¿Qué es una contraseña de un solo uso?

Una contraseña de un solo uso o OTP es un código de seguridad diseñado para ser utilizado en un solo intento de inicio de sesión, para minimizar el riesgo de intentos de inicio de sesión fraudulentos y mantener una alta seguridad. Es una cadena de caracteres o números generados automáticamente y enviados al teléfono del usuario a través de un SMS, una voz o un mensaje Push.

La OTP se ha convertido en el método estándar en todo el mundo para habilitar un inicio de sesión cuando se dan circunstancias especiales, como la validación de una nueva cuenta o la confirmación de que una transacción es legítima. También se conoce como PIN de un solo uso, código de autorización de un solo uso (OTAC) o contraseña dinámica, y suele ser un número de seis dígitos que se envía al teléfono del cliente a través de un mensaje de texto SMS y que éste introduce en el sitio o la aplicación en la que intenta iniciar sesión.

¿Por qué utilizar contraseñas de un solo uso?

Cada día se envían millones de contraseñas de un solo uso en todo el mundo, y una gran parte de ellas se envían por SMS. Y no es para menos: la gente tiene sus teléfonos móviles a mano las 24 horas del día y, como posesión personal valiosa, un teléfono suele ser utilizado por una sola persona, lo que lo convierte en un canal excelente para confirmar que alguien es quien dice ser.

La idea general de una contraseña de un solo uso es añadir un segundo filtro de autenticación para adelantarse a la ciberdelincuencia y proteger a su organización contra los efectos catastróficos del fraude en su negocio.

El riesgo de fraude se reduce drásticamente si el usuario no sólo tiene que rellenar su nombre de usuario y contraseña (algo que conoce), sino que también necesita algo que "tiene" para completar el inicio de sesión. Este "algo" puede ser el teléfono del usuario. Las OTPs vienen en todas las formas y tamaños, pero siempre añaden una capa extra de autenticación.

¿Cómo funciona una contraseña de un solo uso?

Las OTPs se utilizan cuando una transacción necesita seguridad adicional o un método alternativo para probar la identidad de un cliente. Cuando se produce una situación reconocida un cliente que necesita un recordatorio de su contraseña, un banco que confirma una transacción fuera de patrón, y muchos otros casos (véase más abajo) se solicita una OTP, ya sea por el propio cliente o por la institución con la que está tratando. 

La OTP se genera automáticamente como un número o cadena de caracteres semialeatorios. No hay forma de predecir cuál será la OTP con antelación; además, las OTP suelen tener un tiempo limitado, utilizable sólo durante unos minutos.  

Hay varias formas de enviar una OTP. Algunos ofrecen la opción de recibir las OTPs por correo electrónico, aunque esto tiende a ser menos seguro. Otros proveedores incluso habilitan las OTPs como mensajes de voz, diciendo el PIN en voz alta cuando el cliente comprueba el buzón. Pero la forma más común de enviar OTPs es, con mucho, la mensajería móvil, normalmente un texto SMS al teléfono móvil del cliente.

Ejemplos de contraseñas de un solo uso

Estos son 3 ejemplos de contraseñas de un solo uso que debes de conocer para ponerlas en práctica según tu negocio y estrategia: 

Contraseña de un solo uso como mensaje SMS

Originalmente, la mayoría de las OTP se enviaban como mensajes SMS. Una vez que el usuario ha comenzado su intento de inicio de sesión, rellenando su nombre de usuario y la contraseña correcta, se envía una OTP por SMS al número de móvil conectado a su cuenta. A continuación, el usuario introduce este código que se muestra en este teléfono en la pantalla de inicio de sesión, completando el proceso de autenticación de OTP. 

Contraseña de un solo uso como mensaje de voz

Una alternativa a la contraseña de un solo uso a través de SMS es la voz. Con Voz, la contraseña hablada se recibe como una llamada telefónica en el móvil del usuario. La contraseña no se almacenará en el teléfono del usuario y voz le permite llegar a los usuarios con visión limitada. También puede implementar la Voz como un respaldo en caso de que su SMS no sea entregado. 

Contraseña de un solo uso como notificación push

El proceso de autenticación de dos factores utilizando contraseñas de un solo uso vía Push es similar al OTP por SMS. En el procedimiento de inicio de sesión en su entorno en línea, un código generado automáticamente se envía como una notificación push a su aplicación en el teléfono del usuario. A continuación, el usuario tiene que copiar ese código en la pantalla de inicio de sesión para verificar su identidad. Esto significa que necesitarás una aplicación dedicada.  

¿Por qué es segura una contraseña de un solo uso?

Aunque parezca sencillo, el envío de una OTP al teléfono móvil de un cliente conlleva una sorprendente cantidad de tecnología. Aunque las OTPs enviadas por SMS no están encriptadas en tránsito, utilizan otros métodos para asegurar que sólo la persona autorizada pueda utilizarlas. 

Las OTPs utilizan las mejores prácticas probadas 

Los modelos habituales de seguridad en el inicio de sesión, como la autenticación de dos factores (TFA) y la autenticación fuerte de clientes (SCA), adoptan el enfoque de que múltiples factores, cada uno inseguro por sí mismo, pueden combinarse para permitir una seguridad mucho mayor. Estas prácticas no son exclusivas de la OTP: son métodos estándar que se utilizan en todo el sector de la seguridad. 

Los factores de la autenticación multifactorial

En su forma más básica, estos modelos combinan lo que alguien tiene (como un teléfono móvil personal) con lo que alguien sabe (como su propia dirección de correo electrónico) y/o lo que alguien es, incluyendo preguntas de desafío como el lugar de nacimiento de los padres. En conjunto, la combinación de un dispositivo personal, un código de acceso semialeatorio (la OTP) y una breve "ventana" para introducirlo satisface muchos casos de uso para un inicio de sesión seguro. 

Generación de códigos OTP encriptados

El PIN que llega al teléfono del cliente no procede de una lista y no se almacena durante ningún tiempo. Se genera del mismo modo que las claves criptográficas que protegen las cuentas bancarias: una "función hash de una sola vía" que implica la generación y multiplicación de grandes números primos. Este método tiene una cualidad muy útil: son códigos relativamente fáciles de generar, pero prácticamente imposibles de "rastrear", es decir, de descubrir cómo se generó el código revisando el resultado. 

Esto significa que la OTP que ve el cliente es realmente impredecible: aunque un mal actor tuviera listas de millones de OTPs, no hay ningún "patrón" que le permita saber qué OTP se generará para un determinado cliente en el futuro.  

Las OTP tienen una utilidad limitada en el tiempo

Además de la postura de seguridad, la vida útil de una OTP es muy corta: rara vez supera la media hora, y a veces sólo unos minutos. En otras palabras, la situación a la que responden es muy limitada en el tiempo. Es el cliente que está sentado en su escritorio intentando conectarse a su cuenta, o el cliente que está en el mostrador de ventas confirmando que su pago es legítimo.  

Este es otro punto a favor del uso de los SMS frente a otros canales. Aunque este no se diseñó originalmente como una tecnología de mensajería instantánea, en la práctica la mayoría de las redes móviles mundiales transmiten un mensaje de texto desde el origen hasta el destinatario en sólo unos segundos.  

¡Y las OTPs son de un solo uso!

Además, las OTPs sólo pueden utilizarse en una única ocasión. Una vez caducadas, son inútiles, y la misma OTP no puede utilizarse para iniciar sesión más de una vez ni siquiera dentro de su ventana de tiempo utilizable: esto se conoce como "no repetición". Incluso si las OTPs pudieran ser fácilmente hackeadas, este factor de tiempo hace que el hackeo de estas sea un ejercicio casi sin valor.

¿Cómo enviar contraseñas de un solo uso?

No es necesario ser una red móvil para hacer uso de las OTPs. Proveedores como CM.com ofrecen este servicio con una plataforma segura para recibir o iniciar solicitudes de contraseñas de un solo uso, esta envía como un texto u otro canal, y verificar que se ha introducido correctamente, para que la transacción pueda seguir adelante. 

La infraestructura para hacer uso de las contraseñas de un solo uso se integra con su sitio web o aplicación mediante una API. Así es como un sitio "sabe" si una OTP introducida es correcta o no, con salvaguardias como la comprobación de que está dentro del plazo. Cuando recibes una OTP para acceder a tu cuenta bancaria o realizar una transacción, la organización no está utilizando un software que ha desarrollado internamente, sino un proveedor de servicios OTP como CM.com. 

Ventajas del uso de contraseñas de un solo uso

Las OTPs gozan de una amplia familiaridad por parte de los clientes

Muy pocas personas necesitan aprender a utilizar una OTP; los códigos de un solo uso son una práctica común para todo, desde la activación de una tarjeta bancaria hasta el restablecimiento de una contraseña. Y, por supuesto, en un mundo con casi el doble de dispositivos móviles que de personas, casi todos los que necesitan una OTP tienen acceso a un teléfono móvil. 

La tecnología probada garantiza una alta fiabilidad

Las contraseñas de un solo uso enviadas por SMS no son infalibles, las OTPs pueden perderse en tránsito, pero la gran mayoría se entregan como se esperaba, en minutos o menos. E incluso en el raro caso de una entrega fallida, el cliente puede simplemente pedir otra OTP. 

Las OTPs satisfacen un amplio número de escenarios

Además, los usos de las OTP son múltiples. Aunque son más comunes en el sector financiero, cada vez lo son más en sitios web y aplicaciones de todo tipo, siempre que sea necesario verificar la identidad o los derechos de acceso de un usuario. El principio general de las OTP es que añaden una capa adicional de seguridad a un proceso ya seguro: los "factores múltiples" de TFA y SCA.

Añadir este tipo de autenticación multifactorial a la cuenta de un individuo significa que, incluso si la dirección de correo electrónico y la contraseña se ven comprometidas (es decir, si un mal actor las aprende), habría que cometer otros delitos antes de poder realizar cualquier intento de inicio de sesión con éxito, como robar el teléfono móvil del cliente.

Casos de uso de las OTPs

Activación de tarjetas de pago bancarias

Cada año se emiten millones de tarjetas de plástico. Cada tarjeta necesita una "activación", es decir, la confirmación de que la nueva tarjeta está en posesión de su legítimo propietario. Esta activación suele realizarse con un código OTP, que suele enviarse en forma de SMS al teléfono del cliente. 

Detección de transacciones fuera de patrón

El software de reconocimiento de fraudes se basa en patrones: las personas tienden a actuar de manera similar una y otra vez, como gastar una cantidad predecible el mismo día cada semana en una tienda de comestibles.  

Si una transacción tiene características inusuales como estar en un país diferente, por un importe inusual, o simplemente a una hora extraña del día la transacción se marcará como "fuera de patrón". Una OTP puede resolver a menudo estas situaciones, confirmando que la persona que realiza esa transacción es la autorizada. 

Confirmación de transacciones de alto valor

Cuando el precio de una transacción supera un determinado nivel, se puede utilizar una OTP para confirmar que todo va según lo previsto; en principio, no es diferente a introducir el PIN cuando el pago sin contacto supera una cifra determinada (como 100 libras en el Reino Unido). Muchos usuarios aprecian la seguridad adicional que ofrece una OTP en estas situaciones.

Cómo lidiar con las contraseñas perdidas

Un caso de uso muy común para las OTPs es, por supuesto, la pérdida de contraseñas. Hoy en día, en la web, los recordatorios de contraseñas son cada vez más raros, ya que el correo electrónico no es totalmente seguro. En su lugar, se suele pedir a los usuarios que restablezcan la contraseña. La contraseña de un solo uso, generada y enviada a petición del usuario, le permite establecer una nueva contraseña para cualquier sitio o aplicación que esté visitando.

Acceso a los servicios gubernamentales

En un contexto en el que los departamentos gubernamentales suelen estar lejos de estar integrados dando a los ciudadanos cuentas separadas para los impuestos personales, los impuestos de las empresas, los registros sanitarios, las licencias de conducir, las solicitudes de pasaporte, etc. 

Las contraseñas de un solo uso pueden ser un factor unificador, ayudando a los ciudadanos a acceder a los diferentes servicios gubernamentales sin demasiado dolor.

Reconocer dispositivos desconocidos

El consumidor medio posee hoy en día más de un dispositivo, y muchos de ellos están conectados a redes móviles, lo que crea un problema para los operadores de sitios y aplicaciones, ya que muchos procesos de seguridad comprueban las credenciales del dispositivo (conocido o no), así como las del usuario.

Los escenarios típicos son los servicios de streaming en los que muchos dispositivos comparten un inicio de sesión, y los dispositivos en WiFi público. Una OTP confirma que un nuevo dispositivo es legítimo, o no. 

Onboarding para servicios

No todos los casos de uso de las OTP por SMS giran en torno a la web y las finanzas. El "Onboarding" la introducción de un nuevo usuario en un servicio de cualquier tipo, desde las tarjetas de seguridad de los edificios hasta los poseedores de entradas en los festivales- utilizan cada vez más las OTP para confirmar la identidad de alguien. 

Limitar el acceso a la información privada

Algunos conjuntos de datos contienen información sensible como el historial médico de una persona, pero deben ser accesibles para una serie de usuarios, como sus médicos. En este caso, las OTPs cumplen varias condiciones: no sólo pueden conceder acceso a las personas adecuadas, sino también registrar quién ha accedido a esos datos y con qué frecuencia.