Cómo reducir los costos de SMS con passkeys

Tras el anuncio de X de suspender la autenticación de dos factores (2FA) basada en SMS para los usuarios que no son de Twitter Blue a partir del 20 de marzo de 2023 como respuesta al abuso de la 2FA basada en SMS por parte de estafadores, surgen preguntas sobre otras posibles desventajas de la autenticación basada en SMS.

A pesar de su amplia adopción por parte de las empresas en general (de un solo factor y de dos factores) para proporcionar una mejor protección de las cuentas de sus usuarios, este método de autenticación a menudo presenta más inconvenientes además de los problemas de seguridad.

En este artículo, exploraremos estas desventajas, incluyendo el fraude y los desafíos relacionados con los costos, la fiabilidad y la experiencia del usuario. Para solucionarlas, podemos usar las passkeys como el nuevo método de autenticación estándar sin contraseña, que es superior en muchos aspectos en comparación con los métodos de autenticación basada en SMS.

Considerando el potencial de las passkeys como reemplazo, en Corbado ofrecemos una solución de passkeys lista para usar (plug-and-play) para hacer de Internet un lugar seguro y ahorrarle a tu negocio enormes gastos relacionados con los SMS de inmediato.

Antes de explorar las desventajas de la autenticación basada en SMS, es fundamental entender su concepto básico. La autenticación basada en SMS se compone de dos tipos principales:

• Autenticación de un solo factor
• Autenticación de dos factores

El primero incluye métodos como los códigos de acceso de un solo uso (OTP) enviados por SMS, que proporcionan una alternativa de inicio de sesión sin contraseña a las contraseñas tradicionales. El segundo emplea un proceso de dos pasos para garantizar la protección de 2FA. Los usuarios primero se registran o inician sesión con su nombre de usuario/correo electrónico y contraseña, y luego confirman su registro o inicio de sesión a través de un código de acceso de un solo uso enviado a sus teléfonos móviles por SMS.

Profundicemos en las desventajas de la autenticación basada en SMS, analizando las diferentes formas de fraude asociadas con este método de inicio de sesión y descubriendo los desafíos relacionados con la fiabilidad, la experiencia del usuario y los costos financieros incurridos en la implementación, operación y mantenimiento de esta tecnología de autenticación.

Los SMS se inventaron hace más than 20 años y desde entonces no han recibido ninguna actualización de seguridad importante. Por eso, el fraude por SMS es un gran problema.

En la autenticación basada en SMS, cuando un usuario solicita un código o un enlace de autenticación por SMS, el proveedor de servicios envía el código o el enlace al número de teléfono móvil del usuario a través de un mensaje SMS. El SMS traffic pumping se aprovecha de este proceso enviando un volumen masivo de mensajes SMS no deseados y a menudo fraudulentos a un número de teléfono específico.

Los estafadores de los esquemas de SMS traffic pumping explotan los acuerdos de reparto de ingresos entre los operadores de redes móviles (MNO) y los proveedores de servicios de mensajería. Su objetivo es inflar el tráfico de SMS y generar mayores ingresos para ellos mismos, ya que los proveedores de servicios de mensajería pagan a los MNO una tarifa por entregar cada mensaje. Como señaló un empleado actual de Stytch en Hacker News, los MNO colaboran con el hacker compartiendo los ingresos en este caso. Aunque ciertas medidas preventivas como desactivar la recepción de SMS para algunos números de teléfono (permisos geográficos), implementar límites de velocidad y detectar bots pueden ayudar a mitigar el SMS traffic pumping, es casi imposible eliminar por completo el uso indebido debido al diseño del proceso de envío.

Como resultado, las empresas y los proveedores de servicios a menudo se enfrentan a gastos significativos por el aumento de los mensajes entrantes. Commsrisk afirma que solo Twitter perdía la increíble cantidad de 60 millones de dólares al año debido al SMS traffic pumping. Además, los usuarios legítimos pueden experimentar retrasos en la recepción de sus códigos o enlaces de autenticación.

En este tipo de fraude, los estafadores explotan vulnerabilidades en la infraestructura de los MNO para transferir el número de teléfono móvil de una víctima a una nueva tarjeta SIM. Al hacerlo, los atacantes obtienen el control del número de teléfono de la víctima, lo que les permite interceptar los mensajes SMS entrantes, incluidos los códigos o enlaces de autenticación. Una vez que obtienen el control del número de teléfono de un usuario, pueden eludir el proceso de autenticación y obtener acceso no autorizado a sus cuentas en diversas plataformas. El SIM swapping es difícil de detectar. Los atacantes a menudo utilizan la ingeniería social para engañar al soporte al cliente de los MNO, lo que les permite transferir el número de la víctima a una nueva tarjeta SIM. Dado que las empresas con usuarios afectados a menudo no se dan cuenta, los ataques de SIM swap suelen provocar filtraciones de datos, pérdidas financieras y daños a la reputación de la empresa.

Los SMS son costosos y no se observa una tendencia real que apunte a una reducción de sus precios.

Para la autenticación basada en SMS, hay dos opciones de implementación. Se puede construir y mantener un sistema interno o utilizar una solución de autenticación externa. Aunque es posible un enfoque mixto, se recomienda la segunda opción por simplicidad. Según una encuesta de Messente, desarrollar internamente una solución de 2FA solo por SMS puede costar fácilmente una suma de cinco cifras. Por eso, optar por una solución externa, que suele ser más barata, es a menudo una mejor idea.

Como el envío de mensajes de autenticación por SMS a los usuarios es muy complejo, casi todas las empresas recurren a un proveedor con experiencia. Su servicio conlleva costos de transacción que varían según el proveedor elegido. Estos costos dependen de factores como:

• el número de SMS enviados
• los países de destino a los que se envía el SMS
• características adicionales.

Algunos proveedores pueden cobrar una tarifa adicional por la autenticación exitosa a través de SMS, aunque esto a menudo está incluido en el precio general. Según miniOrange, los precios de las transacciones suelen oscilar entre 0.01 y 0.20 USD por SMS, y los servicios de SMS de alta calidad directamente vinculados a los principales proveedores comienzan en alrededor de 0.06 USD. Dado que los usuarios de productos digitales a menudo se encuentran en diferentes países, la compra de varios planes de SMS aumentará los gastos. Según nuestra información, esto demuestra lo rápido que pueden dispararse los costos solo por el envío de mensajes de autenticación y por qué la autenticación basada en SMS le cuesta a una empresa líder de e-commerce 12 millones de dólares al año. Obviamente, se puede ofrecer autenticación por SMS solo para los países objetivo clave y así ahorrar dinero, pero eso es solo una gota en el océano y también afectaría negativamente la experiencia de algunos usuarios.

La mayoría de los costos de mantenimiento suelen estar cubiertos por los precios de las transacciones. Estos incluyen los gastos relacionados con la capacidad de los proveedores para gestionar grandes volúmenes de SMS, facilitar la entrega internacional de SMS a varios MNO, implementar medidas de seguridad esenciales y garantizar el cumplimiento de las regulaciones. Sin embargo, pueden surgir gastos adicionales para la empresa, como la gestión de las relaciones con el proveedor de SMS, la prestación de soporte al usuario y la asignación de recursos para hacer frente a los tiempos de inactividad y los problemas técnicos.

En el contexto de la autenticación por SMS, esto se refiere a la entrega constante y puntual de los SMS y a la accesibilidad ininterrumpida del sistema de autenticación mediante el código de autenticación enviado. Dependiendo de la infraestructura local, los retrasos en la entrega de mensajes, la congestión de la red y las posibles caídas del sistema pueden impedir la recepción rápida de los códigos de autenticación. Esto puede causar frustración en el usuario y dificultar el proceso de autenticación.

Un aspecto clave a considerar es la diferente facilidad de uso en las distintas plataformas. La autenticación por SMS funciona excelentemente en dispositivos móviles gracias a la función de autocompletar que facilita la introducción del código de autenticación. Por el contrario, en las computadoras de escritorio, se debe usar un dispositivo adicional, el teléfono móvil, para introducir el código de autenticación manualmente, lo que resulta en una experiencia menos intuitiva y conveniente. Como se mencionó anteriormente, la experiencia del usuario también se ve afectada cuando ocurren ataques de fraude o surgen problemas en la entrega de SMS y la recuperación del código de autenticación.

Hasta ahora, las passkeys se han percibido principalmente como la alternativa sin contraseña solo para las contraseñas.

Además, como las passkeys proporcionan una funcionalidad de 2FA integrada, sirven como alternativa a las contraseñas y a cualquier tipo de autenticación basada en SMS. Esto mejora la seguridad y evita los desafíos de experiencia de usuario que plantean los códigos de acceso de un solo uso basados en SMS. Al reemplazar los mensajes de autenticación, las passkeys aportan beneficios sustanciales que eliminan eficazmente las desventajas de la autenticación basada en SMS.

A diferencia de la autenticación por SMS, que puede ser susceptible a la interceptación y manipulación, las passkeys ofrecen una protección robusta contra todas las formas de ataques fraudulentos gracias al uso de la infraestructura de clave pública. Esto garantiza que, incluso si se produce una brecha en el servidor, las cuentas de los usuarios permanecen protegidas, ya que la clave privada esencial permanece segura dentro del dispositivo del usuario, integrada en el sistema operativo. Además, la vinculación de las passkeys al servicio en línea específico registrado es una contramedida contra los intentos de phishing, lo que convierte a las passkeys en el método de autenticación más seguro disponible actualmente.

Al igual que con la autenticación por SMS, existen costos asociados a la implementación de passkeys. Aunque es posible gestionar la implementación internamente, centrarse en una autenticación segura a menudo lleva a preferir a los especialistas. Su experiencia tiene un costo que es una fracción de los costos internos y se alinea con lo que cobran los proveedores de autenticación basada en SMS por la implementación. Desde el punto de vista de los costos, la ventaja significativa de invertir en passkeys es que se elimina la necesidad de enviar SMS para iniciar sesión y registrarse. En su lugar, los usuarios pueden iniciar sesión de forma segura utilizando Face ID o Touch ID. Esto no solo se traduce en un ahorro potencial de millones en costos de autenticación al año (especialmente para las grandes empresas orientadas al consumidor), sino que también erradica todos los desafíos que pueden surgir al enviar y recibir SMS.

Para verificar los números de teléfono de los usuarios, algo que a menudo se requiere para fines de marketing u otras comunicaciones, sigue siendo una opción enviar un SMS inicial con un código de acceso de un solo uso. Esto permite que los SMS funcionen junto con las passkeys. Además, los SMS pueden servir como método de respaldo. La diferencia clave entre ambos escenarios y la autenticación tradicional por SMS es que los SMS se envían solo ocasionalmente, en lugar de con cada intento de inicio de sesión.

La adopción de la biometría (p. ej., Face ID, Touch ID, Windows Hello) para desbloquear teléfonos y computadoras de escritorio se ha vuelto rápidamente algo común entre los usuarios. Ahora, las passkeys extienden esta experiencia familiar al desbloqueo de cuentas. Dado que la mayoría de los teléfonos móviles y computadoras de escritorio ya están preparados para passkeys, ofrecen un reemplazo uno a uno para la autenticación basada en SMS. Con los escaneos locales de huellas dactilares o faciales desde el dispositivo, se elimina el requisito de un dispositivo secundario, que todavía es necesario para la autenticación por SMS en una laptop. Esta mejora sustancial simplifica la experiencia del usuario y hace que el inicio de sesión en la cuenta sea muy fácil. Otra característica única de las passkeys es la Conditional UI. Esta función mejora la comodidad del usuario al sugerir y autocompletar automáticamente las passkeys almacenadas cuando los usuarios interactúan con el campo de nombre de usuario. Esto elimina la necesidad de buscar manualmente las credenciales, incluidos los nombres de usuario, ya que estos ya están almacenados de forma segura en el dispositivo o navegador y se autocompletan automáticamente.

La transición a la autenticación basada en passkeys no solo se trata de una experiencia de inicio de sesión más fluida y una mejor MFA (resistente al phishing). Las passkeys también pueden ahorrar costos sustanciales de OTP por SMS si se logran dos cosas:

• una alta tasa de adopción de passkeys
• una alta tasa de inicio de sesión con passkeys

La tecnología de passkeys y el diseño inteligente de Corbado se centran en optimizar ambos aspectos para proporcionar un gran ahorro en los costos de SMS. Logramos hasta un 90 % de ahorro en costos con tasas de adopción de passkeys 10 veces más altas en comparación con las soluciones tradicionales de desarrollo propio (DIY). Veamos cómo.

El primer paso es convertir a los usuarios existentes en usuarios de passkeys, permitiéndoles crear passkeys en la configuración de su cuenta. Sin embargo, esto por sí solo no es suficiente para aumentar las tasas de adopción de passkeys entre la base de usuarios existente. Corbado ofrece varias soluciones:

• Inscripción automática progresiva: Nuestro motor de passkey intelligence está diseñado para optimizar el proceso de inscripción de passkeys, guiando a los usuarios a través de la adopción de passkeys de una manera fluida y sin fricciones siempre que sea posible (p. ej., durante el inicio de sesión con métodos de autenticación tradicionales). Este enfoque proactivo garantiza que los usuarios no se sientan abrumados o confundidos, reduciendo así las tasas de abandono y aumentando la adopción general.
• Creación automática de passkeys locales: Si los clientes inician sesión mediante la autenticación entre dispositivos (Cross-Device Authentication), se les ofrece la opción de crear una passkey local en el entorno que están utilizando actualmente, aumentando la adopción de passkeys en todos sus dispositivos. En situaciones en las que el dispositivo de escritorio actual no ofrece un autenticador de plataforma para crear una passkey, se puede emplear una estrategia mobile-first para crear una passkey en un teléfono móvil.
• Actualización automática a passkeys: El motor de decisiones de Corbado facilita una actualización automática a passkeys para los usuarios, aumentando significativamente las tasas de adopción sin requerir la participación activa del usuario. Esta transición fluida es impulsada por nuestro motor de decisiones de passkey intelligence, que funciona automáticamente en dispositivos con iOS 18 y versiones posteriores (y pronto en más).

Nos aseguramos de que más usuarios adopten passkeys sin esfuerzo, logrando tasas de adopción 10 veces más altas que las implementaciones de passkeys de desarrollo propio.

El segundo paso importante es activar los inicios de sesión con passkeys siempre que sea posible y fomentar activamente la reutilización de las passkeys existentes.

• Enfoque de identificador primero (Identifier-First): Iniciar el proceso de inicio de sesión pidiendo solo un identificador (p. ej., la dirección de correo electrónico) y luego determinar automáticamente si es posible un inicio de sesión con passkeys simplifica la experiencia de usuario y fomenta un mayor uso de passkeys. Este método reduce los pasos necesarios para que los usuarios inicien sesión, haciendo el proceso más rápido e intuitivo que ofrecer un botón separado de "Iniciar sesión con Passkey", que los consumidores ignoran con frecuencia.
• Autenticación entre dispositivos e inicio de sesión con passkey en un toque: Corbado recurre automáticamente a la autenticación entre dispositivos de WebAuthn (WebAuthn Cross-Device Authentication) cuando no hay una passkey local disponible. Además, una vez que se ha registrado un inicio de sesión con passkey en un dispositivo, el campo de identificador de usuario se convierte automáticamente en un botón de inicio de sesión con passkey en un toque, haciendo el inicio de sesión aún más fluido.

El enfoque innovador de Corbado para maximizar las tasas de adopción e inicio de sesión con passkeys ofrece ventajas significativas sobre los enfoques de desarrollo propio (DIY). Al aprovechar este diseño inteligente, nos aseguramos de que los usuarios no solo integren, sino que adopten activamente las passkeys, lo que resulta en tasas de adopción e inicio de sesión hasta 10 veces más altas. Este cambio no solo mejora la seguridad y la experiencia del usuario, sino que también genera ahorros sustanciales en los costos, especialmente al reducir los gastos de OTP por SMS hasta en un 90 %. En la próxima era de las passkeys, donde la autenticación eficiente y segura es importante, Corbado se destaca como líder en impulsar tanto la adopción como la rentabilidad.

En resumen, las passkeys ofrecen una solución práctica para abordar las desventajas de la autenticación basada en SMS. Proporcionan una seguridad robusta, rentabilidad y una gran experiencia de usuario, lo que las convierte en un reemplazo inteligente. Con la tecnología biométrica y funciones fáciles de usar como la Conditional UI, las passkeys hacen que la seguridad sea fluida y la experiencia del usuario sea homogénea en todas las plataformas. Para las empresas que buscan mejorar su sistema de autenticación, la solución de passkeys de Corbado es una forma sencilla de aumentar la seguridad, reducir costos y dejar atrás los desafíos de la autenticación basada en SMS. Contáctanos para obtener una solución de autenticación con passkeys a medida para tu configuración de OTP por SMS / 2FA.