Cómo reducir los costos de SMS con claves de acceso

1. Introducción#

Tras el anuncio de X de suspender la autenticación de dos factores (2FA) basada en SMS para los usuarios que no tienen Twitter Blue a partir del 20 de marzo de 2023 en respuesta al abuso de la 2FA basada en SMS por parte de estafadores, surgen preguntas sobre otros posibles inconvenientes de la autenticación basada en SMS.

A pesar de su amplia adopción por parte de las empresas en general (de un solo factor y de dos factores) para proporcionar una mejor protección de las cuentas a sus usuarios, este método de autenticación a menudo conlleva más inconvenientes más allá de los problemas de seguridad.

En este artículo, exploraremos estos inconvenientes, incluido el fraude y los desafíos con los costos, la fiabilidad y la experiencia del usuario. Para abordarlos, las claves de acceso se pueden utilizar como el nuevo método de autenticación estándar sin contraseña, que es superior en muchos aspectos en comparación con los métodos de autenticación basados en SMS.

Teniendo en cuenta la posible aplicación de sustitución de las claves de acceso, en Corbado ofrecemos una solución de claves de acceso "plug-and-play" para hacer de Internet un lugar seguro y ahorrar de inmediato a su empresa grandes gastos relacionados con los SMS.

2. ¿Qué es la autenticación basada en SMS?#

Antes de explorar los inconvenientes de la autenticación basada en SMS, es fundamental comprender su concepto básico. La autenticación basada en SMS comprende dos tipos principales:

• Autenticación de un solo factor
• Autenticación de dos factores

El primero incluye métodos como contraseñas de un solo uso (OTP) enviadas por SMS, que proporcionan una alternativa de inicio de sesión sin contraseña a las contraseñas tradicionales. El segundo emplea un proceso de dos pasos para garantizar la protección 2FA. Los usuarios primero se registran/inician sesión con su nombre de usuario/correo electrónico y contraseña, y luego confirman su registro/inicio de sesión mediante una contraseña de un solo uso enviada a sus teléfonos móviles por SMS.

3. Inconvenientes de la autenticación basada en SMS#

Profundicemos en los inconvenientes de la autenticación basada en SMS analizando las diferentes formas de fraude asociadas con este método de inicio de sesión, y descubramos los desafíos con la fiabilidad, la experiencia del usuario y los costos financieros incurridos al implementar, operar y mantener esta tecnología de autenticación.

3.1 Fraude: los SMS se utilizan para piratear cuentas de usuario#

Los SMS se inventaron hace más de 20 años y no han recibido ninguna actualización de seguridad importante desde entonces. Por eso, el fraude por SMS es un problema enorme.

3.1.1 Bombeo de tráfico SMS#

En la autenticación basada en SMS, cuando un usuario solicita un código de autenticación o un enlace por SMS, el proveedor de servicios envía el código o el enlace al número de teléfono móvil del usuario a través de un mensaje SMS. El bombeo de tráfico SMS aprovecha este proceso enviando un volumen masivo de mensajes SMS no deseados y, a menudo, fraudulentos a un número de teléfono específico.

Los estafadores de los esquemas de bombeo de tráfico SMS explotan los acuerdos de reparto de ingresos entre los operadores de redes móviles (MNO) y los proveedores de servicios de mensajería. Su objetivo es inflar el tráfico de SMS y generar mayores ingresos para ellos, ya que los proveedores de servicios de mensajería pagan a los MNO una tarifa por entregar cada mensaje. Como señaló un empleado actual de Stytch en Hacker News, los MNO colaboran con el pirata informático al compartir aquí los ingresos. Aunque las medidas preventivas específicas, como desactivar la recepción de SMS en los números de teléfono (permisos geográficos), implementar límites de frecuencia y detectar bots pueden ayudar a mitigar el bombeo de tráfico SMS, la eliminación completa del uso indebido es casi imposible debido al diseño del proceso de envío.

Como resultado, las empresas y los proveedores de servicios a menudo enfrentan gastos significativos por el aumento de mensajes entrantes. Commsrisk afirma que solo Twitter perdió la increíble cifra de 60 millones de dólares estadounidenses anuales debido al bombeo de tráfico SMS. Además, los usuarios legítimos pueden experimentar demoras en la recepción de sus códigos o enlaces de autenticación.

3.1.2 Intercambio de SIM (SIM Swapping)#

En este tipo de fraude, los estafadores explotan las vulnerabilidades en la infraestructura del MNO para transferir el número de teléfono móvil de una víctima a una nueva tarjeta SIM. Al hacerlo, los atacantes obtienen el control sobre el número de teléfono de la víctima, lo que les permite interceptar los mensajes SMS entrantes, incluidos los códigos o enlaces de autenticación. Una vez que obtienen el control del número de teléfono de un usuario, pueden eludir el proceso de autenticación y obtener acceso no autorizado a sus cuentas en varias plataformas. El intercambio de SIM es difícil de detectar. Los atacantes suelen utilizar la ingeniería social para engañar al servicio de atención al cliente del MNO, lo que les permite transferir el número de la víctima a una nueva tarjeta SIM. Dado que las empresas con usuarios afectados suelen no enterarse, los ataques de intercambio de SIM por lo general resultan en violaciones de datos, pérdidas financieras y daños a la reputación de la empresa.

3.2 Costos#

Los SMS son costosos y no hay una tendencia real visible que apunte a una reducción en los precios de los SMS.

3.2.1 La implementación de la autenticación basada en SMS es muy costosa#

Para la autenticación basada en SMS, existen dos opciones de implementación. Puede crear y mantener un sistema interno o utilizar una solución de autenticación externa. Aunque es posible adoptar un enfoque combinado, se recomienda la segunda opción por su simplicidad. Según una encuesta de Messente, la creación interna de una solución 2FA solo por SMS puede costar fácilmente cinco cifras. Por eso, optar por una solución externa, que suele ser más barata, es a menudo una mejor idea.

3.2.2 Operaciones: cada SMS enviado puede costar hasta 20 centavos#

Como enviar mensajes de autenticación basados en SMS a los usuarios es muy complejo, casi todas las empresas optan por un proveedor con experiencia. Su servicio incurre en costos de transacción que varían según el proveedor elegido. Estos costos dependen de factores como:

• el número de SMS enviados
• los países de destino a los que se envía el SMS
• las funciones adicionales.

Algunos proveedores pueden cobrar una tarifa adicional por la autenticación exitosa por SMS, aunque esto a menudo se incluye en el precio total. Según miniOrange, los precios de las transacciones suelen oscilar entre 0,01 y 0,20 dólares estadounidenses por SMS, y los servicios de SMS de alta calidad vinculados directamente a los principales proveedores comienzan en alrededor de 0,06 dólares estadounidenses. Dado que los usuarios de productos digitales suelen estar ubicados en diferentes países, la compra de varios planes de SMS aumentará los gastos. Según nuestra información, esto demuestra la rapidez con la que los costos de enviar mensajes de autenticación pueden dispararse por sí solos y por qué la autenticación basada en SMS le cuesta a una empresa líder en comercio electrónico 12 millones de dólares estadounidenses al año. Obviamente, se puede ofrecer la autenticación basada en SMS solo para países de destino clave y así ahorrar dinero, pero eso es solo una gota en el océano y también afectaría negativamente la experiencia del usuario para algunos de ellos.

3.2.3 Mantenimiento: mantener el sistema actualizado genera costos adicionales#

La mayoría de los costos de mantenimiento suelen estar cubiertos dentro de los precios de las transacciones. Estos incluyen los gastos relacionados con permitir a los proveedores gestionar grandes volúmenes de SMS, facilitar la entrega internacional de SMS a varios MNO, implementar medidas de seguridad esenciales y garantizar el cumplimiento normativo. Sin embargo, pueden surgir gastos adicionales para la empresa, como gestionar las relaciones con los proveedores de SMS, proporcionar soporte al usuario y asignar recursos para abordar el tiempo de inactividad y los problemas técnicos.

3.3 Fiabilidad: los SMS se pueden perder#

En el contexto de la autenticación basada en SMS, esto se refiere a la entrega coherente y oportuna del SMS y a la accesibilidad ininterrumpida del sistema de autenticación por parte del código de autenticación enviado. Dependiendo de la infraestructura local, las demoras en la entrega de mensajes, la congestión de la red y el posible tiempo de inactividad del sistema pueden impedir la recepción rápida de los códigos de autenticación. Esto puede causar frustración en el usuario y dificultar el proceso de autenticación.

3.4 Experiencia del usuario: la experiencia de escritorio es inferior#

Un aspecto clave a tener en cuenta es la variación de la facilidad de uso entre las diferentes plataformas. La autenticación basada en SMS funciona de manera excelente en dispositivos móviles debido a la función de autocompletado que facilita la introducción de códigos de autenticación. Por el contrario, en los equipos de escritorio, debe utilizar un dispositivo adicional, su teléfono móvil, para introducir manualmente el código de autenticación, lo que resulta en una experiencia menos intuitiva y conveniente. Como se mencionó anteriormente, la experiencia del usuario también se resiente cuando ocurren ataques de fraude o surgen problemas en la entrega de SMS y en la recuperación de códigos de autenticación.

4. Las claves de acceso como reemplazo de la autenticación basada en SMS#

Hasta ahora, las claves de acceso se han percibido principalmente como la alternativa sin contraseña solo para las contraseñas.

Además, dado que las claves de acceso proporcionan una funcionalidad 2FA incorporada, sirven como alternativa a las contraseñas y a cualquier tipo de autenticación basada en SMS. Esto mejora la seguridad y evita los desafíos de experiencia del usuario que plantean las contraseñas de un solo uso basadas en SMS. Al reemplazar los mensajes de autenticación, las claves de acceso aportan beneficios sustanciales que eliminan eficazmente los inconvenientes de la autenticación basada en SMS.

4.1 MFA resistente al phishing y seguridad sólida#

A diferencia de la autenticación basada en SMS, que puede ser susceptible de intercepción y manipulación, las claves de acceso ofrecen una protección sólida contra todas las formas de ataques fraudulentos gracias al uso de infraestructura de clave pública. Esto garantiza que incluso si se produce una brecha en el servidor, las cuentas de usuario permanezcan protegidas, ya que la clave privada esencial permanece segura en el dispositivo del usuario, incrustada en el sistema operativo. Además, la vinculación de las claves de acceso al servicio en línea registrado específico es una contramedida contra los intentos de phishing, lo que convierte a las claves de acceso en el método de autenticación más seguro disponible en la actualidad.

4.2 Evitar costos (de transacción) elevados#

Al igual que en la autenticación basada en SMS, existen costos asociados a la implementación de las claves de acceso. Aunque es posible gestionar la implementación a nivel interno, centrarse en una autenticación segura suele llevar a la preferencia por especialistas. Su experiencia cuesta una fracción de los costos internos y se alinea con lo que cobran los proveedores de autenticación basada en SMS por la implementación. Desde el punto de vista de los costos, la ventaja significativa de invertir en claves de acceso es eliminar la necesidad de enviar SMS para iniciar sesión o registrarse. En su lugar, los usuarios pueden iniciar sesión de forma segura utilizando Face ID o Touch ID. Esto no solo se traduce en posibles ahorros de millones de costos de autenticación anualmente (especialmente para las grandes empresas orientadas al consumidor), sino que también erradica todos los desafíos que pueden surgir al enviar y recibir SMS.

Para verificar los números de teléfono de los usuarios, a menudo necesarios para fines de marketing u otra comunicación, enviar un SMS inicial con un código de un solo uso sigue siendo una opción. Esto permite que los SMS funcionen junto con las claves de acceso. Además, los SMS pueden servir como método de respaldo. La principal diferencia entre ambos escenarios y la autenticación basada en SMS tradicional es que los SMS se envían solo ocasionalmente en lugar de enviarse con cada intento de inicio de sesión.

4.3 Autenticación conveniente y experiencia de usuario mejorada#

La adopción de datos biométricos (por ejemplo, Face ID, Touch ID, Windows Hello) para desbloquear teléfonos y dispositivos de escritorio se ha convertido rápidamente en algo habitual entre los usuarios. Las claves de acceso extienden ahora esta experiencia familiar al desbloqueo de cuentas. Dado que la mayoría de los teléfonos móviles y dispositivos de escritorio ya están preparados para usar claves de acceso, ofrecen un reemplazo uno a uno para la autenticación basada en SMS. Con el escaneo local de huellas dactilares o facial desde el dispositivo, se elimina la necesidad de un dispositivo secundario, como todavía es necesario para la autenticación por SMS en equipos portátiles. Esta mejora sustancial simplifica la experiencia del usuario y hace que el inicio de sesión de la cuenta se realice sin esfuerzo. Otra característica única de las claves de acceso es la Conditional UI. Esta característica mejora la conveniencia del usuario al sugerir y completar automáticamente las claves de acceso almacenadas cuando los usuarios interactúan con el campo de entrada del nombre de usuario. Esto elimina la necesidad de buscar credenciales de forma manual, incluidos los nombres de usuario, ya que estos ya están almacenados de forma segura dentro del dispositivo o del navegador y se autocompletan.

5. Cómo Corbado ahorra hasta un 90 % de los costos de SMS con tasas de adopción de claves de acceso 10 veces mayores#

La transición a la autenticación basada en claves de acceso no se trata solo de una experiencia de inicio de sesión más fluida y una mejor MFA (resistente al phishing). Las claves de acceso también pueden ahorrar sustanciales costos de SMS OTP si se logran dos cosas:

• una alta tasa de adopción de claves de acceso
• una alta tasa de inicio de sesión con claves de acceso

La tecnología de claves de acceso y el diseño inteligente de Corbado se centran en optimizar ambos aspectos para proporcionar altos ahorros de costos de SMS. Logramos ahorros de hasta un 90 % en los costos con tasas de adopción 10 veces mayores de claves de acceso en comparación con las soluciones tradicionales de tipo "hágalo usted mismo" (DIY). Veamos cómo.

5.1 Maximizar la tasa de adopción de claves de acceso#

El primer paso es convertir a los usuarios existentes en usuarios de claves de acceso permitiéndoles crear claves de acceso en la configuración de la cuenta. Sin embargo, esto por sí solo no es suficiente para aumentar las tasas de adopción de claves de acceso en la base de usuarios actual. Corbado ofrece varias soluciones:

• Inscripción automática progresiva: Nuestro motor de inteligencia de claves de acceso está diseñado para optimizar el proceso de inscripción de las claves de acceso, guiando a los usuarios a través de su adopción de una manera fluida y sin fricciones siempre que sea posible (por ejemplo, durante el inicio de sesión con métodos de autenticación tradicionales). Este enfoque proactivo garantiza que los usuarios no se sientan abrumados o confundidos, reduciendo así las tasas de abandono y aumentando la adopción general.
• Creación automática de claves de acceso locales: Si los clientes inician sesión a través de la autenticación de dispositivos cruzados, se les ofrece la opción de crear una clave de acceso local en el entorno que estén utilizando actualmente, lo que aumenta la adopción de claves de acceso en todos sus dispositivos. En situaciones en las que el dispositivo de escritorio actual no ofrece un autenticador de plataforma para crear una clave de acceso, se puede emplear una estrategia centrada en los dispositivos móviles para crear una clave de acceso en un teléfono móvil.
• Actualización automática a claves de acceso: El motor de decisiones de Corbado facilita una actualización automática a claves de acceso para los usuarios, lo que aumenta significativamente las tasas de adopción sin requerir una participación activa de los mismos. Esta transición fluida está impulsada por nuestro motor de decisiones de inteligencia de claves de acceso, que funciona de forma automática en dispositivos iOS 18+ (y seguirán más).

Nos aseguramos de que más usuarios adopten las claves de acceso sin esfuerzo, logrando tasas de adopción 10 veces mayores que las implementaciones caseras.

5.2 Maximizar la tasa de inicio de sesión con claves de acceso#

El segundo paso importante es activar los inicios de sesión con claves de acceso siempre que sea posible y alentar de manera activa la reutilización de las claves de acceso existentes.

• Enfoque que da prioridad al identificador: Iniciar el proceso de inicio de sesión pidiendo únicamente un identificador (por ejemplo, la dirección de correo electrónico) y luego determinando automáticamente si un inicio de sesión con clave de acceso es posible simplifica la experiencia del usuario y fomenta un mayor uso de las claves de acceso. Este método reduce los pasos necesarios para que los usuarios inicien sesión, lo que hace que el proceso sea más rápido y más intuitivo que ofrecer un botón de "Iniciar sesión con clave de acceso" independiente, que los consumidores suelen ignorar.
• Autenticación entre dispositivos e inicio de sesión con clave de acceso One Tap: Corbado recurre automáticamente a la autenticación entre dispositivos de WebAuthn cuando no hay ninguna clave de acceso local disponible. Además, una vez que se ha registrado un inicio de sesión con clave de acceso en un dispositivo, el campo de identificador de usuario se convierte automáticamente en un botón de inicio de sesión One Tap (con un solo toque), lo que hace que el inicio de sesión sea aún más fluido.

5.3 Resultado: costos de SMS un 90 % más bajos, adopción de claves de acceso 10 veces mayor#

El innovador enfoque de Corbado para maximizar la adopción de las claves de acceso y las tasas de inicio de sesión ofrece ventajas significativas sobre los enfoques "hágalo usted mismo" (DIY). Al aprovechar este diseño inteligente, nosotros garantizamos que los usuarios no solo se integren, sino que adopten activamente las claves de acceso, lo que resulta en tasas de adopción e inicio de sesión hasta 10 veces mayores. Este cambio no solo mejora la seguridad y la experiencia del usuario, sino que también genera ahorros de costos sustanciales, especialmente al reducir los gastos de SMS OTP en hasta un 90 %. En la inminente era de las claves de acceso, donde la autenticación eficiente y segura es importante, Corbado se destaca como líder en impulsar tanto la adopción como la rentabilidad.

6. Conclusión#

En resumen, las claves de acceso ofrecen una solución práctica para abordar los inconvenientes de la autenticación basada en SMS. Proporcionan una seguridad sólida, rentabilidad y una excelente experiencia del usuario, lo que las convierte en un reemplazo inteligente. Con tecnología biométrica y funciones fáciles de usar como Conditional UI, las claves de acceso hacen que la seguridad sea perfecta y que la experiencia del usuario sea fluida en todas las plataformas. Para las empresas que buscan mejorar su juego de autenticación, la solución de claves de acceso de Corbado es una forma sencilla de mejorar la seguridad, reducir los costos y dejar atrás los desafíos de la autenticación basada en SMS. Contáctenos para obtener una solución de autenticación con clave de acceso hecha a medida para su configuración de SMS OTP / 2FA.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →