Probablemente hayas tenido que ingresar un código de seis dígitos de una aplicación de autenticación al iniciar sesión online. Eso se conoce como una contraseña de un solo uso basada en el tiempo, o TOTP, y es una forma increíblemente sencilla de mejorar la seguridad de tus cuentas online.
Gracias a la rápida expiración de 30 a 60 segundos de estos códigos, hacen que sea casi imposible para los ciberdelincuentes acceder a tu cuenta, incluso si consiguen robar tus contraseñas. Exploraremos qué son las TOTP, cómo funcionan y cómo se comparan con otros métodos de autenticación.
¿Qué es TOTP?
Una TOTP es un tipo de contraseña de un solo uso (OTP) que genera códigos temporales utilizando el tiempo como ingrediente clave. Estos códigos cambian cada 30 o 60 segundos, lo que hace que sea extremadamente difícil de comprometer para los ciberdelincuentes. En el improbable caso de que de alguna manera descubran tu código, su corta vida útil hace que sea casi inútil para un atacante.
TOTP es un método de autenticación de dos factores (2FA) que añade una capa de seguridad adicional a tu nombre de usuario y contraseña. Es cómodo de usar (solo tienes que generar el código desde una aplicación de autenticación) y su naturaleza basada en el tiempo lo hace muy seguro.
¿Cómo funciona TOTP?
En pocas palabras, TOTP funciona al compartir una clave secreta entre el servicio que estás protegiendo y tu aplicación TOTP.
Al activar el 2FA, escaneas un código QR para compartir la clave secreta con tu autenticador TOTP. Las aplicaciones TOTP son gratuitas, y entre las más comunes se encuentran Google Authenticator y Microsoft Authenticator. Si usas un gestor de contraseñas seguro, es posible que incluya un autenticador 2FA integrado que genere códigos TOTP. Proton Pass es uno de estos gestores de contraseñas; almacena tus contraseñas de forma segura y genera tus códigos 2FA, todo en una sola aplicación.
Una vez completada la configuración inicial, el servicio en el que estás iniciando sesión y la aplicación de autenticación se sincronizan para calcular de forma independiente el mismo código al mismo tiempo utilizando la clave secreta. Cuando inicies sesión, se te pedirá que ingreses un código 2FA. Si el código del servicio coincide con el que ingresas, iniciarás sesión.
Las diferencias entre TOTP y otras contraseñas de un solo uso
TOTP es solo uno de los varios métodos de contraseñas de un solo uso (OTP). Aquí tienes un breve resumen de cómo se compara TOTP con ellos. También puedes encontrar una guía más detallada sobre la diferencia entre TOTP, OTP y HOTP.
TOTP frente a OTP
OTP es un término general para las contraseñas de un solo uso. TOTP es un tipo de OTP que utiliza un modelo basado en el tiempo para generar códigos OTP. Todas las TOTP son OTP, pero existen otros métodos de OTP. Estos incluyen códigos por SMS y correo electrónico, y HOTP. Cada método tiene diferentes formas de generar y enviar tu código OTP.
TOTP frente a HOTP
Las contraseñas de un solo uso basadas en HMAC (HOTP) generan un nuevo código OTP solo cuando se solicita. Esto significa que cada código es válido hasta que se genera uno nuevo, lo que las hace más propensas a verse comprometidas. Los códigos TOTP se actualizan automáticamente después de 30 a 60 segundos, por lo que los atacantes tienen menos tiempo para utilizar los códigos robados.
TOTP frente a códigos por SMS y correo electrónico
Los códigos por SMS y correo electrónico se envían a través de redes móviles y de internet, lo que los hace vulnerables a la interceptación. Si utilizas redes poco seguras o comprometidas, los atacantes podrían espiar tu actividad y obtener tus códigos OTP. En comparación, los códigos TOTP se generan en el dispositivo y no se transmiten a través de ninguna red, lo que los hace más seguros.
Los beneficios de seguridad de TOTP
El uso de TOTP como tu método de OTP preferido ofrece varios beneficios de seguridad.
- Códigos con límite de tiempo: los códigos TOTP expiran en un plazo de 30 a 60 segundos antes de que se genere un nuevo código. Esto hace que los atacantes no tengan casi tiempo para utilizar los códigos TOTP robados, ya que los códigos expirados no se pueden reutilizar.
- A prueba de interceptación: los códigos TOTP se generan en el dispositivo. No se transmiten a través de redes donde podrían ser interceptados debido a una seguridad de red deficiente.
- Protección contra vulneraciones de datos: si tu contraseña se expone en una vulneración de datos, los códigos TOTP proporcionan una barrera adicional contra los inicios de sesión no autorizados. Los atacantes no pueden acceder a tu cuenta sin tu aplicación de autenticación.
- Funciona en cualquier smartphone: TOTP funciona directamente desde tu smartphone, sin necesidad de comprar un token de hardware. Solo tienes que descargar una aplicación de autenticación en tu dispositivo y listo.
TOTP ofrece una seguridad excelente, pero no es perfecta. Perder tu dispositivo podría impedirte acceder a tus cuentas, así que guarda siempre copias de seguridad de tus códigos. Además, asegúrate de que los relojes de tus dispositivos se sincronicen automáticamente con internet, ya que los ajustes de hora incorrectos son una causa común de fallos en TOTP.
Protege tus cuentas con TOTP
TOTP mejora la seguridad de tu cuenta con códigos basados en el tiempo que son superiores a otros métodos de OTP. Administrar varias contraseñas y códigos 2FA no tiene por qué ser una molestia: solo tienes que usar Proton Pass, un gestor de contraseñas con un autenticador TOTP integrado.
Proton Pass combina el almacenamiento y la generación de contraseñas con un autenticador 2FA, lo que elimina la necesidad de cambiar de aplicación al iniciar sesión y de descargar aplicaciones adicionales. Te ahorra un valioso espacio de almacenamiento y hace que iniciar sesión con 2FA sea un proceso fluido. Todo lo que almacenas en Proton Pass, incluidos los códigos que generas, está protegido por un potente cifrado de extremo a extremo.
Lleva la seguridad de tu inicio de sesión al siguiente nivel: activa TOTP para tus cuentas y almacena hoy mismo todas tus contraseñas con Proton Pass.
