¿TOTP frente a HOTP?

**TOTP** (Time-based, RFC 6238): el código cambia **cada 30 segundos** según la hora actual. Lo que usa Google Authenticator. **HOTP** (HMAC-based, RFC 4226): código basado en un **contador**, cambia solo cuando lo usas. **HOTP es raro en 2026**.

¿Por qué mi código no coincide con el de la app?

Causas habituales: - **Hora del sistema desincronizada**: TOTP tolera ±30 s, más allá falla - **Algoritmo incorrecto**: SHA-256 frente a SHA-1, o número de dígitos (6 vs 8) - **Período de 60 s en lugar de 30** - **Errata en el secreto**

¿Por qué puedo elegir 7 u 8 dígitos?

Porque **el estándar admite 6, 7 u 8** (RFC 6238). **6 es el de facto**, lo usa el 99% de los servicios. **7 y 8 son nicho**: algunos sistemas corporativos o militares. Si tu app muestra 6, **deja 6**.

¿Un URI otpauth:// contiene el secreto?

**Sí**. Formato: `otpauth://totp/Servicio:usuario@example.com?secret=BASE32&issuer=Servicio`. Cuando una app Authenticator **escanea un QR** ve exactamente eso. Lo pegas aquí, **lo parseamos en local** y rellenamos todos los campos.

¿Qué longitud debe tener el secreto?

**El estándar recomienda 160 bits** (20 bytes = 32 caracteres base32). Más corto (128 bits) funciona, pero es **técnicamente atacable por fuerza bruta**. Nuestro [generador de secreto TOTP](/es/generador-secreto-totp) siempre produce secretos de **160 bits**.

¿Puedo usar esto en lugar de la app Authenticator?

**Técnicamente sí**: la calculadora devuelve los mismos códigos para el mismo secreto. **En la práctica**: igualmente tienes que guardar el secreto en algún sitio, así que necesitas una ubicación principal. **Configuración ideal**: app en el móvil + esta calculadora como respaldo.

**Sí**. Tras la primera visita, la página queda **cacheada por el service worker** y puedes calcular códigos **sin internet**. El secreto **no sale del navegador**.

Calculadora de códigos TOTP - gratis

Calculadora de código TOTP

Pega un secreto o un URI otpauth:// para ver el código 2FA en vivo con cuenta atrás.

Secreto (base32 o URI otpauth://)

Pega un URI otpauth:// para rellenar todos los campos a la vez.

Algoritmo

Dígitos

Periodo

El secreto nunca sale de tu dispositivo. Todo se ejecuta en tu navegador.

¿Cómo obtengo mi código 2FA si perdí el móvil con el Authenticator?

Pega un secreto TOTP (base32 o URI otpauth://) y la herramienta muestra el código de 6 dígitos en vivo con una cuenta atrás hasta la próxima rotación.

Lo mismo que hace Google Authenticator en tu móvil, pero en el navegador. El secreto nunca llega a un servidor.

Útil cuando: perdiste el móvil con el 2FA y necesitas entrar, quieres un generador de respaldo en el sobremesa o estás depurando una integración 2FA en tu propia app.

Cómo usarlo

Pega un secreto base32 (p. ej. "JBSWY3DPEHPK3PXP") o un URI otpauth:// completo: la herramienta detecta los URI y rellena todos los campos.

Valores por defecto: SHA-1 + 6 dígitos + 30 s, lo que usan Google Authenticator, Authy y 1Password. Cámbialos solo si tu servicio lo exige.

El código actual aparece al instante con una barra de cuenta atrás hasta la próxima rotación.

Pulsa el código = copia al portapapeles.

Cada 30 segundos el código rota automáticamente, igual que el Authenticator del móvil.

Cuándo es útil

Cinco situaciones típicas en las que una calculadora TOTP sustituye a la app del móvil:

Recuperación. Has perdido o roto el móvil con el 2FA, pero guardaste el secreto (normalmente con los códigos de respaldo al activar): pégalo aquí, obtén el código y entra.
Depuración. Estás escribiendo una integración 2FA y quieres verificar que tu backend devuelve los mismos códigos que Google Authenticator.
Respaldo. La sincronización multiplataforma de los secretos TOTP sigue sin ser ideal; guarda esta calculadora en favoritos como "segundo dispositivo".
Formación. Ver cómo funciona el 2FA por dentro: HMAC-SHA-1 + tiempo Unix + truncamiento dinámico = código de 6 dígitos.
Auditoría de seguridad. Probar si una app acepta secretos débiles o es vulnerable a ataques de replay.

Para generar un secreto nuevo usa el generador de secreto TOTP.

Preguntas y respuestas

No. Todo el cómputo es local: decodificamos el secreto base32 a bytes, ejecutamos HMAC-SHA-1 con tiempo Unix mediante Web Crypto API y aplicamos módulo al resultado. Puedes verificarlo en DevTools (Network), no hay subida.

¿Cómo obtengo mi código 2FA si perdí el móvil con el Authenticator?

Pega un secreto TOTP (base32 o URI otpauth://) y la herramienta muestra el código de 6 dígitos en vivo con una cuenta atrás hasta la próxima rotación.

Lo mismo que hace Google Authenticator en tu móvil, pero en el navegador. El secreto nunca llega a un servidor.

Útil cuando: perdiste el móvil con el 2FA y necesitas entrar, quieres un generador de respaldo en el sobremesa o estás depurando una integración 2FA en tu propia app.

Cómo usarlo

Pega un secreto base32 (p. ej. "JBSWY3DPEHPK3PXP") o un URI otpauth:// completo: la herramienta detecta los URI y rellena todos los campos.

Valores por defecto: SHA-1 + 6 dígitos + 30 s, lo que usan Google Authenticator, Authy y 1Password. Cámbialos solo si tu servicio lo exige.

El código actual aparece al instante con una barra de cuenta atrás hasta la próxima rotación.

Pulsa el código = copia al portapapeles.

Cada 30 segundos el código rota automáticamente, igual que el Authenticator del móvil.

Cuándo es útil

Cinco situaciones típicas en las que una calculadora TOTP sustituye a la app del móvil:

Recuperación. Has perdido o roto el móvil con el 2FA, pero guardaste el secreto (normalmente con los códigos de respaldo al activar): pégalo aquí, obtén el código y entra.
Depuración. Estás escribiendo una integración 2FA y quieres verificar que tu backend devuelve los mismos códigos que Google Authenticator.
Respaldo. La sincronización multiplataforma de los secretos TOTP sigue sin ser ideal; guarda esta calculadora en favoritos como "segundo dispositivo".
Formación. Ver cómo funciona el 2FA por dentro: HMAC-SHA-1 + tiempo Unix + truncamiento dinámico = código de 6 dígitos.
Auditoría de seguridad. Probar si una app acepta secretos débiles o es vulnerable a ataques de replay.

Para generar un secreto nuevo usa el generador de secreto TOTP.

Preguntas y respuestas

Calculadora de códigos TOTP

¿Cómo obtengo mi código 2FA si perdí el móvil con el Authenticator?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de secreto TOTP 2FA

Generador de códigos de respaldo 2FA

Generador de contraseñas

Calculadora de códigos TOTP

¿Cómo obtengo mi código 2FA si perdí el móvil con el Authenticator?

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Generador de secreto TOTP 2FA

Generador de códigos de respaldo 2FA

Generador de contraseñas