¿Qué es una contraseña de un solo uso (OTP) y cómo funciona?

La verificación de los clientes puede ser complicada. Los negocios necesitan una forma segura de verificar la identidad de los usuarios para prevenir el acceso no autorizado a sus cuentas o sistemas. Y al mismo tiempo, deben minimizar la fricción durante la autenticación para evitar el abandono de usuarios o la disminución en las tasas de conversión. Los métodos de autenticación tradicionales pueden limitar y afectar este equilibrio crucial. En cambio, las OTP (forma completa: contraseñas o códigos de un solo uso) ofrecen maneras sencillas y seguras de autenticar usuarios mediante un canal práctico y de alta visibilidad.

En este artículo, aprenderás sobre las OTP, cómo funcionan, sus beneficios para las empresas y podrás ver ejemplos de OTP de la plataforma de WhatsApp Business. Empecemos por definir las OTP.

Una contraseña de un solo uso (OTP) es un código único y temporal que se utiliza para verificar la identidad de un usuario, generalmente al iniciar sesión en su cuenta o realizar una transacción. Esta contraseña puede ser un código de cuatro o seis dígitos (por ejemplo, 9237 o A87K90) que cambia cada vez que se genera.

Un ejemplo de contraseña de un solo uso bastante común es cuando un usuario elige recibir códigos de verificación de WhatsApp de parte de una empresa, como un banco o una tienda en línea. Al intentar iniciar sesión, la empresa puede verificar la identidad del usuario y enviar un código de seguridad único directamente a través de WhatsApp. El usuario debe introducir ese código para completar el inicio de sesión o el proceso de autenticación.

Este método aprovecha los mensajes de autenticación en WhatsApp, donde los mensajes viajan encriptados, para crear un nivel adicional de seguridad. Este nivel permite evitar las vulnerabilidades de seguridad de las combinaciones tradicionales de usuario y contraseña, mientras se aprovecha un canal que los clientes ya conocen y prefieren: WhatsApp.

Las OTP funcionan mediante el envío de números o códigos alfanuméricos generados a través de canales seguros como WhatsApp, SMS y el correo electrónico. Este tipo de autenticación es clave para validar la identidad de un cliente en momentos como el restablecimiento de contraseñas y la recuperación de cuentas.

El proceso de la contraseña de un solo uso utiliza un método estandarizado que equilibra la seguridad y la experiencia del usuario. Este método garantiza que solo usuarios autorizados puedan acceder a las cuentas o realizar operaciones delicadas:

1. El usuario inicia la acción: un usuario trata de crear una cuenta nueva, recuperar una cuenta o hacer una compra. Estas acciones activan el proceso de verificación OTP.
2. El sistema genera la OTP: una contraseña de un solo uso única se crea usando algoritmos de cifrado como TOTP (basado en tiempo) o HOTP (basado en huella digital). Encontrarás más sobre esto en la siguiente sección.
3. El sistema envía el código OTP al usuario: la contraseña de un solo uso se envía al usuario a través de chat, SMS, correo electrónico, notificaciones push, llamadas y otros medios.
4. El usuario recibe la OTP: el usuario recibe el código de verificación y lo introduce en la interfaz de solicitud para verificar su identidad.
5. El sistema verifica al usuario: si es válido, el usuario puede acceder y completar la acción deseada.
6. El sistema rechaza el acceso: si es incorrecto, se deniega el acceso al usuario y se evita así que personas malintencionadas realicen operaciones importantes.

La generación de OTP generalmente ocurre en segundos, lo que hace que el proceso sea rápido y sencillo para los usuarios. Como los códigos llegan casi al instante, ayuda a que el proceso sea más fluido para el usuario. Una vez que el código se utilizó con éxito, se invalida y no puede volver a usarse.

Nota: Cuando se utiliza una contraseña junto con un código de un solo uso, se le conoce como proceso de verificación en dos pasos (2FA).

Ahora revisemos los dos tipos principales de OTP: autenticación TOTP y autenticación HOTP. Dado que ambos se usan en sistemas de autenticación de dos pasos (2FA) y autenticación multifactor (MFA), es fácil confundirlos. Vamos a definirlos con más detalle.

Los OTP funcionan con HMAC (forma completa: Código de Autenticación de Mensajes basado en huella digital), el algoritmo central que mezcla una clave secreta y una función matemática (función hash) para garantizar que un mensaje sea único y legítimo. Sirve como una huella digital que comprueba que un mensaje no se ha alterado y proviene de una fuente confiable. Sin embargo:

• Los HOTP o códigos de un solo uso basados en HMAC crean códigos únicos temporales usando una clave secreta compartida y un contador. Este contador registra cada código de un solo uso que se genera y calcula un código nuevo cada vez que se solicita.
• Los TOTP o códigos de un solo uso basados en tiempo también utilizan el algoritmo HMAC, pero cambian el contador de eventos por un contador basado en tiempo. Esto implica que el usuario debe introducir el código que recibe en un tiempo específico o automáticamente deja de funcionar. Gracias al contador temporal, la autenticación TOTP se considera usualmente más segura al reducir el tiempo en el que un ciberdelincuente puede usar los códigos.

A diferencia de las contraseñas estáticas, los códigos OTP aportan valor comercial medible al mejorar la seguridad y experiencia de usuario, a través de:

• Mejor seguridad: ya que únicamente pueden utilizarse una vez, pueden ser más seguras que las contraseñas estáticas. Por otro lado, las contraseñas estáticas se pueden usar reiteradas veces hasta que se cambien.
• Mayor confianza del cliente: la seguridad adicional de las contraseñas de un solo uso da certeza a los clientes de que sus cuentas están protegidas, sobre todo en operaciones delicadas como pagos o modificaciones a sus cuentas.
• Experiencia de usuario optimizada: las OTP ofrecen un proceso de inicio de sesión sencillo, seguro y cómodo. Al enviarse a través de un medio popular como WhatsApp, el proceso de autenticación resulta familiar y simple para la mayoría de clientes.
• Cumplimiento normativo: las OTP ayudan a las empresas a cumplir con las normas de seguridad al mismo tiempo que se mantiene la eficiencia operativa.

Antes, en las plataformas de Meta, cuando los usuarios necesitaban entrar a sus cuentas, crear una cuenta nueva, recuperar una contraseña o usar autenticación de doble factor, los mensajes de autenticación se enviaban por mensajes SMS para confirmar la identidad. Pero los mensajes SMS pueden tomar más tiempo en llegar y no cuentan con indicadores de entrega precisos, entre otras desventajas.

Al enviar estos mensajes de verificación a través de WhatsApp, Meta logró una mayor seguridad y una mejor experiencia de usuario. Los mensajes con autenticación OTP en WhatsApp ofrecen funciones interactivas y fáciles de usar que permiten verificar rápidamente a los usuarios, lo que aumenta la probabilidad de que completen el proceso de autenticación.

Resultados:

• Aumento del 20 % en recuperaciones exitosas de cuentas en Instagram*
• Aumento del 11 % en recuperaciones exitosas de cuentas en Facebook*
• Aumento del 9 % en cuentas nuevas creadas en Instagram**

El método adecuado para enviar OTP a dispositivos móviles u otros canales de comunicación debe considerar la experiencia del usuario, la velocidad, la confiabilidad, la seguridad y el cumplimiento normativo. Estas son algunas buenas prácticas adicionales para considerar durante la implementación.

Es importante utilizar un enfoque integral con una aplicación o plataforma que incluya generación rápida de códigos y entrega segura. Desde el punto de vista técnico, esto implica:

• Usar generadores seguros y aleatorios que establezcan tiempos de expiración de códigos apropiados, típicamente dentro de minutos para transacciones estándar y márgenes más breves para operaciones de alta seguridad.
• Restringir el número de intentos permitidos para usar el código OTP en un período determinado, lo que ayuda a evitar ataques de fuerza bruta donde los ciberdelincuentes prueban múltiples combinaciones al mismo tiempo.

Al darles opciones de verificación a los usuarios, puedes enviar OTP a celulares o canales de comunicación donde es más probable que los reciban. Por ejemplo, la autenticación de WhatsApp funciona muy bien en mercados donde WhatsApp es más usado, y se brinda así una experiencia familiar al usuario.

En dispositivos con sistema operativo Android se puede verificar si WhatsApp está instalado. Si está instalado, puedes sugerir al usuario que reciba códigos OTP a través de WhatsApp.

Nota: Evita que los usuarios tengan que hacer clic o dejar tu aplicación para recibir una OTP con Zero Tap, disponible para Android y próximamente en iOS.

Para gestionar mejor tu estrategia de autenticación, es importante:

1. Monitorear indicadores clave de desempeño como tasas de entrega, tiempos de respuesta y tasas de compleción de los usuarios.
2. Revisar el desempeño con regularidad para mejorar la experiencia del usuario o detectar problemas a tiempo.
3. Atender las amenazas de seguridad que surjan y mantener registros de auditoría apropiados para el cumplimiento normativo.

Para ayudar a garantizar el cumplimiento, WhatsApp exige que las empresas obtengan autorización antes de mandar mensajes de autenticación a los usuarios.

La plataforma de WhatsApp Business ofrece a las empresas soluciones de mensajería robustas a través de un conjunto de herramientas API que permiten el envío de mensajes automatizados a gran escala. Para una autenticación más eficiente, la plataforma de WhatsApp Business funciona como autenticador TOTP que ayuda a las empresas a confirmar la identidad del usuario y asegurar las transacciones, al ofrecer plantillas personalizables de códigos de un solo uso para los mensajes.

Existen varias soluciones de terceros para ayudar a facilitar la integración de códigos OTP de WhatsApp en sitios web, que incluyen a los Meta Business Partners para mensajería. Estas soluciones se encargan de la complejidad técnica de las integraciones en sitios web y proporcionan funciones adicionales como métricas y soporte multicanal.

Cuando se implementan correctamente, los sistemas OTP como los de WhatsApp pueden mejorar la seguridad, aumentar la confianza, agilizar procesos e incluso generar nuevas fuentes de ingresos al ofrecer una solución que distinga a tu empresa de la competencia. WhatsApp ofrece una adopción más amplia a través de un ecosistema establecido, lo que representa una elección confiable para las empresas.

¿Estás listo para empezar? Conoce más acerca de las ventajas de la plataforma de WhatsApp Business que pueden potenciar a tu empresa.

¿Cuál es la forma completa de OTP?

La forma completa de OTP es contraseña o código de un solo uso. Se refiere a una forma de autenticación entre una empresa y un usuario para reforzar las medidas de seguridad.

¿Qué es la autenticación OTP?

La autenticación OTP implica el uso de una contraseña o un código único y temporal que se utiliza para verificar la identidad de un usuario, generalmente al iniciar sesión en su cuenta o realizar una operación. Un código de autenticación suele ser un código de cuatro o seis dígitos (por ejemplo, 9237 o A87K90) que cambia cada vez que se genera.

¿Es lo mismo OTP que 2FA?

No, OTP (contraseña de un solo uso) y 2FA (autenticación en dos pasos) no son precisamente lo mismo. Aunque ambas se utilizan en procesos de autenticación, OTP se refiere a una única contraseña o código enviado al dispositivo del usuario para un solo uso, mientras que 2FA implica dos formas de verificación independientes, como una contraseña y un OTP o un escaneo biométrico.