Cómo funciona el inicio de sesión sin contraseña — un solo código cubre el login y la verificación de WhatsApp

WALLAWHATS usa un solo código de 6 dígitos tanto para el inicio de sesión como para la verificación de WhatsApp. Así funciona el flujo, por qué es seguro y cómo se compara con la autenticación por contraseña.

Nacho Collpor Actualizado: 12 min de lectura
WALLAWHATS usa un solo código de 6 dígitos tanto para el inicio de sesión como para la verificación de WhatsApp. Así funciona el flujo, por qué es seguro y cómo se compara con la autenticación por contraseña.

Cada contraseña que has creado alguna vez es un pequeño pasivo guardado en una base de datos en algún lugar — la tuya o la de alguien más. Contraseñas reutilizadas, contraseñas débiles, contraseñas robadas por phishing: la mayoría de los robos de cuenta todavía empiezan con una credencial, no con un zero-day. WALLAWHATS evita toda esa categoría de problemas al no tener contraseñas desde el principio. El inicio de sesión y la verificación de WhatsApp se manejan con el mismo mecanismo: un solo código de 6 dígitos enviado a un destino que tú controlas.

Esto no es solo un atajo de UX. Significa que en el momento en que creas una cuenta, también has demostrado que eres dueño del número de celular o la bandeja de entrada donde llegarán, segundos después, las alertas sobre publicaciones de X (Twitter).

Sign-in screen with email entry for the passwordless OTP flow

Qué significa realmente “sin contraseña” en este caso

La autenticación sin contraseña no es una idea nueva — los bancos llevan años usando códigos por SMS, y la mayoría de los gestores de contraseñas ahora te empujan hacia los magic links. Lo que es diferente en la implementación de WALLAWHATS es que el mismo código de un solo uso que te deja entrar a tu cuenta también verifica el destino que recibirá tus alertas. No hay un paso separado de “confirma tu número de celular” escondido en la configuración después del registro. La propiedad y la disponibilidad para recibir mensajes se establecen en un solo movimiento.

En concreto:

  1. Ingresas un correo electrónico o un número de WhatsApp en la pantalla de inicio de sesión.
  2. WALLAWHATS genera un código numérico de 6 dígitos y lo envía a ese destino.
  3. Escribes el código de vuelta en la app dentro de una ventana corta antes de que expire.
  4. Si todo sale bien, quedas conectado — y si el destino era un número de celular, ahora es un canal verificado listo para recibir alertas.

No hay contraseña que elegir, recordar, rotar o filtrar. No hay flujo de “olvidé mi contraseña”, porque nunca hubo una contraseña que olvidar.

La mecánica: Cognito Custom Auth, no una librería de OTP añadida por fuera

Por debajo, esto corre sobre el flujo de Custom Authentication de AWS Cognito — no es un complemento de OTP de terceros montado sobre un pool tradicional de usuario y contraseña. Tres triggers de Lambda cooperan para que esto funcione:

  • PreSignUp confirma automáticamente a los usuarios nuevos la primera vez que intentan iniciar sesión con un destino que no se había visto antes. No hay un formulario separado de “crear cuenta”; iniciar sesión con un correo o número nuevo es la creación de la cuenta.
  • CreateAuthChallenge genera el código de 6 dígitos, lo guarda del lado del servidor con un TTL corto, y lo despacha al destino — vía WhatsApp si ingresaste un número de celular, vía correo si no.
  • VerifyAuthChallengeResponse revisa el código que escribiste contra el que se emitió, rechazando intentos vencidos o que no coinciden, y limitando los reintentos.

Como todo esto corre dentro de la máquina de estados de autenticación administrada por Cognito, aplican las garantías estándar: los tokens tienen vida corta, los flujos de refresh los maneja la misma infraestructura que asegura el resto de la plataforma, y no hay código propio de sesión/token que auditar en busca de los bugs típicos (IDs predecibles, entropía insuficiente, validaciones de expiración faltantes) que afectan a las implementaciones caseras de “simplemente mándales un código por correo”.

Por qué el mismo código cubre dos tareas

La mayoría de los servicios tratan “demuestra quién eres” y “demuestra que puedes recibir mensajes aquí” como dos pasos separados — te registras con una contraseña, y después, por separado, verificas tu número de celular para las notificaciones. WALLAWHATS los fusiona en uno solo porque, para un producto de alertas, son la misma pregunta hecha dos veces.

Si WALLAWHATS va a entregar un mensaje de WhatsApp a un número, necesita saber dos cosas: que el número es real y está disponible, y que la persona que inicia sesión realmente lo controla. Un código de 6 dígitos enviado a ese número exacto y escrito de vuelta correctamente responde ambas cosas a la vez. No existe el escenario donde estás “conectado” pero tu destino de WhatsApp no está verificado, porque el login fue la verificación.

La misma lógica aplica para el correo. Inicias sesión con un correo electrónico, recibes un código ahí, lo escribes de vuelta — ya estás conectado, y esa bandeja de entrada queda confirmada como destino para las alertas por correo (que, en todos los planes, incluyen una captura renderizada de cada tweet junto con el texto).

Por qué esto es más seguro de lo que parece

La autenticación sin contraseña suena como si debería ser menos segura — sin contraseña, sin bóveda. En la práctica, cierra varias de las formas más comunes en que las cuentas reales terminan comprometidas:

  • Sin credential stuffing. No hay una contraseña reutilizada de un sitio filtrado que un atacante pueda probar contra tu login de WALLAWHATS, porque no hay contraseña que robar en primer lugar.
  • Sin superficie de ataque por reseteo de contraseña. Una enorme proporción de los robos de cuenta ocurre a través del flujo de “olvidé mi contraseña” — un atacante que controla tu bandeja de entrada resetea tu contraseña en todos lados. Quitar las contraseñas elimina ese flujo por completo.
  • Basado en posesión, no en memoria. El código demuestra que tienes acceso al celular o a la bandeja de entrada justo ahora, no que memorizaste (o anotaste, o reutilizaste) un secreto hace meses.
  • De vida corta y un solo uso. Los códigos expiran rápido y se invalidan después de un uso exitoso, a diferencia de una contraseña que sigue siendo válida hasta que la cambias manualmente.

La contrapartida es que la entrega por WhatsApp o correo se vuelve parte de tu camino crítico de login — si pierdes acceso a ambos, la recuperación de cuenta sigue el mismo modelo de destino verificado en lugar de un respaldo de “preguntas de seguridad”, que históricamente ha sido el eslabón más débil de los sistemas basados en contraseña.

Cómo se compara esto con contraseña tradicional + verificación OTP separada

Un flujo convencional se ve así: eliges una contraseña, confirmas tu correo con un enlace separado, y luego, más tarde, entras a la configuración y verificas un número de celular para SMS o notificaciones push. Son tres puntos de prueba separados, tres lugares distintos donde algo puede quedar obsoleto — un número de celular sin verificar que lleva semanas en la cuenta, una contraseña idéntica a la que usas en otros cuatro servicios, un enlace de confirmación de correo que expiró antes de que alguien le diera clic.

WALLAWHATS reduce eso a un solo punto de prueba por destino. Agregas un número de WhatsApp, y el código que recibes para verificarlo es el mismo código que te conecta en ese dispositivo de ahí en adelante. No queda ningún estado sin verificar colgando, porque la cuenta y el destino llegan a “verificado” juntos.

Esto también significa que cambiar o agregar un destino es simplemente… iniciar sesión con uno nuevo. ¿Quieres agregar un segundo número verificado bajo un plan Business o Enterprise? Ingrésalo, recibe el código, confírmalo. Sin un formulario separado de “agregar número de celular” escondido tres menús más adentro.

Configurándolo: lo que realmente vas a ver

En wallawhats.com/signup, te piden una sola cosa: un correo electrónico o un número de WhatsApp. Ese es todo el formulario.

  • Ingresa un número de WhatsApp, y el código llega como mensaje de WhatsApp en segundos — el mismo canal que después llevará tus alertas de X.
  • Ingresa un correo, y el código llega a tu bandeja de entrada — útil si quieres iniciar sesión desde un dispositivo compartido o de trabajo sin tocar tu WhatsApp personal, o si estás configurando el correo como tu canal de alertas.

De cualquier forma, te aparece una pantalla pidiendo el código de 6 dígitos, lo escribes, y ya estás en el dashboard. Desde ahí puedes agregar un segundo canal (digamos, un número de WhatsApp después de registrarte con correo, o al revés) en cualquier momento desde la página de Channels — cada destino nuevo pasa por la misma verificación de código de un solo uso antes de poder recibir alertas. Si no estás seguro de qué tipo de número de WhatsApp usar para esto, nuestra guía de número Business vs Personal desglosa las ventajas y desventajas.

No existe una configuración de cuenta donde un número de celular quede “agregado pero sin verificar.” Cada destino completó su propio desafío de código, o simplemente no está vinculado a tu cuenta.

Una nota sobre lo que esto no es

Para ser precisos sobre el modelo de seguridad: esto es autenticación por código de un solo uso sobre canales en los que ya confías (WhatsApp, correo), no autenticación multifactor en el sentido tradicional de “contraseña más un segundo factor.” Hay una diferencia importante. El MFA tradicional agrega una segunda prueba independiente encima de una contraseña. El modelo de WALLAWHATS reemplaza la contraseña por la posesión de un canal de comunicación — lo cual es una contrapartida de riesgo distinta, no necesariamente más fuerte en todas las dimensiones. Es la contrapartida correcta para un servicio de notificaciones, donde todo el punto es que ya necesitas un destino verificado para usar el producto; reutilizar ese paso de verificación para el login elimina fricción sin eliminar una capa de seguridad relevante, ya que nunca hubo una capa basada en contraseña desde el principio.

Si estás decidiendo entre canales tanto para el login como para las alertas, nuestra comparación de correo vs WhatsApp cubre las diferencias de velocidad de entrega y tasa de lectura que también aplican a los códigos de inicio de sesión — un código de WhatsApp lo notarás en segundos; un código por correo compite con el resto de tu bandeja de entrada.

Por qué esto importa específicamente para un producto de alertas

Para un producto cuyo único trabajo es “entregar de forma confiable un mensaje a un destino que elegiste,” la identidad y el destino no se pueden separar. Si el login y la verificación de canal fueran sistemas separados, podrías terminar conectado a una cuenta cuyo número de WhatsApp se agregó hace años, posiblemente reasignado a otra persona por el operador desde entonces, y nunca reconfirmado. Atar el login a un código nuevo enviado directamente al destino significa que ese riesgo no existe por diseño — no puedes estar conectado a través de un canal que no está disponible en este momento, porque esa disponibilidad es justamente lo que te dejó entrar.

También significa que la recuperación de cuenta no requiere un ticket de soporte en el caso común. ¿Perdiste tu celular? Inicia sesión con tu correo en su lugar — mismo flujo, mismo código de un solo uso, y tu destino de WhatsApp (una vez que lo vuelvas a verificar en un dispositivo nuevo) retoma exactamente donde se quedó.

Qué pasa cuando un código no llega

Cualquier sistema que delega la entrega a una red de terceros — un operador móvil, la propia infraestructura de WhatsApp, un proveedor de correo — tiene que considerar que el código no aparezca al instante. Algunas notas prácticas sobre cómo se maneja esto:

  • La expiración es corta, y es intencional. Un código válido por horas es un blanco más grande que uno válido por minutos. Si el tuyo expira antes de que lo ingreses, pedir uno nuevo invalida el código anterior de inmediato.
  • Reenviar, no reescribir. Si un mensaje de WhatsApp se retrasa unos segundos (algo normal en horas pico de envío) o un correo cae en la carpeta de spam, la pantalla de inicio de sesión ofrece una acción de reenvío en lugar de pedirte que esperes indefinidamente por el primer intento.
  • El límite de intentos protege a ambos lados. Las solicitudes repetidas de código al mismo destino se limitan. Esto no es solo una medida antiabuso para WALLAWHATS — también evita que una sola cuenta sature por accidente los sistemas de entrega de WhatsApp o de un proveedor de correo si algo aguas arriba se reintenta de forma agresiva.
  • Cambia de canal si uno no está disponible. Si tu celular no tiene señal pero estás en tu laptop, inicia sesión con correo en su lugar — es un camino completamente independiente a la misma cuenta, no un respaldo que depende de que el intento por WhatsApp falle primero.

Nada de esto es exclusivo de WALLAWHATS; es la misma realidad operativa con la que tiene que lidiar cualquier sistema basado en OTP. La diferencia es que, como el código también es tu verificación de canal, un inicio de sesión exitoso te dice que tu destino de alertas está activo en este momento — algo que una contraseña nunca podría decirte.

Preguntas frecuentes

¿Puedo usar tanto WhatsApp como correo para iniciar sesión? Sí. Cada uno se verifica de forma independiente la primera vez que lo usas, y cualquiera de los dos te deja entrar a la misma cuenta después.

¿Un código nuevo invalida mi canal de WhatsApp si no termino de iniciar sesión? No. Un intento de inicio de sesión incompleto o vencido no afecta a un canal ya verificado — solo importa cuando se verifica un destino nuevo por primera vez.

¿Qué pasa si quiero cambiar mi número de celular más adelante? Agrega el número nuevo como canal desde la página de Channels; pasa por su propio código de un solo uso antes de poder recibir alertas. Tu número anterior se mantiene intacto hasta que lo elimines.

¿Es esto lo mismo que la autenticación de dos factores por SMS? No exactamente. El 2FA tradicional por SMS es un segundo factor añadido encima de una contraseña. Aquí, el código es todo el mecanismo de autenticación — no hay ninguna contraseña debajo a la cual agregarle un segundo factor.

Para empezar

El inicio de sesión sin contraseña no es una función separada que tengas que configurar — es simplemente cómo funciona el login en WALLAWHATS, en todos los planes desde Free en adelante. Si todavía no configuras tus alertas, el recorrido en nuestra guía de inicio cubre el camino completo desde tu primer inicio de sesión hasta tu primera alerta de WhatsApp.

Nunca más te pierdas una publicación importante. Crea una cuenta gratis — 1 número de WhatsApp, alertas en tiempo real, sin tarjeta de crédito.

Nacho Coll

Sobre el autor

Founder & Engineer at WallaWhats

Nacho founded WallaWhats so you get the alerts that matter without depending on X's algorithm to surface them — pick the accounts you care about and get a WhatsApp for every post the moment it goes live, in order, nothing throttled or buried. Writes about real-time notification systems, social-signal monitoring, and serverless delivery pipelines from the operator side of the wire.

Volver al Blog

Artículos Relacionados

Ver Todos los Artículos »