¿Qué es una contraseña de un solo uso (OTP) y cómo funciona?

La verificación de clientes puede resultar complicada. Las empresas necesitan una forma segura de verificar la identidad de los usuarios para evitar el acceso no autorizado a sus cuentas o sistemas. Al mismo tiempo, deben minimizar la fricción de autenticación que podría dar lugar al abandono de los usuarios o a una reducción de las tasas de conversión. Los métodos de autenticación tradicionales pueden limitar y afectar este equilibrio crítico. En su lugar, las OTP (contraseñas de un solo uso o códigos de acceso) proporcionan formas fáciles y seguras de autenticar a los usuarios en un canal cómodo y muy visible.

En este artículo, obtendrás información sobre las OTP, cómo funcionan, sus beneficios comerciales y ejemplos de OTP de la Plataforma de WhatsApp Business. Empecemos por definir qué son las OTP.

¿Qué es una contraseña de un solo uso (OTP)?

Una contraseña de un solo uso (OTP) es un código único y temporal que se utiliza para verificar la identidad de un usuario, por lo general cuando inicia sesión en su cuenta o realiza una transacción. Esta contraseña puede ser un código de cuatro o seis dígitos (p. ej., 9237 o A87K90) que cambia cada vez que se genera.

Un ejemplo común de contraseña de un solo uso es cuando un usuario acepta recibir códigos de verificación de WhatsApp de una empresa, como un banco o un comerciante online. Al intentar iniciar sesión, la empresa puede verificar la identidad del usuario y enviar un código de seguridad único directamente a través de WhatsApp. Deben ingresar el código para completar el proceso de inicio de sesión o autenticación.

Este enfoque aprovecha los mensajes de autenticación en WhatsApp, donde los mensajes están cifrados de extremo a extremo para crear una capa de seguridad adicional. Esta capa ayuda a evitar las vulnerabilidades de seguridad de las combinaciones tradicionales de nombre de usuario y contraseña, todo mientras se utiliza un canal que los clientes ya conocen y aman: WhatsApp.

Cómo funcionan las contraseñas de un solo uso

Las OTP funcionan mediante el envío de números generados o códigos alfanuméricos a través de canales de confianza, como WhatsApp, mensajes SMS y correo electrónico. Este tipo de autenticación es clave para validar la identidad de un cliente en momentos como el restablecimiento de la contraseña y la recuperación de la cuenta.

El proceso de verificación con contraseña de un solo uso

El proceso de contraseña de un solo uso sigue un enfoque estandarizado que equilibra la seguridad con la experiencia del usuario. Este método garantiza que solo los usuarios autorizados puedan acceder a las cuentas o completar transacciones confidenciales:

1. El usuario inicia una acción: un usuario intenta crear una cuenta nueva, recuperar una cuenta o realizar una compra. Estas acciones inician la verificación de la contraseña de un solo uso.
2. El sistema genera una contraseña de un solo uso: Se genera una contraseña única de un solo uso mediante algoritmos de cifrado, como TOTP (basada en tiempo) o HOTP (basada en hash). Más información al respecto en la siguiente sección.
3. El sistema envía una contraseña de un solo uso al usuario: La contraseña de un solo uso se envía al usuario a través de mensajes, SMS, correo electrónico, notificaciones push, llamadas y más.
4. El usuario recibe una contraseña de un solo uso: El usuario recibe el código de verificación y lo ingresa en la interfaz solicitante para verificar su identidad.
5. El sistema verifica al usuario: si es correcto, el usuario tiene acceso para completar la acción deseada.
6. El sistema impide el acceso: si la respuesta es incorrecta, el usuario no puede acceder, lo que puede evitar que personas malintencionadas realicen acciones críticas.

La generación de la OTP suele ocurrir en cuestión de segundos, lo que hace que el proceso sea una experiencia rápida y fluida para los usuarios. Como los códigos se comparten casi en tiempo real, se minimiza la fricción con los usuarios. Una vez que la contraseña se usa correctamente, deja de ser válida y no puede volver a utilizarse.

Nota: El uso de una contraseña y una contraseña de un solo uso es una forma de autenticación en dos pasos (2FA).

Principales tipos de OTP

Ahora, veamos los dos tipos principales de OTP: autenticación TOTP y autenticación HOTP. Dado que ambos se utilizan en sistemas de 2FA y MFA (autenticación multifactor), es fácil confundirlos. Definamos cada uno de estos términos con más detalle.

Las OTP se unen mediante HMAC (forma completa: Código de autenticación de mensajes basados en hash), el algoritmo básico que combina una clave secreta y una función matemática (función de hash) para garantizar que un mensaje sea único y auténtico. Actúa como una huella digital que demuestra que el mensaje no fue manipulado y proviene de una fuente confiable. Sin embargo:

• Las contraseñas de uso único basadas en HMAC generan contraseñas únicas de un solo uso con una clave secreta compartida y un contador. Este contador registra cada contraseña de un solo uso que se genera y calcula un nuevo código con cada solicitud.
• Las contraseñas de un solo uso basadas en tiempo también utilizan el algoritmo HMAC, pero automatizan el contador de eventos con un contador basado en tiempo. Esto significa que un usuario debe ingresar el código que recibe dentro de un plazo especificado; de lo contrario, se vuelve automáticamente inutilizable. Gracias a su contador de tiempo, la autenticación TOTP se considera generalmente más segura, ya que limita la cantidad de tiempo que un hacker puede explotar los códigos.

Ventajas comerciales de usar OTP frente a contraseñas estáticas

En comparación con las contraseñas estáticas, los códigos OTP proporcionan un valor empresarial cuantificable a través de una mejor seguridad y experiencia del usuario, como:

• Mayor seguridad: como solo se pueden usar una vez, pueden ser más seguras que las contraseñas estáticas. Por el contrario, las contraseñas estáticas pueden utilizarse repetidamente hasta que se cambien.
• Aumento de la confianza de los clientes: La seguridad adicional que ofrecen las contraseñas de un solo uso ayuda a tranquilizar a los clientes, ya que les demuestra que sus cuentas están protegidas, en particular durante transacciones de alto riesgo, como pagos o cambios en la cuenta.
• Experiencia de usuario optimizada: Las OTP ofrecen un proceso de inicio de sesión simple, seguro y cómodo. Cuando se realiza a través de un canal de uso generalizado como WhatsApp, el proceso de autenticación se vuelve familiar y sencillo para la mayoría de los clientes.
• Cumplimiento: Las OTP ayudan a las empresas a cumplir con los requisitos de seguridad y, al mismo tiempo, mantener la eficiencia operativa.

Cómo Meta mejoró los porcentajes de entrega y de conversiones con mensajes de autenticación de OTP en WhatsApp

Históricamente, cuando las personas necesitaban acceder a sus cuentas, creaban una nueva cuenta, recuperaban una contraseña o realizaban una autenticación en dos pasos en las tecnologías de Meta, los mensajes de autenticación se enviaban a través de canales, como un SMS, para verificar la identidad. Pero los mensajes SMS por sí solos pueden demorar en entregarse y no tienen indicadores claros de entrega, entre otras desventajas.

Al enviar estos mensajes de verificación a través de WhatsApp, Meta logró aumentar la seguridad y mejorar la experiencia del usuario. Los mensajes de autenticación de OTP en WhatsApp ofrecen funciones interactivas y fáciles de usar que verifican la identidad de las personas de forma rápida, por lo que es más probable que completen el proceso de autenticación.

Resultados:

• 20% de aumento en el éxito de la recuperación de cuentas en Instagram*
• 11% de aumento en el éxito de la recuperación de cuentas en Facebook*
• 9% de aumento en el éxito de la creación de nuevas cuentas en Instagram**

«Descubrimos que usar WhatsApp para los mensajes de autenticación de OTP ofrece varias ventajas, incluida una experiencia de usuario mejorada, una entrega confiable y segura, una cobertura más amplia y una mejor segmentación. Al aprovechar estas funciones, mejoramos las tasas de entrega y de conversión, por lo que finalmente más personas volvieron a nuestras tecnologías.»

Francisco Varela
VP, Equipo de crecimiento empresarial, Meta

Prácticas recomendadas para implementar las OTP para tu empresa

El método correcto para enviar OTP a números de teléfono móviles o métodos de comunicación adicionales implica tener en cuenta la experiencia del usuario, la velocidad, la confiabilidad, la seguridad y el cumplimiento. A continuación, detallamos otras prácticas recomendadas que puedes seguir durante la implementación.

1. Prioriza la seguridad

Es importante utilizar un enfoque multifacético con una aplicación o plataforma que incluya generación rápida de códigos y entrega segura. Desde el punto de vista técnico, esto implica lo siguiente:

• Se usan generadores seguros y aleatorios que establecen tiempos de caducidad adecuados para los códigos, por lo general, en cuestión de minutos para las transacciones estándar y en periodos más cortos para las operaciones de alta seguridad.
• Restringir el número de intentos de código de OTP permitidos en un plazo determinado, lo que ayuda a prevenir ataques de fuerza bruta en los que los hackers prueban varias combinaciones a la vez.

2. Brinda a los usuarios la posibilidad de elegir un canal para la autenticación.

Si permites que los usuarios elijan la opción de verificación, podrás enviar OTP a números de celular o canales de comunicación en los que es más probable que los usuarios los reciban. Por ejemplo, la autenticación de WhatsApp tiene un rendimiento particularmente bueno en mercados en los que WhatsApp tiene altas tasas de adopción, lo que proporciona una experiencia de usuario familiar.

Si usas Android OS, puedes verificar si WhatsApp está instalado. Si está instalada, puedes sugerir que el usuario reciba códigos OTP a través de WhatsApp.

Nota: Con la opción sin toque, ya no es necesario que los usuarios toquen la pantalla o salgan de tu app para obtener una contraseña de un solo uso. Esta opción ya está disponible en Android y pronto lo estará en iOS.

3. Supervisa el rendimiento con más eficacia

Para administrar mejor tu enfoque de autenticación, es importante hacer lo siguiente:

1. Supervisa las métricas de rendimiento clave, como los índices de entrega, los tiempos de respuesta y los porcentajes de finalización de los usuarios.
2. Revisa regularmente el rendimiento para optimizar la experiencia del usuario o identificar problemas de forma temprana.
3. Aborda las amenazas de seguridad emergentes y mantén un registro de auditoría adecuado para el cumplimiento.

Para ayudar a garantizar el cumplimiento, WhatsApp exige que las empresas obtengan consentimiento antes de enviar mensajes de autenticación a los usuarios.

Herramientas de la API para la autenticación con contraseña de un solo uso: Plataforma de WhatsApp Business

La plataforma de WhatsApp Business ofrece a las empresas sólidas funcionalidades de mensajes a través de una colección de API que permiten el envío de mensajes automáticos a gran escala. Para simplificar la autenticación, la plataforma de WhatsApp Business funciona como un autenticador TOTP que ayuda a las empresas a verificar la identidad del usuario y la seguridad de las transacciones, con plantillas de contraseña de un solo uso personalizables para los mensajes.

Muchas soluciones de terceros pueden ayudar a facilitar las integraciones de sitios web de OTP en WhatsApp, incluidos los socios de mensajes comerciales de Meta. Estas soluciones gestionan la complejidad técnica de las integraciones de sitios web y, a su vez, proporcionan funciones adicionales como análisis y asistencia multicanal.

Empieza a usar la plataforma de WhatsApp Business

Cuando se implementan correctamente, los sistemas de OTP, como los de WhatsApp, pueden mejorar la seguridad, aumentar la confianza, agilizar los procesos e incluso impulsar nuevos flujos de ingresos, ya que ofrecen una solución que diferencia a tu empresa de la competencia. WhatsApp ofrece una adopción más amplia en un ecosistema establecido, lo que lo convierte en una opción confiable para las empresas.

¿Todo listo para empezar? Obtén más información sobre las funciones de la plataforma de WhatsApp Business que pueden ayudar a tu empresa.

* Fuente: Datos internos de Meta, del 23 de enero al 21 de febrero de 2025.
** Fuente: Datos internos de Meta, del 23 de enero al 19 de febrero de 2025.

Contraseñas de un solo uso: preguntas frecuentes

¿Cuál es la forma completa de OTP?

La forma completa de OTP es contraseña de un solo uso o código de acceso de un solo uso. Se trata de una forma de autenticación entre una empresa y un usuario que tiene como objetivo mejorar las protecciones de seguridad.

¿Qué es la autenticación con contraseña de un solo uso?

La autenticación mediante OTP implica una contraseña o un código único y temporal que se utiliza para verificar la identidad de un usuario, generalmente cuando inicia sesión o realiza una transacción. Los códigos de autenticación suelen ser códigos de cuatro o seis dígitos (p. ej., 9237 o A87K90) que cambian cada vez que se genera un código.

¿Son lo mismo las contraseñas de un solo uso y la autenticación en dos pasos?

No, las OTP (contraseñas de un solo uso) y la 2FA (autenticación en dos pasos) no son lo mismo exactamente. Si bien ambas se utilizan con fines de autenticación, la OTP se refiere a una contraseña o un código únicos que se envían al dispositivo de un usuario para que los utilice una sola vez, mientras que la 2FA implica dos formas de verificación distintas, como una contraseña y una OTP, o un análisis biométrico.