Si operas una fintech en Mexico, la verificacion de identidad no es opcional. La Ley para Regular las Instituciones de Tecnologia Financiera (Ley Fintech) exige mecanismos de autenticacion robustos para proteger las transacciones de tus usuarios. El OTP (codigo de un solo uso) es el estandar de la industria para cumplir con este requisito.
Pero implementar OTP en una fintech tiene retos distintos a los de un ecommerce o una app de delivery. La latencia debe ser menor a 5 segundos, el porcentaje de entrega no puede bajar del 99%, y necesitas un plan B cuando el SMS no llega. Esta guia te explica como resolver cada uno de estos retos con una integracion por API que funciona en produccion.
Por que tu fintech necesita OTP
El fraude financiero en Mexico ha crecido de forma sostenida en los ultimos anos. Segun la Condusef, las reclamaciones por fraudes ciberneticos superaron los 6 millones de casos en un solo ano. Las fintechs son blanco frecuente porque manejan informacion financiera sensible y procesos de alta velocidad. Un codigo OTP agrega una capa de verificacion que confirma que quien realiza la accion es quien dice ser.
Escenarios donde el OTP es obligatorio en fintech:
- Registro de nuevas cuentas. Validar que el numero de telefono pertenece al usuario antes de activar su cuenta.
- Inicio de sesion desde dispositivo nuevo. Confirmar identidad cuando el usuario accede desde un navegador o telefono que no ha usado antes.
- Confirmacion de transacciones. Aprobar transferencias, pagos o retiros que superan un monto definido.
- Recuperacion de contrasena. Verificar identidad antes de permitir un cambio de credenciales.
El SMS sigue siendo el canal preferido para OTP porque no requiere que el usuario tenga internet, funciona en cualquier telefono (incluso los basicos), y tiene una tasa de apertura del 98%.
SMS, WhatsApp o voz: cual elegir para cada caso
No todos los canales funcionan igual para OTP. La decision depende de la urgencia, el perfil de tu usuario y la cobertura que necesitas.
| Canal | Latencia | Cobertura | Requiere internet | Mejor para |
|---|---|---|---|---|
| SMS | Menos de 5 seg | 100% telefonos | No | Canal principal, maxima cobertura |
| 3-10 seg | Solo smartphones con app | Si | Usuarios que no reciben SMS (filtros de operador) | |
| Voz | 10-20 seg | 100% telefonos | No | Fallback final, usuarios con problemas de lectura |
La estrategia recomendada es escalonada: envia por SMS primero. Si no se entrega en 30 segundos, reenvia por una conexion alterna de SMS. Si sigue sin llegar, ofrece WhatsApp o voz como alternativa. Este flujo de verificacion OTP multicanal maximiza la tasa de entrega sin depender de un solo canal.
Implementacion paso a paso con API
La integracion de OTP por API requiere tres endpoints. No necesitas generar ni almacenar los codigos: el sistema los crea, los envia y los valida por ti.
Paso 1: Solicitar el codigo OTP
Llama al endpoint POST /verification/start con cuatro parametros obligatorios:
- phone: numero del usuario (10 digitos sin codigo de pais)
- country_code: "52" para Mexico
- company: nombre de tu fintech (aparece en el mensaje)
- template: plantilla del mensaje OTP
El sistema genera un codigo unico, lo almacena con tiempo de expiracion configurable y lo envia por SMS al numero indicado. La latencia tipica es menor a 5 segundos.
Paso 2: Validar el codigo
Cuando el usuario ingresa el codigo en tu app, llama a POST /verification/check con el numero de telefono y el codigo ingresado. El sistema verifica si coincide y si no ha expirado. Respuesta inmediata: valido o invalido.
Paso 3: Reenviar si no llega
Si el usuario no recibe el codigo, usa POST /verification/resend para reenviarlo por una conexion alterna de SMS, por WhatsApp o por llamada de voz con el codigo dictado. Este endpoint es tu fallback automatico.
La personalizacion incluye: longitud del codigo (4 a 8 digitos), tipo (numerico, alfanumerico o solo letras), tiempo de expiracion y canal de envio. Consulta la documentacion completa de la API para ver ejemplos de cada endpoint.
Fallback multicanal: como asegurar mas del 99% de entrega
El problema mas comun con OTP es que el codigo no llega. Esto pasa por filtros de operador, telefonos sin senal o buzones llenos. En una fintech, cada codigo que no llega es una transaccion que no se completa y un usuario que se frustra.
Flujo de fallback recomendado:
- Intento 1: SMS por ruta directa. El codigo sale por conexion directa con operadores mexicanos (Telcel, AT&T, Movistar). Sin intermediarios extranjeros.
- Intento 2 (30 seg despues): SMS por ruta alterna. Si el primer intento no confirma entrega, se reenvia por una conexion diferente.
- Intento 3 (60 seg despues): WhatsApp. Si el usuario tiene WhatsApp, recibe el codigo por ese canal.
- Intento 4: Llamada de voz. Una voz automatizada dicta el codigo. Funciona incluso sin smartphone.
Este flujo escalonado eleva la tasa de entrega por encima del 99%. La clave es no depender de un solo canal ni de una sola ruta de SMS.
Cumplimiento regulatorio en Mexico
Las fintechs en Mexico operan bajo un marco regulatorio especifico que afecta directamente la implementacion de OTP:
Ley Fintech (2018). Exige que las Instituciones de Tecnologia Financiera implementen mecanismos de autenticacion para proteger las operaciones de sus usuarios. El OTP por SMS cumple este requisito como segundo factor de autenticacion.
Ley Federal de Proteccion de Datos Personales (LFPDPPP). El numero de telefono es un dato personal. Tu fintech debe:
- Informar al usuario que usaras su numero para enviar codigos de verificacion (aviso de privacidad).
- No compartir el numero con terceros sin consentimiento.
- Almacenar los logs de verificacion de forma segura.
Disposiciones de la CNBV. Para instituciones reguladas, la CNBV requiere controles de autenticacion proporcionales al riesgo de la operacion. Transacciones de bajo monto pueden usar un solo factor. Transacciones de alto riesgo requieren multiples factores.
Usar un proveedor de OTP con rutas directas en Mexico simplifica el cumplimiento porque los datos del usuario no salen del pais.
Metricas que debes monitorear
Una implementacion de OTP no se configura y se olvida. Estas son las metricas que tu equipo tecnico debe rastrear:
| Metrica | Target | Por que importa |
|---|---|---|
| Tasa de entrega | >99% | Cada SMS no entregado es un usuario que no completa su accion |
| Latencia (envio a recepcion) | <5 seg | Mas de 10 segundos y el usuario cierra la app |
| Tasa de validacion exitosa | >85% | Si es menor, revisa si los codigos expiran muy rapido |
| Uso de fallback | <10% | Si mas del 10% requiere reenvio, tu ruta principal tiene problemas |
| Costo por verificacion | Varia | Incluye SMS + reenvios + voz. Optimizar sin sacrificar entrega |
Configura alertas automaticas cuando la tasa de entrega baje del 98% o la latencia supere los 8 segundos. Estos son indicadores de que algo cambio en las rutas del operador.
Los webhooks on_otp_enviado, on_otp_validado y on_error_envio te permiten registrar cada evento en tu sistema de monitoreo sin necesidad de hacer polling.
Por que la ruta directa importa para fintech
La mayoria de los proveedores de SMS en America Latina usan rutas indirectas: tu mensaje pasa por 2 o 3 intermediarios antes de llegar al operador mexicano. Cada salto agrega latencia y reduce la tasa de entrega.
Para una fintech, esto es un problema real. Un codigo OTP que llega en 15 segundos en lugar de 3 puede significar la diferencia entre una transaccion completada y un usuario que abandona. Las rutas directas con operadores mexicanos eliminan intermediarios y garantizan que el codigo viaje por el camino mas corto.
SMS Masivos opera con conexiones directas a Telcel, AT&T y Movistar en Mexico. Sin servidores en el extranjero. Sin intermediarios que agreguen latencia. Esto se traduce en menos de 5 segundos desde que tu sistema solicita el codigo hasta que el usuario lo recibe.
Siguiente paso: prueba la API en sandbox
La API de verificacion OTP incluye un modo sandbox para que pruebes toda la integracion sin enviar mensajes reales. Crea tu cuenta, obten tu API key y empieza a probar los tres endpoints hoy.
Crear cuenta y probar la API OTP
Si tu fintech ya procesa verificaciones y quieres migrar de proveedor, el equipo de soporte puede configurar una prueba de concepto con tus volumenes reales para comparar latencia y tasa de entrega.
