¿Qué es la autenticación OTP? Cómo funciona, riesgos y alternativas (2026)

Los códigos de acceso de un solo uso (OTP) han sido una pieza fundamental de la seguridad en línea durante más de dos décadas. Si alguna vez has recibido un código de seis dígitos por mensaje de texto para iniciar sesión en tu banco, has utilizado uno. Pero a medida que los ciberataques se vuelven más sofisticados, la pregunta que se plantean las organizaciones y los equipos de seguridad ha pasado de ser «¿deberíamos utilizar los OTP?» a «¿siguen siendo los OTP lo suficientemente seguros?».

En este artículo se explica qué es la autenticación mediante OTP, cómo funcionan los distintos tipos, los riesgos de seguridad específicos que conlleva cada uno de ellos y por qué la verificación biométrica facial está sustituyendo cada vez más a los OTP como método de autenticación preferido para casos de uso que requieren un alto nivel de seguridad.

¿Qué es OTP? Significado y definición

Una OTP es un código generado por ordenador que es válido para una sola sesión de autenticación y caduca al cabo de un breve periodo de tiempo, normalmente entre 30 y 120 segundos, o inmediatamente después de su uso.

A diferencia de una contraseña estática, que permanece igual hasta que el usuario la cambia, una contraseña de un solo uso (OTP) es única en cada ocasión. Esto elimina el riesgo de ataques de reutilización de credenciales, en los que un atacante reutiliza una contraseña interceptada. Las OTP se envían a través de un mensaje de texto SMS, correo electrónico, una aplicación de autenticación o un dispositivo de token físico.

La autenticación OTP se utiliza habitualmente como parte de la autenticación multifactorial (MFA), ya que cumple con el factor de posesión, es decir, el nivel de seguridad basado en «lo que tienes». Se parte de la base de que solo el usuario legítimo tiene acceso al dispositivo o al buzón de correo electrónico en el que se recibe el código.

¿Cómo funciona la OTP?

El proceso básico de OTP consta de tres pasos:

1. El usuario intenta iniciar sesión o realizar una transacción.
2. El sistema genera un código único y de validez limitada y lo envía al dispositivo o a la dirección de correo electrónico registrados del usuario.
3. El usuario introduce el código para autenticarse. Se concede la sesión si el código coincide y no ha caducado.

Las OTP se generan utilizando uno de los dos algoritmos subyacentes:

• HOTP (contraseña de un solo uso basada en HMAC): el código se genera a partir de un contador que se incrementa con cada evento de autenticación. El código sigue siendo válido hasta que se utiliza, en lugar de caducar tras un periodo de tiempo determinado.
• TOTP (contraseña de un solo uso basada en el tiempo):el código se genera en función de la hora actual y caduca tras un intervalo fijo, normalmente de 30 segundos. Las aplicaciones de autenticación como Google Authenticator utilizan TOTP.

En el caso de las contraseñas de un solo uso (OTP) por SMS, no se utiliza ninguno de los dos algoritmos: el código se genera simplemente en el servidor y se transmite a través de la red móvil, sin ningún vínculo criptográfico con el dispositivo del usuario.

Los principales tipos de autenticación OTP

• Código OTP por SMS: un código de un solo uso que se envía a tu número de móvil mediante un mensaje de texto. Es el formato más utilizado, pero también el más vulnerable.
• Código OTP por correo electrónico:un código que se envía a la bandeja de entrada de tu correo electrónico registrado. Es cómodo, pero depende de la seguridad de la cuenta de correo electrónico.
• TOTP (basado en el tiempo, generado por una aplicación): un código cambiante generado por una aplicación de autenticación (Google Authenticator, Microsoft Authenticator, Authy). Es más seguro que los SMS, ya que no se transmite a través de la red telefónica. Suele tener una validez de 30 segundos.
• HOTP (basado en contador): un código que se incrementa con cada uso en lugar de caducar tras un tiempo determinado. Se utiliza en algunas implementaciones de tokens de hardware.
• Token de hardware:un dispositivo físico específico (que no es un smartphone) que muestra un código de un solo uso. Es habitual en entornos empresariales y de servicios financieros.

Autenticación OTP: ¿Cuál es el problema?

Mela Abesamis siempre se había considerado cuidadosa en materia de ciberseguridad. Conocía bien los ataques de phishing y otras tácticas habituales de fraude, y sabía cómo detectarlas. También estaba acostumbrada a recibir de su banco contraseñas de un solo uso (OTP), enviadas por SMS a su dispositivo móvil para autenticar su identidad.

Pero en diciembre de 2021, Mela recibió un mensaje de su banco en el que se le informaba de que se habían transferido 50 025 pesos filipinos (unos 950 dólares) de su cuenta a nombre de Mark Nagoyo. Esa fue la primera y única indicación que recibió de que se había realizado una transferencia de dinero. Nunca había oído hablar de Mark Nagoyo, desde luego no había realizado el pago y no había recibido ningún código de acceso de un solo uso durante la transacción.

No era la única. Más de 700 titulares de cuentas se vieron afectados por el fraude. En filipino, la palabra «nagoyo» significa «tomar el pelo a alguien».

Finalmente, cinco personas fueron imputadas por esta estafa. Los estafadores utilizaron técnicas de phishing para obtener las credenciales de acceso a las cuentas bancarias. De este modo, pudieron eludir por completo los controles de seguridad basados en códigos OTP del banco —las víctimas denunciaron que las transacciones se procesaban sin que se activara ningún código OTP— y vaciar las cuentas bancarias de las personas.

El banco reembolsó las cantidades afectadas, pero esto no compensó totalmente la traumática experiencia para las víctimas.

Este es solo un ejemplo de cómo la autenticación mediante contraseña de un solo uso (OTP) se está convirtiendo en un reto cada vez menor para unos atacantes cada vez más sofisticados. En este artículo se analiza exactamente cómo funcionan esos ataques y cuáles son las alternativas más seguras.

¿Son seguras las contraseñas de un solo uso?

Los códigos de uso único (OTP) son más seguros que las contraseñas estáticas por sí solas. Dado que cada código es único y caduca rápidamente, el hecho de interceptar uno no proporciona al atacante credenciales reutilizables.

Sin embargo, las contraseñas de un solo uso (OTP) tienen una limitación estructural fundamental: solo satisfacen el factor de autenticación basado en la posesión —«lo que tienes»—. Cualquier dispositivo o bandeja de entrada que reciba el código puede verse comprometido. Un teléfono robado, un número de teléfono secuestrado o un código obtenido mediante phishing anulan por completo la autenticación mediante OTP, sin que el atacante tenga que descifrar ningún sistema criptográfico.

El consenso entre los investigadores en materia de seguridad y los organismos reguladores ha cambiado. Las Directrices sobre identidad digital del NIST (SP 800-63B) restringen ahora explícitamente el uso de contraseñas de un solo uso (OTP) enviadas por SMS para la autenticación de alta seguridad, debido a su vulnerabilidad a la interceptación. Del mismo modo, el Centro Nacional de Ciberseguridad del Reino Unido aconseja a las organizaciones que dejen de utilizar factores de autenticación secundarios basados en SMS siempre que existan alternativas disponibles.

En resumen: los OTP son mejores que las contraseñas por sí solas, pero no son lo suficientemente seguros para casos de uso que requieran un alto nivel de seguridad, y las técnicas de ataque dirigidas contra ellos son cada vez más fáciles de llevar a cabo a gran escala.

¿Se puede piratear el OTP?

Sí, y existen varios métodos bien documentados que utilizan los atacantes para interceptar o eludir la autenticación mediante OTP sin necesidad de acceder físicamente al dispositivo de la víctima.

Ataques de suplantación de tarjeta SIM

El ataque mediante códigos OTP por SMS más habitual. El estafador recopila datos personales de la víctima —mediante phishing, filtraciones de datos o ingeniería social— y los utiliza para convencer al operador de telefonía móvil de la víctima de que transfiera el número de teléfono a una tarjeta SIM controlada por el atacante. A partir de ese momento, todos los mensajes SMS posteriores, incluidos los códigos OTP, se envían al atacante.

El fraude por suplantación de SIM se está disparando. La organización británica de control del fraude Cifas registró un aumento del 1055 % en los casos de suplantación de SIM no autorizada en 2024, pasando de 289 casos en 2023 a casi 3000. En EE. UU., el Centro de Denuncias de Delitos en Internet del FBI registró pérdidas por intercambio de tarjetas SIM por valor de 26 millones de dólares en 2024, y un solo caso dio lugar a una sentencia arbitral de 33 millones de dólares contra T-Mobile después de que un intercambio permitiera el robo de criptomonedas.

La vulnerabilidad del protocolo SS7

El SS7 (Sistema de Señalización n.º 7) es un protocolo con décadas de antigüedad que constituye la base principal de las redes móviles 2G y 3G, incluido el enrutamiento de SMS. Presenta un fallo de diseño que permite a los atacantes con acceso a la red SS7 —por lo general, grupos delictivos sofisticados o actores estatales— interceptar llamadas y mensajes de texto en tránsito, incluidas las contraseñas de un solo uso (OTP).

En Alemania, unos estafadores aprovecharon el protocolo SS7 a través de un operador de red extranjero para interceptar a gran escala los códigos OTP enviados por SMS a los clientes de O2 Telefónica, lo que les permitió vaciar las cuentas bancarias de un número indeterminado de clientes.

Interceptación de phishing y códigos OTP en tiempo real

Una modalidad de ataque cada vez más frecuente y especialmente peligrosa. Los kits de herramientas de «adversario en el medio» —entre los que se incluyen marcos de trabajo ampliamente disponibles como Evilginx— permiten a los atacantes crear versiones proxy muy convincentes de páginas de inicio de sesión legítimas. Cuando una víctima introduce sus credenciales y la contraseña de un solo uso (OTP), el servidor del atacante captura ambos datos en tiempo real y los reenvía al sitio auténtico antes de que caduque la OTP. De este modo, el atacante obtiene acceso completo a la sesión a pesar de que la víctima haya completado correctamente la autenticación multifactorial (MFA).

Este ataque no requiere acceso a la tarjeta SIM, ni aprovechar vulnerabilidades del protocolo SS7, ni malware: solo una página de phishing convincente y un relé automatizado. Es eficaz tanto contra las contraseñas de un solo uso (OTP) por SMS como contra las de correo electrónico y las TOTP.

Riesgos específicos del TOTP

El TOTP basado en aplicaciones es más resistente a la interceptación que los SMS, pero sigue teniendo puntos débiles que pueden ser objeto de ataques:

• Robo o compromiso de seguridad del dispositivo. Si un atacante consigue acceder a un dispositivo que contiene una aplicación de autenticación —y ese mismo dispositivo se utiliza para completar la transacción—, los «dos factores» se reducen a uno solo. La clasificación de la autenticación multifactorial (MFA) pasa a ser cuestionable.
• Exposición de los códigos de recuperación. La mayoría de las aplicaciones de autenticación generan códigos de recuperación durante la configuración. Si esos códigos se almacenan de forma insegura (en una aplicación de notas, en un correo electrónico o en una copia de seguridad en la nube), se convierten en un punto único de fallo.
• Ingeniería social. Cada vez es más frecuente que los atacantes llamen a sus víctimas en tiempo real, haciéndose pasar por equipos de prevención del fraude bancario, y las presionen para que les lean su código TOTP durante una llamada de «verificación de la cuenta».

¿Cuáles son los riesgos de seguridad de la autenticación OTP?

El problema fundamental de la autenticación mediante OTP es que solo cumple con el factor de autenticación basado en la posesión. Lo que tienes —ya sea tu teléfono móvil o un token físico— puede perderse, ser robado, verse comprometido o ser suplantado a nivel del operador. A continuación se ofrece un resumen de los principales vectores de riesgo según el tipo de OTP.

Riesgos de seguridad de los códigos OTP por SMS

Como se ha visto en el caso de Filipinas, los atacantes no necesitan robar tu teléfono para burlar la contraseña de un solo uso (OTP) enviada por SMS. Los mensajes de texto no están cifrados y están vinculados a un número de teléfono, no a un dispositivo concreto. Los principales vectores de ataque son el intercambio de tarjetas SIM, la explotación del protocolo SS7 y el phishing en tiempo real, todos ellos tratados en detalle anteriormente.

Riesgos de seguridad de TOTP

La autenticación TOTP y la basada en aplicaciones ofrecen mayor seguridad que los SMS, ya que el código se genera localmente y no se transmite a través de la red de un operador. Sin embargo, como se ha señalado, el compromiso del dispositivo, el phishing en tiempo real y la ingeniería social siguen siendo vías de ataque viables. Además, la autenticación TOTP solo cumple el factor de posesión, lo que plantea dudas sobre si realmente constituye una autenticación multifactorial cuando tanto la transacción como la autenticación tienen lugar en el mismo dispositivo.

¿Ofrece la autenticación OTP una experiencia de usuario anticuada?

La pandemia ha acelerado la demanda de experiencias de usuario fluidas y centradas en el trabajo a distancia. La autenticación mediante OTP se queda atrás en varios aspectos.

Proceso activo

La autenticación OTP requiere una acción por parte del usuario: coger un dispositivo, abrir una aplicación o cambiar de pantalla. El plazo de caducidad de 30 segundos de TOTP implica que los usuarios que no actúan con la suficiente rapidez se enfrentan a errores de autenticación, lo que añade fricción y, en ocasiones, provoca que abandonen el proceso por completo.

Una falta de inclusividad

La autenticación mediante OTP da por sentado que los usuarios disponen de un dispositivo móvil, un número de teléfono válido y la capacidad de seguir instrucciones de varios pasos a través de diferentes pantallas. No todo el mundo cumple estos requisitos. Para los usuarios con determinadas discapacidades, las personas de edad avanzada o quienes carecen de acceso constante a un dispositivo móvil, la seguridad basada en OTP crea auténticas barreras de exclusión. La verificación biométrica también requiere un dispositivo, pero elimina la necesidad de un número de teléfono válido y reduce los pasos cognitivos a una única acción pasiva, lo que se ajusta a las WCAG 2.2 AA.

Autenticación OTP frente a autenticación biométrica: una comparación

Mientras que la autenticación mediante OTP cumple con el factor de posesión («lo que tienes»), la autenticación biométrica cumple con el factor de inherencia: «lo que eres». Tu rostro no se puede perder, ni te lo pueden robar, ni transferirlo a otro número.