTP, pero existen otros métodos de OTP. Estos incluyen códigos de SMS y correo electrónico, y HOTP. Cada método tiene diferentes formas de generar y entregar su código OTP.
TOTP vs. HOTP
Las contraseñas de un solo uso basadas en HMAC (HOTP) generan un nuevo código OTP solo cuando se solicita. Esto significa que cada código es válido hasta que se genera uno nuevo, lo que las hace más propensas a verse comprometidas. Los códigos TOTP se actualizan automáticamente después de 30 a 60 segundos, por lo que los atacantes tienen menos tiempo para utilizar los códigos robados.
TOTP vs. códigos de SMS y correo electrónico
Los códigos por SMS y correo electrónico se envían a través de redes móviles y de internet, lo que los hace vulnerables a la interceptación. Si usted utiliza redes poco seguras o comprometidas, los atacantes podrían espiar su actividad y obtener sus códigos OTP. En comparación, los códigos TOTP se generan en el dispositivo y no se transmiten a través de ninguna red, lo que los hace más seguros.
Los beneficios de seguridad de TOTP
Existen varios beneficios de seguridad al utilizar TOTP como su método OTP preferido.
- Códigos con límite de tiempo: los códigos TOTP expiran en un plazo de 30 a 60 segundos antes de que se genere un nuevo código. Esto deja a los atacantes casi sin tiempo para utilizar los códigos TOTP robados, ya que los códigos expirados no se pueden volver a usar.
- A prueba de interceptaciones: los códigos TOTP se generan en el dispositivo. No se transmiten a través de redes donde podrían ser interceptados debido a una seguridad de red deficiente.
- Protección contra vulneraciones de datos: si su contraseña queda expuesta en una vulneración de datos, los códigos TOTP proporcionan una barrera adicional para los inicios de sesión no autorizados. Los atacantes no pueden acceder a su cuenta sin su app de autenticación.
- Funciona en cualquier teléfono inteligente: TOTP funciona directamente desde su teléfono inteligente; no es necesario comprar un token de hardware. Solo tiene que descargar una app de autenticación en su dispositivo y estará listo.
TOTP ofrece una excelente seguridad, pero no es perfecto. Perder su dispositivo podría impedirle el acceso a sus cuentas, por lo que siempre debe guardar códigos de copia de seguridad. Asimismo, asegúrese de que los relojes de sus dispositivos se sincronicen automáticamente con internet, ya que los ajustes de hora incorrectos son una causa común de fallas de TOTP.
Proteja sus cuentas con TOTP
TOTP mejora la seguridad de su cuenta con códigos basados en el tiempo que son superiores a otros métodos OTP. Gestionar múltiples contraseñas y códigos 2FA no tiene por qué ser una molestia: solo use Proton Pass, un gestor de contraseñas con un autenticador TOTP integrado.
Proton Pass combina el almacenamiento y la generación de contraseñas con un autenticador 2FA, lo que elimina la necesidad de cambiar de aplicación al iniciar sesión y de descargar aplicaciones adicionales. Le ahorra un valioso espacio de almacenamiento y hace que iniciar sesión con 2FA sea un proceso fluido. Todo lo que almacene en Proton Pass, incluidos los códigos que genere, está protegido por un potente cifrado de extremo a extremo.
Lleve la seguridad de inicio de sesión al siguiente nivel — active TOTP para sus cuentas y almacene todas sus contraseñas con Proton Pass hoy mismo.
