ConvertiloConvertilo

Generador de tokens 2FA / TOTP

Genera un código TOTP de 6 dígitos a partir de una clave secreta en base32. Se ejecuta totalmente en tu navegador: tu clave secreta nunca se sube, se registra ni se envía por la red.

🔐¿Varias cuentas? Usa la Bóveda 2FA
Abrir bóveda →

Sobre este generador de TOTP

Un TOTP (contraseña de un solo uso basada en tiempo, RFC 6238) es el código rotatorio de 6 dígitos que muestra tu app de autenticación: un HMAC-SHA1 de una clave secreta compartida combinado con una ventana de 30 segundos, truncado a seis dígitos. Es el mismo algoritmo que hay detrás de Google Authenticator, Authy, Microsoft Authenticator y Duo; dada la misma clave secreta en base32 y un reloj sincronizado, cada implementación genera exactamente el mismo código. La gente recurre a un generador de TOTP online en unas pocas situaciones concretas: su teléfono se ha perdido, se ha roto o se ha restablecido antes de migrar el 2FA; la app de autenticación dejó de abrirse tras una actualización del sistema operativo; un compañero necesita entrar en una cuenta de servicio compartida antes del relevo de guardia; o un desarrollador está automatizando pruebas end-to-end y necesita un TOTP sin programarlo desde cero.

Seamos honestos sobre el compromiso: escribir una clave secreta de TOTP compartida en cualquier sitio web, incluido este, implica que el JavaScript de la página toca brevemente esa clave, y en principio un operador malicioso podría exfiltrarla. Mitigamos esto haciendo todo en tu navegador: la clave secreta nunca se sube, nunca se registra y nunca se envía a ningún endpoint de analítica. Puedes comprobarlo tú mismo: abre la pestaña Network de las DevTools del navegador antes de pegarla y observa que ninguna petición saliente lleva la clave. Para un uso continuado, una app de autenticación dedicada o un gestor de contraseñas como Bitwarden o 1Password siguen siendo la mejor opción. Esta herramienta está pensada para el caso puntual: un código de emergencia ahora mismo, cuando esperar a un teléfono de repuesto no es una opción.

Por qué usar este generador

Totalmente en el navegador

Tu clave secreta en base32 nunca sale del dispositivo: abre las DevTools y observa la pestaña Network para comprobar que no se sube nada.

Sin cuenta, sin registros, sin límite de uso

Sin registro, sin captcha, sin limitación por IP. Útil para una recuperación de emergencia cuando no puedes lidiar con una pantalla de inicio de sesión.

Cumple con RFC 6238

Mismo HMAC-SHA1 y ventana de 30 segundos que Google Authenticator, Authy y Microsoft Authenticator: los códigos coinciden byte a byte.

Preguntas frecuentes

¿En qué se diferencia de Google Authenticator?

El algoritmo es idéntico: ambos calculan un HMAC-SHA1 de tu clave secreta en base32 y la ventana actual de 30 segundos, y luego truncan a seis dígitos. La diferencia está en el rol: Google Authenticator está pensado para ser un almacén a largo plazo de muchas claves secretas en un solo dispositivo. Esta herramienta es una utilidad web sin estado: pegas una clave, obtienes un código, cierras la pestaña. Usa Google Authenticator (o la función TOTP de un gestor de contraseñas como Bitwarden) para el 2FA del día a día; recurre a este generador cuando necesites un código puntual fuera de ese flujo.

¿Es seguro introducir mi clave secreta TOTP en un sitio web?

Estrictamente hablando, ningún generador de TOTP online es tan seguro como guardar la clave únicamente dentro de una app de autenticación en tu teléfono. Un sitio malicioso podría incluir JavaScript que envíe silenciosamente tu clave a un servidor mediante POST. La mitigación honesta es la verificabilidad: esta herramienta se ejecuta enteramente en el cliente, así que puedes abrir la pestaña Network de las DevTools del navegador antes de pegar la clave y confirmar que nada sale de tu dispositivo. Si la clave protege una cuenta de alto valor (banca, correo del trabajo, criptomonedas), utiliza mejor una app de autenticación real y recurre a una herramienta web solo en una emergencia genuina.

¿Qué es una clave secreta TOTP / clave base32?

Cuando activas el 2FA en un servicio, este genera una clave secreta compartida: una cadena aleatoria que suele mostrarse como un código QR y como una cadena base32 de 16-32 caracteres (letras A-Z y dígitos 2-7). Tu app de autenticación escanea el código QR para guardar esa clave. La misma cadena pegada en esta herramienta produce los mismos códigos. Si no la guardaste al configurar el 2FA por primera vez, no puedes recuperarla: la clave se almacena solo en tu dispositivo. Tendrías que desactivar y volver a habilitar el 2FA desde una sesión en la que ya hayas iniciado sesión.

¿Por qué el código cambia cada 30 segundos?

El TOTP combina tu clave secreta con el tiempo Unix actual dividido en ventanas de 30 segundos. Cada 30 segundos el número de ventana avanza en uno, por lo que la entrada del HMAC cambia y el código de 6 dígitos resultante rota. La ventana corta limita el valor de un código robado: un atacante que obtiene un código mediante phishing tiene como máximo 30 segundos (a menudo menos) para reutilizarlo antes de que el servidor lo rechace. Algunas implementaciones usan ventanas de 60 segundos, pero 30 segundos es lo predeterminado en RFC 6238 y lo que usa Google Authenticator.

¿Puedo usar esto si perdí mi teléfono?

Solo si aún conservas la clave secreta en base32 en algún sitio; por ejemplo, anotada, impresa en un PDF de recuperación, guardada en un gestor de contraseñas o como una captura de pantalla del código QR original. La clave secreta es lo que genera los códigos; sin ella, ninguna herramienta puede recrear los números de 6 dígitos que mostraba tu antiguo teléfono. Si la clave se ha perdido, usa el flujo de recuperación de cuenta del servicio (códigos de respaldo, SMS alternativo, verificación de identidad) y vuelve a habilitar el 2FA desde tu nuevo dispositivo.

¿Funciona con los códigos de Google Authenticator?

Sí: Google Authenticator implementa el TOTP estándar exactamente como especifica RFC 6238 (HMAC-SHA1, ventana de 30 segundos, salida de 6 dígitos, clave secreta en base32). Si pegas la misma clave secreta en base32 que escaneaste originalmente en Google Authenticator, esta herramienta produce el mismo código de 6 dígitos. Lo mismo ocurre con Authy, Microsoft Authenticator, Duo Mobile, TOTP de 1Password y TOTP de Bitwarden. Steam Guard usa un alfabeto personalizado, así que los códigos no coincidirán; para Steam necesitas un generador específico de Steam.

¿Qué pasa si mi código no funciona?

Casi siempre se debe a un desfase de reloj. El TOTP depende de que tu dispositivo y el servidor coincidan en la hora actual dentro de una ventana de 30 segundos. Si el reloj de tu ordenador está desfasado más de eso, el servidor rechaza el código. Comprueba que el reloj del sistema esté sincronizado (Configuración → Fecha y hora → Establecer automáticamente) e inténtalo de nuevo. Otras causas: un error tipográfico en la clave secreta en base32 (un carácter que falta desplaza todo lo demás), espacios en blanco al final, o usar una clave de Steam (alfabeto distinto) en un generador de TOTP estándar.

¿Debería usar esta herramienta a largo plazo?

No: para el 2FA continuado, usa una app de autenticación dedicada (Google Authenticator, Authy, Microsoft Authenticator, Aegis en Android, Raivo en iOS) o la función TOTP integrada en tu gestor de contraseñas (Bitwarden, 1Password, Proton Pass). Estas están diseñadas para el almacenamiento seguro de muchas claves secretas y sobreviven a cambios de dispositivo mediante sincronización cifrada. Este generador está pensado para una única emergencia: pega la clave, copia el código, cierra la pestaña. Si te encuentras abriéndolo a diario, configura mejor una app de autenticación real.