Verificación por Código OTP
La verificación OTP agrega una segunda capa de seguridad al proceso de autenticación. Después de identificarse, el usuario recibe un código de 6 dígitos en su celular o email que debe ingresar para completar el acceso.
Verificación por Código OTP
Una contraseña puede filtrarse. Un número de empleado puede conocerse. Pero el celular del usuario es suyo — nadie más lo tiene. La verificación OTP (código de un solo uso) aprovecha esto: después de que el usuario se identifica, el sistema envía un código de 6 dígitos a su celular o email que expira en 5 minutos. Sin ese código, no hay acceso, aunque alguien conozca el dato de identificación.
¿Para qué sirve?
La verificación OTP es la segunda capa de seguridad que protege información especialmente sensible. Mientras que la autenticación básica verifica "¿eres quien dices ser?", el OTP agrega "¿tienes acceso al dispositivo registrado?".
Úsala cuando el agente maneja:
- Datos de nómina y salarios
- Información financiera o contable
- Expedientes médicos o de personal
- Datos de clientes o contratos que no deben compartirse
¿Cómo funciona?
El proceso se activa después de la autenticación básica cuando la opción "Requerir OTP" está habilitada:
- El usuario proporciona su dato de identificación (número de empleado, cédula, etc.)
- El sistema encuentra el registro y genera un código aleatorio de 6 dígitos
- Envía el código al número de WhatsApp o email registrado en el perfil del usuario
- El agente solicita al usuario que ingrese el código recibido
- El usuario ingresa el código
- Si es correcto, queda autenticado con acceso completo a sus datos
El código tiene protecciones de seguridad múltiples:
- Expira en 5 minutos — un código obtenido no puede usarse horas después
- Máximo 3 intentos — si se falla 3 veces, el proceso debe reiniciarse
- Un solo uso — una vez verificado, el código no puede usarse de nuevo
- Almacenado como hash — si alguien accede a la base de datos, no puede leer el código en texto claro
¿Cómo usarlo?
Activar OTP en la herramienta de autenticación
- Ve a la herramienta de autenticación del agente (Autenticar conversación).
- Activa la opción Requerir OTP.
- Configura de dónde viene el número de teléfono del usuario:
- Para OTP por WhatsApp: el campo del registro que contiene el número de teléfono (ej: campo "telefono" o "celular")
- Para OTP por email: el campo del registro que contiene el correo (ej: campo "email_corporativo")
Si el registro tiene ambos campos configurados, el sistema elige automáticamente el canal disponible según los datos del usuario.
Experiencia del usuario con OTP activado
Conversación de ejemplo:
Usuario → Agente: "Quiero consultar mi recibo de pago de este mes."
Agente → Usuario: "Para verificar tu identidad, ¿cuál es tu número de empleado?"
Usuario → Agente: "Mi número es 4721."
Agente → Usuario: "Encontré tu registro. Te enviamos un código de verificación al número ***78 registrado en tu perfil. Por favor ingresa el código (expira en 5 minutos)."
Usuario → Agente: "El código es 483921."
Agente → Usuario: "Identidad verificada. Tu recibo de pago de marzo 2026 fue de $18,400 pesos. [detalles del recibo...]"
Qué pasa si el código falla
Si el usuario ingresa un código incorrecto, el agente informa cuántos intentos quedan:
- Primer intento fallido: "Código incorrecto. Te quedan 2 intentos."
- Segundo intento fallido: "Código incorrecto. Te queda 1 intento."
- Tercer intento fallido: "Código incorrecto. Por seguridad, el proceso de verificación fue cancelado. Escríbeme nuevamente para reiniciar."
Al agotar los intentos, el usuario debe iniciar el proceso de autenticación desde cero.
Qué pasa si el código expira
Si pasan más de 5 minutos desde que se envió el código, al intentar ingresarlo el agente responde: "El código ha expirado. Por favor, escríbeme nuevamente para enviarte uno nuevo."
Beneficios clave
- Segunda capa de seguridad que protege contra robo de credenciales
- El código expira en 5 minutos — las credenciales capturadas no tienen valor duradero
- Límite de 3 intentos que protege contra ataques de fuerza bruta
- Compatible con WhatsApp y email según la disponibilidad de datos del usuario
- Proceso transparente para el usuario — recibe el código en su canal habitual
- Almacenamiento seguro del código — nunca en texto plano en la base de datos
Casos de uso comunes
Escenario 1: Proteger consulta de salarios Un empleado de RRHH configura el agente de nómina con OTP obligatorio. Cuando el empleado 4721 consulta su recibo, el sistema envía el código a su celular registrado. Aunque alguien más conociera el número de empleado 4721, sin el celular de esa persona no puede acceder a sus datos de nómina.
Escenario 2: Acceso a contratos de clientes Una empresa de servicios configura OTP por email para el agente de clientes. Cuando un cliente intenta consultar sus contratos, el sistema envía el código a su email corporativo registrado. Esto garantiza que solo alguien con acceso al email corporativo del cliente puede ver la información.
Escenario 3: Intento de acceso no autorizado Un usuario malicioso obtiene el número de empleado de otra persona e intenta acceder al agente. Proporciona el número de empleado correcto. El sistema envía el OTP al celular del empleado legítimo — quien recibe el código inesperadamente y sabe que alguien intentó acceder a su información. El atacante no tiene el celular del empleado, no puede ingresar el código, y el acceso es denegado.
Autenticación de Conversaciones
La autenticación de conversaciones permite al agente verificar la identidad del usuario antes de responder con información sensible. El agente solicita un dato de identificación y valida al usuario contra una base de datos configurada.
Tiempo de Inactividad de Sesión
Las sesiones autenticadas en conversaciones expiran automáticamente después de un período de inactividad y tienen un límite absoluto de 24 horas. Esto evita que una sesión quede abierta indefinidamente.