Página de validación SMS para responder a una convocatoria pública de licitación

Cuando una empresa responde a una convocatoria pública o privada de licitación, la cuestión del valor jurídico del expediente transmitido es central. Un documento firmado electrónicamente sin mecanismo de autenticación fuerte puede ser impugnado ante un tribunal o rechazado por el comprador público. Es precisamente aquí donde interviene la página de validación con código SMS: esta etapa de autenticación mediante contraseña de uso único (OTP) refuerza la prueba de consentimiento del licitador, cumple los requisitos del reglamento eIDAS y garantiza la trazabilidad completa del recorrido de firma. En este artículo, detallamos por qué y cómo implementar este dispositivo en su flujo de trabajo de respuesta a convocatoria de licitación, cubriendo los requisitos técnicos, la configuración paso a paso y las mejores prácticas a seguir.

Por qué integrar una validación por código SMS en su respuesta a convocatoria de licitación

El valor probatorio en el corazón de los mercados públicos

El marco de los mercados públicos españoles impone que las ofertas transmitidas por vía desmaterializada cumplan los requisitos fijados por la legislación aplicable de contratación pública. En este contexto, la firma electrónica asociada a un mecanismo de OTP por SMS constituye una firma electrónica avanzada en el sentido del reglamento eIDAS, es decir:

• vinculada al firmante de manera unívoca;
• permitiendo identificar al firmante;
• creada a partir de datos que el firmante puede utilizar bajo su control exclusivo;
• vinculada a los datos firmados de forma que permita detectar cualquier modificación posterior.

Sin este nivel de autenticación, una firma simple (clic o casilla de verificación) puede ser insuficiente para comprometer jurídicamente al licitador, especialmente cuando el comprador exige una firma avanzada o cualificada para ciertos lotes sensibles.

Reducir los riesgos de impugnación e irregularidad

Un expediente de respuesta a convocatoria de licitación puede ser declarado irregular si la administración adjudicadora estima que la identidad del firmante no está suficientemente establecida. La adición de una página de validación SMS crea un segundo factor de autenticación (2FA) que, combinado con la identidad previamente verificada, forma una prueba sólida. En caso de litigio ante el tribunal contencioso-administrativo, el registro de auditoría con marca de tiempo (timestamp, número de teléfono enmascarado, dirección IP, hash del documento) constituye una prueba admisible.

Para profundizar en los fundamentos, la guía completa de firma electrónica explica los diferentes niveles de firma y sus implicaciones legales en derecho español y europeo.

Los componentes técnicos de una página de validación SMS

Arquitectura OTP y canal SMS

Una página de validación por código SMS se basa en tres componentes interdependientes:

1. Generador de OTP (contraseña de una sola vez): un algoritmo TOTP (OTP basado en tiempo, RFC 6238) u HOTP (OTP basado en HMAC, RFC 4226) genera un código de 6 dígitos, generalmente válido entre 5 y 10 minutos.
2. Pasarela SMS (SMS gateway): un operador certificado (p. ej., Twilio, OVHcloud SMS, Brevo) envía el código al número de teléfono del licitador, registrado durante la fase de invitación o inscripción.
3. Interfaz de entrada segura: la página web mostrada al licitador debe cumplir los requisitos WCAG 2.1 (accesibilidad), mostrar claramente la expiración del código y ofrecer un mecanismo de reenvío limitado (anti-abuso, máximo 3 intentos).

Desde el punto de vista de la seguridad, el número de teléfono debe ser validado con antelación (verificación durante la incorporación) y almacenado de manera cifrada en la base de datos, de conformidad con los requisitos del RGPD (art. 32 sobre la seguridad de los tratamientos).

Integración en el flujo de trabajo de firma de Certyneo

En la plataforma Certyneo, la adición de una página de validación SMS se realiza directamente desde la interfaz de configuración de un recorrido de firma. A continuación se indican los pasos:

Paso 1 — Crear o importar el documento de respuesta Cargue su memoria técnica, su acta de compromiso o cualquier otra pieza constitutiva de la oferta. El generador de contratos por IA de Certyneo también permite rellenar previamente ciertos documentos tipo.

Paso 2 — Configurar los firmantes Indique el nombre, apellido, dirección de correo electrónico y número de teléfono móvil (formato E.164, p. ej. +34 6 XX XX XX XX) de cada persona autorizada para firmar la oferta. Este campo es obligatorio para activar la validación SMS.

Paso 3 — Activar la autenticación OTP SMS En el menú « Seguridad del recorrido », marque la opción « Validación por código SMS ». Puede configurar:

• la duración de la validez del código (recomendado: 5 minutos);
• el número máximo de intentos (recomendado: 3);
• el mensaje personalizado enviado al firmante (mención de la convocatoria de licitación, referencia de la consulta).

Paso 4 — Personalizar la página de validación La interfaz de Certyneo ofrece un editor de página « sin código » que permite añadir el logo de su organización, el título de la consulta e instrucciones claras para el licitador. Esta personalización refuerza la confianza y reduce los abandonos de recorrido.

Paso 5 — Probar el recorrido en modo sandbox Antes del envío real, utilice el modo de prueba de Certyneo para simular la recepción del SMS y la entrada del código. Verifique que el registro de auditoría capture correctamente: la marca de tiempo, el hash SHA-256 del documento, el número de teléfono enmascarado y la dirección IP del terminal utilizado.

Mejores prácticas para una configuración óptima

Anticipar las restricciones operacionales del licitador

En el contexto de una convocatoria de licitación, el licitador puede ser una persona física o el representante legal de una PYME, de un agrupamiento temporal de empresas (ATE) o de un gran grupo. Varias restricciones operacionales deben ser anticipadas:

• Indisponibilidad del número de teléfono: si el firmante designado está en un desplazamiento internacional, el SMS puede no llegar a tiempo. Prevea una opción de delegación de firma con notificación previa.
• Rotación de responsables: en las grandes organizaciones, el director general firmante puede cambiar entre el envío de la invitación y la fecha límite de presentación. El campo « número de teléfono » debe ser modificable por el administrador de la cuenta hasta 24 horas antes del plazo.
• Accesibilidad: algunos usuarios en situación de discapacidad pueden encontrar dificultades con la entrada de un código temporal. Ofrezca una alternativa de voz (llamada automática de lectura del código) si su infraestructura lo permite.

Archivo y pista de auditoría conforme

La página de validación SMS es solo un eslabón del dispositivo de prueba. Para que el conjunto del expediente sea válido, el archivo debe ser conforme a la norma ETSI EN 319 132 (XAdES) o ETSI EN 319 122 (CAdES) según el formato de firma elegido. Certyneo genera automáticamente un informe de firma en PDF/A que incluye:

• la lista de firmantes con su nivel de autenticación;
• las marcas de tiempo certificadas (RFC 3161);
• el registro completo de eventos SMS (envío, recepción confirmada, entrada correcta o incorrecta).

Este informe debe ser conservado durante toda la validez del contrato, e incluso más allá en caso de litigio. Para los mercados públicos, la legislación española prevé plazos de conservación que pueden llegar hasta 10 años. Las tarifas y las opciones de archivo a largo plazo se detallan en la página de precios de Certyneo.

Integración con plataformas de desmaterialización (perfiles de comprador)

Cuando la respuesta a convocatoria de licitación pasa por una plataforma tercera (AWS Mercados, e-Attestations, Compra Pública, Klekoon, etc.), Certyneo puede utilizarse en aguas arriba para hacer firmar y validar internamente los documentos constitutivos de la oferta antes de su presentación en el perfil del comprador. El archivo firmado (en formato XAdES o PAdES) se carga posteriormente en la plataforma, acompañado del informe de firma de Certyneo como justificante de autenticación.

Si su organización ya utiliza una solución competidora, la página de migración a Certyneo explica cómo transferir sus recorridos existentes sin pérdida de datos ni interrupción del servicio.

Seguridad, RGPD y gestión de datos de telefonía

Tratamiento de datos personales del número de teléfono

El número de teléfono móvil es un dato de carácter personal en el sentido del artículo 4 del RGPD. Su uso en el contexto de una validación OTP requiere:

• una base legal claramente identificada: la ejecución del contrato (art. 6.1.b RGPD) o el interés legítimo (art. 6.1.f RGPD) según la relación entre el emisor de la convocatoria de licitación y el licitador;
• una información previa del licitador sobre el uso de su número (mención en las CGU o en el correo electrónico de invitación);
• una duración de conservación limitada: el número no debe conservarse más allá del final del recorrido de firma, salvo archivo legal justificado.

Los equipos jurídicos y DPO encontrarán recursos complementarios en nuestro glosario de firma electrónica, que referencia las definiciones clave del RGPD aplicadas a los flujos de trabajo de firma.

Resistencia a ataques y anti-fraude

La validación SMS es vulnerable a ciertos vectores de ataque (cambio de SIM, intercepción SS7). Para los mercados con riesgos altos (importes > 500 000 € IVA no incluido), Certyneo recomienda combinar el OTP SMS con:

• una verificación de identidad previa (KYC documental o IDnow);
• una marca de tiempo cualificada proporcionada por un proveedor de servicios de confianza (Trust Service Provider, TSP) acreditado según eIDAS;
• una alerta en tiempo real en caso de cambio de número de teléfono en las 48 horas anteriores a la firma.

Estas medidas adicionales hacen que la firma pase al nivel cualificado de eIDAS, el más alto reconocido por el reglamento europeo, y constituyen una garantía máxima para los mercados públicos sensibles o clasificados.

Marco legal aplicable a la validación SMS en convocatorias de licitación

Reglamento eIDAS nº 910/2014 y sus niveles de firma

El reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (eIDAS) constituye el fundamento reglamentario de la firma electrónica en Europa. Distingue tres niveles:

• Firma electrónica simple (art. 3.10): datos en forma electrónica adjuntos o asociados a otros datos, utilizados por el firmante para firmar. Valor jurídico limitado para las convocatorias de licitación pública.
• Firma electrónica avanzada (art. 3.11): cumple los requisitos del artículo 26 de eIDAS, incluida la singularidad del vínculo con el firmante y la detectabilidad de cualquier alteración. La validación OTP SMS, combinada con una identificación previa, permite alcanzar este nivel.
• Firma electrónica cualificada (art. 3.12): creada utilizando un dispositivo de creación de firma cualificado, basada en un certificado cualificado expedido por un TSP acreditado. Único nivel con efecto jurídico equivalente a la firma manuscrita en todos los Estados miembros (art. 25.2 eIDAS).

Código Civil español — Artículos 3 y 4 de la Ley 59/2003

La legislación española reconoce que los documentos electrónicos tienen la misma validez que los documentos en papel, siempre que se pueda identificar de manera fiable a la persona de cuya voluntad proceden y se garantice la integridad del documento. La firma electrónica contribuye directamente a satisfacer la condición de identificación fiable, creando un vínculo entre el número de teléfono registrado y el acto firmado.

Ley de Contratos del Sector Público

Las disposiciones aplicables de la Ley de Contratos del Sector Público imponen que las ofertas transmitidas por vía electrónica sean firmadas con una firma electrónica al menos avanzada. La validación SMS forma parte del dispositivo que permite alcanzar este nivel, siempre que el conjunto del recorrido de firma esté documentado y archivado.

RGPD nº 2016/679 — Protección de datos de telefonía

El artículo 32 del RGPD impone medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos tratados, incluido el cifrado y la seudonimización. El número de teléfono utilizado para el OTP SMS debe estar cifrado en reposo y en tránsito (mínimo TLS 1.3). El artículo 5.1.e impone la limitación de la conservación: el número solo puede conservarse el tiempo estrictamente necesario para la finalidad del tratamiento.

Normas ETSI aplicables

• ETSI EN 319 132 (XAdES): formato de firma XML avanzada, recomendado para las piezas de mercados públicos en formato XML.
• ETSI EN 319 122 (CAdES): formato de firma CMS avanzada, adaptado a archivos binarios (PDF, ZIP).
• ETSI EN 319 102-1: procedimientos de creación y validación de firmas electrónicas, integrando la marca de tiempo cualificada RFC 3161.

El incumplimiento de estas normas expone al emisor o al licitador a un riesgo de rechazo de la oferta por irregularidad formal, o a la inoponibilidad de la firma en caso de litigio contractual.

Escenarios de uso concretos

Escenario 1 — Un despacho de ingeniería respondiendo a un mercado de dirección de obra

Un despacho de ingeniería especializado en infraestructuras, con aproximadamente treinta ingenieros y que gestiona entre 15 y 20 respuestas a convocatorias de licitación por año, debe firmar varias piezas constitutivas de una oferta: acta de compromiso, memoria técnica, certificados de regularidad fiscal y social. Antes de la implementación de una validación SMS, el procedimiento se basaba en un intercambio de PDF firmados manualmente, escaneados y retransmitidos por correo electrónico, lo que generaba retrasos medios de 48 a 72 horas por expediente.

Al configurar un recorrido de Certyneo con validación OTP SMS para cada firmante interno (director técnico, gestor), el despacho ha reducido este plazo a menos de 2 horas. El informe de firma generado automáticamente se adjunta al expediente depositado en el perfil del comprador, satisfaciendo los requisitos de firma avanzada. Los estudios sectoriales sobre desmaterialización B2B estiman una reducción del 60-70% en el tiempo de tratamiento administrativo al pasar a la firma electrónica con autenticación fuerte.

Escenario 2 — Un agrupamiento temporal de empresas (ATE) en un mercado de obras

En el contexto de un mercado público de obras (lote movimiento de tierras + lote estructura), dos empresas forman un ATE conjunto. Cada mandatario debe firmar el acta de compromiso en nombre de su empresa. Las dos empresas se encuentran en ciudades diferentes, y la fecha límite de presentación de las ofertas es a las 12:00.

Gracias a la funcionalidad de firmas paralelas de Certyneo, los dos firmantes reciben simultáneamente un enlace de invitación por correo electrónico. Cada uno accede a su página de validación, introduce su código OTP recibido por SMS en menos de un minuto, y apone su firma electrónica avanzada. El coordinador del ATE recibe inmediatamente una notificación de finalización y puede cargar el expediente completado antes del plazo. Este escenario ilustra cómo la validación SMS elimina el riesgo de retraso relacionado con la coordinación multisitio, un problema que según ciertos estudios representa aproximadamente el 30% de las presentaciones tardías en respuestas en agrupamiento.

Escenario 3 — Una administración pública emisora de la convocatoria de licitación

Una administración pública de tamaño intermedio (entre 50 000 y 200 000 habitantes) que desee no solo responder a una convocatoria de licitación sino emitir una, también puede apoyarse en la validación SMS para asegurar la firma interna de las piezas del mercado (pliego de cláusulas administrativas generales, pliego de prescripciones técnicas, responsabilidad civil). Antes de poner en línea la consulta en el perfil del comprador, el director de servicios técnicos y el concejal delegado en mercados deben co-firmar los documentos constitutivos.

Al implementar un recorrido interno de Certyneo con validación OTP SMS para cada firmante institucional, la administración crea una prueba documentada de la validación administrativa previa. Esta trazabilidad es especialmente útil durante los controles de legalidad ejercidos por la administración competente o en caso de auditoría. La reducción del riesgo jurídico asociado a una firma no autenticada representa un problema importante de cumplimiento normativo para los compradores públicos, de acuerdo con los requisitos de la legislación aplicable.

Conclusión

Integrar una página de validación con código SMS en su respuesta a una convocatoria de licitación no es una simple formalidad técnica: es una garantía jurídica, una prueba de consentimiento documentada y una herramienta de cumplimiento normativo en el sentido del reglamento eIDAS y de la Ley de Contratos del Sector Público. Al autenticar a cada firmante mediante un OTP SMS con marca de tiempo, alcanza el nivel de firma electrónica avanzada exigido por la gran mayoría de compradores públicos, mientras reduce drásticamente los plazos internos y los riesgos de rechazo por irregularidad formal.

Certyneo le permite configurar este recorrido en algunos minutos, sin desarrollo informático, con un registro de auditoría conforme a las normas ETSI y archivado de acuerdo con las obligaciones legales. Ya sea licitador único, miembro de un ATE o administración pública, la solución se adapta a su contexto.

¿Listo para asegurar sus próximas respuestas a convocatorias de licitación? Cree su cuenta de Certyneo de forma gratuita y configure su primer recorrido con validación SMS hoy mismo.