Página de validación SMS para responder a una convocatoria pública de licitación

Cuando una empresa responde a una convocatoria pública o privada de licitación, la cuestión del valor jurídico del expediente transmitido es central. Un documento firmado electrónicamente sin mecanismo de autenticación fuerte puede ser impugnado ante un tribunal o rechazado por el comprador público. Es precisamente aquí donde interviene la página de validación con código SMS: esta etapa de autenticación mediante contraseña de uso único (OTP) refuerza la prueba del consentimiento del licitador, satisface los requisitos del reglamento eIDAS y garantiza la trazabilidad completa del proceso de firma. En este artículo, detallamos por qué y cómo implementar este dispositivo en su flujo de trabajo de respuesta a convocatoria pública, pasando por los requisitos técnicos, la configuración paso a paso y las mejores prácticas a seguir.

Por qué integrar una validación por código SMS en su respuesta a convocatoria pública

El valor probatorio en el corazón de las licitaciones públicas

El marco de las licitaciones públicas españolas impone que las ofertas transmitidas por vía electrónica satisfagan los requisitos establecidos por la legislación aplicable. Desde hace varios años, cualquier consulta cuyo valor estimado supera ciertos umbrales implica una desmaterialización obligatoria a través de una plataforma de depósito autorizada. En este contexto, la firma electrónica asociada a un mecanismo de OTP por SMS constituye una firma electrónica avanzada en el sentido del reglamento eIDAS, es decir:

• vinculada al firmante de manera unívoca;
• que permite identificar al firmante;
• creada a partir de datos que el firmante puede utilizar bajo su control exclusivo;
• vinculada a los datos firmados de manera que permite detectar cualquier modificación posterior.

Sin este nivel de autenticación, una firma simple (clic o casilla de verificación) puede ser insuficiente para comprometer jurídicamente al licitador, especialmente cuando el comprador exige una firma avanzada o calificada para ciertos lotes sensibles.

Reducir los riesgos de impugnación e irregularidad

Un expediente de respuesta a convocatoria pública puede ser declarado irregular si la autoridad adjudicadora estima que la identidad del firmante no está suficientemente establecida. La adición de una página de validación SMS crea un segundo factor de autenticación (2FA) que, combinado con la identidad previamente verificada, forma una prueba sólida. En caso de litigio ante el tribunal administrativo o el juez del contrato, el registro de auditoría con marca de tiempo (timestamp, número de teléfono enmascarado, dirección IP, hash del documento) constituye una prueba admisible.

Para profundizar en los fundamentos, la guía completa sobre firma electrónica explica los diferentes niveles de firma y sus implicaciones legales en derecho español y europeo.

Los componentes técnicos de una página de validación SMS

Arquitectura OTP y canal SMS

Una página de validación por código SMS se basa en tres componentes interdependientes:

1. Generador de OTP (Contraseña de Un Solo Uso): un algoritmo TOTP (OTP Basado en Tiempo, RFC 6238) o HOTP (OTP Basado en HMAC, RFC 4226) genera un código de 6 dígitos, válido generalmente entre 5 y 10 minutos.
2. Pasarela SMS (SMS gateway): un operador certificado (p. ej. Twilio, OVHcloud SMS, Brevo) envía el código al número de teléfono del licitador, registrado durante la fase de invitación o inscripción.
3. Interfaz de entrada segura: la página web mostrada al licitador debe cumplir con los requisitos WCAG 2.1 (accesibilidad), mostrar claramente la expiración del código y proponer un mecanismo de reenvío limitado (anti-abuso, máximo 3 intentos).

Desde el punto de vista de la seguridad, el número de teléfono debe ser validado previamente (verificación durante la incorporación) y almacenado de manera cifrada en la base de datos, conforme a los requisitos del RGPD (art. 32 sobre seguridad de los tratamientos).

Integración en el flujo de trabajo de firma Certyneo

En la plataforma Certyneo, la adición de una página de validación SMS se realiza directamente desde la interfaz de configuración de un proceso de firma. Estos son los pasos:

Paso 1 — Crear o importar el documento de respuesta Cargue su memoria técnica, su acto de presentación o cualquier otra pieza constitutiva de la oferta. El generador de contratos por IA de Certyneo también permite pre-rellenar ciertos documentos tipos.

Paso 2 — Configurar los firmantes Complete el nombre, apellido, correo electrónico y número de teléfono móvil (formato E.164, p. ej. +34 6 XX XX XX XX) de cada persona autorizada para firmar la oferta. Este campo es obligatorio para activar la validación SMS.

Paso 3 — Activar la autenticación OTP SMS En el menú «Seguridad del proceso», marque la opción «Validación por código SMS». Puede configurar:

• la duración de validez del código (recomendado: 5 minutos);
• el número máximo de intentos (recomendado: 3);
• el mensaje personalizado enviado al firmante (mención de la convocatoria, de la referencia de la consulta).

Paso 4 — Personalizar la página de validación La interfaz Certyneo propone un editor de página «sin código» que permite añadir el logo de su organización, el título de la consulta e instrucciones claras dirigidas al licitador. Esta personalización refuerza la confianza y reduce los abandonos de proceso.

Paso 5 — Probar el proceso en modo sandbox Antes del envío real, utilice el modo de prueba de Certyneo para simular la recepción del SMS y la entrada del código. Verifique que el registro de auditoría captura correctamente: la marca de tiempo, el hash SHA-256 del documento, el número de teléfono enmascarado y la dirección IP del terminal utilizado.

Mejores prácticas para una configuración óptima

Anticipar las restricciones operacionales del licitador

En el marco de una convocatoria pública de licitación, el licitador puede ser una persona física o el representante legal de una PYME, un agrupamiento temporal de empresas (ATE) o un gran grupo. Varias restricciones operacionales deben ser anticipadas:

• Indisponibilidad del número de teléfono: si el firmante designado está viajando al extranjero, el SMS puede no llegar a tiempo. Prevea una opción de delegación de firma con notificación previa.
• Rotación de responsables: en las grandes organizaciones, el director general firmante puede cambiar entre el envío de la invitación y la fecha límite de depósito. El campo «número de teléfono» debe ser modificable por el administrador de la cuenta hasta 24 horas antes de la fecha límite.
• Accesibilidad: algunos usuarios con discapacidad pueden encontrar dificultades con la entrada de un código temporal. Proponga una alternativa de voz (llamada automática de lectura del código) si su infraestructura lo permite.

Archivo y pista de auditoría conforme

La página de validación SMS constituye solo un eslabón del dispositivo de prueba. Para que el conjunto del expediente sea oponible, el archivo debe ser conforme a la norma ETSI EN 319 132 (XAdES) o ETSI EN 319 122 (CAdES) según el formato de firma elegido. Certyneo genera automáticamente un informe de firma en PDF/A que incluye:

• la lista de firmantes con su nivel de autenticación;
• las marcas de tiempo certificadas (RFC 3161);
• el registro completo de eventos SMS (envío, recepción confirmada, entrada correcta o incorrecta).

Este informe debe ser conservado durante toda la duración de validez del contrato, e incluso más allá en caso de litigio. Para las licitaciones públicas, la ley española prevé plazos de conservación que pueden llegar hasta 10 años. Los precios y las opciones de archivo a largo plazo se detallan en la página de precios de Certyneo.

Integración con plataformas de desmaterialización (perfiles compradores)

Cuando la respuesta a convocatoria pública se realiza a través de una plataforma tercera (plataformas de compra pública, etc.), Certyneo puede ser utilizado previamente para hacer firmar y validar internamente los documentos constitutivos de la oferta antes de su depósito en el perfil comprador. El archivo firmado (en formato XAdES o PAdES) es luego cargado en la plataforma, acompañado del informe de firma de Certyneo como justificante de autenticación.

Si su organización ya utiliza una solución competidora, la página de migración hacia Certyneo explica cómo transferir sus procesos existentes sin pérdida de datos ni interrupción de servicio.

Seguridad, RGPD y gestión de datos de telefonía

Tratamiento de los datos personales del número de teléfono

El número de teléfono móvil es un dato de carácter personal en el sentido del artículo 4 del RGPD. Su utilización en el marco de una validación OTP requiere:

• una base legal claramente identificada: la ejecución del contrato (art. 6.1.b RGPD) o el interés legítimo (art. 6.1.f RGPD) según la relación entre el emisor de la convocatoria y el licitador;
• una información previa del licitador sobre el uso de su número (mención en las condiciones generales o en el correo electrónico de invitación);
• una duración de conservación limitada: el número no debe ser conservado más allá del final del proceso de firma, salvo archivo legal justificado.

Los equipos jurídicos y responsables de protección de datos encontrarán recursos complementarios en nuestro glosario de firma electrónica, que referencia las definiciones clave del RGPD aplicadas a los flujos de trabajo de firma.

Resistencia a ataques y anti-fraude

La validación SMS es vulnerable a ciertos vectores de ataque (intercambio de SIM, intercepción SS7). Para licitaciones de alto riesgo (importes > 500 000 €), Certyneo recomienda combinar la OTP SMS con:

• una verificación de identidad previa (documentaria KYC o IDnow);
• un marcado de tiempo calificado proporcionado por un proveedor de servicios de confianza (Trust Service Provider, TSP) acreditado eIDAS;
• una alerta en tiempo real en caso de cambio de número de teléfono en las 48 horas anteriores a la firma.

Estas medidas adicionales elevan la firma al nivel calificado de eIDAS, el más alto reconocido por el reglamento europeo, y constituyen una garantía máxima para las licitaciones públicas sensibles o clasificadas.

Marco legal aplicable a la validación SMS en convocatorias públicas

Reglamento eIDAS n.º 910/2014 y sus niveles de firma

El reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo (eIDAS) constituye el fundamento regulatorio de la firma electrónica en Europa. Distingue tres niveles:

• Firma electrónica simple (art. 3.10): datos bajo forma electrónica adjuntos o asociados a otros datos, utilizados por el firmante para firmar. Valor jurídico limitado para las convocatorias públicas.
• Firma electrónica avanzada (art. 3.11): satisface los requisitos del art. 26 eIDAS, incluida la unicidad del vínculo con el firmante y la detectabilidad de cualquier alteración. La validación OTP SMS, combinada con una identificación previa, permite alcanzar este nivel.
• Firma electrónica calificada (art. 3.12): creada utilizando un dispositivo de creación de firma calificado, basada en un certificado calificado expedido por un TSP acreditado. Único nivel con efecto jurídico equivalente a la firma manuscrita en todos los Estados miembros (art. 25.2 eIDAS).

Código civil español — Artículos pertinentes

La legislación española establece que el escrito electrónico tiene el mismo valor probatorio que el escrito en papel, bajo la condición de que pueda ser debidamente identificada la persona de cuya voluntad emana y que esté establecido y conservado en condiciones que garanticen su integridad. La firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantice su vínculo con el acto al que se adjunta.

La OTP SMS contribuye directamente a satisfacer la condición de identificación fiable, creando un vínculo entre el número de teléfono registrado y el acto firmado.

Legislación de contratación pública

La legislación de contratación pública española exige que las ofertas transmitidas por vía electrónica sean firmadas con una firma electrónica al menos avanzada que repose en un certificado calificado. La validación SMS entra dentro del dispositivo que permite alcanzar este nivel, siempre que el conjunto del proceso de firma esté documentado y archivado.

RGPD n.º 2016/679 — Protección de datos de telefonía

El artículo 32 del RGPD impone medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos tratados, incluido el cifrado y la seudonimización. El número de teléfono utilizado para la OTP SMS debe estar cifrado en reposo y en tránsito (TLS 1.3 mínimo). El artículo 5.1.e impone la limitación de la conservación: el número solo puede ser conservado el tiempo estrictamente necesario para la finalidad del tratamiento.

Normas ETSI aplicables

• ETSI EN 319 132 (XAdES): formato de firma XML avanzada, recomendado para documentos de licitaciones públicas en formato XML.
• ETSI EN 319 122 (CAdES): formato de firma CMS avanzada, adaptado a archivos binarios (PDF, ZIP).
• ETSI EN 319 102-1: procedimientos de creación y validación de firmas electrónicas, integrando la marca de tiempo calificada RFC 3161.

El incumplimiento de estas normas expone al emisor o al licitador a un riesgo de rechazo de la oferta por irregularidad formal, o a una inoponibilidad de la firma en caso de litigio contractual.

Escenarios de uso concretos

Escenario 1 — Una empresa de ingeniería respondiendo a una licitación de dirección de obra

Una empresa de ingeniería especializada en infraestructura, con aproximadamente treinta ingenieros y gestionando en promedio 15 a 20 respuestas a convocatorias públicas por año, debe firmar varios documentos constitutivos de una oferta: acto de presentación, memoria técnica, certificados de regularidad fiscal y social. Antes de la implementación de una validación SMS, el procedimiento se basaba en un intercambio de PDF firmados manualmente, escaneados y retransmitidos por correo electrónico, lo que generaba retrasos promedio de 48 a 72 horas por expediente.

Al configurar un proceso Certyneo con validación OTP SMS para cada firmante interno (director técnico, gerente), la empresa redujo este retraso a menos de 2 horas. El informe de firma generado automáticamente se adjunta al expediente depositado en el perfil comprador, satisfaciendo los requisitos de firma avanzada. Los estudios sectoriales sobre desmaterialización B2B estiman una reducción del 60-70% en el tiempo de tratamiento administrativo al pasar a la firma electrónica con autenticación fuerte.

Escenario 2 — Un agrupamiento temporal de empresas (ATE) en una licitación de obras

En el marco de una licitación pública de obras (lote movimiento de tierras + lote estructura), dos empresas forman un ATE conjunto. Cada mandatario debe firmar el acto de presentación en nombre de su sociedad. Las dos empresas están ubicadas en ciudades diferentes, y la fecha límite de entrega de ofertas es a las 12:00.

Gracias a la funcionalidad de firmas paralelas de Certyneo, los dos firmantes reciben simultáneamente un enlace de invitación por correo electrónico. Cada uno accede a su página de validación, introduce su código OTP recibido por SMS en menos de un minuto, y apone su firma electrónica avanzada. El coordinador del ATE recibe inmediatamente una notificación de finalización y puede cargar el expediente completo antes de la fecha límite. Este escenario ilustra cómo la validación SMS elimina el riesgo de retraso relacionado con la coordinación multisitio, un problema que según ciertos estudios representa aproximadamente el 30% de los depósitos tardíos en respuestas en agrupamiento.

Escenario 3 — Una entidad pública emisora de la convocatoria

Una entidad pública de tamaño intermedio (entre 50 000 y 200 000 habitantes) que desea no responder a una convocatoria pública sino emitirla, puede también apoyarse en la validación SMS para asegurar la firma interna de los documentos de la licitación (pliego de condiciones administrativas, pliego técnico, etc.). Antes de la publicación de la consulta en el perfil comprador, el director de los servicios técnicos y el responsable político delegado de licitaciones deben co-firmar los documentos constitutivos.

Al desplegar un proceso Certyneo interno con validación OTP SMS para cada firmante institucional, la entidad crea una traza probante de la validación administrativa previa. Esta trazabilidad es particularmente útil durante los controles de legalidad ejercidos por la administración autonómica o en caso de auditoría de la cámara de cuentas. La reducción del riesgo jurídico asociado a una firma no autenticada representa un reto de conformidad importante para los compradores públicos, teniendo en cuenta los requisitos de la legislación aplicable.

Conclusión

Integrar una página de validación con código SMS en su respuesta a una convocatoria pública de licitación no es una simple formalidad técnica: es una garantía jurídica, una prueba de consentimiento documentada y una herramienta de cumplimiento normativo en el sentido del reglamento eIDAS y de la legislación de contratación pública. Al autenticar a cada firmante mediante una OTP SMS con marca de tiempo, alcanza el nivel de firma electrónica avanzada exigido por la gran mayoría de los compradores públicos, reduciendo drásticamente los retrasos internos y los riesgos de rechazo por irregularidad formal.

Certyneo le permite configurar este proceso en pocos minutos, sin desarrollo informático, con un registro de auditoría conforme a las normas ETSI y archivado según las obligaciones legales. Ya sea licitador único, miembro de un ATE o comprador público, la solución se adapta a su contexto.

¿Listo para asegurar sus próximas respuestas a convocatorias públicas? Cree su cuenta de Certyneo de forma gratuita y configure su primer proceso con validación SMS hoy mismo.