Transaccional7 min de lectura

Los códigos 2FA/OTP no llegan por email

Tu usuario intenta entrar a la aplicación, espera el código de verificación y… nada. Esto es una fuga de negocio silenciosa. Aquí está por qué sucede y cómo arreglarlo.

Un código 2FA o contraseña temporal no es un correo de marketing que puede esperar en spam. Es una llave de acceso. Cuando no llega, pierdes usuarios, pierdes ingresos, pierdes confianza.

Los proveedores de email (Gmail, Outlook, Yahoo, Yandex) han subido los filtros de spam en los últimos años, y para códigos 2FA el problema es más delicado aún: como son mensajes breves, sin contenido visual y de remitentes técnicos, los algoritmos pueden confundirlos con phishing o bots. La buena noticia es que la mayoría de las causas son técnicas y están bajo tu control.

¿Por qué no llegan los códigos 2FA/OTP?

Las razones más comunes aparecen en este orden de frecuencia:

  • Fallo en autenticación (SPF, DKIM o DMARC). Tu dominio no está verificado como legítimo. Gmail y Yahoo obligan SPF + DKIM desde febrero de 2024; sin ambos, tu tasa de rechazo sube drásticamente. Tu email termina rechazado antes de llegar al filtro.
  • Reputación baja de dominio o IP. Si has usado el mismo dominio para newsletters, los filtros desconfían. Si tu IP es compartida (hosting barato), el historial de otros usuarios afecta la tuya. Los ISPs tienen bases de datos de IPs malas (DNSBL).
  • Envío desde el servidor de hosting, no desde un proveedor transaccional. PHP mail() o sendmail directo sin SMTP configurado es una ruleta rusa. Los ISPs reconocen estos servidores genéricos y los bloquean.
  • Rate limiting o IP bloqueada. Si mandas muchos códigos seguidos (ataque brute-force), los ISPs temporalmente te bloquean. Si tu IP aparece en listas negras, el rechazo es automático.
  • Falta de monitoreo. No sabes si los códigos llegan hasta que el usuario se queja. Sin alertas en tiempo real, pierdes horas de diagnóstico.

Separar transaccional de marketing: el primer paso

La regla de oro: nunca uses el mismo dominio para newsletters y 2FA.

¿Por qué? Porque la reputación de cada dominio es independiente. Si tu dominio marketing.ejemplo.com tiene una tasa de spam complaint del 0,5% (común en email marketing), los filtros lo penalizan. Pero si usas transaccional.ejemplo.com solo para contraseñas y confirmaciones, mantienes esa reputación limpia.

Además, transaccional tiene volumen predecible y tasa de apertura cercana al 100% (el usuario lo NECESITA leer). Los ISPs lo saben y lo tratan diferente. Envían con más confianza; reportan menos spam feedback.

Tu servidor de transaccionalAutenticado (SPF/DKIM/DMARC)Dominio @transaccional.ejemplo.comFiltros de spamGmail, Outlook, Yahoo, YandexCódigo 2FA entregado ✓Código bloqueado (❌)
Flujo de un código 2FA autenticado: desde tu servidor, a través de los filtros, hasta la bandeja de entrada del usuario

SPF, DKIM y DMARC: configuración obligatoria

Estos tres registros DNS son tu identidad digital. Sin ellos, eres invisible para Gmail, Yahoo, Outlook y otros ISPs.

  • SPF (Sender Policy Framework): Le dice al mundo qué servidores pueden enviar email en tu nombre.
    Ejemplo: v=spf1 include:mailrelay.es include:sendgrid.com ~all
  • DKIM (DomainKeys Identified Mail): Cada email lleva una firma criptográfica. El receptor verifica que el email no fue modificado. Se configura como un registro TXT; tu proveedor SMTP te da la clave pública.
  • DMARC (Domain-based Message Authentication): Le dice a los ISPs qué hacer si SPF o DKIM fallan.
    Para transaccional: v=DMARC1; p=reject; rua=mailto:admin@transaccional.ejemplo.com
    p=reject es la política más estricta; prueba con p=quarantine si es muy agresiva.

Verifica tu configuración con herramientas gratuitas como MXToolbox o Google Admin Toolbox. Si algo está mal, Google Mail Postmaster Tools lo alertará en tiempo real.

Reputación de IP y dominio: calentar el fuego lentamente

Si usas una IP dedicada nueva, empieza con volumen bajo (50–100 códigos/día) y sube gradualmente. Esto se llama IP warmup o ramp-up. Los ISPs tienen algoritmos de detección de anomalías: si una IP que no conocen de repente envía 10.000 emails, parece botnet.

Además, monitorea constantemente:

  • Bounce rate: Debe estar bajo 2% (direcciones inválidas).
  • Complaint rate: Por debajo de 0,1% (usuarios marcando spam).
  • Postmaster Tools de Gmail y Yahoo: Te muestran problemas de autenticación y feedback en tiempo real.

Transaccional por plataforma: las trampas comunes

Cada plataforma tiene sus quirks:

  • PrestaShop: Por defecto envía desde el servidor con PHP mail(). Resultado: filtro de spam brutal. Solución: instala un módulo SMTP (Mailrelay, Brevo, SendGrid) o API REST.
  • WordPress / Contact Form 7: Lo mismo: wp_mail() sin SMTP externo es un desastre. Solución: Plugin WP Mail SMTP + credenciales de un proveedor transaccional.
  • Shopify: Shopify mantiene su propia reputación para transaccional. Si quieres enviarlo desde tu dominio, debes verificar SPF/DKIM en el panel de Shopify. Sin verificación, sigue viniendo desde tu-tienda.myshopify.com.
  • Tiendanube / Nuvemshop: La transaccional viene desde su infraestructura (control limitado). Verifica que tu dominio esté verificado en la configuración. Si no, reconfigura el remitente.
Prueba en staging antes de producción
Antes de cambiar cualquier configuración SMTP, SPF o DKIM, prueba en un entorno staging. Manda 10 códigos de prueba a direcciones reales en Gmail, Hotmail y Outlook, y verifica que llegan a la bandeja. Si introdujiste un cambio y la tasa de spam sube, reviértelo inmediatamente. No arriesgues la reputación de tu dominio en producción.

Monitorear entrega: no es opcional

No puedes confiar en «parece que llega». Necesitas datos en tiempo real.

Usa estas herramientas:

  • Postmaster Tools de Gmail y Yahoo: Alertas de autenticación, feedback de spam, métricas de entrega.
  • Webhooks de tu proveedor SMTP: Rebotes, quejas, aperturas. Configúralos en tu base de datos.
  • Tests puntuales: check.live-direct-marketing.online te deja enviar un código a seed-addresses en 20+ proveedores y ves exactamente dónde aterrizó (Inbox, Spam, Promotions). Gratis, sin registro.

Si la tasa de spam sube inesperadamente, investiga:

  1. ¿Cambié el dominio o IP recientemente?
  2. ¿Subió el volumen de repente?
  3. ¿Hay quejas de usuarios?
  4. ¿El SPF/DKIM se corrompió?
  5. ¿La IP aparece en DNSBL?

¿Cuál es la tasa de rechazo acceptable para 2FA?

Casi cero. Idealmente menor a 0,1%. Si es mayor a 1%, tienes un problema serio. Para transaccional, cada punto de rechazo es un usuario bloqueado del acceso. Es crítico.

¿Necesito un dominio completamente nuevo para transaccional?

No necesariamente. Puedes usar un subdominio como transaccional.tudominio.com si mantienes un historial limpio. Lo importante es separar el SPF/DKIM/DMARC de marketing y no mezclar volúmenes.

¿Cuánto tarda en recuperarse la reputación de un dominio?

Días a semanas, depende de cuán bajo esté. Si fue una cuarentena temporal, 3–7 días. Si fue un bloqueo permanente (por spam complaint alto), necesitas un plan de recuperación: calentar la IP lentamente, bajar volumen, limpiar listas de suscriptores inactivos.
Lecturas relacionadas
Found this useful? Share it
AB
Sobre el autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Comprueba tu entregabilidad en más de 20 proveedores

Gmail, Outlook, Yahoo, GMX, ProtonMail y más. Capturas reales de la bandeja de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Gratis, sin registro.

Hacer test gratis →

Tests ilimitados · Más de 20 buzones · Resultados en vivo · Sin cuenta