Página de validación SMS para responder a una licitación

Cuando una empresa responde a una licitación pública o privada, la cuestión del valor jurídico del expediente transmitido es central. Un documento firmado electrónicamente sin un mecanismo de autenticación fuerte puede ser impugnado ante un tribunal o rechazado por el comprador público. Es precisamente aquí donde interviene la página de validación con código SMS: esta etapa de autenticación mediante contraseña de un solo uso (OTP) refuerza la prueba de consentimiento del licitador, satisface los requisitos del reglamento eIDAS y garantiza la trazabilidad completa del recorrido de firma. En este artículo, detallamos por qué y cómo implementar este dispositivo en su flujo de trabajo de respuesta a licitación, pasando por los requisitos técnicos, la configuración paso a paso y las mejores prácticas a seguir.

Por qué integrar una validación por código SMS en su respuesta a una licitación

El valor probatorio en el centro de las contrataciones públicas

El marco de las contrataciones públicas chilenas exige que las ofertas transmitidas por vía desmaterializada satisfagan los requisitos establecidos por la normativa vigente en materia de contratación pública. En este contexto, la firma electrónica asociada a un mecanismo de OTP por SMS constituye una firma electrónica avanzada en el sentido de la regulación de firma electrónica, es decir:

• vinculada al firmante de manera unívoca;
• permite identificar al firmante;
• creada a partir de datos que el firmante puede utilizar bajo su control exclusivo;
• vinculada a los datos firmados de forma que permite detectar cualquier modificación posterior.

Sin este nivel de autenticación, una firma simple (clic o casilla de verificación) puede ser insuficiente para obligar jurídicamente al licitador, especialmente cuando el comprador exige una firma avanzada o calificada para ciertos lotes sensibles.

Reducir los riesgos de impugnación e irregularidad

Un expediente de respuesta a licitación puede ser declarado irregular si el órgano adjudicador estima que la identidad del firmante no está suficientemente establecida. La adición de una página de validación SMS crea un segundo factor de autenticación (2FA) que, combinado con la identidad previamente verificada, forma una prueba sólida. En caso de litigio ante un tribunal, el registro de auditoría con fecha y hora (timestamp, número de teléfono enmascarado, dirección IP, hash del documento) constituye una prueba admisible.

Para profundizar en los fundamentos, la guía completa de firma electrónica explica los diferentes niveles de firma y sus implicaciones legales.

Los componentes técnicos de una página de validación SMS

Arquitectura OTP y canal SMS

Una página de validación por código SMS se basa en tres componentes interdependientes:

1. Generador de OTP (One-Time Password): un algoritmo TOTP (Time-based OTP, RFC 6238) o HOTP (HMAC-based OTP, RFC 4226) genera un código de 6 dígitos, válido generalmente entre 5 y 10 minutos.
2. Pasarela SMS (SMS gateway): un operador certificado (ej. Twilio, OVHcloud SMS, Brevo) encamina el código al número de teléfono del licitador, registrado durante la fase de invitación o inscripción.
3. Interfaz de entrada segura: la página web mostrada al licitador debe cumplir con los requisitos WCAG 2.1 (accesibilidad), mostrar claramente la expiración del código y proporcionar un mecanismo de reenvío limitado (anti-abuso, máximo 3 intentos).

Desde el punto de vista de la seguridad, el número de teléfono debe validarse previamente (verificación durante la incorporación) y almacenarse de manera cifrada en la base de datos, de conformidad con los requisitos del RGPD (art. 32 sobre la seguridad de los tratamientos).

Integración en el flujo de trabajo de firma Certyneo

En la plataforma Certyneo, la adición de una página de validación SMS se realiza directamente desde la interfaz de configuración de un recorrido de firma. Aquí están los pasos:

Paso 1 — Crear o importar el documento de respuesta Cargue su memoria técnica, su acta de participación o cualquier otra pieza constitutiva de la oferta. El generador de contratos por IA de Certyneo también permite rellenar previamente ciertos documentos tipo.

Paso 2 — Configurar los firmantes Ingrese el nombre, apellido, correo electrónico y número de teléfono móvil (formato E.164, ej. +56 9 XXXX XXXX) de cada persona autorizada para firmar la oferta. Este campo es obligatorio para activar la validación SMS.

Paso 3 — Activar la autenticación OTP SMS En el menú «Seguridad del recorrido», marque la opción «Validación por código SMS». Puede configurar:

• la duración de validez del código (recomendado: 5 minutos);
• el número máximo de intentos (recomendado: 3);
• el mensaje personalizado enviado al firmante (mención de la licitación, de la referencia de la consulta).

Paso 4 — Personalizar la página de validación La interfaz Certyneo ofrece un editor de página «sin código» que permite agregar el logotipo de su organización, el título de la consulta e instrucciones claras para el licitador. Esta personalización refuerza la confianza y reduce el abandono del recorrido.

Paso 5 — Probar el recorrido en modo sandbox Antes del envío real, utilice el modo de prueba de Certyneo para simular la recepción del SMS y la entrada del código. Verifique que el registro de auditoría captura correctamente: la fecha y hora, el hash SHA-256 del documento, el número de teléfono enmascarado y la dirección IP del terminal utilizado.

Mejores prácticas para una configuración óptima

Anticipar las restricciones operacionales del licitador

En el contexto de una licitación, el licitador puede ser una persona física o el representante legal de una pyme, de un agrupamiento temporal de empresas o de un gran grupo. Se deben anticipar varias restricciones operacionales:

• Indisponibilidad del número de teléfono: si el firmante designado está en desplazamiento internacional, el SMS puede no llegar a tiempo. Prevea una opción de delegación de firma con notificación previa.
• Rotación de responsables: en las grandes organizaciones, el director general firmante puede cambiar entre el envío de la invitación y la fecha límite de depósito. El campo «número de teléfono» debe ser modificable por el administrador de la cuenta hasta 24 horas antes del vencimiento.
• Accesibilidad: algunos usuarios con discapacidad pueden encontrar dificultades con la entrada de un código temporal. Proporcione una alternativa de voz (llamada automática de lectura del código) si su infraestructura lo permite.

Archivo y rastro de auditoría conforme

La página de validación SMS es solo un eslabón en el dispositivo de prueba. Para que el conjunto del expediente sea oponible, el archivo debe cumplir con la norma ETSI EN 319 132 (XAdES) o ETSI EN 319 122 (CAdES) según el formato de firma elegido. Certyneo genera automáticamente un informe de firma en PDF/A que incluye:

• la lista de firmantes con su nivel de autenticación;
• las fechas y horas certificadas (RFC 3161);
• el registro completo de eventos SMS (envío, recepción confirmada, entrada correcta o incorrecta).

Este informe debe conservarse durante toda la duración de validez del contrato, e incluso después en caso de litigio. Para las contrataciones públicas, la normativa vigente prevé plazos de conservación que pueden llegar hasta 10 años. Las tarifas y opciones de archivo a largo plazo se detallan en la página de tarifas Certyneo.

Integración con plataformas de desmaterialización

Cuando la respuesta a licitación pasa por una plataforma de terceros, Certyneo puede utilizarse antes para hacer firmar y validar internamente los documentos constitutivos de la oferta antes de su depósito en la plataforma. El archivo firmado (en formato XAdES o PAdES) se carga posteriormente en la plataforma, acompañado del informe de firma Certyneo como justificativo de autenticación.

Si su organización ya utiliza una solución competidora, la página de migración a Certyneo explica cómo transferir sus recorridos existentes sin pérdida de datos ni interrupción del servicio.

Seguridad, RGPD y gestión de datos de telefonía

Tratamiento de datos personales del número de teléfono

El número de teléfono móvil es un dato personal en el sentido de la normativa sobre protección de datos personales. Su uso en el contexto de una validación OTP requiere:

• una base legal claramente identificada: la ejecución del contrato o el interés legítimo según la relación entre el emisor de la licitación y el licitador;
• una información previa del licitador sobre el uso de su número (mención en los términos de servicio o en el correo de invitación);
• una duración de conservación limitada: el número no debe conservarse más allá del final del recorrido de firma, excepto archivo legal justificado.

Los equipos legales encontrarán recursos complementarios en nuestro glosario de firma electrónica, que referencia las definiciones clave aplicadas a los flujos de trabajo de firma.

Resistencia a ataques y anti-fraude

La validación SMS es vulnerable a ciertos vectores de ataque. Para las licitaciones de alto riesgo (importes > 500 000 UF), Certyneo recomienda combinar el OTP SMS con:

• una verificación de identidad previa (verificación documental o IDnow);
• un sello de tiempo cualificado proporcionado por un proveedor de servicios de confianza acreditado;
• una alerta en tiempo real en caso de cambio de número de teléfono en las 48 horas anteriores a la firma.

Estas medidas adicionales trasladan la firma al nivel calificado, el más alto reconocido por la regulación, y constituyen una garantía máxima para licitaciones sensibles o clasificadas.

Marco legal aplicable a la validación SMS en licitaciones

Regulación de firma electrónica y sus niveles de firma

La regulación de firma electrónica constituye el fundamento legal de la firma electrónica. Distingue tres niveles:

• Firma electrónica simple: datos en forma electrónica adjuntos o asociados a otros datos, utilizados por el firmante para firmar. Valor jurídico limitado para licitaciones públicas.
• Firma electrónica avanzada: satisface los requisitos legales, incluyendo la unicidad del vínculo con el firmante y la detectabilidad de cualquier alteración. La validación OTP SMS, combinada con una identificación previa, permite alcanzar este nivel.
• Firma electrónica calificada: creada utilizando un dispositivo de creación de firma calificado, basado en un certificado calificado emitido por un proveedor de servicios de confianza acreditado. Único nivel con efecto jurídico equivalente a la firma manuscrita.

Código Civil chileno

La legislación civil chilena reconoce la validez de la firma electrónica cuando cumple con los requisitos de autenticidad e integridad. La OTP SMS contribuye directamente a satisfacer la condición de identificación fiable, creando un vínculo entre el número de teléfono registrado y el acto firmado.

Normativa de contratación pública

La normativa de contratación pública chilena exige que las ofertas transmitidas por vía electrónica sean firmadas por una firma electrónica avanzada. La validación SMS se integra en el dispositivo que permite alcanzar este nivel, siempre que todo el recorrido de firma esté documentado y archivado.

RGPD n° 2016/679 — Protección de datos de telefonía

El artículo 32 del RGPD impone medidas técnicas y organizacionales apropiadas para garantizar la seguridad de los datos tratados, incluyendo cifrado y pseudonimización. El número de teléfono utilizado para OTP SMS debe cifrarse en reposo y en tránsito (TLS 1.3 mínimo). El artículo 5.1.e impone limitación de retención: el número solo puede conservarse el tiempo estrictamente necesario para la finalidad del tratamiento.

Normas ETSI aplicables

• ETSI EN 319 132 (XAdES): formato de firma XML avanzada, recomendado para documentos de licitación pública en formato XML.
• ETSI EN 319 122 (CAdES): formato de firma CMS avanzada, adaptado a archivos binarios (PDF, ZIP).
• ETSI EN 319 102-1: procedimientos de creación y validación de firmas electrónicas, integrando sello de tiempo cualificado RFC 3161.

El incumplimiento de estas normas expone al emisor o licitador a un riesgo de rechazo de la oferta por irregularidad formal, o a la inoponibilidad de la firma en caso de litigio contractual.

Escenarios de uso concretos

Escenario 1 — Una consultora de ingeniería respondiendo a una licitación

Una consultora de ingeniería especializada en infraestructura, con una treintena de ingenieros y gestionando en promedio 15 a 20 respuestas a licitaciones por año, debe firmar varias piezas constitutivas de una oferta: acta de participación, memoria técnica, certificados de regularidad fiscal y laboral. Antes de implementar una validación SMS, el procedimiento se basaba en un intercambio de PDF firmados manualmente, escaneados y retransmitidos por correo electrónico, lo que generaba retrasos promedio de 48 a 72 horas por expediente.

Configurando un recorrido Certyneo con validación OTP SMS para cada firmante interno (director técnico, gerente), la consultora redujo este plazo a menos de 2 horas. El informe de firma generado automáticamente se adjunta al expediente depositado en la plataforma de licitación, satisfaciendo los requisitos de firma avanzada. Los estudios sectoriales sobre desmaterialización B2B estiman una reducción de 60-70% en el tiempo de procesamiento administrativo al pasar a firma electrónica con autenticación fuerte.

Escenario 2 — Un agrupamiento temporal de empresas en una licitación de obras

En el marco de una licitación pública de obras (lote movimiento de tierras + lote estructura), dos empresas forman un agrupamiento temporal. Cada mandante debe firmar el acta de participación en nombre de su sociedad. Las dos empresas están ubicadas en ciudades diferentes, y la fecha límite de entrega de ofertas es a las 12:00.

Gracias a la funcionalidad de firmas paralelas de Certyneo, los dos firmantes reciben simultáneamente un enlace de invitación por correo electrónico. Cada uno accede a su página de validación, ingresa su código OTP recibido por SMS en menos de un minuto, y apone su firma electrónica avanzada. El coordinador del agrupamiento recibe inmediatamente una notificación de finalización y puede cargar el expediente completado antes de la hora límite. Este escenario ilustra cómo la validación SMS elimina el riesgo de retraso debido a la coordinación entre múltiples ubicaciones, un problema que representa según ciertos estudios aproximadamente el 30% de los depósitos tardíos en respuestas de agrupamientos.

Escenario 3 — Una entidad emisora de la licitación

Una entidad pública de tamaño intermedio que desea no responder a una licitación sino emitirla, también puede aprovecharse de la validación SMS para proteger la firma interna de los documentos de la licitación. Antes de la publicación de la consulta en la plataforma oficial, el director de servicios técnicos y el autoridad competente deben co-firmar los documentos constitutivos.

Implementando un recorrido Certyneo interno con validación OTP SMS para cada firmante institucional, la entidad crea un rastro probante de la validación administrativa previa. Esta trazabilidad es particularmente útil durante los controles de legalidad o en caso de auditoría. La reducción del riesgo jurídico asociado a una firma no autenticada representa un enjuague de cumplimiento normativo importante para los compradores públicos.

Conclusión

Integrar una página de validación con código SMS en su respuesta a una licitación no es una simple formalidad técnica: es una garantía jurídica, una prueba de consentimiento documentada y una herramienta de cumplimiento normativo. Al autenticar cada firmante mediante un OTP SMS con fecha y hora, alcanza el nivel de firma electrónica avanzada exigido por la gran mayoría de los compradores públicos, al tiempo que reduce drásticamente los plazos internos y los riesgos de rechazo por irregularidad formal.

Certyneo le permite configurar este recorrido en pocos minutos, sin desarrollo informático, con un registro de auditoría conforme a las normas ETSI y archivado según las obligaciones legales. Ya sea licitador único, miembro de un agrupamiento u organismo público, la solución se adapta a su contexto.

¿Listo para proteger sus próximas respuestas a licitación? Cree su cuenta Certyneo de forma gratuita y configure su primer recorrido con validación SMS hoy mismo.