OTP (Contraseña de un solo uso)

Una OTP (contraseña de un solo uso) es una cadena de autenticación corta que es válida para exactamente un inicio de sesión o transacción. Después de que se utiliza o después de que expira una ventana de tiempo corta, no puede reutilizarse. Las OTP están diseñadas para mitigar el riesgo de reutilización de contraseñas e interceptación de credenciales: incluso si la OTP se captura en tránsito, no tiene valor una vez consumida.

Las OTP vienen en dos sabores principales. HOTP (contraseña de un solo uso basada en HMAC, RFC 4226) genera códigos a partir de un contador incremental compartido entre el servidor y el cliente. Cada inicio de sesión exitoso incrementa el contador, por lo que los códigos se producen en una secuencia determinista pero no repetitiva. TOTP (contraseña de un solo uso basada en tiempo, RFC 6238) reemplaza el contador con la hora actual, dividida en ventanas discretas típicamente de 30 segundos. Ambos esquemas utilizan un secreto compartido y HMAC-SHA1 (a veces SHA256 o SHA512) para derivar los dígitos visibles del estado subyacente.

En la práctica, la entrega de OTP ocurre a través de varios canales:

• SMS: el servidor genera un código corto aleatorio, lo envía a través de la red del operador, y el usuario lo escribe en el formulario de inicio de sesión. Este es el canal más común y menos seguro.
• Correo electrónico: similar al SMS pero entregado en una bandeja de entrada, más lento y ligeramente más seguro.
• Aplicación autenticadora: código TOTP generado localmente en un dispositivo usando un secreto intercambiado durante la inscripción.
• Notificación push: un prompt de confirmación con un toque a un dispositivo registrado.
• Token de hardware: un dispositivo dedicado (RSA SecurID, YubiKey) que muestra o transmite el código.

Las OTP son un componente de 2FA y autenticación escalonada. La seguridad de un sistema OTP depende enteramente del secreto del material semilla y la integridad del canal de entrega — una OTP entregada por SMS a un número con SIM intercambiada no proporciona protección real. Los códigos TOTP generados localmente son más fuertes porque no hay canal de entrega para interceptar.

Los estándares web modernos (WebAuthn, passkeys) están gradualmente desplazando las OTP porque las OTP siguen siendo susceptibles a phishing: un usuario puede ser engañado para escribir su OTP en una página de inicio de sesión falsa, y un atacante puede reproducirla dentro de la ventana de validez. A pesar de esto, OTP por SMS o aplicación autenticadora sigue siendo el estándar de facto para autenticación de segundo factor en la web de consumo en 2026.