Página de validación SMS para responder a una licitación

Cuando una empresa responde a una licitación pública o privada, la cuestión del valor jurídico del expediente transmitido es central. Un documento firmado electrónicamente sin un mecanismo de autenticación fuerte puede ser impugnado ante un tribunal o rechazado por el comprador público. Es precisamente aquí donde interviene la página de validación con código SMS: esta etapa de autenticación mediante contraseña de un solo uso (OTP) refuerza la prueba de consentimiento del licitador, satisface los requisitos del reglamento eIDAS y garantiza la trazabilidad completa del recorrido de firma. En este artículo, detallamos por qué y cómo implementar este dispositivo en tu flujo de respuesta a licitación, pasando por los requisitos técnicos, la configuración paso a paso y las mejores prácticas a seguir.

Por qué integrar una validación por código SMS en tu respuesta a licitación

El valor probatorio en el corazón de las licitaciones públicas

El marco de las licitaciones públicas francesas impone que las ofertas transmitidas por vía desmaterializada satisfagan los requisitos establecidos por el decreto nº 2016-360 de 25 de marzo de 2016 relativo a las licitaciones públicas. Desde el 1 de octubre de 2018, toda consulta cuyo valor estimado exceda 40 000 € IVA implica una desmaterialización obligatoria a través de una plataforma de depósito acreditada (perfil de comprador). En este contexto, la firma electrónica asociada a un mecanismo de OTP por SMS constituye una firma electrónica avanzada en el sentido del reglamento eIDAS, es decir:

• vinculada al firmante de manera unívoca;
• permite identificar al firmante;
• creada a partir de datos que el firmante puede utilizar bajo su control exclusivo;
• vinculada a los datos firmados de forma que permite detectar cualquier modificación posterior.

Sin este nivel de autenticación, una firma simple (clic o casilla) puede ser insuficiente para comprometer jurídicamente al licitador, especialmente cuando el comprador exige una firma avanzada o calificada para ciertos lotes sensibles.

Reducir los riesgos de impugnación e irregularidad

Un expediente de respuesta a licitación puede ser declarado irregular si el órgano de contratación estima que la identidad del firmante no está suficientemente establecida. La adición de una página de validación SMS crea un segundo factor de autenticación (2FA) que, combinado con la identidad previamente verificada, forma una prueba sólida. En caso de litigio ante el tribunal administrativo o el juez del contrato, el registro de auditoría con fecha y hora (timestamp, número de teléfono enmascarado, dirección IP, hash del documento) constituye una prueba admisible.

Para profundizar en los fundamentos, la guía completa de firma electrónica explica los diferentes niveles de firma y sus implicaciones legales en derecho francés y europeo.

Los componentes técnicos de una página de validación SMS

Arquitectura OTP y canal SMS

Una página de validación por código SMS se basa en tres componentes interdependientes:

1. Generador de OTP (Contraseña de un solo uso): un algoritmo TOTP (OTP basado en tiempo, RFC 6238) o HOTP (OTP basado en HMAC, RFC 4226) genera un código de 6 dígitos, válido generalmente entre 5 y 10 minutos.
2. Puerta de enlace SMS (SMS gateway): un operador certificado (p. ej., Twilio, OVHcloud SMS, Brevo) envía el código al número de teléfono del licitador, registrado durante la fase de invitación o registro.
3. Interfaz de entrada segura: la página web mostrada al licitador debe cumplir los requisitos WCAG 2.1 (accesibilidad), mostrar claramente la expiración del código y proponer un mecanismo de reenvío limitado (anti-abuso, máximo 3 intentos).

Desde el punto de vista de la seguridad, el número de teléfono debe validarse previamente (verificación durante la incorporación) y almacenarse de manera cifrada en la base de datos, de conformidad con los requisitos del RGPD (art. 32 sobre la seguridad de los tratamientos).

Integración en el flujo de firma de Certyneo

En la plataforma Certyneo, la adición de una página de validación SMS se realiza directamente desde la interfaz de configuración de un recorrido de firma. Estos son los pasos:

Paso 1 — Crear o importar el documento de respuesta Carga tu memoria técnica, tu acta de compromiso o cualquier otra pieza constitutiva de la oferta. El generador de contratos por IA de Certyneo también permite rellenar previamente ciertos documentos tipos.

Paso 2 — Configurar los firmantes Rellena el nombre, apellido, dirección de correo electrónico y número de teléfono móvil (formato E.164, p. ej., +33 6 XX XX XX XX) de cada persona autorizada para firmar la oferta. Este campo es obligatorio para activar la validación SMS.

Paso 3 — Activar la autenticación OTP SMS En el menú «Seguridad del recorrido», marca la opción «Validación por código SMS». Puedes configurar:

• la duración de validez del código (recomendado: 5 minutos);
• el número máximo de intentos (recomendado: 3);
• el mensaje personalizado enviado al firmante (mención de la licitación, referencia de la consulta).

Paso 4 — Personalizar la página de validación La interfaz de Certyneo ofrece un editor de página «sin código» que permite añadir el logotipo de tu organización, el título de la consulta e instrucciones claras para el licitador. Esta personalización refuerza la confianza y reduce los abandonos de recorrido.

Paso 5 — Probar el recorrido en modo sandbox Antes del envío real, utiliza el modo de prueba de Certyneo para simular la recepción del SMS y la entrada del código. Verifica que el registro de auditoría capture correctamente: la fecha y hora, el hash SHA-256 del documento, el número de teléfono enmascarado y la dirección IP del terminal utilizado.

Mejores prácticas para una configuración óptima

Anticipar las limitaciones operacionales del licitador

En el marco de una licitación, el licitador puede ser una persona física o el representante legal de una PYME, un agrupamiento temporal de empresas (ATE) o un gran grupo. Deben anticiparse varias limitaciones operacionales:

• Indisponibilidad del número de teléfono: si el firmante designado está de viaje internacional, el SMS puede no llegar a tiempo. Preve una opción de delegación de firma con notificación previa.
• Rotación de responsables: en las grandes organizaciones, el director general firmante puede cambiar entre el envío de la invitación y la fecha límite de depósito. El campo «número de teléfono» debe ser modificable por el administrador de la cuenta hasta 24 horas antes de la fecha límite.
• Accesibilidad: algunos usuarios con discapacidad pueden encontrar dificultades con la entrada de un código temporal. Ofrece una alternativa vocal (llamada automática de lectura del código) si tu infraestructura lo permite.

Archivado y registro de auditoría conforme

La página de validación SMS es solo un eslabón del dispositivo de prueba. Para que todo el expediente sea oponible, el archivado debe cumplir la norma ETSI EN 319 132 (XAdES) o ETSI EN 319 122 (CAdES) según el formato de firma elegido. Certyneo genera automáticamente un informe de firma en PDF/A que incluye:

• la lista de firmantes con su nivel de autenticación;
• las fechas y horas certificadas (RFC 3161);
• el registro completo de eventos SMS (envío, recepción confirmada, entrada correcta o incorrecta).

Este informe debe conservarse durante toda la vigencia del contrato, e incluso más allá en caso de litigio. Para las licitaciones públicas, el Código de la Contratación Pública (art. L. 2194-1 y siguientes) prevé plazos de conservación que pueden llegar hasta 10 años. Las tarifas y las opciones de archivado a largo plazo se detallan en la página de tarifas de Certyneo.

Integración con plataformas de desmaterialización (perfiles de comprador)

Cuando la respuesta a la licitación se realiza a través de una plataforma de terceros (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.), Certyneo puede utilizarse previamente para hacer firmar y validar internamente los documentos constitutivos de la oferta antes de su depósito en el perfil de comprador. El archivo firmado (en formato XAdES o PAdES) se carga posteriormente en la plataforma, acompañado del informe de firma de Certyneo como justificante de autenticación.

Si tu organización ya utiliza una solución competidora, la página de migración a Certyneo explica cómo transferir tus recorridos existentes sin pérdida de datos ni interrupción del servicio.

Seguridad, RGPD y gestión de datos de telefonía

Tratamiento de datos personales del número de teléfono

El número de teléfono móvil es un dato de carácter personal en el sentido del artículo 4 del RGPD. Su utilización en el marco de una validación OTP requiere:

• una base legal claramente identificada: la ejecución del contrato (art. 6.1.b RGPD) o el interés legítimo (art. 6.1.f RGPD) según la relación entre el emisor de la licitación y el licitador;
• una información previa del licitador sobre el uso de su número (mención en los términos y condiciones o en el correo electrónico de invitación);
• una duración de conservación limitada: el número no debe conservarse más allá de la finalización del recorrido de firma, excepto archivado legal justificado.

Los equipos legales y los DPO encontrarán recursos complementarios en nuestro glosario de firma electrónica, que referencia las definiciones clave del RGPD aplicadas a los flujos de firma.

Resistencia a ataques y anti-fraude

La validación SMS es vulnerable a ciertos vectores de ataque (cambio de SIM, interceptación SS7). Para licitaciones con grandes apuestas (importes > 500 000 € IVA), Certyneo recomienda combinar la OTP SMS con:

• una verificación de identidad previa (KYC documental o IDnow);
• un horodataje calificado proporcionado por un proveedor de servicios de confianza (Prestador de Servicios de Confianza, PSC) acreditado eIDAS;
• una alerta en tiempo real en caso de cambio de número de teléfono en las 48 horas anteriores a la firma.

Estas medidas adicionales elevan la firma al nivel calificado eIDAS, el más elevado reconocido por el reglamento europeo, y constituyen una garantía máxima para licitaciones públicas sensibles o clasificadas.

Marco legal aplicable a la validación SMS en licitaciones

Reglamento eIDAS nº 910/2014 y sus niveles de firma

El reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (eIDAS) constituye la base reglamentaria de la firma electrónica en Europa. Distingue tres niveles:

• Firma electrónica simple (art. 3.10): datos bajo forma electrónica adjuntos o asociados a otros datos, utilizados por el firmante para firmar. Valor jurídico limitado para licitaciones públicas.
• Firma electrónica avanzada (art. 3.11): satisface los requisitos del art. 26 eIDAS, incluida la unicidad del vínculo con el firmante y la detectabilidad de cualquier alteración. La validación OTP SMS, combinada con una identificación previa, permite alcanzar este nivel.
• Firma electrónica calificada (art. 3.12): creada mediante un dispositivo de creación de firma calificado, basada en un certificado calificado emitido por un PSC acreditado. Único nivel con efecto jurídico equivalente a la firma manuscrita en todos los Estados miembros (art. 25.2 eIDAS).

Código Civil francés — Artículos 1366 y 1367

El artículo 1366 del Código Civil establece que «el escrito electrónico tiene el mismo valor probatorio que el escrito en papel, bajo reserva de que pueda identificarse debidamente a la persona de la que emana y de que sea establecido y conservado en condiciones que garanticen su integridad». El artículo 1367 precisa que «la firma electrónica consiste en el uso de un procedimiento fiable de identificación que garantice su vínculo con el acto al que se une».

La OTP SMS contribuye directamente a satisfacer la condición de identificación fiable establecida por el artículo 1367, creando un vínculo entre el número de teléfono registrado y el acto firmado.

Código de la Contratación Pública

Los artículos R. 2132-7 y siguientes del Código de la Contratación Pública imponen que las ofertas transmitidas por vía electrónica sean firmadas con una firma electrónica al menos avanzada basada en un certificado calificado. La validación SMS forma parte del dispositivo que permite alcanzar este nivel, siempre que todo el recorrido de firma esté documentado y archivado.

RGPD nº 2016/679 — Protección de datos de telefonía

El artículo 32 del RGPD impone medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos tratados, incluido el cifrado y la seudonimización. El número de teléfono utilizado para la OTP SMS debe ser cifrado en reposo y en tránsito (TLS 1.3 mínimo). El artículo 5.1.e impone la limitación de la conservación: el número solo puede conservarse el tiempo estrictamente necesario para la finalidad del tratamiento.

Normas ETSI aplicables

• ETSI EN 319 132 (XAdES): formato de firma XML avanzada, recomendado para documentos de licitaciones públicas en formato XML.
• ETSI EN 319 122 (CAdES): formato de firma CMS avanzada, adaptado a archivos binarios (PDF, ZIP).
• ETSI EN 319 102-1: procedimientos de creación y validación de firmas electrónicas, integrando horodataje calificado RFC 3161.

El incumplimiento de estas normas expone al emisor o al licitador a un riesgo de rechazo de la oferta por irregularidad formal, o a la inefectividad de la firma en caso de litigio contractual.

Escenarios de uso concretos

Escenario 1 — Un despacho de ingeniería respondiendo a una licitación de dirección de obra

Un despacho de ingeniería especializado en infraestructuras, con aproximadamente treinta ingenieros y gestionando en promedio 15 a 20 respuestas a licitaciones al año, debe firmar varios documentos constitutivos de una oferta: acta de compromiso, memoria técnica, certificaciones de regularidad fiscal y social. Antes de implementar una validación SMS, el procedimiento se basaba en un intercambio de PDF firmados manualmente, escaneados y reenviados por correo electrónico, lo que generaba retrasos medios de 48 a 72 horas por expediente.

Al configurar un recorrido de Certyneo con validación OTP SMS para cada firmante interno (director técnico, gestor), el despacho redujo este plazo a menos de 2 horas. El informe de firma generado automáticamente se adjunta al expediente depositado en el perfil de comprador, satisfaciendo los requisitos de firma avanzada. Los estudios sectoriales sobre desmaterialización B2B estiman una reducción del 60-70 % en el tiempo de tramitación administrativa al pasar a la firma electrónica con autenticación fuerte.

Escenario 2 — Un agrupamiento temporal de empresas (ATE) en una licitación de obras

En el marco de una licitación pública de obras (lote de movimiento de tierras + lote de estructura), dos empresas forman un ATE conjunto. Cada mandatario debe firmar el acta de compromiso en nombre de su empresa. Las dos empresas están ubicadas en ciudades diferentes, y la fecha límite de presentación de ofertas es a las 12:00.

Gracias a la funcionalidad de firmas paralelas de Certyneo, los dos firmantes reciben simultáneamente un enlace de invitación por correo electrónico. Cada uno accede a su página de validación, introduce su código OTP recibido por SMS en menos de un minuto, y apone su firma electrónica avanzada. El coordinador del ATE recibe inmediatamente una notificación de finalización y puede cargar el expediente completado antes de la fecha límite. Este escenario ilustra cómo la validación SMS elimina el riesgo de retraso debido a la coordinación multi-sede, un problema que según ciertos estudios representa aproximadamente el 30 % de los depósitos tardíos en respuestas en agrupamiento.

Escenario 3 — Una entidad local emisora de la licitación

Una entidad local de tamaño intermedio (entre 50 000 y 200 000 habitantes) que desea no responder a una licitación sino emitirla, también puede apoyarse en la validación SMS para asegurar la firma interna de los documentos de licitación (PCAP, PCPP, RC). Antes de poner en línea la consulta en el perfil de comprador, el director de servicios técnicos y el concejal delegado de licitaciones deben co-firmar los documentos constitutivos.

Al implementar un recorrido interno de Certyneo con validación OTP SMS para cada firmante institucional, la entidad local crea un rastro probatorio de la validación administrativa previa. Esta trazabilidad es particularmente útil durante los controles de legalidad ejercidos por la prefectura o en caso de auditoría de la cámara regional de cuentas. La reducción del riesgo jurídico asociado a una firma no autenticada representa un problema de cumplimiento importante para los compradores públicos, en relación con los requisitos de la ordenanza nº 2015-899 codificada en el Código de la Contratación Pública.

Conclusión

Integrar una página de validación con código SMS en tu respuesta a una licitación no es simplemente una formalidad técnica: es una garantía jurídica, una prueba de consentimiento documentada y una herramienta de cumplimiento normativo en el sentido del reglamento eIDAS y del Código de la Contratación Pública. Al autenticar cada firmante mediante una OTP SMS con fecha y hora, alcanzas el nivel de firma electrónica avanzada exigido por la gran mayoría de los compradores públicos, mientras reduces drásticamente los retrasos internos y los riesgos de rechazo por irregularidad formal.

Certyneo te permite configurar este recorrido en pocos minutos, sin desarrollo informático, con un registro de auditoría conforme a las normas ETSI y archivado de acuerdo con las obligaciones legales. Ya seas licitador único, miembro de un ATE o comprador público, la solución se adapta a tu contexto.

¿Listo para asegurar tus próximas respuestas a licitación? Crea tu cuenta de Certyneo gratis y configura tu primer recorrido con validación SMS hoy mismo.