Ir al contenido principal

Envíos de OTP por SMS

Actualizado hoy

Recomendaciones de seguridad básicas

Es fundamental implementar medidas de seguridad para evitar que tus servicios de contraseña de un solo uso (OTP) o de autenticación en dos fases (2FA) provoquen un aumento inesperado de las solicitudes de SMS.

Un campo de entrada de número de teléfono de acceso público es un objetivo primario para el bombeo de SMS (SMS Pumping), un tipo de fraude en el que los atacantes generan intencionalmente un alto volumen de solicitudes de SMS. Esto puede ser un cliente potencial de cargos importantes e inesperados para tu empresa, ya que los operadores móviles cobran por cada mensaje enviado a través de la red.

Te recomendamos encarecidamente que te familiarices con las amenazas relacionadas, como el bombeo de SMS, el fraude por SMS y el fraude de cuota de ingresos internacionales (IRSF), para comprender plenamente los riesgos.

Al crear o integrar un servicio de autenticación en dos fases o OTP, te recomendamos encarecidamente implementar todas, si no una combinación, de estas medidas de seguridad para proteger tu plataforma:

Recomendación

Descripción

Revisar los envíos globales

Navega a Envíos globales, aquí

Confirma que los países que has activado son los únicos a los que deseas que se envíe el tráfico saliente de SMS

Obtén más información sobre nosotros y los envíos globales, aquí

Implementar limitación de velocidad

Utiliza un enfoque de "cubo" de múltiples capas para una limitación de velocidad más eficaz combinando varios identificadores.

  • Ve más allá de la limitación por dirección IP, ya que se elude fácilmente con las VPN. En su lugar, vincula los límites a un identificador único como una combinación de email + número de teléfono.

  • Implementa la huella digital del dispositivo para identificar el dispositivo único de un usuario y aplicar un bloqueo incluso si cambian su dirección IP o cuenta.

  • Añade una limitación basada en el tiempo al establecer un número máximo de OTP por minuto o mediante el bloqueo temporal de los usuarios después de demasiados intentos fallidos para evitar el abuso.

Introducir retrasos de solicitud

Aplica un período de "enfriamiento" entre solicitudes consecutivas del mismo número de teléfono, como permitir solo una solicitud cada 90 segundos.

Configurar seguimiento y alertas

Crea alertas automatizadas para notificarte de picos inusuales en el tráfico de SMS o solicitudes de alta velocidad que provengan de regiones o rangos de IP específicos.

Establecer umbrales de uso

Define límites de uso claros y aplica cortes automáticamente una vez que se alcancen dichos umbrales. Esto actúa como un respaldo fundamental para evitar costes descontrolados.

Considerar las reglas regionales

Ten en cuenta que los patrones de fraude y los planes de numeración varían según el país. Es posible que tu lógica de seguridad deba adaptarse a diferentes regiones.

Consultar a un experto en seguridad

Si no estás seguro sobre nosotros o la mejor implementación para tu caso de uso, consulta a un profesional de la seguridad para revisar tu arquitectura.

Cómo enviar una OTP por SMS

Puedes usar ClickSend para la configuración de la autenticación en dos fases para tu aplicación o página web. Para hacer esto:

  1. Genera la OTP en tu código (p. ej., "1234") y guárdala (en una base de datos en tu servidor).

  2. Llama a nuestro punto de conexión de ARTÍCULO sms/enviar.

  3. Permite al usuario introducir la OTP.

  4. Tu script debe verificarla con la OTP almacenada.

Se recomienda establecer límites para la cantidad máxima de veces que un usuario puede enviar una OTP y también cuántas veces puede intentar adivinar la OTP.

Artículos relacionados
Autenticación en dos fases (2FA)
Guía de integración: Auth0
Guía de etiquetas alfa
Velocidad de los envíos de SMS y rendimiento de los mensajes
Comprender el MPS y la velocidad de entrega del mensaje (SMS)
¿Ha quedado contestada tu pregunta?