Las contraseñas de un solo uso (one-time-password) (OTP) también pueden basarse en hash (HOTP) y, más allá de lo que se pueda creer, son una buena alternativa a los procedimientos normales de autenticación de dos factores que no están libres de riesgos. Violarlas no es algo común, se requieren herramientas y habilidades.
La autenticación de múltiples factores es un elemento fundamental para la seguridad, pero por sí sola no es suficiente. Aunque se necesiten tecnologías y conocimientos no al alcance de todos, puede ser violada. Además, con el perfeccionamiento de las técnicas de hacking mediante inteligencia artificial y el deepfake que permite imitar rostros y voces, la ciberseguridad en sentido amplio se ve desafiada.
Para aumentar el nivel de impenetrabilidad de un sistema, se pueden elegir variantes más avanzadas de la autenticación de múltiples factores (MFA), representadas por OTP, TOTP y HOTP. Sin embargo, también hay inconvenientes conocidos, como los Bot OTP.
¿Qué es una OTP?
Acrónimo de “One-Time-Password” (contraseña de un solo uso), las OTP son contraseñas que solo se pueden utilizar una vez y esto, por sí solo, proporciona una garantía adicional en comparación con las contraseñas tradicionales, que son siempre iguales y se pueden utilizar durante un período de tiempo variable según las políticas de la empresa.
Las OTP son una combinación de caracteres numéricos o alfanuméricos más difíciles de violar porque solo se pueden usar una vez y, por lo general, se envían a un dispositivo proporcionado al usuario.
Hasta aquí, es típicamente una autenticación de múltiples factores. Sin embargo, las OTP son de dos tipos:
- TOTP, contraseñas de un solo uso válidas por un período limitado de tiempo (segundos o minutos).
- HOTP, contraseñas de un solo uso con hash. Un servidor o un generador de contraseñas crea códigos temporales de un solo uso que se envían a los usuarios por SMS, correo electrónico o mediante una aplicación específica para dispositivos móviles.
Las TOTP
Son contraseñas de un solo uso de tipo “basado en el tiempo” (“Time-based”), es decir, con una duración limitada que, por lo general, son válidas durante 15-60 segundos, pero según el recurso al que se accede y las políticas, puede variar hasta varios días. Una vez que ha pasado el tiempo asignado, el código ya no se puede usar y es necesario asignar uno nuevo. Cuanto más corta sea la vida del código, más difícil será violarlo.
Aquí intervienen dos factores discriminantes: una persona no autorizada debe obtener el código en un período de tiempo limitado. Incluso teniendo el dispositivo móvil en el que el usuario recibe el TOTP (teléfono inteligente, generador de códigos, etc.), debe poder acceder a él rápidamente. Dos condiciones no imposibles, pero difíciles de cumplir.
Las HOTP
Son contraseñas de un solo uso basadas en HMAC, es decir, un código de autenticación que utiliza una función hash. Mediante HMAC, se garantiza la integridad y autenticidad de un mensaje.
La versión simple sugiere que la contraseña HOTP se puede actualizar manualmente y es típica de los autenticadores (como el de Google) que permiten generar un nuevo código a solicitud del usuario.
La tecnología para generar contraseñas HOTP no está vinculada a una función de hash específica, tanto es así que las más utilizadas son MD5 y SHA-1, que ya no se consideran seguras. Además, las HOTP datan de 2005 y, por lo tanto, son anteriores a las TOTP (2008), lo que significa que esta última es una evolución de la primera, a pesar de que el hash sugiere un alto nivel de seguridad.
Por esta razón, a lo largo de los años, las HOTP se han ido dejando de lado lentamente a favor de las más prácticas y seguras TOTP.
Las HOTP y las TOTP deben considerarse sólidas, y las primeras son ventajosas especialmente para quienes tienen problemas motores y les resultaría difícil ingresar un código en un período de tiempo corto. Las diferencias entre HOTP y TOTP son pocas pero significativas.
| HOTP | TOTP |
|---|---|
| Asigna un nuevo código después de cada uso | Se restablece a intervalos determinados (en función del tiempo) |
| Más expuesto a ataques | Menos expuesto a ataques |
| Más fácil de usar para las personas con discapacidad | Menos fácil de usar para las personas con discapacidad |
Los Bot OTP y Trucos Útiles
Los Bot OTP son programas utilizados para obtener contraseñas de un solo uso y, por lo tanto, acceder a sistemas en lugar de los usuarios autorizados. A menudo se asocian con técnicas de phishing mediante las cuales se contacta a la víctima y se la engaña para que comparta su propio código OTP.
Los remedios son siempre los mismos: no hay razón alguna para divulgar las propias credenciales (nombre de usuario y contraseña) y el propio código OTP, excepto, en el límite, al servicio de asistencia de la empresa para la cual se trabaja. Dado que los Bot OTP son parte integral de campañas de phishing, siempre se aplica la regla de no hacer clic en enlaces de correos electrónicos sospechosos o de los cuales no se conozca el remitente.
Una alternativa válida es el TOTP con un breve tiempo de vencimiento del código, por ejemplo, 15 segundos. Suficiente tiempo para que un usuario lo ingrese como credencial de acceso a un sistema, pero un tiempo muy ajustado para ser comunicado a un tercero para que complete el proceso de autenticación.
Conclusiones
Implementar un procedimiento de acceso a un recurso mediante nombre de usuario, contraseña y código OTP, TOTP o HOTP es una estrategia válida, aunque no se pueda considerar la única defensa implementada por una organización.
Para hacerla aún más efectiva, se recomienda que el código generado no se envíe por SMS (que puede ser visto por miradas indiscretas), sino mediante aplicaciones específicas para dispositivos móviles, a su vez protegidas por acceso biométrico. Esto impone un nivel adicional de certeza.
