¿Qué es TOTP?

| Última modificación: 10 de junio de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes qué es TOTP y para qué se utiliza en ciberseguridad?

La autenticación de usuarios se ha convertido en un elemento crucial para la ciberseguridad de las aplicaciones. De este modo, se busca reducir al máximo el riesgo de suplantación de identidad de los clientes que acceden a sus cuentas. A pesar de que los usuarios deben tener contraseñas robustas y que estas deben almacenarse correctamente, también se debe asumir que un atacante podría acceder a estas claves.

Que un atacante robe o adivine una clave no es un evento improbable en el día a día. De hecho, cabe recordar que la mayoría de usuarios escogen contraseñas fáciles para sus cuentas y no las almacenan debidamente. Por ese motivo, no sobra estar altamente preparados para un ataque de suplantación de identidad.

Uno de los principales métodos que se está aplicando actualmente para reforzar la seguridad del inicio de sesión de los usuarios es la autenticación de factores múltiples (MFA). Esta consiste en que los usuarios, además de sus contraseñas, deben ingresar un código que se renueva automáticamente cada veinte segundos. A este código se accede por medio de una aplicación en el teléfono móvil o un pendrive.

En este post, hablaremos sobre la tecnología que hace posible que la autenticación de factor múltiple funcione por medio de dichos códigos, que se generan de forma automática. A continuación, te explicaremos qué es TOTP (Time-based One-time Password) y cómo se utiliza en ciberseguridad.

¿Qué es TOTP?

TOTP son las siglas de Time-based One-time Password, que significa contraseña de un solo uso basada en tiempo. Este tipo de contraseñas, como su nombre indica, se utilizan solo una vez para iniciar sesión en una cuenta. El motivo es que dicha credencial cambia constantemente de manera aleatoria para que sea totalmente imposible de adivinar.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Ahora bien, saber cómo se accede a un TOTP también es importante a la hora de evaluar su seguridad. Existen diferentes aplicaciones para generar estos códigos de forma rápida y automática, que son altamente compatibles con todo tipo de softwares y páginas web. Sin embargo, cada una de estas aplicaciones tiene diferentes características, que varían según las necesidades de sus usuarios.

Aplicaciones de TOTP

Ya hemos visto qué es TOTP y cuál es su función en ciberseguridad. A continuación, hablaremos sobre algunas de las aplicaciones más utilizadas para esta tecnología y qué diferencias presentan entre sí.

  • FreeOTP: es una aplicación de código libre que puede ser modificada según las necesidades de cada usuario. Al igual que otras aplicaciones de autenticación de factor múltiple, es altamente compatible con diferentes páginas de inicio y se vincula a estas por medio de códigos QR.
  • Authy: es una aplicación que destaca porque utiliza una clave maestra para acceder a la aplicación totp . Además, permite acceder a estos códigos desde otros dispositivos, lo cual permite resolver el problema de perder u olvidar el segundo dispositivo que permite la autenticación.
  • Microsoft Authenticator: es una aplicación gratuita de autenticación de factor múltiple que genera totp usado de seis dígitos, los cuales cambian cada veinte o treinta segundos. Esta aplicación es altamente compatible con cualquier cuenta Microsoft, por lo cual se recomienda para las organizaciones que usan los servicios de software de esta compañía. Sin embargo, también es compatible con otras aplicaciones y funciona sin problema.
  • Google Authenticator: funciona del mismo modo que Microsoft Authenticator y ambas aplicaciones son compatibles con cuentas de todo tipo. Sin embargo, ninguna de estas apps de MFA cuentan con funciones de inicio de sesión sin contraseña o el uso de claves maestras para acceder a los TOTP.
  • LastPass Authenticator: LastPass es un gestor de contraseñas que sirve para generar y almacenar credenciales de forma segura. Asimismo, ofrece servicios de autenticación de factor múltiple por medio de su propia aplicación, llamada LastPass Authenticator. Al aprender qué es TOTP, es útil conocer aplicaciones como LastPass Authenticator, que permiten iniciar sesión sin contraseña y acceder a los TOTP fácilmente, pero de forma segura.
  • Duo Mobile: es una aplicación móvil gratuita para MFA. Es altamente compatible con otras aplicaciones y se asocia con las cuentas por medio del escaneo de códigos QR. No obstante, Duo Mobile no cuenta con funciones extra como las que hemos mencionado antes, lo cual significa que es una herramienta útil, pero que no se recomienda tanto para entornos corporativos.

¿Cómo aprender más sobre TOTP?

Ya hemos visto qué es TOTP. Si quieres aprender más sobre herramientas del Blue Team, o a obtener totp generado por el dispositivo , ingresa a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un gran especialista del sector en tan solo 7 meses. ¿A qué sigues esperando para cambiar tu vida y alcanzar tus metas? ¡Inscríbete ya y triunfa en el mercado laboral IT!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado