Verificación de email: la guía completa 2026
Todos los tipos de verificación, cómo usarlos legalmente, y cuándo un email temporal es suficiente
Escrito por el equipo de mail123.fr
Actualizado : 2026-05-20
Verificado
¿Por qué tantas verificaciones de email hoy?
En 2026, casi todos los servicios online piden verificación de email al registrarse. Se ha vuelto un reflejo técnico que olvidamos su razón. Detrás de cada código OTP o enlace mágico hay 4 objetivos muy diferentes para el sitio que los despliega.
Luchar contra spam y bots
Objetivo nº1 históricamente. Al forzar verificación, un sitio encarece la creación automatizada de cuentas. Un bot puede generar 10.000 cuentas en segundos, pero debe gestionar 10.000 buzones para validarlas. La relación coste/beneficio hace el ataque no rentable.
Por eso los sitios bloquean los emails desechables: son gratis e ilimitados por definición, no actúan como barrera.
Maximizar el engagement post-registro
Más pernicioso: la verificación email también sirve para empezar inmediatamente el marketing directo. Email de bienvenida, serie de onboarding, notificaciones, newsletters, alertas "última oportunidad"...
Según un estudio HubSpot (2024), el usuario medio recibe 287 emails de marketing al mes, 60% de sitios donde se registró voluntariamente.
Obligaciones legales y conformidad
Algunos sectores están obligados por regulación: banca (KYC), gobierno (impuestos), salud (RGPD artículo 9), apuestas online. En estos casos, evitar la verificación = fraude.
Identidad = moneda de cambio
La verificación email establece una identidad mínima rastreable. Combinada con tu IP, navegador y comportamiento de ratón forma un "fingerprint" que permite recoñocerte entre sitios, bloquearte si estás en lista negra, personalizar tu experiencia (precios dinámicos), y revender el identificador a brokers de datos.
Los 8 tipos de verificación de email existentes
No todos los sitios usan el mismo mecanismo. Aquí los 8 patrones, del más permisivo al más estricto para email desechable.
Tipo 1 — Código OTP por email (el más común)
✅ Email desechable aceptado
Patrón más extendido: introduces tu dirección, el sitio envía un código de 4-8 dígitos por email, lo copias, validado. Tiempo medio: 10-30 segundos.
Compatibilidad desechable
Excelente — el tipo más permisivo. Los sitios que usan este patrón normalmente no controlan el dominio.
Sitios que lo usan
Reddit, TikTok, Pinterest, Mastodon, Bluesky, Spotify, Twitch, la mayoría de newsletters.
👉 Para desarrolladores: nuestra API extrae automáticamente los códigos OTP del contenido (campo otp_code en JSON).
Tipo 2 — Enlace mágico
✅ Email desechable aceptado
Variación del Tipo 1: en lugar de un código, el sitio envía un enlace de un solo uso. Hacer clic valida la cuenta directamente. Mejor UX, más seguro (tokens 32-64 caracteres vs 4-8 para OTP). Sitios: Notion, Slack, Substack, Medium.
👉 Compatibilidad total con email desechable.
Tipo 3 — Doble opt-in (newsletters y RGPD)
✅ Email desechable aceptado
Específico para newsletters. Impuesto por RGPD artículo 7. El usuario se registra, recibe email de confirmación, hace clic, validado. Sin clic, se cancela en 48h. Mailchimp, Substack, Brevo nunca bloquean desechables.
👉 Truco: para probar inscripciones a varias newsletters competidoras, crea varias bandejas temporales con alias únicos (nuestro servicio es gratis e ilimitado).
Tipo 4 — Captcha + verificación email
✅ Email desechable aceptado (con condiciones)
En sitios con alto riesgo de spam, se combina un captcha ANTES del envío OTP. Triggers: movimiento de ratón demasiado lineal, tiempo de relleno <2s, IP de datacenter/VPN, user-agent no estándar, varios intentos desde misma IP. Si resuelves bien el captcha, el desechable pasa normalmente.
Tipo 5 — Verificación SMS / teléfono
⚠️ Email desechable insuficiente
Cada vez más sitios duplican la verificación email con SMS. Twitter/X, Snapchat, BeReal, bancos. El número se ha convertido en el nuevo identificador universal.
Alternativas
- Número virtual: MySudo (5 €/mes), TextNow (gratis con anuncios)
- SIM física prepago: 5-10 € en estancos
- eSIM: Airalo (1-3 €/mes)
👉 Si el sitio exige SMS, el email desechable no basta. Pero combinar con número virtual = anonimización fuerte.
Tipo 6 — Autenticación de 2 factores (2FA)
⚠️ Email desechable arriesgado
Diferente del Tipo 1: la 2FA llega DESPUÉS del registro. Tres variantes:
2FA por email
Código OTP en cada login desde nuevo dispositivo. Si la bandeja expira, pierdes acceso a la cuenta.
2FA por app
Código rotativo (Aegis, Authy). Independiente del email. Recomendado.
👉 Recomendación: activa inmediatamente 2FA por app, no por email. Guarda los códigos de recuperación impresos.
Tipo 7 — Dominio de empresa requerido
❌ Email desechable bloqueado
Algunos servicios B2B exigen una dirección de empresa: imposible con gmail.com, outlook.com o desechable. Típico de SaaS empresarial. Únicas opciones reales: tu email profesional real, o un servicio con tu propio dominio.
Tipo 8 — KYC completo (email + ID + selfie)
❌ Email desechable inútil (identidad real requerida)
Patrón más estricto, para servicios regulados: bancos, fintechs (Revolut, N26), plataformas crypto (Binance, Coinbase), apuestas. Verifican email, teléfono, documento de identidad, selfie en vivo, justificante de domicilio.
👉 Email desechable no tiene cabida aquí.
30 sitios populares: tipo de verificación y compatibilidad desechable
Tabla de referencia probada en mayo 2026.
| Sitio |
Tipo |
Compatibilidad desechable |
Notas |
| Reddit |
Type 1 |
✅ Total
|
OTP optionnel à l'inscription |
| TikTok |
Type 1 |
✅ Total
|
OTP 6 chiffres, livraison rapide |
| Pinterest |
Type 1 |
✅ Total
|
OTP standard |
| Mastodon |
Type 1 |
✅ Total
|
OTP, parfois approbation admin |
| Bluesky |
Type 1 |
✅ Total
|
OTP standard |
| Notion |
Type 2 |
✅ Total
|
Lien magique exclusif |
| Substack |
Type 2 |
✅ Total
|
Lien magique pour login |
| Slack |
Type 2 |
✅ Total
|
Lien magique workspace |
| Medium |
Type 2 |
✅ Total
|
Lien magique standard |
| Mailchimp |
Type 3 |
✅ Total
|
Double opt-in RGPD |
| Spotify |
Type 1 |
✅ Total
|
OTP gratuit OK, évitez Premium |
| Twitch |
Type 1 |
✅ Total
|
OTP standard |
| Discord |
Type 4 |
⚠️ Modérée
|
Captcha + OTP, certains domaines bloqués |
| Instagram |
Type 4 |
⚠️ Modérée
|
Captcha + OTP, filtre Meta actif |
| Twitter/X |
Type 5 |
❌ Stricte
|
OTP + téléphone obligatoire |
| Snapchat |
Type 5 |
❌ Stricte
|
OTP + téléphone obligatoire |
| BeReal |
Type 5 |
❌ Stricte
|
Téléphone uniquement, pas d'email |
| Google/Gmail |
Type 7 |
❌ Stricte
|
99% des jetables rejetés |
| YouTube |
Type 7 |
❌ Stricte
|
Compte Google requis |
| LinkedIn |
Type 7 |
❌ Stricte
|
Blacklist Microsoft active |
| Outlook/Hotmail |
Type 7 |
❌ Stricte
|
Filtre Microsoft strict |
| Apple iCloud |
Type 7 |
❌ Stricte
|
Filtre Apple strict |
| Revolut |
Type 8 |
❌ Stricte
|
KYC complet bancaire |
| Binance |
Type 8 |
❌ Stricte
|
KYC complet crypto |
| Coinbase |
Type 8 |
❌ Stricte
|
KYC complet crypto |
| Netflix |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (paiement) |
| Amazon |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (achats) |
| Steam |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (jeux) |
| PayPal |
Type 8 |
❌ Stricte
|
KYC + données bancaires |
| Patreon |
Type 1 |
✅ Total
|
OTP standard, OK pour suivi |
OTP automático: la ventaja técnica de nuestra API
Especificidad única de nuestra API: extracción automática de códigos OTP del contenido de los emails. Cada mensaje contiene un campo otp_code.
Cómo funciona
La API analiza el contenido HTML y texto para identificar patrones OTP comunes: códigos numéricos 4-8 dígitos, alfanuméricos 6-10, formatos XX-XX (TikTok, Discord), tokens en enlaces mágicos. Heurística de scoring basada en contexto (palabras como "code", "OTP", "código").
Uso práctico
Para tests E2E automatizados (Playwright, Cypress, Puppeteer):
- Tu script crea cuenta con
username@mail123.fr - Sitio envía OTP
- Script llama
GET /api/v1/messages/{box} - Lee el campo
otp_code - Envía el código en el formulario
- Continúa el test sin intervención humana
Flujo completo en menos de 5 segundos. Ver documentación API.
Cuándo el email desechable no es la solución correcta
El email desechable es potente pero no universal. 5 situaciones donde necesitas otra estrategia.
Cuentas con pago recurrente
Netflix, Spotify Premium, Amazon Prime, Steam, Adobe. Si la bandeja expira y hay problema de pago, no podrás contactar soporte. Consecuencias: cuenta suspendida sin reactivación, cargos continuos, pérdida de compras (juegos Steam definitivamente perdidos).
Todo lo relacionado con dinero
Bancos, seguros, crowdfunding, brokers online, plataformas crypto. Exigen KYC (Tipo 8) y no aceptan desechable.
Datos médicos y salud
Doctolib, telemedicina, seguro médico, apps de tracking (glucosa, tensión, fertilidad). Datos protegidos por RGPD artículo 9.
Cuentas profesionales
LinkedIn, Stack Overflow, GitHub (si pro), Slack workspaces, SaaS empresarial. Tu carrera depende de la continuidad.
Servicios gubernamentales
Hacienda, seguridad social, desempleo, sanidad. Estos servicios exigen tu identidad real.
Aspecto legal: lo que dice la ley
Hablando claro: usar email desechable para la mayoría de registros en internet es perfectamente legal.
En la UE y la mayoría de países
El RGPD (artículo 5.1.c) impone minimización de datos: un servicio solo debe recoger datos estrictamente necesarios. La AEPD ha animado públicamente al uso de emails desechables y alias.
Usar email desechable nunca constituye infracción penal. Como máximo violación de Términos de Uso, lo que es contractual (sanción máxima: cierre de cuenta).
Excepciones donde se vuelve ilegal
El email desechable es problemático legalmente solo en estos casos: fraude de suscripción (cuenta bancaria/seguro con identidad falsa), evasión fiscal, cibercrimen (phishing, ransomware, acoso), elusión de sanciones. En estos casos no es el email lo ilegal, sino el acto criminal que ayuda a cometer.
En Estados Unidos
Situación similar en EE.UU. CAN-SPAM Act (2003) regula el envío de marketing pero no prohíbe el uso de desechables. COPPA impone reglas para menores de 13 años, donde el desechable puede paradójicamente ayudar a PROTEGER su privacidad.
Herramientas y buenas prácticas para desarrolladores
Si eres desarrollador probando workflows de registro, aquí la stack moderna para automatizar.
API: referencia rápida
Endpoints principales para tests E2E:
POST /api/v1/inboxes — crear bandeja temporalGET /api/v1/messages/{{box}} — listar mensajesGET /api/v1/messages/{{box}}/{{id}} — detalles con campo otp_codeDELETE /api/v1/inboxes/{{box}} — limpiar después del test
Sin autenticación ni clave API. CORS abierto. Rate limit: 30 req/h por IP.
Ejemplo Playwright
test('signup with OTP', async ({ page }) => {
const username = `test-${Date.now()}`;
const email = `${username}@mail123.fr`;
await page.goto('https://ejemplo.com/signup');
await page.fill('[name=email]', email);
await page.click('button[type=submit]');
await page.waitForTimeout(3000);
const res = await fetch(`https://mail123.fr/api/v1/messages/${username}`);
const messages = await res.json();
const otp = messages[0].otp_code;
await page.fill('[name=otp]', otp);
await page.click('button[type=submit]');
await expect(page).toHaveURL(/dashboard/);
});
Integración CI/CD
Para integrar estos tests en pipeline CI:
- Sin gestión de credenciales
- Sin efectos secundarios: cada test usa bandeja única
- Reset automático: bandejas expiran en 7 días
- Tests paralelos: 30 req/h por IP suficiente para 50+ tests paralelos
Coste: 0 €.
Preguntas frecuentes sobre verificación email
¿Por qué un sitio me envía OTP en vez de enlace mágico?
Elección de UX. Los OTP son más universales (funcionan en cualquier cliente mail) pero requieren copiar. Los enlaces mágicos son más fluidos pero pueden fallar si el usuario abre el mail en otro dispositivo. Los OTP se prefieren para sitios masivos, los enlaces mágicos para apps tech-savvy.
¿Cuánto tiempo es válido un código OTP?
Generalmente entre 5 y 30 minutos. En bancos, solo 90 segundos para limitar riesgos de ingeniería social.
¿Puede un email desechable recibir códigos OTP de todos los sitios?
Técnicamente sí, mientras el sitio no haya bloqueado tu dominio. En práctica, Tipos 1-4 casi siempre aceptan, Tipos 5-8 nunca.
¿Por qué no recibo mi código OTP?
5 causas: (1) sitio bloqueó tu dominio desechable (cambia entre los 10 dominios disponibles), (2) código en spam, (3) sitio rechaza silenciosamente, (4) fuera de plazo (>30min), (5) problema servidor. Solución: regenerar o cambiar dominio.
¿La extracción automática de OTP funciona al 100%?
Muy buena pero no perfecta. La heurística funciona en ~95% de emails estándar. Para el 5% restante (formatos exóticos, códigos en imágenes), hace falta parseo manual.
¿Se puede usar email desechable para cuenta con suscripción de pago?
Técnicamente sí, legalmente sí, pero fuertemente desaconsejado. Pérdida de acceso a la bandeja puede significar pérdida de cuenta sin recurso posible.
¿Qué riesgo corre un sitio bloqueando desechables agresivamente?
Pérdida de usuarios legítimos. Mucha gente usa desechables por razones válidas (prueba, privacidad, miedo al spam).
¿Cómo saber si un sitio me enviará spam tras registro?
Antes de registrarte, lee TyC y política de privacidad. Durante registro, desmarca casillas de marketing. En caso de duda, usa email desechable como test — verás el volumen de spam en 48h.
¿Listo para probar un workflow de verificación?
Crea una bandeja temporal en 2 segundos y usa la API para extraer códigos OTP automáticamente. 10 dominios disponibles, sin clave requerida.
Crear una bandeja gratis
