Cómo funciona el inicio de sesión sin contraseña: un código para el login y la verificación de WhatsApp

WALLAWHATS usa un único código de 6 dígitos tanto para el inicio de sesión como para la verificación de WhatsApp. Así es el flujo, por qué es seguro y cómo se compara con la autenticación por contraseña.

Nacho Collpor Actualizado: 13 min de lectura
WALLAWHATS usa un único código de 6 dígitos tanto para el inicio de sesión como para la verificación de WhatsApp. Así es el flujo, por qué es seguro y cómo se compara con la autenticación por contraseña.

Cada contraseña que has creado en tu vida es un pequeño pasivo que reposa en una base de datos en algún lugar — la tuya o la de otro. Contraseñas reutilizadas, contraseñas débiles, contraseñas robadas por phishing: la mayoría de los robos de cuentas todavía empiezan por una credencial, no por un zero-day. WALLAWHATS evita toda esta categoría de problemas simplemente no teniendo contraseñas. El inicio de sesión y la verificación de WhatsApp se gestionan con el mismo mecanismo: un único código de 6 dígitos enviado a un destino que tú controlas.

Esto no es solo un atajo de experiencia de usuario. Significa que en el momento en que creas una cuenta, ya has demostrado que eres el dueño del número de teléfono o de la bandeja de entrada donde llegarán, segundos después, las alertas sobre publicaciones de X (Twitter).

Sign-in screen with email entry for the passwordless OTP flow

Qué significa realmente «sin contraseña» aquí

La autenticación sin contraseña no es una idea nueva — los bancos llevan años usando códigos por SMS, y la mayoría de los gestores de contraseñas ya te empujan hacia los enlaces mágicos. Lo distinto en la implementación de WALLAWHATS es que el mismo código de un solo uso que te deja entrar en tu cuenta también verifica el destino que recibirá tus alertas. No hay un paso separado de «confirma tu número de teléfono» escondido en los ajustes después del registro. La propiedad del destino y su disponibilidad para recibir mensajes se establecen en un único movimiento.

En concreto:

  1. Introduces un correo electrónico o un número de WhatsApp en la pantalla de inicio de sesión.
  2. WALLAWHATS genera un código numérico de 6 dígitos y lo envía a ese destino.
  3. Escribes el código de vuelta en la app dentro de una ventana breve de caducidad.
  4. Si todo va bien, quedas conectado — y si el destino era un número de teléfono, ahora es un canal verificado listo para recibir alertas.

Ninguna contraseña que elegir, recordar, rotar o filtrar. Ningún flujo de «he olvidado mi contraseña», porque nunca hubo una contraseña que olvidar.

La mecánica: Cognito Custom Auth, no una librería OTP añadida

Bajo el capó, esto funciona sobre el flujo de autenticación personalizada (Custom Authentication) de AWS Cognito — no un complemento OTP de terceros montado encima de un pool tradicional de usuario y contraseña. Tres disparadores Lambda cooperan para que esto funcione:

  • PreSignUp confirma automáticamente a los nuevos usuarios la primera vez que intentan iniciar sesión con un destino que no se había visto antes. No hay un formulario separado de «crear cuenta»; iniciar sesión con un correo o número nuevo es la creación de la cuenta.
  • CreateAuthChallenge genera el código de 6 dígitos, lo guarda en el servidor con una caducidad corta y lo envía al destino — por WhatsApp si introdujiste un número de teléfono, por correo en caso contrario.
  • VerifyAuthChallengeResponse comprueba el código que has escrito frente al que se emitió, rechazando intentos caducados o incorrectos y limitando la frecuencia de los reintentos.

Como todo esto ocurre dentro de la máquina de estados de autenticación gestionada de Cognito, se aplican las garantías habituales: los tokens tienen una vida corta, los flujos de renovación los gestiona la misma infraestructura que protege el resto de la plataforma, y no hay código de sesión a medida que auditar en busca de los fallos típicos (identificadores predecibles, entropía insuficiente, comprobaciones de caducidad ausentes) que suelen afectar a las implementaciones caseras del tipo «simplemente envíales un código por correo».

Por qué el mismo código cubre dos tareas

La mayoría de los servicios tratan «demostrar quién eres» y «demostrar que puedes recibir mensajes aquí» como dos pasos separados — te registras con una contraseña y luego, por separado, verificas tu número de teléfono para las notificaciones. WALLAWHATS los fusiona porque, para un producto de alertas, son en realidad la misma pregunta formulada dos veces.

Si WALLAWHATS va a entregar un mensaje de WhatsApp a un número, necesita saber dos cosas: que el número es real y alcanzable, y que la persona que inicia sesión realmente lo controla. Un código de 6 dígitos enviado a ese número exacto y escrito correctamente responde a ambas cuestiones a la vez. No existe el escenario en el que estás «conectado» pero tu destino de WhatsApp sigue sin verificar, porque el inicio de sesión fue la verificación.

La misma lógica se aplica al correo electrónico. Inicias sesión con un correo, recibes un código allí, lo escribes de vuelta — y ya estás conectado, y esa bandeja de entrada queda confirmada como destino para las alertas por correo (que, en todos los planes, incluyen una captura renderizada de cada tuit junto con el texto).

Por qué esto es más seguro de lo que parece

La autenticación sin contraseña suena como si debiera ser menos segura — sin contraseña, sin bóveda. En la práctica, cierra varias de las vías más comunes por las que las cuentas reales se ven comprometidas:

  • Sin credential stuffing. No hay ninguna contraseña reutilizada de un sitio filtrado que un atacante pueda probar contra tu inicio de sesión de WALLAWHATS, porque no hay ninguna contraseña que robar en primer lugar.
  • Sin superficie de ataque de restablecimiento de contraseña. Una gran parte de los robos de cuentas ocurre a través del flujo de «he olvidado mi contraseña» — un atacante que controla tu bandeja de entrada restablece tu contraseña en todas partes. Eliminar las contraseñas elimina ese flujo por completo.
  • Basado en posesión, no en memoria. El código demuestra que tienes acceso al móvil o a la bandeja de entrada ahora mismo, no que memorizaste (o apuntaste, o reutilizaste) un secreto hace meses.
  • De vida corta y un solo uso. Los códigos caducan rápido y quedan invalidados tras un uso correcto, a diferencia de una contraseña que sigue siendo válida hasta que la cambias manualmente.

La contrapartida es que la entrega por WhatsApp o correo pasa a formar parte de la ruta crítica de tu inicio de sesión — si pierdes el acceso a ambos, la recuperación de la cuenta sigue el mismo modelo de destino verificado en lugar de recurrir a «preguntas de seguridad», que históricamente ha sido el eslabón más débil de los sistemas basados en contraseña.

Cómo se compara con la contraseña tradicional + verificación OTP separada

Un flujo convencional se ve así: eliges una contraseña, confirmas tu correo a través de un enlace separado y, más tarde, entras en los ajustes para verificar un número de teléfono para notificaciones por SMS o push. Son tres puntos de prueba distintos, tres lugares distintos donde algo puede quedarse obsoleto — un número de teléfono sin verificar en la cuenta durante semanas, una contraseña idéntica a la que se usa en otros cuatro servicios, un enlace de confirmación de correo que caducó antes de que nadie hiciera clic.

WALLAWHATS reduce eso a un único punto de prueba por destino. Añades un número de WhatsApp, y el código que recibes para verificarlo es el mismo código que te conecta en ese dispositivo a partir de entonces. No queda ningún estado sin verificar en el aire, porque la cuenta y el destino alcanzan el estado «verificado» a la vez.

Esto también significa que cambiar o añadir un destino es, simplemente… iniciar sesión con uno nuevo. ¿Quieres añadir un segundo número verificado con un plan Business o Enterprise? Introdúcelo, recibe el código, confírmalo. Sin ningún formulario separado de «añadir número de teléfono» escondido tres menús más allá.

Configurarlo: lo que realmente verás

En wallawhats.com/signup te piden una sola cosa: un correo electrónico o un número de WhatsApp. Ese es todo el formulario.

  • Introduce un número de WhatsApp y el código llega como mensaje de WhatsApp en segundos — el mismo canal que más adelante llevará tus alertas de X.
  • Introduce un correo electrónico y el código llega a tu bandeja de entrada — útil si quieres iniciar sesión desde un dispositivo compartido o de trabajo sin tocar tu WhatsApp personal, o si vas a usar el correo como tu canal de alertas.

En cualquier caso, verás una pantalla que te pide el código de 6 dígitos, lo escribes y ya estás en el panel de control. Desde ahí puedes añadir un segundo canal (por ejemplo, un número de WhatsApp después de registrarte con correo, o al revés) en cualquier momento desde la página de Canales — cada nuevo destino pasa por la misma verificación de código de un solo uso antes de poder recibir alertas. Si no tienes claro qué tipo de número de WhatsApp usar para esto, nuestra guía de número Business vs Personal desglosa los pros y los contras.

No existe ningún ajuste de cuenta donde un número de teléfono quede «añadido pero sin verificar». Cada destino, o bien completó su propio desafío de código, o no está vinculado a tu cuenta.

Una aclaración sobre lo que esto no es

Para ser precisos sobre el modelo de seguridad: esto es autenticación por código de un solo uso a través de canales en los que ya confías (WhatsApp, correo), no autenticación multifactor en el sentido tradicional de «contraseña más un segundo factor». Hay una diferencia relevante. La MFA tradicional añade una segunda prueba independiente encima de una contraseña. El modelo de WALLAWHATS sustituye la contraseña por la posesión de un canal de comunicación — lo cual es una contrapartida de riesgo distinta, no necesariamente más fuerte en todas las dimensiones. Es la contrapartida correcta para un servicio de notificaciones, donde todo el sentido es que ya necesitas un destino verificado para usar el producto; reutilizar ese paso de verificación para el inicio de sesión elimina fricción sin eliminar una capa de seguridad relevante, ya que no existía ninguna capa basada en contraseña de la que partir.

Si estás decidiendo entre canales tanto para el inicio de sesión como para las alertas, nuestra comparativa de correo frente a WhatsApp cubre las diferencias de velocidad de entrega y tasa de lectura que también aplican a los códigos de acceso — un código por WhatsApp lo notarás en segundos; un código por correo compite con el resto de tu bandeja de entrada.

Por qué esto importa especialmente para un producto de alertas

Para un producto cuya única tarea es «entregar de forma fiable un mensaje al destino que elegiste», la identidad y el destino no pueden separarse. Si el inicio de sesión y la verificación del canal fueran sistemas independientes, podrías acabar conectado a una cuenta cuyo número de WhatsApp se añadió hace años, posiblemente reasignado a otra persona por el operador desde entonces, y nunca vuelto a confirmar. Vincular el inicio de sesión a un código recién enviado al propio destino hace que ese riesgo no exista por construcción — no puedes estar conectado a través de un canal que no es alcanzable ahora mismo, porque esa alcanzabilidad es precisamente lo que te ha dejado entrar.

También significa que la recuperación de la cuenta no requiere un ticket de soporte en el caso habitual. ¿Perdiste el móvil? Inicia sesión con tu correo en su lugar — mismo flujo, mismo código de un solo uso, y tu destino de WhatsApp (una vez lo vuelvas a verificar en un dispositivo nuevo) retoma exactamente donde lo dejó.

Qué pasa cuando un código no llega

Cualquier sistema que delega la entrega a una red de terceros — un operador, la propia infraestructura de WhatsApp, un proveedor de correo — tiene que contar con que el código no aparezca al instante. Algunas notas prácticas sobre cómo se gestiona esto:

  • La caducidad es corta, y es intencionado. Un código válido durante horas es un objetivo mayor que uno válido durante minutos. Si el tuyo caduca antes de que lo introduzcas, pedir uno nuevo invalida el anterior de inmediato.
  • Reenviar, no volver a teclear. Si un mensaje de WhatsApp se retrasa unos segundos (algo normal en horas punta de envío) o un correo cae en la carpeta de spam, la pantalla de inicio de sesión ofrece una acción de reenvío en lugar de pedirte que esperes indefinidamente al primer intento.
  • La limitación de frecuencia protege a ambas partes. Las solicitudes repetidas de código al mismo destino se limitan. No es solo una medida antiabuso para WALLAWHATS — también evita que una sola cuenta sature sin querer los sistemas de entrega de WhatsApp o de un proveedor de correo si algo se reintenta de forma agresiva más arriba en la cadena.
  • Cambia de canal si uno no es alcanzable. Si tu móvil no tiene cobertura pero estás delante de tu ordenador, inicia sesión con el correo en su lugar — es una ruta completamente independiente hacia la misma cuenta, no un respaldo que dependa de que falle primero el intento por WhatsApp.

Nada de esto es exclusivo de WALLAWHATS; es la misma realidad operativa con la que tiene que lidiar cualquier sistema basado en OTP. La diferencia es que, como el código es también tu verificación de canal, un inicio de sesión correcto te dice que tu destino de alertas está activo ahora mismo — algo que una contraseña nunca podría confirmar.

Preguntas frecuentes

¿Puedo usar tanto WhatsApp como correo para iniciar sesión? Sí. Cada uno se verifica de forma independiente la primera vez que lo usas, y cualquiera de los dos te da acceso a la misma cuenta después.

¿Un código nuevo invalida mi canal de WhatsApp si no termino de iniciar sesión? No. Un intento de inicio de sesión sin terminar o caducado no afecta a un canal ya verificado — solo importa a la hora de verificar un destino nuevo por primera vez.

¿Qué pasa si quiero cambiar mi número de teléfono más adelante? Añade el número nuevo como canal desde la página de Canales; pasará por su propio código de un solo uso antes de poder recibir alertas. Tu número anterior permanece intacto hasta que lo elimines.

¿Es esto lo mismo que la autenticación de dos factores por SMS? No exactamente. El 2FA tradicional por SMS es un segundo factor añadido encima de una contraseña. Aquí, el código es todo el mecanismo de autenticación — no hay ninguna contraseña debajo a la que añadirle un segundo factor.

Empezar

El inicio de sesión sin contraseña no es una función aparte que haya que configurar — es sencillamente la forma en que funciona el acceso a WALLAWHATS, en todos los planes desde Free en adelante. Si todavía no has configurado tus alertas, el recorrido de nuestra guía de introducción cubre el camino completo desde tu primer inicio de sesión hasta tu primera alerta de WhatsApp.

No vuelvas a perderte una publicación importante. Crea una cuenta gratis — 1 número de WhatsApp, alertas en tiempo real, sin tarjeta de crédito.

Nacho Coll

Sobre el autor

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Volver al Blog

Artículos Relacionados

Ver Todos los Artículos »