¿Qué es un código TOTP?

Un código TOTP (Contraseña de Un Solo Uso Basada en Tiempo) es un número de 6 u 8 dígitos que cambia cada 30 o 60 segundos. Se genera a partir de un secreto compartido y la hora actual usando HMAC-SHA1 (o SHA-256/512), tal como se define en RFC 6238.

¿Qué alfabeto Base32 usa TOTP?

Los secretos TOTP usan el alfabeto Base32 de RFC 4648: las letras mayúsculas A–Z seguidas de los dígitos 2–7. Los caracteres de relleno (=) son opcionales. La mayoría de las aplicaciones autenticadoras muestran y aceptan secretos en este formato.

¿Puedo usar SHA-256 o SHA-512 con Google Authenticator?

Google Authenticator solo admite SHA-1. Sin embargo, muchas aplicaciones como Authy y andOTP admiten SHA-256 y SHA-512. Si necesitas compatibilidad entre aplicaciones, mantente con SHA-1, 6 dígitos y un período de 30 segundos.

¿Qué es el formato URI otpauth?

El URI otpauth (ej. otpauth://totp/Emisor:cuenta?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) es un formato estándar utilizado para proporcionar aplicaciones autenticadoras. Escanear el código QR añade la cuenta automáticamente.

¿Es seguro generar códigos TOTP en el navegador?

Esta herramienta es segura para pruebas y desarrollo — toda la computación se ejecuta localmente usando la API Web Crypto y ningún dato abandona tu navegador. Sin embargo, para cuentas reales en producción siempre debes usar una aplicación autenticadora dedicada y sin conexión.

Herramienta Gratuita

Generador TOTP

Genera y prueba códigos TOTP 2FA en línea. Configura algoritmo, dígitos y período. Incluye salida de código QR compatible con Google Authenticator y Authy.

Esta herramienta es solo para pruebas y desarrollo. Nunca uses una herramienta basada en web para generar códigos TOTP en cuentas reales — usa una aplicación autenticadora dedicada.

Generador TOTP

Clave Secreta Base32

Algoritmo

Dígitos

Período (segundos)

Nombre de Cuenta

Emisor

Código TOTP Actual

--- ---

0s segundos restantes

Código QR

Enter a valid secret

URI otpauth

otpauth://totp/MyApp%3Atest%40example.com?secret=JBSWY3DPEHPK3PXP&issuer=MyApp&algorithm=SHA1&digits=6&period=30

Tu secreto permanece en tu navegador — no se envía ningún dato a ningún servidor.

¿Qué es TOTP?

TOTP (Contraseña de Un Solo Uso Basada en Tiempo) es un algoritmo 2FA ampliamente utilizado definido en RFC 6238. Genera un código numérico corto a partir de un secreto compartido y la hora actual, actualizándose cada 30 o 60 segundos. Aplicaciones como Google Authenticator, Authy y Microsoft Authenticator utilizan TOTP.

Cómo funciona el algoritmo

La herramienta calcula floor(tiempoUnixActual / período) como un contador de 8 bytes, luego ejecuta HMAC-SHA1 (o SHA-256/512) sobre él usando el secreto decodificado en Base32. La truncación dinámica extrae una ventana de 4 bytes de la salida HMAC, y el resultado se reduce a 6 u 8 dígitos con módulo 10^dígitos.

Cómo usar

Pega tu clave secreta Base32, o haz clic en 'Generar Clave Aleatoria' para crear una clave de prueba.
Opcionalmente ajusta el algoritmo (SHA-1/256/512), número de dígitos (6 u 8) y período (30s o 60s).
Copia el código TOTP generado o escanea el código QR con una aplicación autenticadora.
El código se actualiza automáticamente cada segundo; la barra de progreso muestra el tiempo restante.

Tu secreto permanece en tu navegador — no se envía ningún dato a ningún servidor.

Del blog de Skybin

Free developer tools from Skybin

Lee la guía en Skybin

Preguntas Frecuentes

¿Qué es un código TOTP?: Un código TOTP (Contraseña de Un Solo Uso Basada en Tiempo) es un número de 6 u 8 dígitos que cambia cada 30 o 60 segundos. Se genera a partir de un secreto compartido y la hora actual usando HMAC-SHA1 (o SHA-256/512), tal como se define en RFC 6238.
¿Qué alfabeto Base32 usa TOTP?: Los secretos TOTP usan el alfabeto Base32 de RFC 4648: las letras mayúsculas A–Z seguidas de los dígitos 2–7. Los caracteres de relleno (=) son opcionales. La mayoría de las aplicaciones autenticadoras muestran y aceptan secretos en este formato.
¿Puedo usar SHA-256 o SHA-512 con Google Authenticator?: Google Authenticator solo admite SHA-1. Sin embargo, muchas aplicaciones como Authy y andOTP admiten SHA-256 y SHA-512. Si necesitas compatibilidad entre aplicaciones, mantente con SHA-1, 6 dígitos y un período de 30 segundos.
¿Qué es el formato URI otpauth?: El URI otpauth (ej. otpauth://totp/Emisor:cuenta?secret=XXX&issuer=YYY&algorithm=SHA1&digits=6&period=30) es un formato estándar utilizado para proporcionar aplicaciones autenticadoras. Escanear el código QR añade la cuenta automáticamente.
¿Es seguro generar códigos TOTP en el navegador?: Esta herramienta es segura para pruebas y desarrollo — toda la computación se ejecuta localmente usando la API Web Crypto y ningún dato abandona tu navegador. Sin embargo, para cuentas reales en producción siempre debes usar una aplicación autenticadora dedicada y sin conexión.

Herramientas Relacionadas

Hash Generator

Generate MD5, SHA-1, SHA-2, SHA-3, and Argon2 hashes — browser-side, no upload

Password Generator

Generate strong random passwords with entropy scoring

UUID Generator

Generate cryptographically random UUID v4 identifiers