Prácticas recomendadas para la validación de números de teléfono durante la inscripción de nuevos usuarios

Tiempo de lectura: 6 minutos

August 12, 2021
Redactado por
Kelley Robinson
Twilion

prácticas recomendadas para la validación de números de teléfono durante la inscripción de nuevos usuarios

Tienes un nuevo usuario. Fantástico. Twilio proporciona un conjunto de herramientas para validar y verificar con rapidez el número de teléfono de un usuario; perfecto para una incorporación rápida e ininterrumpida. Veamos algunas de las prácticas recomendadas para conseguir que un usuario se registre en el servicio y se ponga en marcha, garantizando la precisión y reduciendo los registros fraudulentos.

Esta publicación en el blog cubrirá las recomendaciones y las prácticas recomendadas para el registro ininterrumpido de usuarios que utilizan un número de teléfono. Hay recomendaciones similares para las cuentas de usuarios existentes que proporcionan su número de teléfono por primera vez, incluso si la cuenta de usuario ya existe.

A la hora de inscribir a un nuevo usuario, deberás centrarte en tres áreas:

  1. Ingresar el número de teléfono: obtener el número de teléfono del usuario.
  2. Validar el número de teléfono: asegurarse de que el número de teléfono es legítimo.
  3. Verificar el número de teléfono: asegurarse de que el usuario tiene acceso al número de teléfono.

¿Qué es la validación del número de teléfono?

La validación del número de teléfono es un tipo de verificación de identidad para garantizar que el usuario tiene acceso al número de teléfono proporcionado. Esto ayuda a evitar tanto errores tipográficos inocentes como fraudes más perversos. La verificación de teléfono basada en SMS es una manera sencilla de proporcionar seguridad adicional. La validación se proporciona a menudo a través de un código de acceso único enviado por SMS u otros proveedores de mensajería como WhatsApp o RCS.

Prácticas recomendadas para ingresar un número de teléfono

Mantener el código del país en un campo separado

Los plugin, como el de ingresar datos telefónicos internacionales, proporcionan interfaces fáciles de usar y admiten la variedad de formatos de número de teléfono globales. Mantener el código del país separado hace que el proceso sea más sencillo para el usuario y ayuda a garantizar que la entrada pueda transformarse en el formato estándar E.164.

 

número de teléfono en formato E.164

Transformar el número de teléfono en formato E.164

E.164 es un formato de número de teléfono internacional estandarizado que garantiza números únicos. La API de búsqueda devuelve este formato, y la mayoría de las API de Twilio lo utilizan, incluida la API de Verify y las API de mensajería.

Esta publicación en el blog tiene recomendaciones para procesar el ingreso de teléfonos internacionales en HTML y JavaScript.

[Opcional] Revisar que la geolocalización de la IP coincida con el código del país del número de teléfono

Existen motivos legítimos por los que un usuario puede registrarse con un número de teléfono en un país diferente, pero este comportamiento puede estar relacionado con una actividad fraudulenta.

Prácticas recomendadas para la validación de un número de teléfono

Una vez que el usuario ingresó el número de teléfono, la API de Twilio Lookup proporciona inteligencia de número de teléfono compatible con el formato, la validación, la información del operador móvil, el tipo de línea y más.

Utilice la API de Twilio Lookup para lo siguiente:

1. Confirmar que el número de teléfono es válido.

No permitas que los usuarios se registren o ingresen números no válidos como 12345 o +1 (111) 111-1111. Esta publicación en el blog te mostrará cómo validar números de teléfono en HTML.

2. Comprobar el tipo de línea, incluidos los números de celular, fijo y VoIP.

La detección de un tipo de línea landline te permite enviar códigos de verificación de voz en lugar de SMS, algo que es muy útil si tu empresa tiene una base de clientes de edad avanzada que es menos probable que tenga un teléfono con capacidad para SMS. Los números VoIP (detección disponible solo para los números de EE. UU.) pueden ser legítimos, pero puedes decidir agregar una protección adicional en esta fase como reCAPTCHA.

Obtén información sobre cómo detectar el tipo de línea con la API de Lookup en esta publicación en el blog.

3. Elaborar una lista de códigos de países permitidos para aceptar.

Una lista de países permitidos en el momento de la inscripción es una buena forma de garantizar que se cumplen con los requisitos, ya que se reduce el fraude y se controla el proceso de incorporación.

Con esta publicación en el blog podrás obtener información sobre cómo crear una lista de países permitidos mediante la API de Lookup.

4. Mantener una lista de operadores móviles basada en la reputación.

Al igual que la lista de países permitidos, ciertos operadores y prefijos se asocian a mayores tasas de fraude y mensajes no deseados. Detectar un operador móvil antes de enviar el SMS puede ayudar a proteger la aplicación.

Solicita la aprobación del CLNPC para obtener información sobre los operadores canadienses

Si operas en Canadá, tendrás que obtener una aprobación adicional del CLNPC antes de que la API de Lookup devuelva información sobre los números canadienses.

Prácticas recomendadas para la verificación telefónica

Envía un código de acceso único al número de teléfono proporcionado para asegurarse de que el usuario tiene acceso al número

Esto ayuda a evitar que el usuario proporcione el número de teléfono de otra persona, ayuda a la empresa a garantizar registros únicos y es esencial para las próximas entregas de códigos de acceso o notificaciones de autenticación.

Aprende a enviar un OTP por SMS en 5 minutos o menos con la API de Twilio Verify con esta publicación en el blog.

Desarrolla búferes de reintento en los flujos de trabajo de verificación

Los seres humanos son impacientes, por lo que recomendamos que desarrolles una lógica de reintento en la interfaz de verificación telefónica. La API de Verify iniciará las solicitudes de limitación de frecuencia después de que intentes enviar un OTP al mismo número de teléfono más de 5 veces en 10 minutos sin verificar el número. Los búferes de reintento ayudan a evitar tanto el envío accidental de mensajes no deseados a los usuarios como el incumplimiento de los límites de frecuencia de la API.

 

campo de entrada de código de acceso único con mensaje que lee el código de reenvío en 4 segundos

Mantén los números de teléfono visibles en el flujo de inscripción y permite a los usuarios editar el número de teléfono

Los errores tipográficos son una realidad, así que, para los casos de uso de la verificación telefónica (a diferencia del inicio de sesión continuo o la autenticación de dos factores), muestra el número de teléfono completo en la interfaz para que el usuario pueda detectar y corregir cualquier error en lugar de esperar impotente un código de verificación.

campo de formulario de código de acceso único con enlace para editar el número de teléfono

Prácticas recomendadas para la autenticación continua de usuarios

Almacena las preferencias de canal de los usuarios

Una vez que el usuario haya verificado el número, almacena los canales preferidos (ya sea SMS, voz, correo electrónico, TOTP, push) y envía el código al canal preferido predeterminado en el futuro. Permite que el usuario cambie el canal de entrega de la autenticación de dos factores (2FA) en la interfaz si decide que prefiere un canal diferente para una autenticación determinada.

Oculte el número de teléfono durante la autenticación continua del usuario

A diferencia de la verificación telefónica inicial, para la autenticación continua o de 2FA debes ocultar el número de teléfono para evitar la filtración de PII. A diferencia de la verificación telefónica, no existe la opción de editar un número de teléfono para la autenticación continua. Recomendamos que dejes visible 3 o 4 números y ocultes el resto, por ejemplo, +1 (5**) ***-**67 o ********567.

 

campo de formulario de código de acceso único con número de teléfono ofuscado para el caso de uso de 2FA o de inicio de sesión continuos

Otras recomendaciones para la seguridad de las cuentas

El diseño de la seguridad utilizable es un proceso continuo que evoluciona a medida que la tecnología avanza y que los clientes se adaptan. Los SMS y las llamadas de voz son una gran base para la mayoría de los casos de uso de la seguridad de las cuentas y no van a desaparecer en el corto plazo.

Puedes encontrar algunos documentos de Twilio adicionales que puedes utilizar para la verificación con SMS aquí:

Si estás interesado en realizar una verificación por fuera de los SMS, asegúrate de consultar:

¡Estoy ansiosa por ver lo que eres capaz de crear y proteger!

Twilio.org ayuda a los creadores de impacto social a usar la tecnología digital y los recursos financieros para ampliar su alcance e impacto. Comienza hoy sin costo alguno. Regístrate aquí para obtener tus créditos de productos del programa Impact Access. Se aplican criterios de admisibilidad.

Publicaciones relacionadas

Recursos relacionados

A newspaper article

Twilio Docs

Desde API hasta SDK y aplicaciones de muestra

Documentación de referencia de API, SDK, bibliotecas auxiliares, inicios rápidos y tutoriales para su idioma y plataforma.
An Open book

Centro de Recursos

Los últimos libros electrónicos, informes de la industria y seminarios web

Aprenda de los expertos en participación del cliente para mejorar su propia comunicación.
User group reactions

Ahoy

Centro de la comunidad de desarrolladores de Twilio

Mejores prácticas, ejemplos de códigos e inspiración para crear comunicaciones y experiencias de participación digital.