Verificación OTP por SMS en contratos: qué es y cuándo usarla

Cuando envías un contrato para firma electrónica, ¿cómo sabes con certeza que la persona que firmó es quien dice ser? El email es un buen primer nivel de identificación, pero en contratos de cierto valor económico o con partes desconocidas, añadir una segunda capa de verificación puede marcar la diferencia. Eso es exactamente lo que hace la verificación OTP por SMS.

¿Qué es la verificación OTP por SMS?

OTP son las siglas de One-Time Password: contraseña de un solo uso. En el contexto de la firma electrónica, el proceso funciona así: cuando el firmante intenta abrir el enlace de firma, el sistema le envía automáticamente un código numérico de 6 dígitos a su teléfono móvil. El firmante debe introducir ese código para poder acceder al documento y proceder a la firma.

Esto significa que para firmar el documento, la persona necesita tener acceso tanto al enlace de firma (enviado por email) como al teléfono móvil registrado. Es lo que en ciberseguridad se conoce como autenticación de doble factor o 2FA aplicada a la firma de documentos.

¿Qué añade el OTP al certificado de auditoría?

Cuando activas la verificación OTP en un documento de firmaSimple, el certificado de auditoría incluye una sección adicional con el registro de envío SMS gestionado por Twilio (proveedor independiente). Este registro contiene:

• Message SID: identificador único del SMS en los servidores de Twilio, verificable de forma independiente.
• Número remitente y número destinatario completos.
• Fecha y hora exacta del envío del código (UTC).
• Texto literal del SMS enviado.

Esto añade una capa de evidencia adicional que refuerza significativamente la prueba de identidad del firmante: no solo firmó desde esa IP con ese dispositivo, sino que además tuvo acceso físico a ese número de teléfono en ese momento.

¿Cuándo tiene sentido usar la verificación OTP?

No todos los contratos requieren el mismo nivel de identificación. Usa la verificación OTP cuando:

• El contrato tiene un valor económico significativo (servicios por encima de 1.000€, por ejemplo).
• Estás firmando con alguien que no conoces personalmente o con quien nunca has trabajado antes.
• El sector tiene mayor exposición a fraude o suplantación de identidad (inmobiliario, servicios financieros, consultoría jurídica).
• Quieres el máximo nivel de evidencia posible para contratos laborales con empleados remotos.
• El cliente o la otra parte te lo solicita explícitamente como garantía.

Para documentos de bajo riesgo (presupuestos, albaranes, autorizaciones internas), la firma electrónica simple sin OTP es completamente suficiente.

¿Cómo activar el OTP en firmaSimple?

La verificación OTP está disponible para usuarios con plan Premium (mediante packs de créditos de pago) y para usuarios PRO (con 50 SMS incluidos cada mes sin coste adicional).

El proceso es sencillo: al subir el documento y posicionar el campo de firma, aparece la opción "Verificar identidad del firmante por SMS". Al activarla, introduces el número de teléfono del firmante. Cuando el firmante intente abrir el enlace, recibirá automáticamente el código SMS. Cada verificación consume 1 crédito SMS.

Packs de créditos SMS para usuarios Premium

Los usuarios con plan Premium pueden comprar packs de créditos SMS sin suscripción adicional. Los créditos no caducan y se acumulan hasta que los uses:

• Pack 10 SMS: 10€ (1€ por verificación).
• Pack 20 SMS: 15€ (0,75€ por verificación, mejor precio).

Verificación OTP en firmas múltiples

Si tienes un documento que deben firmar varias personas, puedes activar la verificación OTP para cada firmante de forma independiente. Cada uno recibirá su código SMS cuando le llegue el turno de firmar. Esto es especialmente útil en contratos tripartitos o en acuerdos de socios donde todos los firmantes deben quedar perfectamente identificados.

OTP vs firma cualificada: ¿cuál necesito?

La verificación OTP por SMS refuerza la firma electrónica simple y en la mayoría de casos comerciales es más que suficiente. La firma electrónica cualificada (con certificado digital de la FNMT o DNIe) solo es necesaria para trámites con administraciones públicas o contratos donde la ley lo exige expresamente. Para contratos entre empresas y profesionales privados, la firma simple con OTP tiene toda la fuerza probatoria necesaria.