A medida que las empresas y los consumidores evolucionan cada vez más en línea, la necesidad de asegurar las cuentas y la información de sus usuarios se ha vuelto crucial para los negocios. Y la solución más popular se puede escribir en solo seis letras: SMS OTP.

Pero, ¿qué es exactamente SMS OTP y cómo funciona? En esta guía, cubriremos todo lo que necesitas saber sobre SMS OTP, incluidos sus beneficios y cómo implementarlo de manera efectiva.

¿Qué es SMS OTP?

SMS OTP (Contraseña de un sólo uso), es una contraseña temporal y segura enviada vía SMS (Servicio de Mensajes Cortos) al teléfono móvil de un usuario. Funciona como medida de seguridad para autenticar la identidad de un usuario.

El OTP generalmente toma la forma de un código de 4 a 8 dígitos que se genera aleatoriamente. Solo se puede usar una vez y expira después de un período muy corto (generalmente solo unos minutos).

Las empresas usan OTP por SMS para mejorar la seguridad en sus configuraciones de autenticación de dos factores (2FA).

¿Cómo funciona SMS OTP?

Consideremos una aplicación de citas que busca proteger la privacidad de sus usuarios (especialmente aquellos que no quieren revelar sus frases cursis a la gente).

Cuando uno de sus usuarios realiza una acción que requiere un OTP, como intentar iniciar sesión en un nuevo dispositivo, esto es lo que sucede:

• La aplicación no reconoce el dispositivo. Sugiere enviar un código de verificación por SMS para confirmar la identidad del usuario.

• La aplicación solicita automáticamente a su proveedor de SMS OTP generar y enviar un OTP al número móvil del usuario.

• El algoritmo del proveedor de SMS OTP genera un código aleatorio de 4 dígitos y lo envía al teléfono del usuario.

• El usuario ingresa el OTP en la aplicación de citas. El algoritmo del generador de SMS OTP valida el código instantáneamente si es correcto.

• ¡Y voilà! El usuario puede volver al juego de citas en su dispositivo nuevo.

Y la mejor parte es que todo sucedió automáticamente, en menos de un minuto. Todos están felices: el usuario porque sus datos están claramente asegurados y la aplicación de citas porque está a salvo de hackers.

Ejemplo de SMS OTP

Los OTP por SMS suelen seguir el mismo patrón:

{{Code}} es tu código de validación para {{Name of the app}}.

Algunas empresas querrán personalizar su mensaje para alinearlo con su identidad de marca y hacer de esta notificación parte de la experiencia general del usuario. Por ejemplo, el cliente de Prelude y aplicación social BeReal, usa su eslogan al final de su mensaje OTP:

“7860 es tu código de validación para BeReal. Tus amigos de verdad.”

TOTP u HOTP: ¿Cuál es la diferencia?

Los OTP por SMS generalmente caen en dos categorías diferentes, dependiendo del algoritmo utilizado para generarlos: HOTP (Contraseña de un sólo uso basada en HMAC) y TOTP (Contraseña de un sólo uso basada en tiempo).

La diferencia clave entre estos dos es el factor cambiante que cambia cada vez que el algoritmo genera un código.

• El HOTP se basa en un contador. El contador aumenta cada vez que se solicita un OTP. Esto significa que el código permanece válido hasta que se utiliza o el contador aumenta.

• El TOTP se basa en el tiempo, válido solo por un intervalo específico. Una vez que el intervalo expira, se puede generar un nuevo OTP.

Lee más sobre este tema en nuestra publicación de blog: TOTP vs HOTP: ¿Cuál es la diferencia (y cuál es mejor)?

Los (muchos) casos de uso de SMS OTP para negocios

Las empresas pueden usar OTP por SMS de muchas maneras para mejorar la seguridad y la confianza de sus usuarios. Los casos de uso más comunes incluyen:

• Registro de usuarios: Verifica la identidad de tus nuevos usuarios y el número de teléfono durante el proceso de creación de cuenta.

• Autenticación de dos factores: Añade una capa extra de seguridad al proceso de inicio de sesión con nombre de usuario y contraseña.

• Restablecimiento de contraseñas: Asegura el proceso de restablecer una contraseña olvidada o comprometida para evitar que tus usuarios sean bloqueados de sus cuentas.

• Autenticación de nuevo dispositivo: Cuando los usuarios inician sesión desde dispositivos nuevos o no reconocidos, solicitar un OTP por SMS puede ayudar a garantizar que estén autorizados para hacerlo.

• Autenticación sin contraseña: Si deseas permitir que tus usuarios se registren usando solo su número de móvil, enviar un OTP te ayuda a asegurar su autenticación.

• Verificación de transacciones: Para cualquier transacción, como una transferencia o un pago en línea, envía un OTP por SMS para verificar la validez de la transacción.

• Cambio de detalles de la cuenta: Cuando un usuario desea cambiar información sensible de la cuenta, como su dirección de correo electrónico o contraseña, revisa su autenticidad con un OTP.

• Activación de tarjetas de pago bancarias: Las nuevas tarjetas bancarias emitidas a menudo requieren activación mediante OTP para asegurar que están en posesión del dueño legítimo. Esto agrega una capa extra de seguridad y garantiza que solo el titular de la tarjeta pueda activarla y usarla.

Podríamos mencionar muchos otros casos de uso, como asegurar el acceso a archivos o integrar terceros, pero para ahora deberías haber entendido que prácticamente cualquier acción sensible desencadenada por el comportamiento de un usuario podría beneficiarse de una capa extra de seguridad gracias a un OTP por SMS.

¿Qué tan seguro es SMS OTP?

Los OTP por SMS son muy efectivos para mitigar riesgos, gracias a su aleatoriedad.

Para un código aleatorio de cuatro dígitos, un estafador necesitaría adivinar cada número correctamente en menos de cinco minutos. Eso son 10 posibilidades, cuatro veces. Matemáticamente, eso se traduce en una probabilidad de una en 10,000 de acertar un OTP.

A ello se suma que un OTP solo es válido una vez y es sensible al tiempo. Es como tratar de encontrar una aguja en un pajar, excepto que la aguja se mueve a un pajar diferente cada minuto.

Pero tenemos que abordar el elefante en la sala: SMS OTP no es infalible.

Debido a su medio, los OTP por SMS pueden estar sujetos a posibles amenazas. El intercambio de SIM, las vulnerabilidades del protocolo SS7 y la ingeniería social son tácticas bien conocidas utilizadas por hackers que pueden debilitar los OTP por SMS como un fuerte factor de autenticación.

Es un riesgo que las empresas pueden mitigar educando a sus usuarios, pero más importante aún, implementando un proveedor de OTP seguro que prevenga activamente el fraude.

💡 Por ejemplo, en Prelude, bloqueamos el 99% de los ataques de spam y fraude para nuestros clientes utilizando una puntuación de riesgo de señales cruzadas para identificar spam con la mejor precisión. Nuestra API Watch analiza docenas de señales digitales, incluida la portabilidad de la tarjeta SIM, para prevenir ataques de intercambio de SIM dirigidos a sus usuarios. Nuestro objetivo final es que nuestros clientes solo envíen OTP a usuarios reales, sin tener que recurrir a bloquear países enteros.

Los beneficios de SMS OTP

Mejorada seguridad y reducción de fraudes

Como se discutió anteriormente, los OTP por SMS brindan una capa vital de seguridad al utilizar un código no adivinable y sensible al tiempo. Esto ayuda a las empresas a combatir el fraude y proteger las cuentas e información de los usuarios de accesos no autorizados, mientras reduce los riesgos asociados con depender únicamente de contraseñas de usuarios.

Generar confianza del cliente

Más del 25% de los usuarios en línea han abandonado transacciones debido a preocupaciones sobre la seguridad de una aplicación o sitio web. Implementar OTP por SMS en tu sistema de autenticación de dos factores puede ayudar a eliminar estas barreras a la conversión al asegurar a los clientes que sus datos e información financiera están seguros con tu empresa.

Accesible para todos tus usuarios

SMS es el tipo más utilizado de 2FA en todo el mundo. Es fácilmente accesible para todos los usuarios con un teléfono, ya que no requiere aplicaciones o tecnología adicionales, y aprovecha un medio con el que los usuarios ya están familiarizados.

SMS es universalmente soportado por operadores de redes móviles, lo que lo convierte en el canal ideal para alcanzar usuarios a nivel global.

Autenticación de usuario instantánea

Con altas tasas de entrega y apertura, los SMS permiten a tus usuarios recibir y usar sus OTPs al instante, facilitando una experiencia de autenticación de usuario fluida.

Facilidad de implementación

Implementar OTP por SMS en tus sistemas es sencillo y no requiere cambios significativos en la infraestructura ni recursos extensivos. En Prelude, hemos visto a empresas lanzar sus sistemas OTP en menos de una hora con solo un miembro de equipo.

Escalabilidad

Siendo SMS un canal mundial, tus necesidades de OTP pueden crecer al mismo ritmo que tu empresa. Puedes expandirte a nuevos mercados sin necesidad de depender de nuevos proveedores o canales, especialmente si trabajas con un servicio OTP que ya integra múltiples proveedores.

¿Cómo implementar SMS OTP en tu aplicación?

Ahora que estás convencido de que tu empresa necesita OTP por SMS, ¿cuáles son los siguientes pasos? Implementar tal servicio puede ser bastante rápido y fácil.

1. Elige tu proveedor de servicios OTP

En un artículo anterior, listamos las características a buscar en un proveedor de SMS OTP.

Para elegir el mejor para tu empresa, debes tener una lista clara de requisitos imprescindibles en mente, ya sea velocidad y confiabilidad, facilidad de implementación, integraciones o precios.

Además, asegúrate de comprobar si el proveedor ofrece SDKs para tu lenguaje de programación preferido, para facilitar el proceso de integración. Por ejemplo, Prelude proporciona SDKs para muchos lenguajes populares como Node, Go o Python.

2. Integra la API de SMS del proveedor

Una vez que has tomado tu elección, puedes usar la API de SMS de tu proveedor para integrar la funcionalidad OTP en tu aplicación. Tu proveedor debe compartir contigo una clave de API o token, para que puedas configurar el servicio.

3. Prueba la integración

Antes de contar completamente con tu proveedor, asegúrate de probar la integración. Puedes hacerlo usando números de teléfono de prueba para verificar que los mensajes se reciben correctamente, luego monitoreando los registros en el panel de tu proveedor para asegurarte de que tus usuarios reciben sus OTPs.

4. Monitorea y aumenta la escala

Una vez que todo fluye sin problemas para tus usuarios, dedica algo de tiempo en el futuro a monitorear los costos y el volumen de SMS enviados para realizar un seguimiento de tu rendimiento de adquisición. Algunos proveedores como Prelude dan acceso a sus clientes a paneles y análisis en tiempo real para que puedan entender mejor sus KPI y oportunidades de autenticación de usuarios.

Comienza con SMS OTP con Prelude Verify

Puedes enviar y verificar un código en 2 minutos y 3 simples pasos integrando la API de Prelude Verify desde cualquier lenguaje para comenzar a enviar mensajes OTP a tus usuarios en todo el mundo utilizando múltiples canales de mensajería.

Paso 1: Regístrate y obtén tu clave API

Para usar los servicios de verificación de Prelude, necesitas una clave de API:

1. Crea una cuenta en Prelude.

2. Navegue a la sección Claves en tus ajustes.

3. Genera una nueva clave API y guárdala de manera segura.

Tu clave API es necesaria para autenticar solicitudes y debe mantenerse privada.

Paso 2: Enviar un código de verificación

Para verificar un número de teléfono, el primer paso es enviar una contraseña de un solo uso (OTP). Usa el endpoint /v2/verification para activar un mensaje con un código de verificación. Puedes ver todos los parámetros personalizables diferentes, como el tamaño del código o el ID del remitente, en nuestra documentación.

Ejemplo de solicitud:

import os
from prelude_python_sdk import Prelude

client = Prelude()

verification = client.verification.create(
    target={
        "type": "phone_number",
        "value": "+30123456789",
    },
)

print(verification.id)

Ejemplo de respuesta:

{
  "id": "vrf_01jc0t6fwwfgfsq1md24mhyztj",
  "status": "success",
  "method": "message",
  "metadata": {
    "correlation_id": "<string>"
  },
  "request_id": "<string>"
}

Paso 3: Verificar el código de verificación

Una vez que el usuario recibe el OTP, lo ingresa en tu aplicación. Luego verificas el código usando el endpoint /v2/verification/check.

Ejemplo de solicitud:

import os
from prelude_python_sdk import Prelude

client = Prelude()

check = client.verification.check(
  target={
    "type": "phone_number",
    "value": "+30123456789",
  },
  code="123456",
)

print(check.id)

Ejemplo de respuesta:

{
  "id": "vrf_01jc0t6fwwfgfsq1md24mhyztj",
  "status": "success",
  "metadata": {
    "correlation_id": "<string>"
  },
  "request_id": "<string>"
}

En caso de errores, como número de teléfono no válido o solicitud no válida, descubre cómo solucionarlos aquí.

Paso 4: Enviar señales de fraude

¡Ya está todo listo con Prelude! Este último paso es opcional (pero muy recomendado) ya que te ayudará a aprovechar al máximo nuestra API, habilitándola para mitigar ataques de fraude como el bombeo de SMS.

Puedes enviar más de 50 señales de usuario (modelo de dispositivo, versión de la aplicación, nivel de batería, y más) a Prelude a través de nuestros SDK móviles (para iOS, Android y React Native) para el filtrado más preciso posible.

También puedes comenzar a abrir nuevos países y nuevos canales de mensajería (como WhatsApp, RCS o Viber) dependiendo de tus necesidades de verificación de usuarios.

Mejores prácticas para SMS OTP

¿Cómo puedes asegurarte de que tu OTP impulse conversiones en lugar de perder usuarios? Aquí hay algunas mejores prácticas que recomendamos a nuestros clientes, basadas en nuestra experiencia enviando millones de OTP cada mes.

• Manténlo breve y dulce: Tu SMS debe comenzar con el código, permitiendo que los usuarios lo ingresen directamente en tu aplicación sin necesidad de abrir el mensaje. Si quieres añadir tu propio toque al contenido del mensaje, puedes hacerlo después de mencionar el código.

• Implementa opciones de respaldo: Si tu usuario tiene una mala recepción de red celular, siempre es mejor tener opciones de respaldo como WhatsApp o Viber para enviar tu OTP. Apunta a un proveedor de OTP que pueda hacer esto automáticamente por ti.

• Permitir reintentos para OTPs: Los usuarios que no reciben o usan su OTP a tiempo deberían poder pedir uno nuevo.

¿Cómo superar los desafíos de SMS OTP?

En Prelude, notamos que nuestros clientes acuden a nosotros cuando enfrentan uno de los dos desafíos comunes del SMS OTP:

• facturas altas de sus proveedores de OTP debido a cargos por fraude,

• o la necesidad de servicios de verificación por SMS asequibles mientras desarrollan sus aplicaciones.

Abordamos estos problemas con un modelo de precios que puede reducir los costos de verificación por SMS en un 30-40% y mejorar las tasas de conversión. Nuestros servicios incluyen menores costos para la protección contra fraudes, opciones de múltiples rutas y un tablero transparente que muestra desgloses de costos de SMS y ahorros.

Con detección avanzada de fraudes y análisis en tiempo real, nuestros clientes ahora pueden conectarse efectivamente con usuarios genuinos mientras minimizan los gastos.

Mejora tu proceso de verificación por SMS reservando una demostración de nuestra API o probándola hoy!