En un mundo digital donde las contraseñas ya no son suficientes para proteger nuestras cuentas, las herramientas OTP (One-Time Password) se han convertido en una capa adicional esencial para mantener a salvo nuestra identidad, nuestros datos y nuestra privacidad.
Una OTP es una contraseña que solo se puede usar una vez, y que suele tener una validez de unos pocos segundos. Es un código numérico que se genera de forma automática y que sirve para verificar la identidad de un usuario cuando se accede a una cuenta o se realiza una operación sensible. Aunque existen varios tipos de OTP, el más común en el ámbito personal y empresarial es el TOTP (Time-based One-Time Password), que genera un nuevo código cada 30 segundos.
Este código no es generado de forma manual, ni se recibe por SMS (algo que puede ser interceptado). Lo genera una app de autenticación en el dispositivo del usuario, a partir de una clave secreta compartida cuando se activa la verificación en dos pasos (2FA) en la cuenta del usuario.
¿Por qué usar herramientas OTP?
Utilizar OTP como parte de un sistema de verificación en dos pasos (2FA) mejora radicalmente la seguridad de las cuentas, incluso si alguien averigua la contraseña principal. Este sistema de seguridad evita accesos no autorizados: Un atacante necesitaría también el código temporal generado por la app OTP, lo cual requiere acceso físico al dispositivo. Esto reduce, por ejemplo, el impacto del phishing: Aunque un atacante consiga la contraseña con técnicas de ingeniería social, no podrá acceder sin el código temporal.
Además, esta solución de seguridad no depende de la red móvil: A diferencia de los códigos enviados por SMS, una app OTP funciona sin necesidad de estar conectada a Internet.
Este sistema de seguridad ofrece compatibilidad con múltiples servicios: Plataformas como Google, GitHub, Microsoft, Dropbox, Amazon o incluso bancos ya ofrecen integración con autenticación OTP.
Diversidad en las herramientas
Hay muchas apps de autenticación disponibles: Google Authenticator, Microsoft Authenticator, Authy, 1Password, entre otras. Cada una tiene sus ventajas y limitaciones en cuanto a sincronización, respaldo o interfaz de usuario. Además, cada una de ellas ofrece distintos niveles de accesibilidad en su interfaz de usuario y limitaciones a la hora de importar y exportar los tokens de autenticación entre otros dispositivos y aplicaciones OTP. Por ejemplo, el proyecto Free OTP ofrece una solución de código libre que implementa los protocolos HOTP y TOTP garantizando la mayor compatibilidad con los distintos servicios de OTP.
Es aconsejable utilizar una herramienta en la que confiemos y que permita exportar e importar las claves que tengamos almacenadas ya que estas operaciones son necesarias cuando llega ese momento de cambiar de dispositivo de seguridad.
Problemas de accesibilidad
Junto a los posibles problemas de accesibilidad en la interfaz de usuario que pueda tener el cliente OTP que estemos utilizando, hay que mencionar que el proceso de autenticación puede presentar barreras de accesibilidad a algunas personas con discapacidad o poca soltura tecnológica.
El proceso consiste en copiar un número de 6 cifras desde una aplicación en nuestro teléfono móvil a una página web o una ventana de autenticación de usuario donde hay un campo numérico donde se nos solicita esa contraseña numérica. El problema es que tenemos menos de 30 segundos para completar este proceso.
Algunos clientes OTP incorporan la función de almacenar en el portapapeles la contraseña generada, evitando la necesidad de memorizar el número.
También si estamos utilizando el ecosistema de Apple, podemos copiar el número en nuestro iPhone y pegarlo desde el portapapeles del Mac gracias al servicio de interoperabilidad de Apple llamado Continuity.
Otra solución puede ser tener un cliente OTP también en nuestro equipo de escritorio o equipo portátil y así podemos obtener estas contraseñas OTP en nuestro dispositivo móvil o nuestro equipo de trabajo.