One-Time Password (OTP): mayor seguridad en la red

Las contraseñas convencionales tienen muchos puntos débiles, incluso las bien elaboradas y consideradas, en principio, contraseñas seguras. El problema principal es que, si una contraseña se usa de forma regular, existe el riesgo de que haya personas no autorizadas que puedan acceder a ella. A menudo, este acceso fraudulento se consigue mediante ataques de replay: una persona no autorizada intercepta la contraseña y luego la usa para una nueva autenticación.

Ni siquiera hace falta ningún descuido: en los últimos años ha habido numerosos ejemplos en los que incluso las páginas de empresas de lo más serio han sufrido ciberataques y miles de datos de clientes acabaron en las manos equivocadas.

¿Cómo puedes protegerte frente a esta realidad? Una de las opciones es cambiar la contraseña con regularidad, a poder ser, cada poco tiempo. No obstante, evidentemente, no es muy cómodo cambiar las contraseñas con frecuencia. Así que otra solución bastante más sencilla es la One-Time Password (contraseña de un solo uso).

Una One-Time Password es una contraseña que solo se puede usar una vez y luego pierde su vigencia. En español se le suele denominar contraseña de un solo uso o contraseña de uso único. A veces también se usa la abreviatura inglesa OTP o el término compuesto, código OTP.

Por norma general, la contraseña de un solo uso se compone de un código OTP alfanumérico (letras y números) y se genera para un solo proceso de inicio de sesión. Una vez que el usuario ha iniciado la sesión con la One-Time Password, esta pierde su vigencia y ya no podrá usarse para el siguiente inicio de sesión.

Es muy común que las contraseñas de un solo uso se empleen como parte de una autenticación de doble factor, como en la banca electrónica y cada vez en más empresas. Primero se introducen los datos de inicio de sesión convencionales. Luego, el usuario genera una contraseña dinámica de un solo uso, por ejemplo, con un generador de códigos, que también es necesario para la autentificación.

Este paso adicional aumenta notablemente el nivel de seguridad: si una persona no autorizada logra hacerse con la contraseña normal durante este proceso de inicio de sesión, todavía le falta la contraseña dinámica de un solo uso que solo se genera cuando sea necesario. Es por ello que cada vez más servicios online se pasan a la autentificación de doble factor, sobre todo cuando se trata de información sensible.

Para que un inicio de sesión con One-Time Password llegue a buen puerto, tanto el usuario como el sistema en el que se va a usar, deben conocer la One-Time Password. Para garantizar que esto ocurra existen dos métodos diferentes.

Una lista de contraseñas es la forma más sencilla de emplear One-Time Passwords. Se crea una lista previa con varias contraseñas que conocen tanto el usuario como el sistema. Si se emplea una de las contraseñas de un solo uso, el usuario simplemente la tacha de la lista.

La desventaja de esta opción es evidente: si el usuario pierde la lista, puede caer en manos de personas no autorizadas. Aunque este tipo de listas con contraseñas One-Time Password sigue empleándose en la banca electrónica, cada vez son más los proveedores que se pasan a las contraseñas OTP de generación dinámica por la desventaja que comentamos anteriormente.

Las contraseñas de un solo uso generadas de forma dinámica son actualmente el método más empleado. Una elección muy frecuente es, por ejemplo, los generadores de contraseñas de hardware: pequeños dispositivos en forma de llavero o cubo que generan una contraseña siempre que haga falta.

Estos dispositivos también se denominan token OTP. Por norma general, todos disponen de una pantalla y generan una One-Time Password para el correspondiente proceso de inicio de sesión con solo pulsar un botón. Estas One-Time Passwords se suelen usar habitualmente junto con otros elementos de autenticación como códigos PIN o identificaciones de usuario.

Para crear una One-Time Password se emplea un algoritmo especial, encargado de generar la contraseña cuando se necesite. Para ello, existen tres posibilidades:

• Activación por tiempo
• Activación por evento
• Solicitud del servidor

En este procedimiento, el generador de contraseñas (cliente) y el servidor generan contraseñas adaptadas y temporalmente sincronizadas mediante el mismo algoritmo. Una Time-based One-Time Password (TOTP) de este tipo es conocida tanto por el usuario como el servidor y su validez está ligada a un período de tiempo determinado de forma precisa, normalmente suele oscilar entre uno y quince minutos.

Las One-Time Passwords activadas por evento se crean al ejecutar una acción determinada, por ejemplo, el accionamiento de una tecla en el token generador. Al igual que en el proceso activado por tiempo, el usuario y el servidor usan el mismo algoritmo. La contraseña se calcula sobre la base de la contraseña vigente anteriormente y así se puede comparar con el servidor.

En este procedimiento, el servidor lanza una solicitud (estímulo) que el cliente debe responder (respuesta). El cliente recibe un valor determinado del servidor y calcula la One-Time Password a partir de ese valor. Como el servidor conoce el algoritmo y el valor indicado, puede comprobar la contraseña generada.

Las One-Time Passwords son muy recomendables en todas las páginas web y servicios online que manejen datos especialmente sensibles e importantes. Por ejemplo:

• Banca electrónica
• Servicios financieros como depósitos de acciones online o mercados de valores para criptomonedas
• Datos sensibles de empresas
• Canales de comunicación confidenciales

Las One-Time Passwords no son necesarias para todas las páginas web. Pero, en general, debes asegurarte de emplear contraseñas seguras, incluso si usas una contraseña en repetidas ocasiones. Los estudios indican que, a pesar del aumento de la ciberdelincuencia, los usuarios no son lo suficientemente conscientes del riesgo al que están expuestos.