Si Codex te pide un número de teléfono o un código de verificación, no empieces pulsando reenviar una y otra vez. La primera acción segura es ubicar dónde apareció el aviso: inicio de sesión de OpenAI, creación de la primera API Key en API Platform, MFA, flujo de QR o device code, credenciales locales de Codex que ya no existen, o automatización de CLI donde una API Key es la ruta correcta.
Al 21 de mayo de 2026, la ayuda de OpenAI separa el uso normal de ChatGPT de la creación de la primera API Key. ChatGPT y la creación de una cuenta nueva ya no requieren verificación telefónica, pero la primera API Key en API Platform todavía puede pedirla. La ayuda de inicio de sesión y MFA también describe comprobaciones adicionales por dispositivo nuevo, ubicación inusual, cambios sensibles de cuenta y métodos MFA activos. Por eso "Codex pide teléfono" normalmente es un síntoma de superficie, no una pasarela SMS exclusiva de Codex.
Empieza con esta tabla:
| Dónde apareció el aviso | Dueño probable | Primera acción segura | Cómo verificar | Cuándo parar |
|---|---|---|---|---|
| Codex app, IDE o navegador abierto por CLI | Seguridad de inicio OpenAI o MFA | Completa el flujo oficial y usa otro método activo si aparece | Entras y Codex deja de pedir lo mismo | Para los reenvíos; guarda texto, dispositivo, red y hora |
| API Platform al crear la primera API Key | Verificación telefónica de primera API Key | Usa un número duradero que controles | La clave se crea o el límite del número queda claro | No uses números temporales en la cuenta principal |
| Código SMS o WhatsApp no llega | Entrega, método o límite temporal | Pausa, confirma rama, prueba otro método activo, revisa formato y espera | Llega el código o falla igual con mejor evidencia | No encadenes reenvíos |
| Número ya usado o al límite | Propiedad de cuenta y reutilización de número | Recupera la cuenta anterior o usa otro número duradero | El estado del número queda claro | No saltes entre números alquilados o compartidos |
| QR móvil o device code | Conexión de dispositivo más MFA | Completa el código en una sesión confiable | El dispositivo queda conectado y Codex usa el host | Reinicia solo cuando el código anterior expire |
| CLI, CI o script | Autenticación por API Key | Usa CODEX_API_KEY si aceptas facturación y límites API | codex login status o una prueba pequeña funciona | No lo trates como arreglo del inicio de ChatGPT |
| Máquina nueva o datos locales borrados | Credenciales en caché perdidas | Vuelve a iniciar sesión oficialmente | El aviso desaparece y la sesión funciona | No compartas ~/.codex/auth.json, OTP ni tokens |
Cuando una rama te da evidencia, quédate en esa rama. Cambiar a la vez red, número, cuenta, navegador, dispositivo y método de inicio solo hace que el problema sea más difícil de explicar. Si todas las acciones seguras fallan, prepara un paquete breve para soporte: dónde apareció el aviso, texto exacto sin datos personales, método ofrecido, cuándo empezó, qué cambió recientemente y qué probaste. No envíes OTP, número completo, API Key, access token, datos de facturación ni auth.json.
Primero ubica dónde aparece
En resultados en español aparecen mezclados problemas reales de número, publicaciones de Reddit, novedades de Codex móvil, guías de CLI y comentarios sobre "bypass". Esa mezcla es peligrosa porque todo se siente como el mismo bloqueo: hay una pantalla que pide algo y no puedes trabajar. Técnicamente, un SMS, una MFA, un device code y una primera API Key no son lo mismo.
La primera pregunta es el lugar. Si estabas en platform.openai.com creando tu primera API Key, trata el aviso como verificación de API Platform. Si ejecutaste codex login y se abrió un navegador, trátalo primero como inicio de cuenta OpenAI o MFA. Si estabas emparejando móvil con QR o device code, el teléfono es un dispositivo de confianza, no necesariamente un número para SMS.
La segunda pregunta es qué cambió. Máquina nueva, cookies borradas, red distinta, país de salida diferente, reinstalación de Codex, cambio de organización, nueva clave API o cambio de MFA pueden mover el flujo a otra comprobación. Cambia una sola variable y observa si el texto cambia.
La tercera pregunta es si necesitas uso interactivo o automatización. Una persona que usa Codex en ChatGPT, desktop app o IDE normalmente necesita arreglar el inicio de cuenta. Un CI job, runner interno o script puede estar mejor con API Key. Ambos caminos son válidos, pero no reparan el mismo fallo.
Si ocurrió al crear la primera API Key
La página de ayuda de OpenAI sobre requisito de teléfono para nuevas API keys es la frontera de esta rama. Revisada el 21 de mayo de 2026, distingue ChatGPT común de la primera clave API: ChatGPT no exige teléfono para uso normal, pero la primera API Key puede pedir verificación.
Eso significa que el aviso en esta pantalla no demuestra que Codex tenga una avería SMS. Pertenece a la configuración de API Platform. Si estás preparando Codex CLI con una API Key, completa el flujo oficial con un número que controles a largo plazo. Un número de un compañero, un proveedor temporal, un servicio de recepción SMS o una bandeja compartida puede resolver el momento y empeorar la recuperación futura.
OpenAI también documenta un límite de reutilización del número para esta verificación de primera API Key. El mismo número puede usarse hasta tres veces. Si ves un mensaje de límite, no lo arreglará otro reenvío. Necesitas otra cuenta que controle ese número, recuperar la cuenta anterior o usar otro número duradero.
Después de crear la clave, no concluyas que todo Codex queda disponible. El uso por API tiene facturación, cuota, organización y disponibilidad propias. La verificación del teléfono solo dice que un paso de API Platform avanzó.
Si ChatGPT funciona pero Codex insiste
Este caso parece injusto: ChatGPT abre bien, pero Codex pide otro código. La explicación práctica es que una sesión web existente no prueba que este nuevo flujo de Codex ya sea confiable.
La ayuda de OpenAI sobre verificación de inicio indica que pueden aparecer comprobaciones por dispositivo nuevo o no reconocido, ubicación inusual, actualización sensible de cuenta o revisión de seguridad. Cambiar de ordenador, limpiar cookies, usar otra red, reinstalar Codex o pasar de app a CLI puede activar ese paso.
MFA añade otra capa. Según la cuenta y el camino, pueden aparecer app autenticadora, push, SMS o WhatsApp, passkey u otros métodos. Si el aviso ofrece otra forma ya activada, úsala. Forzar SMS una y otra vez suele producir peor evidencia.
Guarda el texto exacto. "Phone number required", "enter the code", "approve on your device", "try another method", "number already used" y "device code expired" no son la misma señal. Si haces captura, oculta número completo, correo, OTP, tokens, facturación y datos de organización.
Si el código no llega
Cuando no llega un SMS, WhatsApp u otro código, lo natural es reenviar. También es la forma más fácil de perder claridad. Puedes tener varios códigos activos, códigos caducados y límites temporales al mismo tiempo.
Primero pausa. Luego confirma la rama: primera API Key, inicio de cuenta, MFA, device code o automatización CLI. No todos los "códigos" son SMS. Un device code no es una verificación de teléfono. Una MFA no es la configuración de primera API Key.
Si OpenAI ofrece otro método activo, úsalo. Puede ser app autenticadora, push, passkey, backup code, WhatsApp o email, pero no todos los métodos aparecen para todas las cuentas. No fuerces una guía ajena si tu pantalla no muestra esa opción.
Si solo aparece SMS o WhatsApp, revisa una vez: prefijo del país, formato, servicio móvil activo, WhatsApp disponible, hora del dispositivo y red estable. Después espera. Si el fallo continúa, reúne evidencia: superficie, texto exacto, hora y zona horaria, dispositivo, navegador o versión CLI, tipo de red, cambios recientes y acciones ya intentadas.
No publiques secretos. OTP, API keys, access tokens, número completo, HAR con cookies, auth.json, datos de facturación y capturas sin editar no pertenecen a foros, issues públicos, Discord, Telegram ni tickets informales.
Si el número ya se usó o llegó al límite
Un mensaje de límite del número no es un problema de entrega. Es una rama de propiedad de cuenta y reutilización. Si OpenAI dice que el número alcanzó su límite, otro reenvío no cambiará ese estado.
Primero revisa si ese número pertenece a otra cuenta que controlas. Si es así, recuperar o usar esa cuenta puede ser más limpio que forzar el mismo número en una cuenta nueva. Si el número era de un excompañero, proveedor, servicio temporal o teléfono compartido, conviene parar.
Si necesitas otro número, usa uno duradero. Duradero significa que puedes recibir futuros mensajes de recuperación, explicar la propiedad y mantener una historia de cuenta coherente.
Separa también esto del acceso real a Codex. Un número verificado no decide plan, organización, región ni disponibilidad de la función. Vuelve a la superficie concreta de Codex y prueba allí.
Si solo necesitas CLI o automatización
Codex CLI permite más de una ruta de autenticación. La documentación de OpenAI describe inicio con cuenta ChatGPT, API key y access token. Para automatización no interactiva, CODEX_API_KEY suele ser el camino recomendado porque se puede guardar y rotar como secreto.
API Key es un atajo real solo para la tarea adecuada. Si tu trabajo es CI, runner interno, script o agente sin navegador, crea la clave en API Platform, guárdala en un secret manager, revisa facturación y permisos, y prueba con una orden pequeña.
No es una reparación mágica del inicio de ChatGPT. Codex interactivo en ChatGPT, móvil o una organización concreta puede depender del flujo de cuenta, MFA, plan, región y disponibilidad. Si necesitas esa experiencia, la rama de login sigue importando.
El access token es aún más sensible. Úsalo solo si la documentación o tu entorno lo exige. No lo pegues en chats, issues, capturas ni documentos compartidos. Si sospechas exposición, revoca o rota credenciales.
Credenciales en caché y máquinas nuevas
Codex puede guardar el estado de inicio localmente. La documentación de autenticación indica que puede estar en ~/.codex/auth.json o en el almacén de credenciales del sistema operativo, y que CLI y extensión IDE pueden compartirlo.
Esto explica por qué una máquina funciona y otra pide verificación. La máquina vieja puede tener una sesión válida; la nueva debe pasar de nuevo por navegador, MFA o device code. Usa codex login status antes de asumir que el problema es el teléfono.
No copies ~/.codex/auth.json como si fuera un archivo de configuración. Puede contener access tokens y debe tratarse como contraseña. Para una máquina nueva, prioriza el inicio oficial. Si el archivo se expuso, revoca o rota lo relacionado.
El acceso móvil también es otra rama. QR y device code conectan un dispositivo a un host confiable, a veces con MFA, SSO o passkey. Eso no prueba que el sistema de SMS esté roto.
Atajos que empeoran el problema
Los números temporales parecen rápidos, pero son malos para una cuenta principal. Puedes perder recuperación, propiedad demostrable y una historia clara para soporte.
Crear muchas cuentas tampoco ayuda. Más correos, números, redes, regiones y métodos de inicio convierten un problema de verificación en un problema de confianza de cuenta.
Tampoco cambies todo a la vez. Si modificas VPN, dispositivo, número, navegador, cuenta y método de inicio al mismo tiempo, no sabrás qué importó. Incluso podrías provocar una comprobación más estricta.
Y no compartas secretos. OTP, API Key, access token, teléfono completo, datos de facturación, HAR con cookies y auth.json deben eliminarse o redactarse antes de cualquier captura o mensaje.
Qué enviar a soporte
Escalar no es fallar. Para límites de número, MFA bloqueada, códigos que no llegan, comprobaciones desconocidas o estados contradictorios entre superficies, soporte puede ser el único dueño con contexto suficiente.
Envía un paquete compacto:
- dónde apareció: ChatGPT login, Codex app, CLI, IDE, API Platform, QR móvil o device code
- texto exacto sin datos personales
- método mostrado: SMS, WhatsApp, push, email, passkey, app autenticadora, device code o API Key
- hora, zona horaria, dispositivo, navegador, app o versión CLI, tipo de red
- cambios recientes: dispositivo nuevo, cookies, ubicación, organización, nueva clave, reinstalación o MFA
- acciones ya intentadas
- qué trabajo está bloqueado y urgencia
No adjuntes OTP, teléfono completo, API Key, access token, auth.json ni logs crudos con secretos. Si soporte necesita logs, pide una ruta segura.
Preguntas frecuentes
¿Por qué Codex pide teléfono si ChatGPT funciona?
Porque Codex puede iniciar un nuevo login, MFA, device code, configuración de API Key o revisión de credenciales locales. Una pestaña activa de ChatGPT no garantiza que el nuevo flujo de Codex ya sea confiable.
¿OpenAI todavía requiere teléfono?
Al 21 de mayo de 2026, ChatGPT normal y una cuenta nueva no lo requieren, pero la primera API Key en API Platform puede requerirlo. La ubicación del aviso decide la rama.
¿Qué hago si no llega el SMS o WhatsApp?
Pausa el reenvío, identifica la rama, usa otro método activo si aparece, revisa formato una vez y espera. Si persiste, reúne evidencia para soporte.
¿Puedo usar un número temporal?
Para una cuenta principal no es recomendable. Debilita recuperación, propiedad y soporte futuro.
¿API Key evita el problema?
Solo para CLI, CI o automatización por API. No repara un problema de inicio interactivo de ChatGPT.
¿Puedo copiar auth.json desde otra máquina?
No como práctica normal. ~/.codex/auth.json puede contener access tokens. Usa inicio oficial y rota credenciales si el archivo se expuso.
Si verifico el teléfono, ¿Codex funcionará seguro?
No necesariamente. Plan, organización, región, disponibilidad y ruta de autenticación siguen importando.
¿Cuándo debo contactar soporte?
Cuando haya límite de número, MFA bloqueada, códigos que no llegan, security check desconocido o contradicción entre API Platform y Codex login.