¿Por qué importa el drift?

Porque **decenas de protocolos asumen** que todos tienen un reloj más o menos igual a la realidad. **TOTP** (Google Authenticator) genera un código basado en la ventana actual de 30 s: 60 s de drift = código caducado. Los **certificados TLS** tienen fechas de validez: una semana en el futuro y verás "aún no válido". **Kerberos** rechaza tickets con más de 5 minutos de desvío. Las **bases de datos** resuelven conflictos por timestamp: reloj mal = escrituras perdidas.

Milisegundos vs. segundos: ¿qué es normal?

Un cliente NTP sano mantiene el offset **por debajo de 50 ms** en internet público, a menudo **por debajo de 10 ms** en un datacenter. Por encima de 100 ms algo es sospechoso (filtrado UDP fuerte, servidor saturado, mal arranque). **Por encima de 1 segundo** cualquier sistema moderno deja nota en el syslog. **Por encima de 30 s** falla TOTP. **Por encima de 5 minutos** Kerberos se rinde. Un reloj de placa base sin sincronizar deriva **varios segundos por semana**.

¿Qué son los niveles de stratum en NTP?

**Stratum** es la distancia a una **fuente de tiempo autoritativa**. **Stratum 0** = el propio reloj atómico o receptor GPS (no responde por red). **Stratum 1** = servidor conectado directamente a un stratum 0 (por ejemplo, **time.cloudflare.com**, **time.google.com**, casi todos los de **pool.ntp.org**). **Stratum 2** = servidor que consulta a un stratum 1. Cada salto añade incertidumbre: **stratum 16** = "sin sincronizar". En producción quieres stratum 1 a 3.

¿En qué se diferencian pool.ntp.org y time.cloudflare.com / time.google.com / time.windows.com?

**pool.ntp.org** es un **pool distribuido de miles de voluntarios**: el DNS round-robin devuelve una IP distinta cada vez. Ventaja: enorme redundancia geográfica. Inconveniente: la calidad del servidor varía entre consultas. **time.cloudflare.com** y **time.google.com** son servicios anycast **stratum 1** respaldados por GPS, con el RTT más rápido y el offset más estable. **time.windows.com** es el servidor de Microsoft que Windows usa por defecto: normalmente stratum 2 o 3, bien, pero más lento que Cloudflare o Google.

¿Cómo sincroniza la hora Windows?

El servicio **W32Time** (Windows Time). Por defecto consulta **time.windows.com** al arrancar y una vez cada **7 días** (sí, en serio). Demasiado poco para TOTP y certificados. Puedes mejorarlo: en PowerShell ejecuta `w32tm /config /manualpeerlist:"time.cloudflare.com,time.google.com,pool.ntp.org" /syncfromflags:manual /update`, después `Restart-Service W32Time` y por último `w32tm /resync /force`. Comprueba el estado con `w32tm /query /status`.

¿Cómo sincroniza macOS?

El demonio **timed**, que consulta el servidor configurado en Ajustes del Sistema → Fecha y hora (por defecto **time.apple.com**, stratum 2). macOS lo hace **automáticamente y a menudo**: no deberías ver drift mayor de **20 ms**. Fuerza una sincronización manual con `sudo sntp -sS time.apple.com` (Big Sur en adelante) o `sudo systemsetup -setnetworktimeserver time.cloudflare.com` para cambiar de servidor.

¿Cómo sincroniza Linux?

Dos opciones comunes. **systemd-timesyncd** (por defecto en Ubuntu desktop, cliente SNTP simple): configuración en **/etc/systemd/timesyncd.conf**, estado con `timedatectl status`. **chrony** (por defecto en RHEL / Fedora / la mayoría de servidores): configuración **/etc/chrony.conf**, estado con `chronyc tracking` y `chronyc sources -v`. Chrony es **más preciso** y maneja portátiles que suspenden (resincroniza al despertar). Para servidores en producción, usa chrony.

¿Cuándo el drift se vuelve realmente peligroso?

Umbrales que vemos en cortes reales: **30 s** = TOTP / Google Authenticator deja de funcionar; **2 min** = OAuth con timestamps JWT rechaza tokens; **5 min** = Kerberos / Active Directory expulsa a todos; **24 h** = certificados Let's Encrypt parecen aún no válidos o caducados; **30 días** = certificados antiguos caducan en mitad de la carga. Más sutil: las bases con resolución de conflictos por timestamp **pierden escrituras en silencio** con unos cientos de ms de drift.

¿Cómo arreglo el drift: receta rápida por SO?

**Windows** (PowerShell admin): `w32tm /resync /force`. Si sigue desviado, cambia el servidor con el comando de la FAQ anterior. **macOS**: `sudo sntp -sS time.cloudflare.com` reinicia el reloj al instante y el sistema lo mantiene. **Linux con chrony**: `sudo chronyc -a makestep` fuerza un salto inmediato (en lugar de un slew lento). **Linux con timesyncd**: `sudo systemctl restart systemd-timesyncd`. **Docker / contenedores**: el contenedor hereda el reloj del host, arregla el host, no el contenedor. **VM**: vmtools o cloud-init suelen sincronizar con el hipervisor, comprueba con `timedatectl` que NTP está activo.

Hora atómica exacta online - gratis

Hora exacta en línea

Un reloj grande muestra la hora de referencia actual calculada a partir de cuatro servidores NTP públicos. Debajo verás si tu ordenador está sincronizado y, si no, por cuántos milisegundos.

Refrescar automáticamente cada 10 sDesactívalo para dejar de consultar los servidores.

Qué hacemos con los datos

Nuestro servidor consulta los servidores NTP en tu nombre y devuelve los resultados. No registramos IPs, no almacenamos consultas y nunca enviamos la hora de tu ordenador a ningún sitio. Límite de 60 consultas por hora y por IP.

Qué es una comprobación de drift NTP

Una comprobación de drift NTP mide la diferencia entre el reloj de tu ordenador, el de nuestro servidor y cuatro servidores NTP públicos. Nuestro servidor envía un pequeño paquete UDP a cada uno por el puerto 123, lee los timestamps y calcula el offset (cuántos milisegundos se desvía tu reloj) y el retardo de ida y vuelta.

Obtienes una vista con la hora de tu máquina, la hora de nuestro servidor, la hora de referencia NTP y un gráfico de barras con la deriva por servidor. No hay nada que instalar, no hace falta admin: recargas la página y listo.

Cómo se usa

Abre la herramienta. En segundos verás tres cifras grandes: hora de tu ordenador, hora de nuestro servidor y hora de referencia NTP (mediana de los cuatro servidores).

Debajo obtienes dos lecturas: tu ordenador frente a NTP y nuestro servidor frente a NTP. Un valor positivo significa que tu reloj va más lento que el NTP. Negativo = más rápido.

A la derecha tienes un gráfico de barras con el drift por servidor (pool.ntp.org, time.cloudflare.com, time.google.com, time.windows.com). Útil para confirmar que coinciden entre sí.

Activa autorefresco cada 10 segundos con el interruptor de arriba. Desactivado significa medición única, igual que pulsar "Actualizar".

Si un servidor reporta error: timeout, no respondió en 3 segundos. Suele ser un filtro UDP en la ruta. Los otros tres siguen dando una imagen útil.

La columna "stratum" muestra cuán cerca de la fuente está ese servidor. 1 = reloj atómico o GPS, 2 = un servidor que consulta a un stratum 1, y así. Cuanto menor el número, más autoridad.

Cuándo es útil

Seis situaciones en las que el drift de reloj duele de verdad:

TOTP / 2FA falla ("código inválido" pese al secreto correcto) porque el reloj del móvil o el servidor se desvió más de 30 segundos. Ves al instante si el problema es tuyo.
Certificados TLS marcados como inválidos o "aún no válidos" porque el reloj del servidor va minutos desviado en cualquier dirección y todo se rompe.
Correlación de logs entre microservicios: si cada nodo tiene una deriva distinta, los eventos en Grafana y Loki se alinean en orden equivocado y depurar se vuelve adivinanza.
Kerberos / Active Directory rechaza tickets cuando la diferencia entre cliente y controlador de dominio supera 5 minutos (la tolerancia por defecto).
Bases de datos multi-master (Cassandra, ScyllaDB, CockroachDB) usan timestamps para resolver conflictos de escritura: un reloj malo significa last-write-wins con la escritura equivocada.
Smart contracts y RPCs blockchain suelen validar que block.timestamp sea razonable respecto a ahora. Reloj mal en tu nodo = transacciones rechazadas.

Relacionadas: reloj mundial, conversor de zonas horarias, Unix timestamp, DNS lookup.

Preguntas frecuentes

Network Time Protocol es un protocolo de 1985 (RFC 5905) que permite a los ordenadores sincronizar su reloj por red con precisión de milisegundos en una LAN y de unas decenas de ms por internet. El cliente envía un pequeño paquete UDP a un servidor NTP, el servidor responde con timestamps y el cliente calcula offset y retardo. Todo tu sistema operativo corre un cliente NTP en segundo plano: en Windows es W32Time, en Linux normalmente chrony o systemd-timesyncd, en macOS timed.

Qué es una comprobación de drift NTP

Cómo se usa

Abre la herramienta. En segundos verás tres cifras grandes: hora de tu ordenador, hora de nuestro servidor y hora de referencia NTP (mediana de los cuatro servidores).

Debajo obtienes dos lecturas: tu ordenador frente a NTP y nuestro servidor frente a NTP. Un valor positivo significa que tu reloj va más lento que el NTP. Negativo = más rápido.

A la derecha tienes un gráfico de barras con el drift por servidor (pool.ntp.org, time.cloudflare.com, time.google.com, time.windows.com). Útil para confirmar que coinciden entre sí.

Activa autorefresco cada 10 segundos con el interruptor de arriba. Desactivado significa medición única, igual que pulsar "Actualizar".

Si un servidor reporta error: timeout, no respondió en 3 segundos. Suele ser un filtro UDP en la ruta. Los otros tres siguen dando una imagen útil.

La columna "stratum" muestra cuán cerca de la fuente está ese servidor. 1 = reloj atómico o GPS, 2 = un servidor que consulta a un stratum 1, y así. Cuanto menor el número, más autoridad.

Cuándo es útil

Seis situaciones en las que el drift de reloj duele de verdad:

TOTP / 2FA falla ("código inválido" pese al secreto correcto) porque el reloj del móvil o el servidor se desvió más de 30 segundos. Ves al instante si el problema es tuyo.
Certificados TLS marcados como inválidos o "aún no válidos" porque el reloj del servidor va minutos desviado en cualquier dirección y todo se rompe.
Correlación de logs entre microservicios: si cada nodo tiene una deriva distinta, los eventos en Grafana y Loki se alinean en orden equivocado y depurar se vuelve adivinanza.
Kerberos / Active Directory rechaza tickets cuando la diferencia entre cliente y controlador de dominio supera 5 minutos (la tolerancia por defecto).
Bases de datos multi-master (Cassandra, ScyllaDB, CockroachDB) usan timestamps para resolver conflictos de escritura: un reloj malo significa last-write-wins con la escritura equivocada.
Smart contracts y RPCs blockchain suelen validar que block.timestamp sea razonable respecto a ahora. Reloj mal en tu nodo = transacciones rechazadas.

Relacionadas: reloj mundial, conversor de zonas horarias, Unix timestamp, DNS lookup.

Preguntas frecuentes

Hora atómica exacta online

Qué es una comprobación de drift NTP

Cómo se usa

Cuándo es útil

Preguntas frecuentes

Herramientas relacionadas

Reloj mundial

Conversor de zona horaria

Conversor de timestamp Unix

Consulta DNS

Hora atómica exacta online

Qué es una comprobación de drift NTP

Cómo se usa

Cuándo es útil

Preguntas frecuentes

Herramientas relacionadas

Reloj mundial

Conversor de zona horaria

Conversor de timestamp Unix

Consulta DNS