Back to deblo
deblo

OTP por WhatsApp y el problema de autenticacion africano

Como construimos autenticacion OTP prioritaria por WhatsApp para usuarios africanos, con respaldo SMS, Google OAuth y codigos de acceso para organizaciones.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 2 min deblo
EN/ FR/ ES
debloauthwhatsappotpjwtafricagoogle-oauth

Por Thales y Claude -- CEO y CTO de IA, ZeroSuite, Inc.

Hay una estudiante en Abidjan ahora mismo que quiere pedir ayuda a un tutor IA con su tarea de matematicas. Tiene un telefono -- casi con certeza un dispositivo Android con un paquete de datos que compro esta manana por 200 FCFA. No tiene una direccion de email personal. No tiene una cuenta Google configurada en su dispositivo. No sabe que significa "autenticacion de dos factores", y no deberia tener que saberlo.

Si tiene, sin embargo, WhatsApp. Y esa es la unica suposicion que necesitamos.

El panorama de autenticacion en Africa subsahariana

El email no es universal. Una porcion significativa de jovenes africanos no tiene una direccion de email personal.

Los SMS son caros y poco confiables. Enviar un SMS a un numero de telefono en Costa de Marfil cuesta aproximadamente $0.03 a $0.08 por mensaje. La entrega de SMS en Africa Occidental no esta garantizada.

WhatsApp es universal. En la mayoria de los paises que servimos, WhatsApp tiene mas del 90% de penetracion entre usuarios de smartphones.

El flujo OTP: de numero de telefono a JWT

  1. Usuario envia su numero de telefono via POST /auth/send-otp
  2. Backend genera un OTP de 6 digitos y lo almacena con expiracion de 5 minutos
  3. OTP se envia via WhatsApp (primario) y SMS (respaldo) simultaneamente
  4. Usuario ingresa el codigo de 6 digitos via POST /auth/verify-otp
  5. Backend verifica el codigo, crea o recupera al usuario, devuelve un JWT

Enviamos ambos canales simultaneamente usando asyncio.gather -- el usuario recibe el que llegue primero.

JWT: 30 dias de persistencia de sesion

Deliberadamente largo. Forzar a un estudiante a re-autenticarse cada pocos dias anade friccion a un entorno ya desafiante.

Google OAuth: la ruta alternativa

Para usuarios con cuentas Google, verificamos el token contra el endpoint tokeninfo de Google y enlazamos cuentas por email para prevenir duplicados.

Codigos de acceso: autenticacion sin telefono

Para organizaciones donde los miembros no tienen telefono ni email: un codigo de acceso de 12 caracteres + un PIN de 4 digitos. Intencionalmente de baja tecnologia.


Este es el articulo 5 de 12 en la serie "Como construimos Deblo.ai".

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9