Mientras las empresas y los consumidores evolucionan cada vez más en línea, la necesidad de asegurar las cuentas e información de sus usuarios se ha vuelto crucial para los negocios. Y la solución más popular se puede escribir en solo seis letras: SMS OTP.

¿Pero qué es exactamente SMS OTP y cómo funciona? En esta guía, cubriremos todo lo que necesitas saber sobre SMS OTP, incluyendo sus beneficios y cómo implementarlo eficazmente.

¿Qué es SMS OTP?

SMS OTP (Contraseña de Un Solo Uso), es una contraseña temporal y segura enviada vía SMS (Servicio de Mensajes Cortos) al teléfono móvil de un usuario. Funciona como medida de seguridad para autenticar la identidad de un usuario.

El OTP generalmente toma la forma de un código de 4 a 8 dígitos que se genera al azar. Solo puede usarse una vez y expira después de un período muy corto (a menudo solo unos minutos).

Las empresas usan SMS OTPs para mejorar la seguridad en sus configuraciones de autenticación de dos factores (2FA).

¿Cómo funciona SMS OTP?

Consideremos una aplicación de citas que busca proteger la privacidad de sus usuarios (especialmente aquellos que no quieren revelar sus líneas más cursis al público).

Cuando uno de sus usuarios activa una acción que requiere un OTP, como al intentar iniciar sesión en un nuevo dispositivo, esto es lo que sucede:

• La aplicación no reconoce el dispositivo. Sugiere enviar un código de verificación por SMS para confirmar la identidad del usuario.

• La aplicación solicita automáticamente a su proveedor de SMS OTP que genere y envíe un OTP al número de teléfono móvil del usuario.

• El algoritmo del proveedor de SMS OTP genera un código aleatorio de 4 dígitos y lo envía al teléfono del usuario.

• El usuario ingresa el OTP en la aplicación de citas. El generador de SMS OTP valida el código instantáneamente si es correcto.

• ¡Y voilà! El usuario puede volver al juego de citas en su nuevo dispositivo.

Y la mejor parte es que todo se hizo automáticamente, en menos de un minuto. Todos están contentos: el usuario porque sus datos están claramente seguros y la aplicación de citas porque está a salvo de hackers.

Ejemplo de SMS OTP

Los SMS OTPs generalmente siguen el mismo patrón:

{{Code}} es tu código de validación para {{Nombre de la aplicación}}.

Algunas empresas quieren personalizar su mensaje para alinearlo con la identidad de su marca y hacer de esta notificación parte de la experiencia general del usuario. Por ejemplo, el cliente de Prelude y la app social BeReal, usan su lema al final de su mensaje OTP:

“7860 es tu código de validación para BeReal. Tus amigos de verdad.”

TOTP o HOTP: ¿Cuál es la diferencia?

Los SMS OTPs suelen dividirse en dos categorías diferentes, dependiendo del algoritmo utilizado para generarlos: HOTP (Contraseña de Un Solo Uso Basada en HMAC) y TOTP (Contraseña de Un Solo Uso Basada en Tiempo).

La diferencia clave entre estos dos es el factor cambiante que cambia cada vez que un algoritmo genera un código.

• El HOTP se basa en un contador. El contador aumenta cada vez que se solicita un OTP. Esto significa que el código permanece válido hasta que se utiliza o el contador aumenta.

• El TOTP se basa en el tiempo, solo es válido por un intervalo específico. Una vez que el intervalo expira, se puede generar un nuevo OTP.

Lee más sobre este tema en nuestro blog: TOTP vs HOTP: ¿Cuál es la diferencia (y cuál es mejor)?

Los (muchos) casos de uso de SMS OTP para negocios

Las empresas pueden usar SMS OTPs de muchas formas para mejorar la seguridad y confianza de sus usuarios. Los casos de uso más comunes incluyen:

• Registro de usuarios: Verifica la identidad y número de teléfono de tus nuevos usuarios durante el proceso de creación de cuenta.

• Autenticación de dos factores: Añade una capa extra de seguridad al proceso de inicio de sesión con nombre de usuario y contraseña.

• Restablecimiento de contraseñas: Asegura el proceso de restablecer una contraseña olvidada o comprometida para evitar que tus usuarios queden bloqueados de sus cuentas.

• Autenticación de nuevos dispositivos: Cuando los usuarios inician sesión desde dispositivos nuevos o no reconocidos, solicitar un SMS OTP puede ayudar a garantizar que están autorizados para hacerlo.

• Autenticación sin contraseña: Si deseas permitir que tus usuarios se registren solo con su número de móvil, enviar un OTP te ayuda a asegurar su autenticación.

• Verificación de transacciones: Para cualquier transacción, como una transferencia o un pago en línea, envía un SMS OTP para verificar la validez de la transacción.

• Cambio de detalles de cuenta: Cuando un usuario desea cambiar información sensible de la cuenta, como su dirección de correo o contraseña, verifica su autenticidad con un OTP.

• Activación de tarjetas de pago bancarias: Las tarjetas bancarias recién emitidas a menudo requieren activación mediante OTP para garantizar que están en posesión del propietario legítimo. Esto agrega una capa adicional de seguridad y asegura que solo el titular de la tarjeta pueda activarla y usarla.

Podríamos mencionar muchos otros casos de uso, como asegurar el acceso a archivos o integrar terceros, pero a estas alturas deberías haber entendido que prácticamente cualquier acción sensible desencadenada por el comportamiento del usuario podría beneficiarse de una capa extra de seguridad gracias a un SMS OTP.

¿Qué tan seguro es SMS OTP?

Los SMS OTPs son muy efectivos para mitigar riesgos, debido a su aleatoriedad.

Para un código aleatorio de cuatro dígitos, un estafador necesitaría adivinar cada número correctamente en menos de cinco minutos. Eso es 10 posibilidades, cuatro veces. Matemáticamente, eso se traduce en una de cada 10,000 posibilidades de acertar un OTP.

Sumado a esa aleatoriedad está el hecho de que un OTP es válido solo una vez y es sensible al tiempo. Es como tratar de encontrar una aguja en un pajar, ¡excepto que la aguja se mueve a un pajar diferente cada minuto!

Pero tenemos que abordar el elefante en la habitación: el SMS OTP no es infalible.

Debido a su medio, los SMS OTPs pueden estar sujetos a amenazas potenciales. El intercambio de SIM, las vulnerabilidades del protocolo SS7 y la ingeniería social son tácticas bien conocidas utilizadas por hackers que pueden debilitar los SMS OTPs como un fuerte factor de autenticación.

Es un riesgo que las empresas pueden mitigar educando a sus usuarios, pero más importante, implementando un proveedor seguro de OTP que previene activamente el fraude.

💡 Por ejemplo, en Prelude, bloqueamos el 99% de los ataques de spam y fraude para nuestros clientes utilizando una puntuación de riesgo de señal cruzada para identificar spam con la mejor precisión. Nuestra API Watch analiza docenas de señales digitales, incluida la portabilidad de la tarjeta SIM, para prevenir ataques de intercambio de SIM dirigidos a tus usuarios. Nuestro objetivo final es que nuestros clientes solo envíen OTP a usuarios reales, sin tener que recurrir a bloquear países enteros.

Los beneficios de SMS OTP

Mejora de la seguridad y reducción del fraude

Como se discutió anteriormente, los SMS OTPs proporcionan una capa vital de seguridad al utilizar un código no adivinable y sensible al tiempo. Esto ayuda a las empresas a combatir el fraude y proteger las cuentas e información de los usuarios contra el acceso no autorizado mientras reduce los riesgos asociados con depender únicamente de contraseñas de usuario.

Construir confianza con los clientes

Más del 25% de los usuarios en línea han abandonado transacciones debido a preocupaciones sobre la seguridad de una app o sitio web. Implementar SMS OTP en tu sistema de autenticación de dos factores puede ayudar a eliminar estas barreras de conversión asegurando a los clientes que sus datos e información financiera están seguros con tu empresa.

Accesible para todos tus usuarios

El SMS es el tipo de 2FA más utilizado en todo el mundo. Es fácilmente accesible para todos los usuarios con un teléfono, ya que no requiere aplicaciones adicionales o tecnología, y aprovecha un medio con el que los usuarios ya están familiarizados.

El SMS es universalmente respaldado por operadores de redes móviles, convirtiéndolo en el canal ideal para alcanzar a los usuarios a escala global.

Autenticación instantánea de usuarios

Con altas tasas de entrega y apertura, el SMS permite a tus usuarios recibir y usar sus OTPs al instante, facilitando una experiencia de autenticación de usuario fluida.

Facilidad de implementación

Implementar SMS OTP en tus sistemas es sencillo y no requiere cambios significativos en la infraestructura o recursos extensos. En Prelude, hemos visto a empresas lanzar sus sistemas OTP en menos de una hora con solo un miembro del equipo.

Escalabilidad

El SMS es un canal mundial, tus necesidades de OTP pueden crecer al mismo ritmo que tu empresa. Puedes expandirte a nuevos mercados sin necesidad de depender de nuevos proveedores o canales, especialmente si trabajas con un servicio de OTP que ya integra múltiples proveedores.

¿Cómo implementar SMS OTP en tu aplicación?

Ahora que estás convencido de que tu empresa necesita SMS OTPs, ¿cuáles son los siguientes pasos? Desplegar tal servicio puede ser bastante rápido y fácil.

1. Elige tu proveedor de servicio OTP

En un artículo anterior, listamos las características a buscar en un proveedor de SMS OTP.

Para elegir el mejor para tu empresa, necesitas tener clara una lista de características imprescindibles en mente, ya sea velocidad y fiabilidad, facilidad de implementación, integraciones o costos.

También asegúrate de verificar si el proveedor ofrece SDKs para tu lenguaje de programación preferido, ¡para facilitar el proceso de integración! Por ejemplo, Prelude proporciona SDKs para muchos lenguajes populares como Node, Go o Python.

2. Integra la API SMS del proveedor

Una vez que has hecho tu elección, puedes usar la API de SMS de tu proveedor para integrar la funcionalidad OTP en tu aplicación. Tu proveedor debería compartir contigo una clave API o token, por lo que puedes configurar el servicio.

3. Prueba la integración

Antes de comprometerte completamente con tu proveedor, asegúrate de probar la integración. Puedes hacerlo usando números de teléfono de prueba para verificar que los mensajes se reciben correctamente, luego monitoreando registros en el panel de tu proveedor para asegurarte de que tus usuarios reciben sus OTPs.

4. Monitorea y escala

Una vez que todo funcione bien para tus usuarios, dedica tiempo en el futuro a monitorear los costos y volumen de SMS enviados para seguir la pista de tu rendimiento de adquisición. Algunos proveedores, como Prelude, dan acceso a sus clientes a paneles y análisis en tiempo real para que puedan entender mejor sus KPI y oportunidades de autenticación de usuarios.

Comienza con SMS OTP con Prelude Verify

Puedes enviar y verificar un código en 2 minutos y 3 simples pasos integrando la API de Prelude Verify desde cualquier idioma para comenzar a enviar mensajes OTP a tus usuarios en todo el mundo usando múltiples canales de mensajería.

Paso 1: Regístrate y obtén tu clave API

Para utilizar los servicios de verificación de Prelude, necesitas una clave API:

1. Crea una cuenta en Prelude.

2. Navega a la sección de Llaves en tu Configuración.

3. Genera una nueva clave API y guárdala de forma segura.

Tu clave API es requerida para autenticar solicitudes y debe mantenerse privada.

Paso 2: Envío de un código de verificación

Para verificar un número de teléfono, el primer paso es enviar una contraseña de un solo uso (OTP). Usa el punto final /v2/verification para activar un mensaje con un código de verificación. Puedes ver todos los diferentes parámetros personalizables, como el tamaño del código o el ID del remitente, en nuestra documentación.

Ejemplo de solicitud:

import os
from prelude_python_sdk import Prelude

client = Prelude()

verification = client.verification.create(
    target={
        "type": "phone_number",
        "value": "+30123456789",
    },
)

print(verification.id)

Ejemplo de respuesta:

{
  "id": "vrf_01jc0t6fwwfgfsq1md24mhyztj",
  "status": "success",
  "method": "message",
  "metadata": {
    "correlation_id": "<string>"
  },
  "request_id": "<string>"
}

Paso 3: Verificar el código de verificación

Una vez que el usuario recibe el OTP, lo ingresa en tu aplicación. Luego verificas el código usando el punto final /v2/verification/check.

Ejemplo de solicitud:

import os
from prelude_python_sdk import Prelude

client = Prelude()

check = client.verification.check(
  target={
    "type": "phone_number",
    "value": "+30123456789",
  },
  code="123456",
)

print(check.id)

Ejemplo de respuesta:

{
  "id": "vrf_01jc0t6fwwfgfsq1md24mhyztj",
  "status": "success",
  "metadata": {
    "correlation_id": "<string>"
  },
  "request_id": "<string>"
}

En caso de errores, como número de teléfono no válido o solicitud no válida, descubre cómo solucionarlos aquí.

Paso 4: Envío de señales de fraude

¡Ya estás listo con Prelude! Este último paso es opcional (pero altamente recomendado) ya que te ayudará a aprovechar al máximo nuestra API habilitándola para mitigar ataques de fraude como el bombeo de SMS.

Puedes enviar más de 50 señales de usuario (modelo del dispositivo, versión de la app, nivel de batería y más) a Prelude a través de nuestros SDKs móviles (para iOS, Android y React Native) para el filtrado más preciso posible.

También puedes comenzar a abrir nuevos países y nuevos canales de mensajería (como WhatsApp, RCS o Viber) dependiendo de tus necesidades de verificación de usuarios.

Mejores prácticas para SMS OTP

¿Cómo asegurar que tu OTP impulse conversiones en lugar de perder usuarios? Aquí tienes algunas mejores prácticas que recomendamos a nuestros clientes, basadas en nuestra experiencia enviando millones de OTPs cada mes.

• Manténlo corto y dulce: Tu SMS debería comenzar con el código, permitiendo a los usuarios ingresarlo directamente en tu app sin necesidad de abrir el mensaje. Si deseas agregar tu propio toque en el contenido del mensaje, puedes hacerlo después de que se mencione el código.

• Implementa opciones de respaldo: Si tu usuario tiene una mala recepción de red celular, siempre es mejor tener opciones de respaldo como WhatsApp o Viber para enviar tu OTP. Apunta a un proveedor de OTP que pueda hacer esto automáticamente por ti.

• Permite reintentar OTPs: Los usuarios que no reciben o utilizan su OTP a tiempo deben poder solicitar uno nuevo.

¿Cómo superar los desafíos de SMS OTP?

En Prelude, nos dimos cuenta de que nuestros clientes acuden a nosotros cuando enfrentan uno de los dos desafíos comunes de SMS OTP:

• facturas altas de sus proveedores de OTP debido a cargos por fraude,

• o la necesidad de servicios de verificación de SMS asequibles mientras desarrollan sus aplicaciones.

Abordamos estos problemas con un modelo de precios que puede reducir los costos de verificación de SMS en un 30-40% y mejorar las tasas de conversión. Nuestros servicios incluyen costos más bajos para protección contra fraude, opciones de enrutamiento múltiple y un panel transparente que muestra desgloses de costos de SMS y ahorros.

Con detección avanzada de fraudes y análisis en tiempo real, nuestros clientes ahora pueden conectarse efectivamente con usuarios genuinos mientras minimizan gastos.

Mejora tu proceso de verificación de SMS reservando una demostración de nuestra API o probaseándolo hoy mismo!