Prácticas recomendadas para la validación de números de teléfono durante la inscripción de nuevos usuarios
Tiempo de lectura: 6 minutos
Tienes un nuevo usuario. Fantástico. Twilio proporciona un conjunto de herramientas para validar y verificar con rapidez el número de teléfono de un usuario; perfecto para una incorporación rápida e ininterrumpida. Veamos algunas de las prácticas recomendadas para conseguir que un usuario se registre en el servicio y se ponga en marcha, garantizando la precisión y reduciendo los registros fraudulentos.
Esta publicación en el blog cubrirá las recomendaciones y las prácticas recomendadas para el registro ininterrumpido de usuarios que utilizan un número de teléfono. Hay recomendaciones similares para las cuentas de usuarios existentes que proporcionan su número de teléfono por primera vez, incluso si la cuenta de usuario ya existe.
A la hora de inscribir a un nuevo usuario, deberás centrarte en tres áreas:
- Ingresar el número de teléfono: obtener el número de teléfono del usuario.
- Validar el número de teléfono: asegurarse de que el número de teléfono es legítimo.
- Verificar el número de teléfono: asegurarse de que el usuario tiene acceso al número de teléfono.
¿Qué es la validación del número de teléfono?
La validación del número de teléfono es un tipo de verificación de identidad para garantizar que el usuario tiene acceso al número de teléfono proporcionado. Esto ayuda a evitar tanto errores tipográficos inocentes como fraudes más perversos. La verificación de teléfono basada en SMS es una manera sencilla de proporcionar seguridad adicional. La validación se proporciona a menudo a través de un código de acceso único enviado por SMS u otros proveedores de mensajería como WhatsApp o RCS.
Prácticas recomendadas para ingresar un número de teléfono
Mantener el código del país en un campo separado
Los plugin, como el de ingresar datos telefónicos internacionales, proporcionan interfaces fáciles de usar y admiten la variedad de formatos de número de teléfono globales. Mantener el código del país separado hace que el proceso sea más sencillo para el usuario y ayuda a garantizar que la entrada pueda transformarse en el formato estándar E.164.
Transformar el número de teléfono en formato E.164
E.164 es un formato de número de teléfono internacional estandarizado que garantiza números únicos. La API de búsqueda devuelve este formato, y la mayoría de las API de Twilio lo utilizan, incluida la API de Verify y las API de mensajería.
Esta publicación en el blog tiene recomendaciones para procesar el ingreso de teléfonos internacionales en HTML y JavaScript.
[Opcional] Revisar que la geolocalización de la IP coincida con el código del país del número de teléfono
Existen motivos legítimos por los que un usuario puede registrarse con un número de teléfono en un país diferente, pero este comportamiento puede estar relacionado con una actividad fraudulenta.
Prácticas recomendadas para la validación de un número de teléfono
Una vez que el usuario ingresó el número de teléfono, la API de Twilio Lookup proporciona inteligencia de número de teléfono compatible con el formato, la validación, la información del operador móvil, el tipo de línea y más.
Utilice la API de Twilio Lookup para lo siguiente:
1. Confirmar que el número de teléfono es válido.
No permitas que los usuarios se registren o ingresen números no válidos como 12345
o +1 (111) 111-1111
. Esta publicación en el blog te mostrará cómo validar números de teléfono en HTML.
2. Comprobar el tipo de línea, incluidos los números de celular, fijo y VoIP.
La detección de un tipo de línea landline
te permite enviar códigos de verificación de voz en lugar de SMS, algo que es muy útil si tu empresa tiene una base de clientes de edad avanzada que es menos probable que tenga un teléfono con capacidad para SMS. Los números VoIP (detección disponible solo para los números de EE. UU.) pueden ser legítimos, pero puedes decidir agregar una protección adicional en esta fase como reCAPTCHA.
3. Elaborar una lista de códigos de países permitidos para aceptar.
Una lista de países permitidos en el momento de la inscripción es una buena forma de garantizar que se cumplen con los requisitos, ya que se reduce el fraude y se controla el proceso de incorporación.
4. Mantener una lista de operadores móviles basada en la reputación.
Al igual que la lista de países permitidos, ciertos operadores y prefijos se asocian a mayores tasas de fraude y mensajes no deseados. Detectar un operador móvil antes de enviar el SMS puede ayudar a proteger la aplicación.
Solicita la aprobación del CLNPC para obtener información sobre los operadores canadienses
Si operas en Canadá, tendrás que obtener una aprobación adicional del CLNPC antes de que la API de Lookup devuelva información sobre los números canadienses.
Prácticas recomendadas para la verificación telefónica
Envía un código de acceso único al número de teléfono proporcionado para asegurarse de que el usuario tiene acceso al número
Esto ayuda a evitar que el usuario proporcione el número de teléfono de otra persona, ayuda a la empresa a garantizar registros únicos y es esencial para las próximas entregas de códigos de acceso o notificaciones de autenticación.
Desarrolla búferes de reintento en los flujos de trabajo de verificación
Los seres humanos son impacientes, por lo que recomendamos que desarrolles una lógica de reintento en la interfaz de verificación telefónica. La API de Verify iniciará las solicitudes de limitación de frecuencia después de que intentes enviar un OTP al mismo número de teléfono más de 5 veces en 10 minutos sin verificar el número. Los búferes de reintento ayudan a evitar tanto el envío accidental de mensajes no deseados a los usuarios como el incumplimiento de los límites de frecuencia de la API.
Mantén los números de teléfono visibles en el flujo de inscripción y permite a los usuarios editar el número de teléfono
Los errores tipográficos son una realidad, así que, para los casos de uso de la verificación telefónica (a diferencia del inicio de sesión continuo o la autenticación de dos factores), muestra el número de teléfono completo en la interfaz para que el usuario pueda detectar y corregir cualquier error en lugar de esperar impotente un código de verificación.
Prácticas recomendadas para la autenticación continua de usuarios
Almacena las preferencias de canal de los usuarios
Una vez que el usuario haya verificado el número, almacena los canales preferidos (ya sea SMS, voz, correo electrónico, TOTP, push) y envía el código al canal preferido predeterminado en el futuro. Permite que el usuario cambie el canal de entrega de la autenticación de dos factores (2FA) en la interfaz si decide que prefiere un canal diferente para una autenticación determinada.
Oculte el número de teléfono durante la autenticación continua del usuario
A diferencia de la verificación telefónica inicial, para la autenticación continua o de 2FA debes ocultar el número de teléfono para evitar la filtración de PII. A diferencia de la verificación telefónica, no existe la opción de editar un número de teléfono para la autenticación continua. Recomendamos que dejes visible 3 o 4 números y ocultes el resto, por ejemplo, +1 (5**) ***-**67
o ********567
.
Otras recomendaciones para la seguridad de las cuentas
El diseño de la seguridad utilizable es un proceso continuo que evoluciona a medida que la tecnología avanza y que los clientes se adaptan. Los SMS y las llamadas de voz son una gran base para la mayoría de los casos de uso de la seguridad de las cuentas y no van a desaparecer en el corto plazo.
Puedes encontrar algunos documentos de Twilio adicionales que puedes utilizar para la verificación con SMS aquí:
- Prácticas recomendadas de verificación y autenticación de dos factores
- Otra documentación de Twilio sobre Verify
Si estás interesado en realizar una verificación por fuera de los SMS, asegúrate de consultar:
- ¿Es una buena idea usar la 2FA basada en el correo electrónico?
- ¿Qué es una contraseña única con caducidad (Time-based One-time Password, TOTP)?
- Información sobre la autenticación push
¡Estoy ansiosa por ver lo que eres capaz de crear y proteger!
Twilio.org ayuda a los creadores de impacto social a usar la tecnología digital y los recursos financieros para ampliar su alcance e impacto. Comienza hoy sin costo alguno. Regístrate aquí para obtener tus créditos de productos del programa Impact Access. Se aplican criterios de admisibilidad.
Publicaciones relacionadas
Recursos relacionados
Twilio Docs
Desde API hasta SDK y aplicaciones de muestra
Documentación de referencia de API, SDK, bibliotecas auxiliares, inicios rápidos y tutoriales para su idioma y plataforma.
Centro de Recursos
Los últimos libros electrónicos, informes de la industria y seminarios web
Aprenda de los expertos en participación del cliente para mejorar su propia comunicación.
Ahoy
Centro de la comunidad de desarrolladores de Twilio
Mejores prácticas, ejemplos de códigos e inspiración para crear comunicaciones y experiencias de participación digital.