Antiabuso y seguridad de códigos

En vista previa

El código es un secreto. Lo tratamos como tal.

ComenzarLeer documentación
Configurar en:
Cursor

Un código de un solo uso es tan seguro como la forma en que se genera, almacena y limita. Bird Verify genera códigos con una fuente criptográfica, almacena solo un hash, compara en tiempo constante y limita tanto los envíos como los intentos de adivinación — así, un registro filtrado o un ataque de fuerza bruta no llevan a ningún lado. La puntuación de fraude se construirá sobre esta base a continuación.

verify.ts
200 · pending
import { BirdClient } from "@messagebird/sdk";

const bird = new BirdClient({ apiKey: process.env.BIRD_API_KEY! });

// Send the code, then check it by recipient.
await bird.verify.verifications.create({
  to: { phone_number: "+15551234567" },
}).safe();

const { data } = await bird.verify.verifications.check({
  to:   { phone_number: "+15551234567" },
  code: userInput,
}).safe();

Seguridad activa por defecto, no un complemento.

Cada verificación en la API de Bird Verify incluye las mismas protecciones: el código se genera en el servidor, nunca se devuelve y se almacena solo como hash; las comprobaciones se ejecutan en tiempo constante y con un presupuesto de intentos limitado; y los envíos tienen un tope por destinatario y por workspace. No necesita activarlas ni configurarlas — así es como funciona la API, ya sea que la use para inicio de sesión con dos factores o acceso sin contraseña.

Cinco protecciones en cada verificación.

Sin pasos de configuración, sin complementos adicionales.

  1. 01

    Generación criptográfica.

    Los códigos se obtienen de una fuente aleatoria criptográfica, distribuidos uniformemente en el espacio de códigos, no de un contador o marca de tiempo predecible.

  2. 02

    Hash en reposo, nunca en texto plano de salida.

    Solo se almacena un HMAC-SHA256 de cada código; el texto plano nunca es devuelto por la API ni se escribe en su stack o en nuestros registros.

  3. 03

    Comparación en tiempo constante.

    Los códigos enviados se comparan en tiempo constante, por lo que un atacante no obtiene información del tiempo que tarda una verificación.

  4. 04

    Bloqueo por intentos.

    Cada sesión tiene un número limitado de comprobaciones (5 por defecto). Una vez agotadas, la sesión falla, por lo que los intentos de adivinación no pueden continuar indefinidamente.

  5. 05

    Límites de envío y cuotas.

    Un límite de envío por destinatario, un tiempo de espera para reenvíos y una cuota diaria por workspace acotan el gasto y la superficie de abuso, cada uno con un 429 con Retry-After.

Los intentos se agotan antes que la paciencia de sus usuarios.

Un código incorrecto devuelve un resultado con los intentos restantes, y la sesión falla cuando se agota el presupuesto, por lo que un bucle de fuerza bruta choca contra un muro en vez de encontrar una puerta abierta.

lockout.ts
200
const { data } = await bird.verify.verifications.check({
  to:   { phone_number: "+15551234567" },
  code: guess,
}).safe();

// wrong code, attempts left → { result: "invalid", attempts_remaining: 2 }
// budget spent, session done → { result: "failed", attempts_remaining: null }
Próximamente

Próximamente: señales de fraude y protección contra SMS pumping.

El historial por envío que Verify registra hoy es la base para una capa de fraude que estamos construyendo ahora. Funciona con las mismas llamadas de creación y verificación — por lo que adoptarla después es un cambio de configuración, no una reintegración.

Señales de riesgo en la creación. Envíe contexto de dispositivo, IP y solicitud en una verificación, y los intentos de alto riesgo obtienen un resultado de bloqueo antes de que se envíe un código — así no paga por enviar mensajes a un atacante.

Protección contra SMS pumping y AIT. Límites de envío por país y por prefijo, más un techo de gasto por workspace, detienen el ataque de tráfico inflado artificialmente que dirige OTP a rangos de números premium para compartir ingresos con operadores.

Construido sobre lo que ya existe. La evaluación de riesgo lee el historial de intentos que Verify mantiene desde el primer día, y el resultado de bloqueo ya forma parte del modelo de estados — por lo que la capa de fraude se integra sin modificar su implementación.

Preguntas frecuentes sobre seguridad de verificación

¿Dónde se almacena el código de un solo uso?+
Solo como un hash HMAC-SHA256. Bird genera el código con una fuente aleatoria criptográfica, lo envía y conserva el hash para comparar — el texto plano nunca es devuelto por la API ni se escribe en los registros.
¿Cómo evitan que alguien adivine el código por fuerza bruta?+
Cada sesión tiene un número limitado de comprobaciones (5 por defecto), y cada una se compara en tiempo constante para que el tiempo de respuesta no revele nada. Una vez agotado el presupuesto, la sesión falla, por lo que un atacante no puede seguir intentando.
¿Qué pasa con el SMS pumping y el tráfico inflado artificialmente?+
Los límites de envío por destinatario y una cuota diaria por workspace acotan el gasto hoy. La puntuación de fraude dedicada y la protección contra SMS pumping llegarán próximamente, basándose en el historial por envío que Verify ya registra.
¿Estas protecciones tienen un costo adicional?+
No. La generación criptográfica, el almacenamiento con hash, las comprobaciones en tiempo constante, el bloqueo por intentos y los límites de envío son el comportamiento estándar de cada verificación — no hay un nivel de seguridad que comprar.
¿De quién ven mis usuarios que proviene el código?+
Authifly, la marca de verificación de Bird. Es la identidad en cada código que reciben tus usuarios: el correo electrónico llega desde otp@verify.authifly.com o tu propio dominio verificado, y SMS y WhatsApp llevan la marca Authifly. authifly.com es una página pública que asegura a los destinatarios que Authifly envía códigos de un solo uso legítimos en nombre de una empresa. Bird es la plataforma sobre la que construyes; Authifly es lo que ve el destinatario.

El resto de la plataforma Verify

Una API, un conjunto de claves. Explora las demás funcionalidades.

SMS OTPCódigos de un solo uso por SMS, con alcance global y límites de frecuencia integrados.Email OTPVerifica por correo electrónico en la red que ya gestiona tu correo transaccional.WhatsApp OTPCódigos por WhatsApp como canal configurable en el mismo plan.Voice OTPPróximamente: un código hablado para líneas fijas y usuarios de difícil acceso.Orquestación de canalesOrden de canales por país y remitentes como recurso de configuración de primer nivel.Descripción general de Verify APILa Verify API completa: crear o reintentar, verificar por destino y configuración por país.

Códigos generados, almacenados y con límites de frecuencia como debe ser.

La seguridad está integrada en Bird Verify, no se vende aparte: los canales, el código y los límites son los mismos dos endpoints.

Explora la plataforma VerifyComenzar

Empieza con un canal.
Añade los demás cuando estés listo.

Una clave API de prueba es tuya de inmediato. El acceso a producción se desbloquea cuando añades un método de pago y verificas un remitente.

ComenzarLeer documentación

¿Usas Claude Code, Cursor o Codex? Copia un prompt de configuración y tu agente instalará el Bird CLI y las habilidades por ti. Elige el tuyo:

Cursor