OCTOMO — API de verificación de identidad por celular con el modelo MO, donde el cliente envía el SMS directamente

Cada vez que agregaba verificación de identidad al registrarse en un servicio, el costo de enviar SMS se volvía una carga, así que invertimos el enfoque y creamos esta API de autenticación por celular.

En la verificación tradicional por SMS, el servicio envía un mensaje de verificación al usuario (MT, Mobile Terminated). Cuesta entre 9 y 50 wones por mensaje, más una tarifa base mensual, así que mientras más usuarios haya, mayor se vuelve el costo. Además, por temas de contrato y revisión, la integración puede tardar entre 1 y 2 semanas.

OCTOMO invirtió la dirección del flujo (MO, Mobile Originated). El usuario envía desde su propio celular un SMS con el código de verificación a un número designado, y el servicio solo consulta por API los mensajes recibidos. Como quien envía el mensaje es el usuario, el servicio no incurre en costos de envío, y como el mensaje fue enviado realmente desde ese dispositivo, también funciona como verificación de posesión.

El flujo recomendado es que, al presionar el botón de verificación, se abra la app de mensajes con el número de destino y el código ya rellenados, de modo que el usuario solo tenga que tocar el botón de enviar. (Como esto se maneja con un deeplink sms:, hay una parte que debe implementarse en el frontend, pero en móvil este es el enfoque estándar). Como no hay que escribir manualmente el número ni el código, también baja la tasa de errores por captura incorrecta.

Publicidad

En la práctica, la API tiene un solo endpoint.
POST /octomo/v1/public/message/exists

• Entrada: número de celular + código enviado por el usuario
• Salida: si se recibió o no, dentro de los últimos 5 minutos, un mensaje con ese código (verified: true/false)

El flujo de integración es simple: "tocar el botón → ejecución automática de la app de mensajes (número y código autocompletados) → el usuario envía → llamar a esta API y, si devuelve true, permitir el acceso". No requiere instalar una app aparte ni usar SDK; basta con hacer llamadas REST, y la documentación ya incluye ejemplos en Node/Java/Python.

Publicidad

También dejamos por escrito las limitaciones, siendo totalmente honestos.

• Aunque con el deeplink se elimina el esfuerzo de escribir los datos, sigue quedando un paso adicional: el usuario debe presionar una vez más el botón de enviar (es un trade-off frente a costo de envío 0 y una verificación de posesión más sólida).
• Como está basado en números de celular de Corea, no está orientado a usuarios del extranjero.
• Al usuario se le aplica la tarifa de SMS de su propio plan (si tiene plan ilimitado, en la práctica es gratis).

En particular, me interesa escuchar observaciones sobre UX o seguridad, por ejemplo: "¿con este flujo no aumentará mucho el abandono de usuarios?". Se agradece cualquier feedback.