Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Español
Entry № 1280

Contraseña de un solo uso basada en tiempo (TOTP)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Contraseña de un solo uso basada en tiempo (TOTP)?

Contraseña de un solo uso basada en tiempo (TOTP)Algoritmo de contraseña de un solo uso definido en RFC 6238 que deriva un código a partir de un secreto compartido y la hora actual, renovándose cada 30 segundos.

TOTP es un mecanismo de segundo factor muy difundido en el que la aplicación autenticadora del usuario (Google Authenticator, Authy, 1Password) y el servidor comparten una semilla simétrica y calculan el mismo hash HMAC-SHA1 sobre el tiempo Unix actual dividido en ventanas de 30 segundos. El código visible de 6 a 8 dígitos cambia automáticamente y solo es válido durante un breve intervalo, lo que limita el valor de los códigos espiados o robados por phishing. TOTP funciona sin conexión una vez provisionada la semilla, normalmente escaneando un código QR. Sus debilidades principales son los proxies de phishing en tiempo real (AiTM) que retransmiten códigos, el malware en el dispositivo y el compromiso de la semilla en el servidor; cuando es posible se prefieren FIDO2 y las passkeys.

Ejemplos

  1. 01

    Escanear un código QR en Google Authenticator para activar 2FA en una cuenta de GitHub.

  2. 02

    Introducir un código de 6 dígitos de una app autenticadora al iniciar sesión en un portal bancario.

Preguntas frecuentes

¿Qué es Contraseña de un solo uso basada en tiempo (TOTP)?

Algoritmo de contraseña de un solo uso definido en RFC 6238 que deriva un código a partir de un secreto compartido y la hora actual, renovándose cada 30 segundos. Pertenece a la categoría de Identidad y acceso en ciberseguridad.

¿Qué significa Contraseña de un solo uso basada en tiempo (TOTP)?

Algoritmo de contraseña de un solo uso definido en RFC 6238 que deriva un código a partir de un secreto compartido y la hora actual, renovándose cada 30 segundos.

¿Cómo defenderse de Contraseña de un solo uso basada en tiempo (TOTP)?

Las defensas contra Contraseña de un solo uso basada en tiempo (TOTP) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Contraseña de un solo uso basada en tiempo (TOTP)?

Nombres alternativos comunes: RFC 6238, OTP temporal.

Términos relacionados

Véase también