Verify API

Qué significa TOTP y cómo funcionan las contraseñas de un solo uso

El TOTP combina una clave secreta con la hora actual para generar contraseñas únicas que caducan en segundos. Así protege tus cuentas.

By Kelsie Anderson

Qué significa TOTP y cómo funcionan las contraseñas de un solo uso

Para completar transacciones, los negocios suelen pedir a sus clientes información sensible: números de tarjeta, direcciones o cualquier otro dato personal identificable. Y toda empresa sabe que fallar en la protección de esos datos puede convertirla en protagonista de titulares sobre filtraciones. Para proteger la información de clientes y empleados, cada vez más negocios adoptan alguna forma de autenticación de dos factores (2FA), y uno de sus métodos más populares es la contraseña de un solo uso basada en tiempo, o TOTP por sus siglas en inglés (time-based one-time password).

Qué es un TOTP

Un TOTP genera una contraseña única para cada intento de inicio de sesión. A diferencia de una contraseña convencional, un TOTP solo es válido por un periodo corto de tiempo. Al combinar una clave secreta con la hora actual, el algoritmo TOTP produce una contraseña única que puede usarse una sola vez.

Esta contraseña, que cambia aproximadamente cada 30 segundos, se genera típicamente con una app en el smartphone (como las apps autenticadoras) o con un token físico. Cuando el usuario inicia sesión en un sitio o servicio que requiere TOTP, ingresa la contraseña de un solo uso vigente junto con sus credenciales habituales para completar la autenticación. El estándar está definido por la IETF en el RFC 6238 y es la base de la mayoría de las apps autenticadoras que ya usas, por ejemplo, para entrar a tu banca en línea o a tus herramientas de trabajo.

Por qué los TOTP protegen mejor que las contraseñas

Las contraseñas tradicionales son susceptibles a los intentos de hackeo: si un atacante obtiene las credenciales de un usuario, puede entrar a su cuenta y acceder a información sensible, como datos personales o financieros. Los TOTP están diseñados para impedir el acceso no autorizado incluso si el atacante ya obtuvo las credenciales, porque además necesitaría el código vigente, que caduca en segundos y nunca se repite.

Ventajas clave:

  • Validez corta: aunque alguien intercepte el código, no podrá usarlo pasada la ventana de tiempo.
  • Unicidad: cada TOTP es único y de un solo uso, lo que elimina el riesgo de reutilización.
  • Generación sin conexión: las apps autenticadoras y los tokens físicos generan códigos sin necesitar red, ideal para usuarios con conectividad limitada.

TOTP frente a otros códigos de un solo uso

Un OTP (one-time password) es cualquier contraseña válida para una sola sesión o transacción; puede entregarse por SMS, llamada, correo o app. El TOTP es la variante basada en tiempo: el servidor y el dispositivo comparten una clave secreta y ambos calculan el mismo código a partir de la hora actual. Su prima, la HOTP, genera códigos a partir de un contador de eventos en lugar del reloj, por lo que un código puede permanecer válido hasta que se usa; por eso el TOTP, con su caducidad automática, se considera más seguro.

Ningún método es perfecto: los TOTP pueden ser víctimas de phishing en tiempo real, dependen de un secreto compartido que debe custodiarse bien y requieren sincronización de reloj entre dispositivo y servidor. Por eso conviene combinarlos con límites de intentos y buenas prácticas de implementación.

Implementa la verificación con Telnyx

Si estás construyendo flujos de autenticación para tu aplicación, la Verify API de Telnyx se encarga de la generación, la entrega y la verificación de códigos de un solo uso por SMS, llamada de voz, flash call o WhatsApp, con lógica de reintentos y límites de tasa incluidos, y con la opción de ofrecer TOTP por app como método complementario para tus usuarios de mayor valor.

Preguntas frecuentes

¿Qué significa TOTP?

TOTP son las siglas en inglés de time-based one-time password: una contraseña de un solo uso basada en tiempo. Se genera combinando una clave secreta con la hora actual y se renueva aproximadamente cada 30 segundos.

¿Cuál es la diferencia entre OTP y TOTP?

Un OTP es cualquier contraseña de un solo uso, sin importar cómo se genere o entregue. El TOTP es el tipo de OTP que usa la hora actual como fuente de unicidad, por lo que cada código caduca automáticamente en una ventana corta.

¿Necesito internet para generar un TOTP?

No. Las apps autenticadoras y los tokens físicos calculan el código localmente a partir de la clave secreta y el reloj del dispositivo, así que funcionan sin conexión; solo importa que la hora del dispositivo esté sincronizada.


Protege las cuentas de tus usuarios con verificación confiable. Implementa códigos de un solo uso por SMS, voz, flash call o WhatsApp con la Verify API de Telnyx. Agenda una demo gratuita con nuestro equipo.

Share on Social