Las contraseñas son la primera línea de defensa para proteger nuestra información personal y profesional. Desde cuentas bancarias y correos electrónicos hasta los perfiles en redes sociales, son la llave que protege el acceso a nuestra privacidad. Sin embargo, los ciberataques cada vez son más sofisticados y las estafas más difíciles de detectar. Además, se ha demostrado que una combinación de caracteres no es suficiente para mantener nuestra identidad a salvo.
Las contraseñas robustas y complejas, que alternen caracteres con mayúsculas, minúsculas y caracteres especiales como !@-)^*, no garantizan una protección completa. Los ciberdelincuentes han desarrollado técnicas avanzadas como el phishing o el cracking que pueden comprometer incluso las contraseñas más seguras. Por esto es muy importante reforzar estas contraseñas con métodos adicionales de autenticación que ofrezcan una capa extra de seguridad.
Una de estas soluciones avanzadas son las contraseñas OTP (One-Time Password), TOTP (Time Based One-Time Password) y HOTP (HMAC-Based One-Time Password). En este artículo te contamos qué son los conceptos de OTP, TOTP y HOTP, sus diferencias y qué aportan cada una de ellas.
¿Qué son los códigos OTP y cómo funcionan?
Puede que las siglas suenen un poco raras, así que lo primera es definir qué es OTP. Son contraseñas de un solo uso con códigos de seguridad que solo se pueden usar una vez antes de que se restablezcan. Las contraseñas estáticas, que son las que estamos acostumbrados a usar, son fáciles de descifrar y más aún si no las cambiamos con cierta periodicidad.
Los códigos OTP implican la generación de un código único basado en algoritmo. Se generan para usarse una sola vez y tienen una vida útil muy corta, lo que los hace difíciles de predecir y utilizar. Cada OTP es única y son combinaciones de letras y números que se mandan al usuario vía SMS, app de autenticación o correo electrónico.
Tipos de contraseñas de un solo uso (OTP)
Existen dos tipos principales de contraseñas de un solo uso (OTP): TOTP y HOTP. Ambos proporcionan un nivel adicional de seguridad al generar códigos únicos y temporales, pero tienen algunas diferencias a la hora de generarse y su forma de uso.
TOTP: contraseñas de un solo uso basadas en el tiempo
Los códigos TOTP son contraseñas de un solo uso basadas en el tiempo. Caducan en un plazo determinado que, generalmente, suele estar entre los 15 y los 50 segundos. Una vez pasa ese tiempo, el algoritmo vuelve a crear un nuevo código reduciendo el riesgo de uso no autorizado. Esto acaba con la facilidad de filtración de las contraseñas estáticas.
Los códigos TOTP son comunes en aplicaciones que ofrecen un segundo factor de autenticación y autorización como Latch, una innovadora app que actúa como pestillo digital ofreciendo una capa adicional de protección para tus cuentas y servicios online. Puedes utilizar los códigos TOTP de Latch en todos los servicios que quieras, como tus cuentas de Instagram, Facebook, Gmail o Amazon.
HOTP: contraseñas de un solo uso basada en HMAC
Suscríbete a nuestra newsletter!
Entérate antes que nadie de nuestras ofertas y novedades
Las contraseñas HOTP se generan utilizando un contador que incrementa cada vez que se solicita un nuevo código. Este método permite que el código sea válido hasta que se utilice. Por ejemplo, a la hora de hacer una transacción en el banco, una vez la autorizas con tu contraseña, recibes en tu móvil un código de seguridad adicional para poder completarla.
TOTP vs HOTP: diferencias y ventajas
Aunque los HOTP son menos comunes que los TOTP, ambos generadores de contraseñas seguras incrementan la protección de las cuentas al asegurar que cada código sea único y difícil de predecir.
La primera diferencia que tienen entra ambos es su fecha de desarrollo, los HOTP fueron en 2005 y las TOTP en 2008. Por lo que vemos que esta última es la evolución de la anterior, pese a que ambas convivan en la actualidad.
La gran diferencia entre HOTP vs TOTP, y la que convierte a las TOTP en más segura, es el factor del tiempo. Es más difícil hacerse con un código que dura pocos segundos frente a uno que puede estar sin usarse durante minutos. Aunque las TOTP dan problemas en dispositivos lentos o que no tienen mucha conectividad.
Otra de las diferencias es la accesibilidad. La velocidad con la que se actualizan los códigos TOTP puede ser a veces un reto, porque suele venir de forma predeterminada por la app, y hay que tener cierta agilidad para introducir la contraseña antes de que se actualice. Esto especialmente afecta a las personas mayores o con dificultades. Las HOTP son más accesibles porque no presentan ningún tiempo límite, por lo que el usuario puede tomarse más calma.
Ya ves que, pese a que son muy parecidas y ofrecen más seguridad a tus cuentas ambas tienen algunas diferencias. Los códigos TOTP son una versión mejorada, aunque las necesidades personales pueden llevarte a elegir una u otra.
Mejora la seguridad con TU Latch: funcionalidad accesos con TOTP
Antes hablábamos de Latch como una app que integra códigos de seguridad TOTP. Es un servicio que ofrece TU, para aportar un segundo factor de autorización (2FA) a la hora de gestionar las identidades digitales en diferentes servicios online.
Desde la funcionalidad de “Accesos” puedes integrar tantas cuentas como quieras. Solo tienes que ir al servicio que quieras proteger como Instagram, Amazon o Microsoft. Después, aunque puede variar según cada dominio, has de ir al apartado “Configuración y Privacidad”, después al de “Seguridad” que muestra “Autenticación en dos factores” y dentro la opción de “App de autenticación”. Una vez abierta la app de Latch, desde dentro de “Accesos” pulsa el botón de “Añadir cuenta” e introduce el código que ves, y ya se integra automáticamente el servicio elegido a la pantalla de inicio.
Latch es una app que ofrece todo lo que necesitas para proteger tus servicios digitales, con la tecnología de ciberseguridad más puntera. Es una aplicación gratuita y muy intuitiva de usar.
Graduado en Comunicación Audiovisual y en un máster en Dirección de Marketing, interesado en la innovación y en cómo conectar las marcas con las personas. Madrileño con tintes pamplonicas y seguidor del Atlético de Madrid. Actualmente aprendo en el equipo de marketing de Telefónica Innovación Digital.