El login passwordless con SMS en Auth0 te permite autenticar usuarios mediante un código enviado por mensaje de texto, eliminando la necesidad de contraseñas. Es ideal para desarrolladores que buscan reducir fricción en el acceso, mejorar conversión y disminuir costos por reinicio de credenciales.

En la configuración de Auth0, esta funcionalidad vive dentro de la sección Authentication > Passwordless, junto al login social que ya conoces. La diferencia es que aquí el usuario recibe un código en su celular y, con eso, entra. Sin contraseñas. Sin olvidos. Sin tickets de soporte.

¿Qué necesitas para activar el login con SMS en Auth0?

Antes de tocar el toggle de SMS en Auth0, necesitas tres datos que vienen de Twilio, el proveedor que Auth0 integra por defecto en su interfaz gráfica [02:00].

• Account SID de tu cuenta de Twilio.
• Auth Token asociado a esa cuenta. Nunca lo compartas, porque expone tu cuenta sin restricciones.
• Número de teléfono activo, que puedes obtener gratis como número de prueba en Twilio sin tarjeta de crédito.

Una vez tengas estos tres valores, regresas al dashboard de Auth0, los pegas en el formulario de Passwordless SMS y personalizas la plantilla del mensaje. Por defecto viene en inglés, pero puedes traducirla a algo como "Tu código de verificación es" para hacerlo más natural a tu audiencia [03:30].

¿Puedo usar un proveedor SMS distinto a Twilio? Sí, pero no desde la interfaz gráfica. Tienes que hacerlo a través del Management API de Auth0, que se cubre más adelante en el curso.

¿Cómo activar Identity First para que funcione el SMS?

Auth0 introdujo un paso extra antes de probar el flujo de SMS, porque esta funcionalidad está en Early Access dentro del nuevo Universal Login [04:45].

En Authentication Profiles vas a encontrar dos esquemas posibles:

• El flujo clásico, donde ingresas email y contraseña en la misma pantalla.
• El flujo Identity First, donde primero te identificas con tu email o número y luego ingresas la credencial.

Para que el SMS passwordless funcione, debes activar Identity First, guardar y volver a la sección de prueba. Ahí introduces tu número de celular con el prefijo del país, recibes el código en tu teléfono, lo pegas y el sistema confirma que el flujo está operativo.

¿Cómo aplico el login passwordless en mi aplicación real?

La versión actual de SMS passwordless funciona con el Universal Login Legacy, no con el nuevo. Eventualmente el nuevo lo soportará, pero hoy debes hacer un ajuste manual [06:15].

Vas a Branding > Universal Login > Advanced Options, entras a la pestaña Login y activas la opción de personalizar la página. Seleccionas el template Log Passwordless, guardas y listo. Cuando hagas logout y vuelvas a entrar a tu aplicación, verás la pantalla de autenticación por SMS funcionando.

El flujo desde el lado del usuario es directo: ingresa el número, recibe el código, lo pega, autoriza el acceso al perfil y entra a la app. Sin contraseñas en ningún momento.

¿Qué es Identity First en Auth0? Es un perfil de autenticación donde el usuario primero se identifica con su email o teléfono, y después el sistema decide qué método de credencial pedirle. Es requisito para flujos passwordless.

¿Por qué conviene usar autenticación passwordless?

Más allá de la comodidad, hay tres argumentos fuertes que justifican migrar a este modelo [07:30].

• Inicio de sesión sin esfuerzo. Los usuarios que olvidan contraseñas dejan de ser un problema, porque sencillamente no hay contraseña que olvidar.
• Reducción de costos. Cada reinicio de contraseña cuesta alrededor de 70 dólares según estimaciones de la industria. Multiplica eso por miles de usuarios y entiendes el impacto.
• Mejor conversión. En e-commerce se ha documentado que las tasas de conversión suben hasta un 50% cuando eliminas la fricción de la contraseña en el checkout o registro.

Y a nivel de seguridad, el passwordless previene ataques relacionados con robo de credenciales, reutilización de contraseñas débiles y phishing dirigido a contraseñas reutilizadas.

¿Cuánto cuesta cada reinicio de contraseña? Aproximadamente 70 dólares por incidente, considerando soporte, tiempo del usuario y procesos internos. Eliminar la contraseña elimina ese costo.

Habilidades y conceptos clave que dominas con esta implementación

Al montar este flujo no solo activas un toggle, también consolidas competencias técnicas concretas que te sirven en cualquier proyecto de identidad.

• Integración con proveedores SMS como Twilio mediante Account SID y Auth Token [01:30].
• Configuración de perfiles de autenticación Identity First vs flujo clásico [04:45].
• Personalización de Universal Login mediante templates Legacy mientras la versión nueva entra a producción [06:15].
• Comprensión del Management API de Auth0 como vía para integrar proveedores SMS alternativos a Twilio.

Reto para ti: si no tuvieras que depender de un tercero como Twilio para el envío de SMS, ¿cómo diseñarías la arquitectura de esta implementación? Déjame en los comentarios una descripción breve o un diagrama. En la próxima clase vemos cómo hacer autenticación passwordless usando email.