Saltar al contenido
>_ITDITDPlataforma de seguridad web

Glosario

¿Qué es una contraseña de un solo uso (OTP)? TOTP frente a HOTP frente a SMS, y sus límites

Una contraseña de un solo uso (OTP) es un código válido solo una vez y por poco tiempo. Diferencias entre el TOTP de una app, el HOTP por contador y un código SMS, por qué resiste las contraseñas filtradas y su límite: el phishing con atacante en el medio aún puede vencerla. Defensivo, sin pasos de ataque.

Publicado 2026-07-02 Actualizado 2026-07-02 4 min de lectura

De un solo uso y desechable: eso es una contraseña de un solo uso (OTP). Aquí tienes los tipos y un límite que a menudo se pasa por alto: el phishing aún puede vencerla (sin pasos de ataque).

Los tipos: TOTP / HOTP / SMS-OTP

A todos se los mete en el mismo saco de «códigos desechables», pero se dividen en tres según cómo se generan.

TOTP (basado en tiempo)

La app lo calcula a partir de un secreto compartido + la hora actual. Rota cada 30 s aprox. Funciona sin conexión.

HOTP (contador)

Avanza por un contador, no por tiempo. Cada pulsación da el código siguiente. Usado por tokens de hardware.

SMS-OTP

Envía el código por SMS. Cómodo pero débil ante el SIM-swap y la retransmisión: el método más frágil.

Los tres métodos principales de OTP. La fortaleza se reduce a «¿puedes entregarlo a un sitio falso?».

Todos comparten la naturaleza «de un solo uso, efímero», así que aunque una contraseña fija se filtre, el código en sí es difícil de reutilizar. El TOTP en particular se calcula dentro de la app sin ningún ida y vuelta por la red, así que no tiene una vía de interceptación como sí tiene el SMS.

Fortalezas y límites: aún puedes «entregarla» al phishing

La OTP parchea las debilidades de las contraseñas fijas, pero no es una bala de plata. El límite decisivo es que un humano lee y escribe el código.

Dónde funciona la OTP

  • detiene las tomas de control por contraseñas filtradas / reutilizadas
  • aunque se vea, deja de valer enseguida y es difícil de reutilizar
  • el TOTP de la app de autenticación funciona sin conexión y resiste mejor la interceptación que el SMS

Dónde falla la OTP

  • phishing con atacante en el medio (AiTM): un sitio falso retransmite la OTP al real e inicia sesión
  • SIM-swap: secuestrar el número de teléfono y desviar el SMS-OTP
  • causa raíz = un humano puede entregar el código a un sitio falso (no está ligado al dominio)

La visión de este sitio: la OTP es un tramo intermedio; el destino son las passkeys

La OTP es un primer paso excelente para salir de «solo contraseña». De hecho, sea SMS o TOTP, con solo activarla se detienen la mayoría de las tomas de control. Pero este sitio trata la OTP como un tramo intermedio, no el destino. Mientras el phishing con atacante en el medio sea una amenaza real, el estado final es una passkey (FIDO2), cuya firma está ligada al dominio y estructuralmente no puede presentarse a un sitio falso. La prioridad está clara: activa primero la OTP en todo, y luego eleva tus cuentas llave del reino (correo, dominio, pagos) a passkeys. La idea es no depender de «detectar el sitio falso con cuidado».

Sigue leyendo

FAQ

Q¿En qué se diferencia una contraseña de un solo uso de una contraseña normal?
A

Una contraseña normal permanece igual (fija) hasta que la cambias, así que una vez filtrada se puede abusar de ella hasta que la rotes. Una contraseña de un solo uso (OTP) es desechable —válida solo una vez y por poco tiempo— y deja de valer en cuanto se usa. Eso la hace difícil de reutilizar aunque alguien la vea, cubriendo las debilidades de las contraseñas fijas (fugas y reutilización). Muchos servicios la usan como una segunda prueba sobre tu contraseña, como uno de los métodos de la autenticación de dos factores.

Q¿Es segura una contraseña de un solo uso por SMS?
A

Es claramente más fuerte que una contraseña sola, pero es el tipo de OTP más débil. El SMS puede interceptarse mediante SIM-swap (secuestro de tu número de teléfono) o desviarse mediante phishing con atacante en el medio, donde un sitio falso lo retransmite. Donde puedas, pásate al TOTP de una app de autenticación y, para cuentas importantes, a una passkey.

Q¿Por qué el código de la app de autenticación cambia cada 30 segundos más o menos?
A

Porque es un TOTP (contraseña de un solo uso basada en tiempo). La app y el servicio calculan cada uno el mismo código a partir de un secreto compartido y la hora actual, en un intervalo fijo (a menudo 30 segundos). Cuando pasa el intervalo, el código antiguo deja de valer y uno nuevo lo reemplaza. Mantenerlo efímero reduce la ventana en la que un código robado se puede usar.