La autenticación multifactor, o MFA, se ha convertido en una parte integral del refuerzo de la seguridad digital para millones de usuarios en línea. La selección de herramientas de MFA es amplia, por lo que realmente depende del usuario decidir qué tipo de escudo digital prefiere. Una de estas herramientas es la contraseña de un solo uso u OTP.
Hoy nos ocuparemos de un tipo concreto de OTP conocido como contraseña de un solo uso basada en el tiempo o TOTP. Analizaremos qué hace que este método de autenticación multifactor destaque, y a qué amenazas puede enfrentarse. También veremos cómo se compara con un tipo alternativo de contraseñas de un solo uso conocidas como HOTP. Una vez que hayamos terminado, dispondrás de las herramientas esenciales para mejorar tu seguridad en Internet.
¿Qué es OTP?
Antes de sumergirnos en los entresijos de TOTP y su funcionamiento, debemos responder a la pregunta fundamental: ¿qué es TOTP? Ya hemos comentado lo que significan estas siglas: «contraseña de un solo uso». Ahora, echemos un vistazo más de cerca al concepto.
Aunque la tecnología que hay detrás de las OTP es compleja, el nombre se explica por sí mismo: las contraseñas de un solo uso son códigos de seguridad que puedes utilizar una sola vez para autenticarte antes de que se restablezcan. Como tales, las OTP se consideran dinámicas, en contraste con las contraseñas estáticas a las que estamos acostumbrados en nuestra vida digital diaria.
El algoritmo OTP dinámico es lo que las hace tan eficaces en términos de protección y autenticación de cuentas. Las contraseñas estáticas pueden ser más fáciles de descifrar, sobre todo si no se actualizan periódicamente. La capa de protección adicional que consiste en cambiar continuamente las contraseñas de un solo uso ha demostrado su eficacia contra muchas medidas de robo de identidad.
Cada OTP es única y consiste en combinaciones de números y, en algunos casos, letras. Esto permite un número casi infinito de combinaciones aleatorias, lo que hace que la capa de seguridad OTP sea más resistente a los ataques, aunque se pueden encontrar algunas vulnerabilidades que comentaremos en breve.
Hay dos tipos de OTP:
Contraseñas de un solo uso basadas en el tiempo (TOTP).
Contraseñas de un solo uso basadas en HMAC (HOTP).
Estas contraseñas requieren dos bits de información para funcionar: la semilla y el factor móvil. Una semilla es una clave secreta que tienen el generador de contraseñas y el servidor. Un generador de contraseñas, también conocido como token OTP, es una herramienta utilizada para crear los códigos temporales de autenticación.
Tanto las TOTP como las HOTP se utilizan de forma habitual para habilitar la autenticación multifactor. El tipo de contraseña de un solo uso que se utilice depende del método MFA elegido. Normalmente, la contraseña de un solo uso se genera mediante un hardware de generación de códigos, una aplicación de autenticación o un mensaje de texto.
El factor móvil es lo que necesitas saber para diferenciar las TOTP de las HOTP. Mientras que la semilla permanece estática, el factor móvil cambia y viene determinado por una cuenta atrás o un contador, algo en lo que profundizaremos más adelante cuando exploremos cada uno de los tipos de contraseña de un solo uso.
Algunos usuarios pueden suponer que las contraseñas de un solo uso son similares a los códigos de seguridad que varias aplicaciones proporcionan como medida adicional de recuperación. Sin embargo, funcionan de forma diferente: recibes un número limitado de códigos de copia de seguridad por si pierdes el acceso a tu método de autenticación principal, y puedes utilizar cada uno de ellos una vez para acceder a tu cuenta. En cambio, el número de OTP que se pueden generar es ilimitado.
Para tener una visión más clara de cómo funciona una OTP, veamos más de cerca ambos tipos, empezando por las TOTP.
¿Qué es una TOTP?
Ya hemos establecido los principios clave de las TOTP, así que concretemos un poco más y averigüemos qué es una TOTP. La segunda mitad de las siglas significa «contraseña de un solo uso», mientras que la T se refiere a su característica principal: «basada en el tiempo».
Básicamente, las contraseñas de un solo uso basadas en el tiempo son contraseñas que caducan en un plazo predeterminado, conocido como timestep o intervalo de tiempo. Las distintas herramientas de autenticación TOTP utilizan diferentes intervalos de tiempo, pero la validez de un código puede oscilar entre 15 segundos y un minuto. Sin embargo, no es raro que una TOTP dure más, por ejemplo, varios días.
Si no tecleas tu código único de autenticación durante este periodo de tiempo, la contraseña se restablece y tienes que introducir un nuevo código. El factor tiempo es el aspecto clave de la ventaja de una TOTP en ciberseguridad. Como las contraseñas aleatorias cambian tan rápidamente, son más difíciles de atacar.
El método más popular para recibir estos códigos es utilizar aplicaciones autenticadoras TOTP. Sin embargo, también se pueden utilizar herramientas de hardware, como los generadores de contraseñas, para adquirir códigos de autenticación.
Independientemente del software o hardware que utilices para generar una OTP, el resultado es el mismo. Si una persona tiene activada la MFA en una cuenta, recibe un código de acceso temporal al intentar iniciar sesión y lo utiliza para verificar su identidad. Utilicemos un ejemplo para ver cómo funciona en la práctica.
¿Cómo funciona una TOTP?
Imaginemos que utilizamos un autenticador TOTP para iniciar sesión en tu cuenta de Instagram. Para empezar, necesitas tener activada la autenticación de dos factores en la aplicación:
Ve a tu Centro de cuentas de Instagram.
Toca Contraseña y seguridad
Toca Autenticación de dos factores y selecciona tu cuenta.
Elige el método de autenticación de dos factores que prefieras: para este ejemplo, la opción recomendada es una aplicación de autenticación.
La autenticación TOTP se realiza mediante una aplicación como Google Authenticator. Cuando añades una cuenta a esta aplicación utilizando un código QR o una clave de configuración, puedes seleccionar si quieres que los códigos se basen en el tiempo o en el contador. En este caso, selecciona la opción basada en el tiempo.
A continuación te explicamos cómo iniciar sesión en tu cuenta de Instagram utilizando una contraseña de un solo uso basada en el tiempo:
Abre la aplicación de Instagram.
Selecciona Iniciar sesión
Introduce tu nombre de usuario o dirección de correo electrónico y tu contraseña. Si has olvidado tu contraseña, puedes encontrar una guía de recuperación aquí.
Se te pedirá que introduzcas tu clave de seguridad. Abre tu aplicación Google Authenticator y copia el código TOTP de seis dígitos.
Pega el código en el mensaje de Instagram.
Recuerda que la contraseña se restablece cada 15 segundos. Si te quedas sin tiempo, simplemente copia y pega la clave recién generada.
El proceso es análogo en diferentes aplicaciones. En muchos casos, también puedes seleccionar recibir un mensaje de texto con un código de tiempo limitado o utilizar un dispositivo generador de códigos. Esto puede ser útil si tienes problemas de conectividad de red y no puedes acceder a la aplicación de autenticación.
¿Qué es una HOTP?
Además de las TOTP, hay otro tipo popular de contraseñas de un solo uso: las HOTP. Esta forma de contraseñas de un solo uso existe desde hace casi dos décadas, así que es probable que te la hayas encontrado alguna vez.
Tenemos dos siglas que abordar aquí. La primera es la propia HOTP: significa «contraseña de un solo uso basada en HMAC» HMAC significa «código de autenticación de mensajes basado en hash» Así que, para ahorrarnos un trabalenguas, solemos referirnos a este tipo de contraseñas como contraseñas de un solo uso basadas en hash, o, aún más sencillo, nos ceñimos a las siglas iniciales.
Alternativamente, la HOTP se conoce como autenticación basada en eventos o en contadores. El acontecimiento en cuestión es el intento de verificación. A diferencia de las TOTP, que se renuevan cada cierto tiempo, las HOTP se renuevan cada vez que te conectas a tu cuenta. Así, cuando te conectas, el contador aumenta para verificar que se ha utilizado una contraseña y se crea un nuevo código.
Los tokens HOTP también se pueden actualizar de forma manual. Por ejemplo, si utilizas un código basado en contador en tu aplicación Google Authenticator, puedes pulsar el botón de actualizar y recibir un nuevo código. Se trata de una función útil en caso de ataque: si una parte malintencionada ha adquirido una HOTP, la víctima puede actualizarla de forma manual, al considerar que el código filtrado no es válido.
En los últimos años, las HOTP han ido perdiendo popularidad lentamente en comparación con las contraseñas de un solo uso basadas en el tiempo, debido a problemas de seguridad. Aunque ambas se utilizan como medidas MFA, algunas instituciones han empezado a eliminar gradualmente las HOTP en favor de las TOTP. Veamos las causas de esta evolución y cuáles son las diferencias generales entre los dos tipos de OTP.
HOTP vs. TOTP: Diferencias y ventajas
En términos de protección, tanto HOTP como TOTP son opciones sólidas. Sin embargo, los usuarios pueden tener diferentes razones para preferir una a otra, ya sea por innovación técnica o por preferencia personal.
Las HOTP se desarrollaron por primera vez en 2005 y las TOTP unos años más tarde, en 2008. Cronológicamente, esto convierte a TOTP en el siguiente paso en la evolución de la OTP. Sin embargo, ambos tipos de contraseña de un solo uso siguen utilizándose.
En general, TOTP se considera más segura que HOTP debido a la variable temporal. Como te puedes imaginar, es más difícil adquirir códigos de seguridad cuando se actualizan rápidamente, mientras que una HOTP puede estar sin usarse durante semanas o incluso meses entre tus autorizaciones de inicio de sesión. Esto es algo a tener en cuenta a la hora de planificar contra posibles filtraciones de datos.
Verificar un intento de inicio de sesión suele ser una cuestión de tiempo. Las TOTP pueden ser un reto si tienes un dispositivo lento o problemas de conectividad. Si la aplicación en la que te estás registrando se bloquea o tu conexión a Internet o de banda ancha desaparece o se interrumpe de repente, tendrás que apresurarte a introducir el código o esperar a que se restablezca. Esto puede resultar frustrante, sobre todo con intervalos de tiempo cortos.
La accesibilidad es otro factor que no se puede pasar por alto. La velocidad a la que se actualizan las TOTP está predeterminada y normalmente no puede ser ajustada por los propios usuarios. Esto hace que las contraseñas temporizadas sean menos accesibles para las personas que pueden tener dificultades con la motricidad fina o las habilidades cognitivas. En ese caso, las contraseñas HOTP pueden ser más complacientes porque el usuario tiene más tiempo para introducir el código antes de que se reinicie.
Dicho esto, las HOTP también pueden experimentar problemas de validez. Por ejemplo, si actualizas constantemente la aplicación del autenticador, el contador puede fallar y producir un código que no se leerá como válido, lo que podría impedirte iniciar sesión en una cuenta durante algún tiempo.
Veamos un resumen de las principales diferencias entre HOTP y TOTP:
Aunque el número de diferencias entre los dos tipos de contraseñas de un solo uso no es enorme, son bastante significativas. Como puedes ver, aunque TOTP es una versión mejorada de las contraseñas de un solo uso en algunos aspectos, no es la opción definitiva, y tus necesidades personales pueden considerar que las HOTP son una solución más favorable.
¿Qué son los bots OTP y cómo puedes eludirlos?
Como ocurre con muchas medidas de seguridad, los malhechores buscan formas de eludir y comprometer las contraseñas de un solo uso. Teniendo en cuenta el factor tiempo y el número de posibles combinaciones de contraseñas, la intervención humana por sí sola no basta para eludir los algoritmos OTP. Esto ha llevado al desarrollo de los bots OTP.
Los bots OTP son programas automatizados que los hackers utilizan para extraer contraseñas de un solo uso y romper las defensas de autenticación multifactor. Los hackers suelen utilizar bots OTP en combinación con estrategias de ingeniería social, confiando mucho en el factor del error humano para tener éxito.
Por ejemplo, un hacker puede emplear un sitio web de phishing, que lleve a la víctima a revelar, sin saberlo, sus credenciales de inicio de sesión. Estos datos se envían al bot OTP, que se pone en contacto con la víctima y la convence para que transmita su contraseña de un solo uso. El hacker puede utilizar esta información para entrar en la cuenta antes que la víctima y causar daños.
Los bots OTP tienden a ser más eficaces contra los usuarios que confían en los mensajes de texto para recibir el código único. En los últimos años, varias entidades de todo el mundo han dejado de utilizar la autenticación multifactor basada en SMS. Por ejemplo, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. aconsejó la eliminación de la autenticación por SMS ya en 2016.
Cuando se trata de TOTP y HOTP, este último es más susceptible de sufrir ataques. Si se engaña a una víctima para que revele un código de recuperación pero no lo utiliza, los hackers tienen la oportunidad de hacerse con la cuenta. Con las contraseñas TOTP, es más difícil encajarlas en el tiempo limitado, lo que las hace más seguras. También es improbable que una contraseña TOTP caducada esté disponible en el futuro debido al enorme número de combinaciones alfanuméricas potenciales.
Dado que los bots OTP suelen formar parte de ataques de phishing, la forma más eficaz de no ser víctima es seguir las medidas estándar de prevención de ingeniería social, como evitar hacer clic en enlaces sospechosos y no revelar tus credenciales de inicio de sesión a desconocidos. También debes asegurarte de que el dispositivo que utilizas para adquirir tus códigos OTP es seguro. Si utilizas software y pierdes el dispositivo, normalmente puedes bloquearlo y borrarlo a distancia.
¿Siguen siendo importantes las contraseñas estáticas con TOTP?
Puede que te preguntes: dado que los códigos TOTP son una capa de seguridad sólida, ¿siguen siendo relevantes las contraseñas estáticas y corrientes? ¡Por supuesto!
Aunque las contraseñas de un solo uso son eficaces, no son impenetrables y funcionan mejor como capa de seguridad suplementaria. Asegurarte de que tu primera línea de defensa —la contraseña de tu cuenta— es segura sigue siendo tan importante como siempre.
NordPass Business puede ayudarte a mantener la resistencia y la seguridad de tus cuentas. El almacén web de contraseñas cifradas es una solución integral para todos tus datos confidenciales, incluidas tus contraseñas, datos bancarios y mucho más. Para disfrutar de una capa adicional de seguridad, puedes activar la autenticación multifactor. NordPass MFA admite códigos de seguridad, claves de seguridad y aplicaciones de autenticación, como Google Authenticator y Authy.