¿Qué es TOTP?

TOTP (Contraseña Única Basada en Tiempo) es un algoritmo ampliamente utilizado para generar códigos de autenticación temporales que cambian cada 30 o 60 segundos. Definido en RFC 6238, TOTP es el estándar detrás de aplicaciones autenticadoras populares como Google Authenticator, Authy y Microsoft Authenticator.

Cómo funciona: TOTP combina una clave secreta compartida con la hora actual a través de una función hash HMAC para producir un código numérico corto (típicamente 6 u 8 dígitos). Dado que tanto el servidor como el cliente comparten el mismo secreto y utilizan la misma referencia de tiempo, generan de forma independiente códigos coincidentes sin necesidad de comunicación de red.

Casos de Uso Comunes

Autenticación de Dos Factores (2FA)

Añade una capa de seguridad adicional más allá de las contraseñas para sistemas de inicio de sesión

Autenticación Multifactor (MFA)

Combina con biometría o claves de hardware para una seguridad más fuerte

Protección de Cuentas de Servicio

Asegura claves API, paneles de administración y cuentas de servicios en la nube

Desarrollo y Pruebas

Verifica implementaciones TOTP durante el desarrollo de aplicaciones

Cómo Funciona TOTP

El algoritmo toma una clave secreta codificada en Base32 y la marca de tiempo Unix actual, divide el tiempo por el período (por ejemplo, 30 segundos) para obtener un valor de contador, luego aplica HMAC con el algoritmo hash elegido (SHA-1, SHA-256 o SHA-512). El resultado se trunca dinámicamente para producir el código numérico final.

Fórmula TOTP

TOTP = Truncate(HMAC-SHA(secret, floor(time / period)))

Table of Contents

1. ¿Qué es TOTP?
- 1.1. Casos de Uso Comunes
- 1.2. Cómo Funciona TOTP
2. Cómo Usar el Generador TOTP
3. Características
4. Preguntas Frecuentes

Cómo Usar el Generador TOTP

Genera Códigos a partir de una Clave Secreta

Ingresa la Clave Secreta

Ingresa tu clave secreta Base32 en el campo de entrada (por ejemplo, JBSWY3DPEHPK3PXP)

Generación Automática de Código

El código TOTP se generará automáticamente con un temporizador de cuenta atrás

Ajusta la Configuración

Configura Algoritmo (SHA-1, SHA-256, SHA-512), Dígitos (6 u 8) y Período (30s o 60s) según sea necesario

Copia el Código

Haz clic en el botón de copiar para copiar el código actual a tu portapapeles

Importa desde una URL otpauth://

Pega la URL

Pega una URL otpauth://totp/... directamente en el campo de entrada

Análisis Automático

La herramienta analizará automáticamente el emisor, nombre de cuenta, secreto y toda la configuración

Actualización de Configuración

Los controles de configuración se actualizarán para coincidir con los parámetros de la URL

Importa desde una Imagen de Código QR

Carga QR

Haz clic en el botón Cargar QR (icono de carga) en el encabezado

Selecciona Imagen

Selecciona un archivo de imagen que contenga un código QR TOTP

Decodificación Automática

El código QR se decodificará y la URL otpauth:// se analizará automáticamente

Guarda y Gestiona Cuentas

Después de ingresar un secreto, haz clic en el botón Guardar para almacenar la cuenta
Se te pedirá que ingreses un nombre para la cuenta
Haz clic en cualquier cuenta guardada para cargar su secreto y configuración
Usa el icono de lápiz o haz doble clic en el nombre de la cuenta para renombrarla
Usa el botón X para eliminar una cuenta de la lista guardada

Exporta como Código QR

Carga Secreto

Ingresa o carga una clave secreta

Mostrar QR

Haz clic en el botón Mostrar QR (icono QR)

Escanea y Transfiere

Escanea con cualquier aplicación autenticadora

Características

Múltiples Algoritmos Hash

Genera códigos TOTP con tres algoritmos HMAC:

SHA-1 — Predeterminado, más compatible
SHA-256 — Seguridad mejorada
SHA-512 — Seguridad máxima

Configuración de Código Personalizable

Personaliza los parámetros de generación de código:

Códigos de 6 u 8 dígitos
Períodos de 30 o 60 segundos
Ajuste automático desde URLs otpauth://

Temporizador de Cuenta Atrás en Tiempo Real

Barra de progreso visual con indicadores de color inteligentes:

Amarillo al 33% restante
Rojo en los últimos 5 segundos
Vista previa del siguiente código mostrada

Soporte de Código QR

Integración completa de código QR:

Importa cargando imágenes QR
Genera códigos QR a partir de secretos
Transfiere a aplicaciones autenticadoras móviles

Gestión de Múltiples Cuentas

Guarda y organiza múltiples cuentas:

Almacena cuentas ilimitadas localmente
Carga rápida de configuraciones guardadas
Renombra y elimina cuentas fácilmente

Análisis de URL otpauth://

Extracción automática de parámetros de URL:

Analiza secreto e información del emisor
Extrae algoritmo y configuración
Formato estándar de autenticador

Tus Datos Permanecen Privados: Toda la generación TOTP ocurre en tu navegador usando Web Crypto API. Las claves secretas nunca se envían a ningún servidor, no recopilamos ni registramos tus datos de autenticación, y las cuentas guardadas se almacenan solo en el localStorage de tu navegador.

Preguntas Frecuentes

¿Cuál es la diferencia entre TOTP y HOTP?

TOTP (Basado en Tiempo) utiliza la hora actual para generar códigos que cambian cada 30 o 60 segundos. HOTP (Basado en HMAC) utiliza un contador que se incrementa con cada uso.

TOTP es más ampliamente adoptado porque los códigos expiran automáticamente, reduciendo el riesgo de ataques de repetición. Esta herramienta solo admite TOTP.

¿Qué algoritmo debo usar?

SHA-1 es el algoritmo predeterminado y más ampliamente soportado — úsalo a menos que el servicio que estés configurando requiera específicamente SHA-256 o SHA-512.

La mayoría de servicios autenticadores (Google, GitHub, AWS) utilizan SHA-1 con 6 dígitos y un período de 30 segundos.

¿Por qué mi código no coincide con el valor esperado?

Los códigos TOTP dependen de una hora del sistema precisa. Si el reloj de tu dispositivo está desincronizado por más de unos pocos segundos, los códigos generados pueden no coincidir.

Verifica que tu hora del sistema esté sincronizada
Verifica que el algoritmo, cantidad de dígitos y configuración del período coincidan con el servicio
Asegúrate de que la clave secreta se ingrese correctamente

¿Es seguro ingresar mi clave secreta aquí?

Sí. Todo el cálculo ocurre completamente en tu navegador usando Web Crypto API. Tu clave secreta nunca se transmite a ningún servidor.

Las cuentas guardadas se almacenan solo en el localStorage de tu navegador y son accesibles solo desde este dispositivo.

¿Puedo usar esto en lugar de Google Authenticator?

Esta herramienta genera los mismos códigos TOTP que Google Authenticator y otras aplicaciones autenticadoras. Puedes usarla para desarrollo, pruebas o como generador de códigos de respaldo.

Recomendación: Para uso diario de 2FA, se recomienda una aplicación autenticadora móvil dedicada ya que siempre está accesible en tu teléfono.

¿En qué formato debe estar la clave secreta?

Las claves secretas deben estar en codificación Base32 (letras A-Z y dígitos 2-7).

También puedes:

Pegar una URL otpauth://totp/... completa
Cargar una imagen de código QR

Los espacios y caracteres de relleno (=) en claves Base32 se eliminan automáticamente.

¿Se hacen copias de seguridad de mis cuentas guardadas?

Las cuentas guardadas se almacenan en el localStorage de tu navegador. Persisten entre sesiones pero no se hacen copias de seguridad en ningún servicio en la nube.

Importante: Borrar los datos de tu navegador eliminará las cuentas guardadas. Considera exportar secretos importantes como códigos QR para copia de seguridad.