Autenticación de Dos Factores por SMS

Blog Single

Si tienes una aplicación o servicio en el que tus clientes registran su número celular o realizan operaciones digitales en las cuales asegurar la identidad del usuario y combatir el phishing es sumamente importante como, por ejemplo, compras, pagos, reservaciones, consultas de saldo, redención de promociones, transacciones bancarias, o publicaciones en línea, entonces este artículo te va a interesar. Hablaremos sobre cómo puedes implementar de una manera fácil una capa de seguridad adicional a tus servicios que ayude a validar la identidad de tus usuarios finales.

Para comenzar, hay que familiarizarse con un concepto llamado autenticación de dos factores.

¿Qué es la autenticación de dos factores?

La autenticación de dos factores o 2FA es el proceso de autenticación donde se combinan dos de los cinco posibles factores de autenticación que son:

  1. Algo que el usuario sabe (conocimiento), por ejemplo, un usuario y contraseña, o la respuesta a una pregunta secreta.
  2. Algo que el usuario tiene (posesión), por ejemplo, un token, un teléfono móvil, un USB o una tarjeta bancaria.
  3. Algo que el usuario es (inherente), por ejemplo, reconocimiento de rostro o voz, escaneo de huella digital, retina o iris.
  4. Algo que determine dónde está el usuario (ubicación), por ejemplo, la localización desde la que se realiza un intento de autenticación basado en la dirección del Protocolo de Internet de origen o alguna otra información de geolocalización, como los datos del Sistema de Posicionamiento Global (GPS) de un teléfono móvil del usuario u otro dispositivo.
  5. Algo que delimite cuándo el usuario puede tener acceso (tiempo), por ejemplo, un factor de tiempo restringe la autenticación del usuario a una ventana de horario o fecha específica en la que se permite el inicio de sesión y se restringe la entrada al sistema fuera de esa ventana.

Los factores de autenticación más utilizados en la seguridad por Internet son los primeros dos: algo que el usuario conoce y algo que el usuario posee. Siguiendo esta filosofía, el usuario debe proporcionar evidencia de ambos factores para obtener acceso a la cuenta, sitio de internet, registro o aplicación a la que intenta ingresar.

Básicamente, se trata de agregar una segunda capa de protección al aplicativo o servicio junto con su método habitual de inicio de sesión. Una de las maneras más sencillas y seguras de agregar un segundo factor de seguridad implica recibir un código por SMS a su número registrado de teléfono móvil.

¿Cómo funciona la autenticación de dos factores?

Imagina que intentas iniciar sesión en tu correo electrónico, aplicación bancaria o algún otro servicio en línea protegido por 2FA. Lo primero que se te pedirá es identificarte con tu nombre de usuario y contraseña. Esto se convierte en el primer factor de autenticación (conocimiento). Para el segundo factor de autenticación, recibirás en el número de teléfono registrado en la cuenta (posesión) un mensaje de texto (SMS) con un código de un solo uso (conocido también como OTP – One Time Password), el cual debes ingresar para obtener la entrada al servicio.

La idea es que, agregando este paso de confirmación adicional en el inicio de sesión, nadie podrá entrar a tu cuenta, incluso si tienen tu usuario y contraseña, si no poseen también tu número de celular. Estas medidas de seguridad también se pueden aplicar si se detecta que alguien intenta iniciar sesión en la cuenta desde un nuevo dispositivo o navegador de Internet que no son los que ocupas habitualmente.

Cuando se combina el OTP por SMS con el nombre de usuario y contraseña que tú conoces, el resultado es una capa de seguridad adicional más fuerte y resistente. Establecer este paso en el proceso de autenticación reduce el riesgo de ser víctima de ataques de phishing, fraude y robo de identidad.

Para tu empresa implementar este sistema representa clientes más felices y seguros, compras y operaciones verificadas, menos devoluciones por transacciones fraudulentas, así como una disminución de tiempo y dinero invertido en solucionar reclamos de los usuarios y proporcionar asistencia técnica.

¿Cómo implementar un sistema de autenticación de 2 factores?

Airmóvil desarrolló un sistema de autenticación de 2 Factores a través de SMS que es muy fácil de configurar. Simplemente utiliza nuestra API para generar automáticamente el envío de un SMS con un OTP cuando alguno de tus usuarios realice alguna actividad donde se requiera verificar su identidad, como, por ejemplo, realizar un registro, iniciar sesión o efectuar una compra o transacción. ¡Sólo requieres conocer el número celular del usuario! Nosotros nos encargamos de lo demás: generar al momento códigos seguros de un solo uso vinculados al usuario y enviarlos al instante por SMS.

Nuestra API también verifica que los códigos que ingresaron tus usuarios sean los mismos que les asignamos, y que continúen vigentes o que no hayan excedido el número máximo de errores de validación permitidos, para que tú puedas otorgarles con confianza el acceso.

Por medio de una interfaz gráfica podrás personalizar distintos aspectos de tu servicio de autenticación de dos factores. Por ejemplo:

  • Incluye el texto que quieras que aparezca en tus mensajes de texto.
  • Determina el límite máximo de intentos de verificación fallida de un código.
  • Decide el tiempo de expiración de los códigos.
  • Modifica el largo de tus códigos, desde 4 y hasta 8 caracteres.
  • Utiliza códigos numéricos o alfanuméricos.
  • Descarga reportes de tus mensajes enviados y la tasa de conversión de los códigos.

¿Cuáles son las ventajas de un sistema de autenticación de dos factores por SMS?

Ahora que sabes qué es un sistema de 2FA y conoces lo fácil que lo puedes implementar utilizando SMS con Airmóvil, te presentamos sus ventajas:

Facilidad de uso

Los métodos de autenticación con códigos bajo demanda por SMS son los más fáciles de usar y convenientes para los usuarios, porque no tienen que descargar ni configurar una aplicación por separado.

Las personas tienen siempre sus dispositivos móviles a la mano, por lo que acceder a los códigos por SMS es muy práctico. Los OTP se envían en tiempo real y el usuario suele esperar solo unos segundos para recibirlos, con la ventaja de que los SMS son compatibles con el 100% de los dispositivos móviles en el mercado y no requieren que el usuario tenga datos móviles activados o una conexión Wi-Fi disponible.

En un estudio de Usenix, los usuarios pudieron utilizar el factor de autenticación por SMS en promedio 2.6 veces más rápido que una aplicación de autenticación (suponiendo que los usuarios quieran descargar e instalar una App de autenticación, que no a todos les gusta, o se les facilita, o tienen un teléfono compatible).

Bajo costo

Al aprovechar el teléfono móvil de un usuario, los métodos de entrega de OTP por SMS bajo demanda ofrecen significativos ahorros de costos en comparación con las opciones de token físico, que requieren compras de hardware y presentan costos extra de envío y logística.

Facilidad de administración

La implementación de un método de entrega de OTP bajo demanda por SMS es relativamente simple para las empresas (el API de Airmóvil ya está disponible) y también para los usuarios, ya que desde su punto de vista no hay ninguna configuración involucrada, simplemente solicitan un código para registrarse, iniciar sesión o hacer alguna actividad donde se necesite verificar su identidad. 

Más seguro que las contraseñas tradicionales

Las OTP superan muchas deficiencias de las contraseñas tradicionales porque no son reutilizables. Por ejemplo, ¿sabías que?

  • Un estudio realizado por Google en 2019 reveló que el 64% de las personas utilizan la misma contraseña para diversas cuentas, como pueden ser su correo electrónico, aplicación bancaria y redes sociales.
  • El informe anual de NordPass indica que las contraseñas más utilizadas a nivel mundial y, por lo tanto, la más inseguras incluyen: “123456”, “qwerty”, “password” y “abc123”. De hecho, ¡la contraseña “123456” es usada por más de 103 millones de usuarios!
  • El robo de contraseñas ha aumentado 300% en los últimos tres años según datos de Security Magazine.

Adicionalmente, los dispositivos móviles tienen métodos de autenticación integrados por separado para evitar el acceso no autorizado, incluidos FaceID, TouchID y códigos (PIN) de inicio de sesión, que brindan una capa adicional de seguridad para que el teléfono no sea ocupado por alguien que no tenga permiso. Finalmente, debido a que la entrega de códigos por SMS se realiza en tiempo real, los mensajes de OTP inesperados pueden alertar a los usuarios sobre intentos no autorizados de ingresar a sus cuentas, lo que les permite investigar y tomar las medidas necesarias antes de que sea demasiado tarde.

Casos de uso de un sistema de autenticación de dos factores por SMS

Además de mejorar la seguridad en el acceso de los usuarios a tus sistemas, otro de los usos más valiosos del 2FA por SMS es verificar el número celular que proporcionan tus clientes al registrarse para construir una base de datos fidedigna.

Si en tu sitio o aplicación solicitas a los usuarios que ingresen su número celular porque es un dato importante en tu flujo operacional (para en algún punto enviarles SMS, mensajes de WhatsApp o llamarles), con 2FA puedes asegurar que el número que te proporcionen exista, se encuentre activo y esté en posesión del usuario. Sólo si los usuarios ingresan el OTP que les envías, pueden concluir su registro y comprobar que son dueños de la línea celular registrada.

Como se ha mencionado en este artículo, otros usos que puedes dar al 2FA por SMS son:

  • Implementar una medida de seguridad adicional en el acceso a servicios digitales.
  • Confirmar cambios en la información personal de una cuenta.
  • Activar software o licencias.
  • Restaurar o cambiar contraseñas.
  • Confirmar la realización de transacciones, transferencias o compras en línea.

¿Quieres saber más? En Airmóvil te podemos ayudar a implementar la mejor estrategia para tu negocio. Somos especialistas en soluciones estratégicas y creativas a tu medida, contáctanos por correo contacto@airmovil.com o llama al (55) 5015 0531.

A continuación una infografía que resume lo espuesto en este artículo.

Imagen principal Vector de Certificado creado por upklyak - www.freepik.es