SMS (Short Message Service)

SMS, abreviatura de Short Message Service, es un protocolo de mensajería de texto estandarizado en los años 80 como parte de la especificación GSM. Fue diseñado originalmente como una característica de canal de señalización de baja prioridad para entregar notificaciones del operador a los suscriptores, y no se esperaba inicialmente que se convirtiera en un canal de comunicación principal entre usuarios.

Una carga útil de SMS individual está limitada a 140 bytes, lo que se traduce en 160 caracteres de texto codificado en GSM de 7 bits o 70 caracteres de UCS-2 de 16 bits (utilizado para alfabetos no latinos y emoji). Los mensajes más largos se dividen en múltiples partes y se reensamblan en el terminal receptor, un mecanismo conocido como SMS concatenado o SMS largo.

En la práctica, SMS viene en dos formas relevantes para la mayoría de los usuarios hoy. P2P SMS (persona a persona) es la mensajería de texto estándar entre dos usuarios humanos a través de sus operadores móviles. A2P SMS (aplicación a persona) es el canal que entrega códigos de verificación, mensajes de marketing y notificaciones automatizadas de servicios a usuarios, y representa la mayoría del volumen total de SMS en 2026.

A2P SMS es la herramienta principal de la autenticación basada en OTP, incluyendo la mayoría de implementaciones de 2FA en todo el mundo. El remitente (un servicio como Telegram, Google o un banco) entrega el mensaje a un proveedor CPaaS, que lo enruta a través de acuerdos de interconexión con operadores de destino utilizando protocolos como SMPP. El terminal receptor obtiene el texto en el mismo canal que un mensaje P2P regular — el usuario no puede distinguir fácilmente la diferencia.

SMS es estructuralmente inseguro: no está cifrado en tránsito, es vulnerable a la interceptación SS7, susceptible a ataques de intercambio de SIM y se enruta a través de sistemas cuyos operadores tienen acceso de lectura legítimo. A pesar de esto, sigue siendo el canal de autenticación fuera de banda dominante porque tiene alcance casi universal y no requiere instalación de aplicación. Su reemplazo por RCS, mensajería basada en IP y aplicaciones de autenticación ha estado en marcha durante más de una década y aún está incompleto.