OTP significa One-Time Password (contraseña de un solo uso). Es un código temporal, generalmente de 4 a 8 dígitos, que se genera una sola vez para verificar tu identidad en una transacción o inicio de sesión. Caduca en minutos y no se puede reutilizar.
Si te llegó un código OTP al celular y quieres saber qué hacer con él, o si necesitas implementar verificación OTP en tu empresa, este artículo cubre ambos lados.
Cómo funciona un código OTP
El flujo es siempre el mismo, sin importar si lo genera tu banco, WhatsApp o una tienda en línea:
- Tú haces algo que requiere verificación. Inicias sesión, te registras, confirmas un pago o cambias tu contraseña.
- El sistema genera un código único. Típicamente 6 dígitos numéricos. No es aleatorio de verdad: se genera con algoritmos criptográficos que hacen imposible predecirlo.
- Te llega al teléfono. Por SMS, por WhatsApp, por llamada de voz o por una app de autenticación como Google Authenticator.
- Lo capturas en la pantalla. Escribes el código en el campo que te muestra la app o el sitio web.
- El sistema valida y te da acceso. Si el código coincide y no expiró, pasas. Si no, pides otro.
Todo esto ocurre en menos de 30 segundos. El código solo funciona una vez: si alguien lo intercepta después de que lo usaste, no le sirve de nada.
Dónde recibes códigos OTP (y por qué)
Probablemente ya recibes códigos OTP varias veces por semana sin pensarlo mucho:
- WhatsApp. Cuando inicias sesión en un teléfono nuevo, WhatsApp te manda un código de 6 dígitos por SMS. Ese es un OTP. Si alguien te pide ese código, está intentando robar tu cuenta.
- Bancos. BBVA, Banorte, HSBC y prácticamente todo el sistema bancario mexicano usa OTP para confirmar transferencias y pagos con tarjeta en línea.
- E-commerce. Amazon, MercadoLibre y Liverpool envían códigos OTP cuando detectan un inicio de sesión sospechoso o cuando confirmas una compra grande.
- Apps de transporte y delivery. Uber, DiDi y Rappi verifican tu número de teléfono con OTP al registrarte.
- Cualquier servicio con autenticación en dos pasos. Gmail, Instagram, TikTok. Todos ofrecen OTP como segunda capa de seguridad.
La razón es siempre la misma: las contraseñas solas ya no protegen nada. Se filtran en bases de datos hackeadas, se reutilizan entre servicios, se anotan en notas del celular. El OTP agrega una segunda capa: aunque alguien tenga tu contraseña, no puede entrar sin acceso a tu teléfono.
Tipos de OTP: no todos funcionan igual
Cuando alguien dice “OTP” puede referirse a tres mecanismos diferentes. Todos generan códigos temporales, pero la forma en que lo hacen cambia:
SMS OTP: El servidor genera el código y te lo manda por mensaje de texto. Ejemplo: código de verificación de tu banco. Funciona en cualquier teléfono, no necesita internet ni app.
TOTP (basado en tiempo): Una app genera códigos que cambian cada 30 segundos, sincronizados con el servidor. Ejemplo: Google Authenticator, Microsoft Authenticator. No depende de la red celular. Funciona offline.
HOTP (basado en contador): Cada vez que pides un código, un contador se incrementa en el dispositivo y el servidor. Ejemplo: tokens físicos de algunos bancos (el aparatito con pantalla). No expira por tiempo, solo cuando se usa.
El más común en México es SMS OTP. Es el que usan los bancos, las tiendas en línea y las apps de transporte. Tiene una ventaja que los otros no: llega a cualquier teléfono celular, incluyendo los que no son smartphone y los que no tienen datos móviles. En un país donde la cobertura de internet es irregular fuera de las ciudades grandes, eso importa.
TOTP (apps de autenticación) es más seguro porque el código nunca viaja por la red, se genera directo en tu teléfono. Pero requiere que descargues una app y configures el vínculo con cada servicio. Para usuarios técnicos funciona bien. Para el usuario promedio, agrega fricción que puede costar conversiones.
Por qué las empresas necesitan OTP
Si tu empresa tiene una app, un portal web o cualquier sistema donde los usuarios se registren o hagan transacciones, OTP no es un nice-to-have. Es infraestructura básica.
Previene registros falsos. Sin verificación OTP en el registro, tu base de datos se llena de números inventados, bots y duplicados. Después no puedes comunicarte con esos usuarios para nada: ni cobrar, ni notificar, ni recuperar su cuenta.
Bloquea accesos no autorizados. El 80% de las brechas de seguridad involucran contraseñas débiles o robadas, según el reporte DBIR de Verizon. OTP como segundo factor reduce ese riesgo drásticamente.
Cumplimiento regulatorio. En México, la Ley Fintech y las disposiciones de la CNBV exigen autenticación multifactor para operaciones financieras. OTP por SMS es el método más adoptado para cumplir ese requisito.
Reduce contracargos. En e-commerce, un OTP antes de confirmar un pago grande es la diferencia entre “el titular confirmó” y “alguien compró con tarjeta robada y después llegó el contracargo”.
OTP por SMS vs WhatsApp vs Voz
Cuando una empresa envía códigos OTP, tiene tres canales disponibles. No son intercambiables. Cada uno tiene su momento:
SMS: Canal principal. Funciona con o sin datos, en cualquier teléfono. Limitación: 160 caracteres, puede caer en filtros de operador.
WhatsApp: Reintento cuando el SMS no llega. El usuario ya tiene la app abierta. Limitación: requiere internet y la app instalada.
Voz: Último recurso. Usuarios sin smartphone, accesibilidad, zonas sin datos. Limitación: la voz robótica puede confundir al usuario.
La estrategia que mejor funciona: SMS primero, WhatsApp como reintento, voz como último recurso. Es la cascada que usan las empresas que optimizan para tasa de verificación, no solo para entrega.
Si te interesa cómo funciona cada canal en detalle, tenemos guías específicas:
Qué hacer si recibes un código OTP que no pediste
Si te llega un SMS o mensaje de WhatsApp con un código de verificación que tú no solicitaste, hay tres posibilidades:
Alguien escribió mal su número. La más común y la más inocua. Alguien intentó registrarse en algún servicio, escribió un dígito mal y el código cayó en tu teléfono. No tienes que hacer nada. Ignora el mensaje.
Alguien está intentando entrar a tu cuenta. Si es un código de WhatsApp, tu banco o un servicio donde sí tienes cuenta, alguien tiene tu contraseña e intenta pasar la verificación en dos pasos. No compartas el código con nadie. Cambia tu contraseña inmediatamente.
Es un intento de phishing. Te llega el código seguido de un mensaje (a veces por otra vía) pidiéndote que se lo envíes “al soporte” o “para verificar tu identidad”. Ninguna empresa legítima te va a pedir tu código OTP por chat o llamada. Si alguien lo hace, es fraude.
Regla simple: si tú no lo pediste, no lo compartas. Punto.
Cómo implementar OTP en tu empresa
Si llegaste hasta aquí porque necesitas agregar verificación OTP a tu sistema, la implementación es más sencilla de lo que parece. No necesitas generar códigos, almacenarlos ni programar la expiración. Una API maneja toda esa lógica.
El flujo técnico se reduce a 3 llamadas HTTP:
- Enviar. Tu backend solicita el código con el número de teléfono y el nombre de tu empresa
- Validar. Envías el código que capturó el usuario y recibes si es correcto o no
- Reenviar. Si no llegó, lo mandas por otra ruta o por otro canal (WhatsApp, voz)
La API de Mensajes OTP de SMS Masivos soporta los tres canales (SMS, WhatsApp, voz) con los mismos endpoints. La guía técnica completa tiene ejemplos de código en PHP, Python, Node.js y más.
Si no programas, puedes conectar vía Zapier, Make o Pabbly sin escribir una línea de código.
Preguntas frecuentes
¿Qué significa OTP en WhatsApp?
Cuando WhatsApp te pide un código OTP, se refiere al código de verificación de 6 dígitos que envía por SMS al registrar o iniciar sesión en un teléfono nuevo. Es una medida de seguridad para confirmar que el número es tuyo. Si recibes uno sin haberlo pedido, no lo compartas. Alguien podría estar intentando acceder a tu cuenta.
¿Cuánto dura un código OTP?
Depende del servicio que lo genera. La mayoría expira entre 2 y 10 minutos. Los códigos de apps de autenticación (TOTP) se regeneran cada 30 segundos. Si tu código expiró, simplemente solicita uno nuevo.
¿Es seguro compartir mi código OTP?
No. Nunca. El código OTP es equivalente a una llave temporal de tu cuenta. Ninguna empresa, banco o soporte técnico legítimo te va a pedir tu código OTP por teléfono, chat o correo. Si alguien te lo pide, es un intento de fraude.
¿Qué hago si no me llega el código OTP?
Espera 30 segundos y solicita un reenvío. Si sigue sin llegar: verifica que tu número sea correcto, que tengas señal celular y que no hayas bloqueado mensajes de números cortos. Algunos operadores en México filtran SMS de códigos cortos. Si el problema persiste, prueba solicitar el código por WhatsApp o llamada de voz.
¿Qué significa OTP en redes sociales?
En redes sociales, especialmente en comunidades de anime, K-pop y fanfiction, OTP significa One True Pairing, es decir, tu pareja favorita de personajes ficticios. Ejemplo: “Mi OTP es Hermione y Ron”. Es un significado completamente diferente al código de verificación, y el contexto siempre deja claro cuál es cuál.
Tu siguiente paso
Si eres usuario y querías saber qué es el código que te llegó al celular: ya lo sabes. No lo compartas, úsalo rápido y olvídalo.
Si eres empresa y necesitas implementar verificación OTP: crea tu cuenta en SMS Masivos, obtén tu API key y envía tu primer código en minutos. Sin contratos, sin rentas. Pagas solo lo que envías.
