¿Qué es una contraseña de un solo uso (OTP)? Una explicación rápida

Una contraseña de un solo uso es un código temporal que puede utilizarse una sola vez o durante una breve ventana de validez; después, deja de ser válido. Los usuarios lo introducen durante el inicio de sesión o antes de realizar una acción sensible, y el servicio lo valida de inmediato.

En la práctica, las OTP se presentan en dos tipos: códigos enviados y códigos generados. Pueden parecer similares para el usuario, pero funcionan y fallan de maneras diferentes.

Las OTP enviadas entregan un código OTP por SMS, llamada de voz o correo electrónico. El sistema asume que el usuario todavía controla ese canal en el momento del inicio de sesión.

Al mismo tiempo, un método de entrega como el SMS puede estar expuesto a escenarios de apropiación de números telefónicos, incluido el fraude por intercambio de SIM (SIM swap). Los códigos enviados por correo electrónico dependen de la seguridad del buzón, y la vulneración de cuentas de correo es una causa común en investigaciones de toma de control de cuentas, en parte porque el correo electrónico también se utiliza para restablecer contraseñas.

Las OTP generadas suelen estar asociadas con aplicaciones de autenticación. Durante el registro, el servicio y la aplicación almacenan un secreto compartido, normalmente mediante un código QR. Ese secreto compartido se utiliza como clave secreta para calcular códigos futuros.

Esto elimina la dependencia del enrutamiento de SMS y de la entrega de correos electrónicos en el momento del inicio de sesión, razón por la cual las OTP basadas en aplicaciones suelen ser la opción preferida cuando una organización tiene la posibilidad de elegir.

Esta pregunta tiene dos respuestas diferentes, dependiendo de cómo se cree el código. Un código enviado es emitido por el servicio y transmitido a través de un canal. Un código generado se calcula del lado del usuario y luego es verificado por el servicio.

La forma más sencilla de evitar ambigüedades es revisar los pasos:

1. Inicio de sesión: El usuario inicia sesión y supera una verificación inicial (normalmente un nombre de usuario y una contraseña).

2. Creación del código: El servicio genera un código aleatorio, lo almacena temporalmente en el servidor de autenticación y establece un tiempo de expiración.

3. Entrega del código: El servicio envía el código por SMS, llamada de voz o correo electrónico.

4. Entrada del usuario: El usuario introduce el código en el formulario de inicio de sesión.

5. Verificación: El servicio comprueba que el código coincida y que se encuentre dentro del período de validez.

6. Éxito: Si coincide, el servicio acepta el inicio de sesión e invalida el código para que no pueda reutilizarse.

En el caso de las OTP generadas, el formato más común es la contraseña de un solo uso basada en tiempo descrita en el RFC 6238. Ambas partes calculan el mismo resultado porque comparten el mismo secreto y utilizan la misma ventana temporal.

1. Registro: El servicio crea un secreto de registro y lo muestra al usuario (a menudo como un código QR). El usuario lo escanea utilizando una aplicación autenticadora en un dispositivo móvil, y el servicio almacena el mismo valor.

2. Creación del código: La aplicación autenticadora combina la ventana temporal actual con el secreto y produce un código corto. Estas son las OTP generadas en el dispositivo.

3. Entrada del usuario: El usuario introduce el código en el formulario de inicio de sesión.

4. Verificación: El servicio vuelve a calcular el código esperado y lo compara con el que introdujo el usuario.

5. Tolerancia al desfase: El servicio puede comprobar la ventana temporal actual más una pequeña ventana adyacente para compensar posibles desfases del reloj.

6. Límites de reutilización: Muchos servicios registran los códigos exitosos recientes para que el mismo valor no pueda aceptarse dos veces.

Nota: A veces puede encontrar expresiones como “time password OTP” o simplemente “TOTP”.

La respuesta más sincera es que las OTP pueden reducir las vías comunes de toma de control de cuentas, pero no son igual de sólidas frente a todas las amenazas.

• Reduce la reutilización automatizada de contraseñas y puede disminuir los accesos no autorizados relacionados con ataques de credential stuffing.
• Limita los ataques de repetición porque cada código tiene una vida útil corta y normalmente queda invalidado después de utilizarse correctamente.
• Funciona bien como una verificación adicional para acciones sensibles, en lugar de agregar fricción a cada inicio de sesión rutinario.
• Con frecuencia mejora la experiencia del usuario en comparación con obligarlo a cambiar contraseñas de manera frecuente, especialmente cuando el segundo paso se utiliza únicamente cuando el riesgo es mayor.

• Los ataques de phishing con retransmisión en tiempo real aún pueden tener éxito cuando un atacante captura la contraseña y la OTP y las reenvía de inmediato.
• Los códigos enviados heredan los riesgos del canal, incluidos la apropiación de números telefónicos, la vulneración de cuentas de correo y el malware en dispositivos.
• Los retrasos en la entrega y las solicitudes repetidas de códigos pueden generar carga para los equipos de soporte y bloqueos de acceso, incluso para usuarios legítimos.
• Los procesos de recuperación de cuentas pueden anular las ventajas si dependen de verificaciones más débiles que el propio flujo de inicio de sesión.

En definitiva, las OTP son eficaces contra las contraseñas reutilizadas, pero son menos resistentes frente a los kits modernos de phishing que otras opciones resistentes al phishing.

La autenticación mediante contraseña de un solo uso es útil para reducir algunas formas de acceso no autorizado, pero no proporciona mucha información sobre quién está detrás del intento. En escenarios de mayor riesgo, donde se requiere una verificación adecuada de identidad, las OTP suelen sustituirse o complementarse con biometría.

La verificación facial comienza con una comparación uno a uno: una selfie en vivo se compara con una foto de referencia confiable (a menudo el retrato presente en un documento de identidad). Un flujo habitual incluye la captura, controles de calidad de imagen y, posteriormente, la comprobación de los rostros mediante un umbral definido y la identificación facial frente a una base de datos de personas autorizadas para acceder a un servicio.

Además, suele implementarse una prueba de vida inmediatamente antes de la comprobación de los rostros para prevenir ataques de presentación comunes (fotografías, videos, máscaras mostradas a la cámara, deepfakes) y ataques por inyección. La prueba de vida activa solicita al usuario seguir una instrucción (por ejemplo, girar la cabeza), mientras que la prueba de vida pasiva no requiere una acción específica y, en su lugar, analiza patrones de textura facial y señales sutiles de movimiento.

La biometría documental generalmente se refiere a dos capacidades relacionadas.

La primera consiste en leer el chip RFID integrado en documentos electrónicos (pasaportes electrónicos y muchas identificaciones electrónicas), normalmente mediante NFC. El chip suele contener un identificador biométrico (a menudo una foto de alta calidad), un identificador único del chip y una firma digital, y se lee conforme a los estándares sin contacto ISO/IEC 14443 utilizando el hardware NFC de un teléfono. En muchos casos, la foto extraída del chip se compara con la imagen obtenida durante el proceso de captura facial descrito anteriormente.

La segunda capacidad consiste en demostrar que el chip y sus datos son auténticos. Se utiliza un método denominado autenticación pasiva para validar la firma digital del chip y detectar manipulaciones, y también se emplean verificaciones de desafío-respuesta, como la autenticación activa u otros controles relacionados de autenticación del chip, para obtener evidencias más sólidas.

La biometría constituye una alternativa más sólida en los siguientes casos de uso:

• Incorporación basada en documentos, donde las verificaciones basadas en chip y la comprobación liveness de documentos pueden aportar pruebas sólidas de que el documento de identidad es auténtico, y la comprobación de los rostros puede vincular la sesión con el titular del documento.

• Recuperación de cuentas y reverificación, donde se necesita una mayor certeza sobre la persona y no solo sobre el buzón de correo o el número de teléfono.

• Acciones de alto riesgo, como cambiar datos de pago, agregar un nuevo dispositivo o restablecer configuraciones de seguridad.

En conjunto, la verificación documental y biométrica, junto con mecanismos adicionales de autenticación, proporcionan un enfoque multicapa que protege las cuentas frente al acceso no autorizado.

Si está evaluando diferentes métodos de autenticación para su producto, esta breve comparación puede ayudarle a extraer algunas conclusiones:

Una contraseña de un solo uso es una herramienta que puede añadirse a un flujo de inicio de sesión. La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) describen la configuración general, es decir, que el proceso de inicio de sesión utiliza dos o más verificaciones independientes. La OTP suele utilizarse como una de esas verificaciones, pero solo fortalece la seguridad cuando realmente es independiente del primer paso y resulta difícil de eludir.

La diferencia clave radica en el origen de la OTP. Con una aplicación autenticadora, la aplicación y el servicio comparten un secreto compartido (una clave secreta creada durante la configuración), de modo que el servidor de autenticación puede confirmar el código OTP calculando cuál debería ser dentro de una ventana temporal breve y sensible al tiempo.
Con SMS o correo electrónico, el código se entrega a través de un canal que puede ser comprometido, y los procesos de recuperación pueden debilitar silenciosamente todo el diseño si un atacante que controla el mismo número telefónico o buzón de correo puede restablecer la cuenta.

Las OTP requieren que el usuario introduzca un código. Las passkeys no. Con las passkeys, el dispositivo del usuario demuestra que pertenece al sitio web legítimo mediante criptografía de clave pública, por lo que no existe ningún código que un atacante pueda simplemente copiar y reutilizar.

Esto es especialmente importante frente al phishing. Una contraseña de un solo uso todavía puede ser robada y utilizada de inmediato si la víctima la introduce en una página falsa que la retransmite en tiempo real, razón por la cual la autenticación OTP no se considera resistente al phishing. Las passkeys están diseñadas para dificultar mucho más este tipo de retransmisión porque el dispositivo verifica con qué sitio está interactuando antes de aprobar el inicio de sesión.

Las llaves de seguridad físicas funcionan de manera similar a las passkeys, pero son dispositivos independientes, como una llave FIDO2. En lugar de leer e introducir un código, el usuario conecta la llave (o la acerca al dispositivo) y esta realiza una verificación criptográfica con el sitio legítimo.

En comparación con las OTP, la principal ventaja es que no existe un código OTP que pueda interceptarse o retransmitirse. La principal desventaja es práctica: las llaves deben comprarse, distribuirse, reemplazarse cuando se pierden y mantenerse. Las OTP son más fáciles de implementar rápidamente porque la autenticación mediante contraseña de un solo uso puede funcionar a través de aplicaciones autenticadoras o códigos enviados a dispositivos que los usuarios ya poseen.

Las solicitudes push envían una petición de inicio de sesión a un dispositivo confiable y solicitan al usuario que la apruebe. Esto puede ser más rápido que introducir un código y puede resultar más fluido en el uso diario, especialmente para usuarios que inician sesión con frecuencia.

El riesgo es conductual. Si los atacantes ya disponen de una contraseña, pueden generar solicitudes de aprobación repetidas hasta que el usuario pulse “Aprobar” por hábito o cansancio, un patrón que suele denominarse fatiga de aprobación. Las OTP evitan ese problema específico porque el usuario debe leer e introducir activamente un código, pero también tienen su propia debilidad: el código puede ser objeto de phishing y retransmitirse de inmediato durante un ataque en tiempo real.

Los enlaces mágicos permiten iniciar sesión enviando un enlace clicable por correo electrónico.
Las OTP enviadas por correo electrónico también dependen del correo electrónico, pero requieren que el usuario introduzca un código corto en lugar de hacer clic en un enlace. En ambos casos, el control del buzón es el factor decisivo, por lo que, si la cuenta de correo se ve comprometida, el método puede fallar.

La diferencia práctica radica en la comodidad y la confiabilidad. Los enlaces mágicos reducen los errores de escritura, pero los enlaces pueden retrasarse, expirar, abrirse en el dispositivo equivocado o verse afectados por sistemas de seguridad de correo electrónico que hacen clic automáticamente en los enlaces para analizarlos. Las OTP por correo electrónico pueden resultar más sencillas cuando el usuario inicia sesión en un dispositivo y consulta el correo en otro, ya que introducir el código OTP evita cambiar constantemente entre aplicaciones y dispositivos.

Las OTP son una característica de seguridad útil, pero presentan limitaciones claras. Pueden ser capturadas y retransmitidas durante ataques de phishing en tiempo real, y principalmente demuestran acceso a un dispositivo o canal, no la identidad de la persona que está detrás.

Por ello, en contextos de alto riesgo pueden ser más adecuadas opciones más sólidas: passkeys o llaves de seguridad físicas para lograr resistencia al phishing, y biometría cuando sea necesario verificar la identidad en situaciones como la recuperación de cuentas, la reactivación de cuentas o acciones sensibles donde el acceso a un canal por sí solo no es suficiente.