¿Cónoce lo que es un OTP o one time password? Existen 3 pilares fundamentales que una empresa debe tener en cuenta para que su futuro sea prometedor: Un producto/servicio de calidad, atención al cliente de primer nivel y credibilidad.
La seguridad digital entra dentro del último pilar. Y es que la verdad, es un factor determinante en toda compañía, sobre todo en aquellas que están dedicadas a la prestación de servicios.
Es bien sabido que en la red abundan amenazas que pueden robar información personal sin ningún esfuerzo. Por tal motivo, toda empresa en línea debe implementar mejoras de seguridad constantemente.
Los rubros más afectados han sido:
- SaaS
- Banca
- Empresas de cobranza
- Finanzas
- Empresas de protección de datos
- Compañías de almacenamiento en la nube
Todas estas tienen algo en común: almacenan información personal de sus clientes en sus servidores.
Para entrar en perspectiva, si algo de ese contenido se llegara a filtrar, podría incluir datos de cuentas bancarias, direcciones, números telefónicos y demás de todos aquellos usuarios que tienen una cuenta.
Hay muchos métodos de seguridad que son utilizados en los sitios web y que las cuentas de usuarios necesitan para estar seguras, como por ejemplo:
- Certificados de seguridad: Estos son los protocolos SSL y HTTPS que debe seguir una página web para que los buscadores como Google los consideren seguros.
- Controles de captcha: Estos son los tests de verificación humana que se consiguen en los sitios web para verificar que no están siendo manipulados por bots. La idea de estos controles es evitar el spam.
- Verificación de identidad: Este método de seguridad funciona como una capa extra para reforzar una cuenta personal. Así mismo, habilita muchas otras características, que una cuenta sin verificación no posee. En algunas plataformas como las bancarias, es obligatorio.
- Cambios de contraseña frecuentes: En caso de las contraseñas estáticas, es recomendable cambiarlas periódicamente y utilizar combinaciones como letras minúsculas, mayúsculas, números y caracteres especiales.
Si bien algunas medidas de seguridad le corresponden al sitio web, como la utilización de un hosting confiable o el uso de un certificado SSL en la página. Hay otras que le corresponden al usuario directamente, y que pueden ser tan sencillas como cambiar de antivirus o activar las actualizaciones automáticas.
Sin embargo, ninguno es tan efectivo como aquellos métodos en los que el usuario directamente solicita un código temporal con el cual pueda realizar sus actividades. Por eso, las claves OTP son tan útiles, seguras y utilizadas por las plataformas financieras y de servicios más importantes del mundo.
A qué corresponden las siglas OTP
Las siglas OTP son el acrónimo de One Time Password (contraseña de un solo uso, en español), son códigos numéricos que solamente pueden ser usados una sola vez durante una transacción para autenticar al usuario. Después de 5 minutos expira, así que si no se ha utilizado, se debe solicitar otro.
Esta es la razón por la que muchas organizaciones, como la banca, la utilizan y sustituyen a otros métodos utilizados como las tarjetas de coordenadas.
La OTP surgió debido a la necesidad de solventar deficiencias por parte de las contraseñas normales tales como:
- Repetitividad
- Deben ser actualizadas manualmente
- Son vulnerables a keyloggers o malware
- Se pueden usar indefinidamente
Por el contrario, las OTP no son vulnerables a la replicación, ya que una vez que cambia la contraseña, los intentos para acceder con ella son inútiles.
Se debe hacer uso de un sistema que genera estos códigos para que sean enviados a los usuarios y que estos puedan utilizarlos durante un corto periodo de tiempo.
Por eso, hay diferentes formas de crear un sistema de claves OTP, entre los que destacan:
- La utilización de un algoritmo para generar la contraseña
- A través de la sincronización de tiempo entre un autenticador y el cliente. Usualmente las claves de este tipo duran muy poco tiempo
- Utilización de modelos criptográficos para generar una nueva clave. Durante esta autenticación, el usuario crea y comparte con el verificador el nuevo código que se utilizará
Actualmente existen servicios como SMS Pro de Octopush que facilitan todo esto y te permiten implementar el envío de OTP según tus requerimientos.
¿Para qué sirve la activación de OTP por SMS?
La activación de una clave OTP sirve para aumentar la protección de las cuentas de los usuarios. Usualmente es utilizada para verificar la identidad de las personas, realizar pagos, ver o modificar información confidencial y cualquier otra actividad digital que sea importante proteger.
Esto por su parte, hace a los softwares y a las plataformas web más resistente a los ataques externos, ya que cada vez que una contraseña cambia, los intentos de acceso con la misma son inutilizados.
Así mismo, si alguien logra guardar una OTP y busca acceder con ella después de haber sido utilizada por el dueño de la misma, esta clave no será válida.
Ahora, hay algunas empresas que utilizan dispositivos especiales como “tokens”, tal como los bancos, para que los usuarios podamos recibir estas claves de forma constante cada vez que deseamos hacer una operación.
Sin embargo, actualmente se utiliza el SMS como medio de entrega más común.
Si bien desde hace años existe este tipo de seguridad, no era muy implementada. Fue debido a la cuarentena que se realizaron cambios para que estas claves pudiesen ser enviadas a través de SMS de forma más precisa y rápida desde una gran cantidad de plataformas.
¿Y por qué es SMS la forma escogida para enviar las OTP?
Debido a que es un medio de comunicación simple que permite enviar textos cortos sin necesidad de conexión a internet y a un bajo precio.
El SMS se ha utilizado constantemente a través de la historia para difundir toda clase de contenido, desde estrategias de marketing hasta encuestas de satisfacción, gracias a que tiene una tasa de apertura del 98% y una tasa de respuesta del 45%.
Este es el motivo por el que las OTP funcionan tan bien con esta modalidad.
De esta forma, se puede notar que un cambio de un dispositivo token a SMS es muy útil, ya que el móvil es un equipo personal que todos tenemos disponible a cada momento. Y a diferencia del primero, no se pierde con facilidad.
La autenticación con contraseña de un solo uso funciona de la siguiente manera:
- La persona ingresa a una plataforma con sus datos desde un dispositivo desconocido por la misma, por lo que se genera una contraseña de tiempo limitado que solo es válida durante 5 minutos o hasta que se utilice una vez.
- Esta clave se envía a través de un mensaje al usuario cuya identidad se quiere verificar.
- En el texto del SMS se incluye la clave OTP.
- La persona que ha recibido la contraseña OTP la introduce en la aplicación correspondiente.
Este sistema es comúnmente utilizado para operaciones bancarias, para darse de alta en plataformas digitales, recuperación de contraseñas y en general, para cualquier proceso de autenticación de doble factor por SMS.
Algunos ejemplos comunes y populares donde utilizamos OTP vía SMS
1. Clave OTP como complemento de acceso
La clave OTP también es usada como complemento de seguridad para las plataformas. Ahora no basta con tener un solo método para prevenir el acceso a nuestra información y por eso, estos códigos se utilizan con pines, patrones, contraseñas estáticas, entre otros.
Un ejemplo de esto, sería que luego de ingresar a cuenta de usuario, se envíe una OTP para verificar la identidad de quién está accediendo.
Esta metodología es común en los SaaS (Service as a Software o software como servicio), ya que muchas de estas compañías utilizan programas sensibles o con información muy delicada a la que no puede acceder cualquiera.
Un software de servicio que no posea un código de un solo uso no sería completamente seguro y por lo tanto no le proporciona confianza a los usuarios.
2. Verificar que el número móvil sea correcto
Si un nuevo cliente se registra en tu base de datos y te brinda un número móvil incorrecto, puede ser perjudicial si tienes implementadas algunas campañas de SMS marketing o requiere hacer uso de OTP más adelante.
Incluso podría perderse información sobre alguna compra en curso.
Por ello, para verificar que la persona se está registrando con el número móvil correcto, es importante implementar OTP para confirmar el registro de un nuevo usuario.
Esta práctica es muy común con el email, donde se envía un correo de verificación con un enlace. Pero ahora que todo el mundo utiliza el móvil como herramienta indispensable, es algo fundamental para mantenerse comunicado con los clientes y aumentar la seguridad en línea.
3. Ingresar a la plataforma de un banco
Las OTP son usualmente utilizadas en las plataformas de bancos online como medio de seguridad.
Los usuarios deben vincular un dispositivo al sitio web o aplicación móvil y cada vez que desean ingresar a través de algún equipo diferente se les solicita esta clave. Es enviada a través de SMS al número registrado de la persona.
En caso de que no logren verificar su identidad y no puedan escribir el código enviado por SMS no podrán acceder a sus datos financieros. Y en el peor de los casos por múltiples intentos erróneos, la cuenta bancaria puede ser bloqueada para proteger su capital.
Este código puede llegar a ser necesario para hacer inicio de sesión o incluso para realizar una transferencia, todo depende de la configuración de seguridad que posea la persona.
4. Realizar compras por internet
Para comprar en la mayoría de las tiendas online es necesario crearse una cuenta y añadir el número de teléfono para verificar y recibir mensajes del estado de la compra.
Y como los usuarios guardan información financiera para realizar pagos, estos sitios están comenzando a solicitar una OTP para confirmar la compra y asegurar la identidad de la persona que está realizando la operación.
En caso de que no se pueda comprobar la identidad de quién está solicitando la compra, no se procesará. Especialmente para compras de montos mayores o grandes cantidades, que podrían tener algún indicio de fraude.
5. Clave de acceso a E-wallets
Las carteras digitales, también conocidas como E-wallet, son espacios digitales en donde se puede almacenar capital corriente, como dólares, euros, pesos, y también criptomonedas, como Bitcoin, Ethereum, entre otros.
Dado que guardan datos financieros y se pueden realizar pagos y transferencias, estas aplicaciones han aplicado la función de OTP para poder acceder o hacer transacciones.
En muchas ocasiones la app móvil tiene un reconocimiento automático de la clave una vez que llega la notificación al teléfono, pero otras veces debe escribirse manualmente.
Si el código se coloca equivocadamente, el cliente no podrá acceder a su cuenta.
6. Protección a empresas en la nube
Las compañías en la nube también se les conoce como cloud computing, que vendrían siendo todas aquellas firmas que proveen y gestionan sus recursos a través de internet. Algunas de ellas son las plataformas de correo electrónico.
Toda la información se almacena en los servidores de la empresa, sin necesidad de consumir espacio en el dispositivo desde el que se esté iniciando sesión. Por este motivo, las empresas en la nube tienen la particular necesidad de estar 100% protegidas de los ataques informáticos que suceden a diario.
Este tipo de compañías utiliza muy seguido las claves OTP para poder acceder al panel central y así gestionar toda esa data.
Si no la utilizaran, se verían continuamente en problemas debido a que los hackers tienden a mejorar cada vez más la precisión de sus ataques. Y en el peor de los casos, todo el contenido en los servidores se vería filtrado para el uso de los malhechores.
¿Cómo OTP protege a mis clientes y usuarios?
Escribir una clave cada vez que deseas entrar a tu cuenta puede parecer una tarea un poco tediosa, pero la verdad es que se trata de un método de seguridad muy eficiente y práctico por diferentes motivos:
Reduce los intentos de robos de contraseña
Como se trata de una contraseña que es válida por un solo uso y por poco tiempo, no puede usarse reiteradas veces. Por eso, los usuarios quedan protegidos de softwares que son perjudiciales como keyloggers.
Además, el envío de estos códigos a través de SMS le añade un plus de seguridad, por lo que es más difícil de descifrar a menos de que tengan acceso directo al teléfono móvil antes de que sea utilizada.
Genera más confianza en los usuarios
Como el dueño del teléfono es el único que tiene acceso a su móvil, solamente él conoce cuál es la contraseña que aparece en el mensaje.
Esto genera un aire de confianza en el usuario al momento de usar cualquier plataforma, ya que si nadie más conoce sus datos de acceso, toda su información estará segura. Sobre todo en estos tiempos inciertos, en donde se han visto muchas amenazas y estafas digitales.
Además, el uso del SMS como medio de envío de información le da un carácter más profesional a tu empresa haciendo ver que la seguridad es importante.
El uso de OTP vía SMS se ha normalizado junto al uso masivo del móvil. Siendo un método seguro para proteger información importante y a tus clientes. Es rápido, barato y no requiere conexión a internet por parte del usuario.
SMS Pro te ofrece esta solución junto a más características que te permitirán mejorar la relación con tus clientes y convertir más. ¡Comunícate a través de la sección de Contacto de Octopush para más información!