Las co­n­tra­se­ñas co­n­ve­n­cio­na­les tienen muchos puntos débiles, incluso las bien ela­bo­ra­das y co­n­si­de­ra­das, en principio, co­n­tra­se­ñas seguras. El problema principal es que, si una co­n­tra­se­ña se usa de forma regular, existe el riesgo de que haya personas no au­to­ri­za­das que puedan acceder a ella. A menudo, este acceso frau­du­le­n­to se consigue mediante ataques de replay: una persona no au­to­ri­za­da in­te­r­ce­p­ta la co­n­tra­se­ña y luego la usa para una nueva au­te­n­ti­ca­ción.

Ni siquiera hace falta ningún descuido: en los últimos años ha habido numerosos ejemplos en los que incluso las páginas de empresas de lo más serio han sufrido ci­ber­ata­ques y miles de datos de clientes acabaron en las manos equi­vo­ca­das.

¿Cómo puedes pro­te­ge­r­te frente a esta realidad? Una de las opciones es cambiar la co­n­tra­se­ña con re­gu­la­ri­dad, a poder ser, cada poco tiempo. No obstante, evi­de­n­te­me­n­te, no es muy cómodo cambiar las co­n­tra­se­ñas con fre­cue­n­cia. Así que otra solución bastante más sencilla es la One-Time Password (co­n­tra­se­ña de un solo uso).

Ce­r­ti­fi­ca­do SSL
Protégete y compra un ce­r­ti­fi­ca­do SSL

Evita aparecer en la barra del navegador como "página no segura" y consigue la confianza de tus clientes con una página web con en­cri­p­ta­ción SSL.

¿Qué es una One-Time Password (OTP)?

Una One-Time Password es una co­n­tra­se­ña que solo se puede usar una vez y luego pierde su vigencia. En español se le suele denominar co­n­tra­se­ña de un solo uso o co­n­tra­se­ña de uso único. A veces también se usa la abre­via­tu­ra inglesa OTP o el término compuesto, código OTP.

Por norma general, la co­n­tra­se­ña de un solo uso se compone de un código OTP al­fa­nu­mé­ri­co (letras y números) y se genera para un solo proceso de inicio de sesión. Una vez que el usuario ha iniciado la sesión con la One-Time Password, esta pierde su vigencia y ya no podrá usarse para el siguiente inicio de sesión.

Es muy común que las co­n­tra­se­ñas de un solo uso se empleen como parte de una au­te­n­ti­ca­ción de doble factor, como en la banca ele­c­tró­ni­ca y cada vez en más empresas. Primero se in­tro­du­cen los datos de inicio de sesión co­n­ve­n­cio­na­les. Luego, el usuario genera una co­n­tra­se­ña dinámica de un solo uso, por ejemplo, con un generador de códigos, que también es necesario para la au­te­n­ti­fi­ca­ción.

Este paso adicional aumenta no­ta­ble­me­n­te el nivel de seguridad: si una persona no au­to­ri­za­da logra hacerse con la co­n­tra­se­ña normal durante este proceso de inicio de sesión, todavía le falta la co­n­tra­se­ña dinámica de un solo uso que solo se genera cuando sea necesario. Es por ello que cada vez más servicios online se pasan a la au­te­n­ti­fi­ca­ción de doble factor, sobre todo cuando se trata de in­fo­r­ma­ción sensible.

Nota

No confundas la abre­via­tu­ra OPT de One-Time Password con el One-Time Pad, que también se abrevia OTP. Este es otro pro­ce­di­mie­n­to de co­di­fi­ca­ción, co­n­si­de­ra­do muy seguro, pero bastante más co­m­pli­ca­do que la apli­ca­ción de la One-Time Password.

¿Cómo funciona una co­n­tra­se­ña OTP?

Para que un inicio de sesión con One-Time Password llegue a buen puerto, tanto el usuario como el sistema en el que se va a usar, deben conocer la One-Time Password. Para ga­ra­n­ti­zar que esto ocurra existen dos métodos di­fe­re­n­tes.

Lista de co­n­tra­se­ñas

Una lista de co­n­tra­se­ñas es la forma más sencilla de emplear One-Time Passwords. Se crea una lista previa con varias co­n­tra­se­ñas que conocen tanto el usuario como el sistema. Si se emplea una de las co­n­tra­se­ñas de un solo uso, el usuario si­m­ple­me­n­te la tacha de la lista.

La de­s­ve­n­ta­ja de esta opción es evidente: si el usuario pierde la lista, puede caer en manos de personas no au­to­ri­za­das. Aunque este tipo de listas con co­n­tra­se­ñas One-Time Password sigue em­pleá­n­do­se en la banca ele­c­tró­ni­ca, cada vez son más los pro­vee­do­res que se pasan a las co­n­tra­se­ñas OTP de ge­ne­ra­ción dinámica por la de­s­ve­n­ta­ja que co­me­n­ta­mos an­te­rio­r­me­n­te.

One-Time Passwords generadas de manera dinámica

Las co­n­tra­se­ñas de un solo uso generadas de forma dinámica son ac­tua­l­me­n­te el método más empleado. Una elección muy frecuente es, por ejemplo, los ge­ne­ra­do­res de co­n­tra­se­ñas de hardware: pequeños di­s­po­si­ti­vos en forma de llavero o cubo que generan una co­n­tra­se­ña siempre que haga falta.

Estos di­s­po­si­ti­vos también se denominan token OTP. Por norma general, todos disponen de una pantalla y generan una One-Time Password para el co­rre­s­po­n­die­n­te proceso de inicio de sesión con solo pulsar un botón. Estas One-Time Passwords se suelen usar ha­bi­tua­l­me­n­te junto con otros elementos de au­te­n­ti­ca­ción como códigos PIN o ide­n­ti­fi­ca­cio­nes de usuario.

Para crear una One-Time Password se emplea un algoritmo especial, encargado de generar la co­n­tra­se­ña cuando se necesite. Para ello, existen tres po­si­bi­li­da­des:

  • Ac­ti­va­ción por tiempo
  • Ac­ti­va­ción por evento
  • Solicitud del servidor

Ac­ti­va­ción por tiempo

En este pro­ce­di­mie­n­to, el generador de co­n­tra­se­ñas (cliente) y el servidor generan co­n­tra­se­ñas adaptadas y te­m­po­ra­l­me­n­te si­n­cro­ni­za­das mediante el mismo algoritmo. Una Time-based One-Time Password (TOTP) de este tipo es conocida tanto por el usuario como el servidor y su validez está ligada a un período de tiempo de­te­r­mi­na­do de forma precisa, no­r­ma­l­me­n­te suele oscilar entre uno y quince minutos.

Ac­ti­va­ción por evento

Las One-Time Passwords activadas por evento se crean al ejecutar una acción de­te­r­mi­na­da, por ejemplo, el ac­cio­na­mie­n­to de una tecla en el token generador. Al igual que en el proceso activado por tiempo, el usuario y el servidor usan el mismo algoritmo. La co­n­tra­se­ña se calcula sobre la base de la co­n­tra­se­ña vigente an­te­rio­r­me­n­te y así se puede comparar con el servidor.

Solicitud del servidor (ac­ti­va­ción por estímulo-respuesta)

En este pro­ce­di­mie­n­to, el servidor lanza una solicitud (estímulo) que el cliente debe responder (respuesta). El cliente recibe un valor de­te­r­mi­na­do del servidor y calcula la One-Time Password a partir de ese valor. Como el servidor conoce el algoritmo y el valor indicado, puede comprobar la co­n­tra­se­ña generada.

¿Cuándo tiene sentido emplear una One-Time Password?

Las One-Time Passwords son muy re­co­me­n­da­bles en todas las páginas web y servicios online que manejen datos es­pe­cia­l­me­n­te sensibles e im­po­r­ta­n­tes. Por ejemplo:

  • Banca ele­c­tró­ni­ca
  • Servicios fi­na­n­cie­ros como depósitos de acciones online o mercados de valores para cri­p­to­mo­ne­das
  • Datos sensibles de empresas
  • Canales de co­mu­ni­ca­ción co­n­fi­de­n­cia­les

Las One-Time Passwords no son ne­ce­sa­rias para todas las páginas web. Pero, en general, debes ase­gu­rar­te de emplear co­n­tra­se­ñas seguras, incluso si usas una co­n­tra­se­ña en repetidas ocasiones. Los estudios indican que, a pesar del aumento de la ci­be­r­de­li­n­cue­n­cia, los usuarios no son lo su­fi­cie­n­te­me­n­te co­n­s­cie­n­tes del riesgo al que están expuestos.

Consejo

Al margen del pro­ce­di­mie­n­to OTP, existen otros métodos in­te­re­sa­n­tes para aumentar la seguridad que podrían ganar pro­ta­go­ni­s­mo en el futuro. Entre ellos se encuentra el nuevo estándar WebAuthn que promete terminar para siempre con la necesidad de memorizar co­n­tra­se­ñas.

Vista general de las ventajas e in­co­n­ve­nie­n­tes de las One-Time Passwords

Ventajas De­s­ve­n­ta­jas
Riesgo mínimo en caso de ataques de replay Requieren te­c­no­lo­gía adicional
Im­po­si­bi­li­dad de que una co­n­tra­se­Ã±a robada se use en varias páginas o servicios Los tokens de seguridad pueden fallar o averiarse
Mayor seguridad para el usuario El proceso de ge­ne­ra­ción de las co­n­tra­se­Ã±as OTP es, en parte, muy co­m­pli­ca­do
Compra y registra tu dominio ideal
  • Ce­r­ti­fi­ca­do SSL Wildcard gratis
  • Registro privado
  • Función Domain Connect para una co­n­fi­gu­ra­ción DNS si­m­pli­fi­ca­da gratis
Ir al menú principal