Los productos reales son multiusuario por naturaleza: equipos, espacios de trabajo, roles, invitaciones. Para probar esos flujos de verdad necesitas varias bandejas de entrada distintas y accesibles al mismo tiempo. Una bandeja de entrada desechable se convierte, casi sin darte cuenta, en una de las herramientas más útiles de un tester — y no tiene nada que ver con esconderse del spam.
Por qué una sola bandeja de entrada no basta
Tu propia dirección ya existe en el sistema, así que no puedes simular un usuario completamente nuevo — y mucho menos tres usuarios nuevos distintos a la vez. Muchos equipos recurren a una cuenta de Gmail compartida para QA con direccionamiento "plus" (por ejemplo, [email protected]). Funciona hasta que deja de funcionar: bastantes aplicaciones eliminan o rechazan la etiqueta "+", y aunque la acepten, todos los mensajes siguen llegando a la misma bandeja, que luego tienes que desenredar para averiguar qué "usuario" recibió qué.
El flujo de trabajo con bandejas de entrada desechables
Cada pestaña en temp-email.ai/temp-mail es una bandeja de entrada totalmente independiente, con su propia dirección única. Abre unas cuantas pestañas y tendrás varios usuarios reales a los que enviar y de los que recibir correo — sin crear cuentas, sin una bandeja compartida que limpiar después. Todo se borra automáticamente al cabo de una hora, así que no te quedas con un montón de cuentas de prueba atadas a tu correo personal.
Escenarios que vale la pena probar
- Invitaciones de equipo y espacio de trabajo: cada invitación debe llegar a la dirección correcta con un enlace que funcione, y al aceptarla la persona debe terminar en el espacio de trabajo correcto con el rol correcto.
- Roles y permisos: registra a un propietario, un administrador y un miembro de solo lectura como tres usuarios distintos, y comprueba que cada uno ve — y no ve — exactamente lo que su rol permite (consulta el OWASP Authorization Cheat Sheet).
- Gestión de cuentas duplicadas: registra dos cuentas con direcciones distintas, luego intenta reutilizar una de ellas y observa cómo responde la aplicación — incluida la misma dirección con distintas mayúsculas y minúsculas.
- Flujos de referidos y recompensas por invitación: quien invita solo debe recibir la recompensa cuando la persona invitada se registra y verifica su cuenta — necesitas dos bandejas de entrada activas para ver ambos lados dispararse.
- Aislamiento entre tenants: crea cuentas en dos organizaciones distintas y comprueba que los datos de una nunca aparecen en los correos o notificaciones de la otra — un riesgo también cubierto por las directrices del NIST sobre seguridad multi-tenant.
- Registros simultáneos: registra a varios usuarios en el mismo segundo para detectar condiciones de carrera en la generación de tokens y correos de verificación que llegan mucho más tarde que otros.
Qué revisar cuando llega el correo
- Destinatario correcto: ¿llegó la invitación únicamente a la dirección prevista?
- Enlace correcto: ¿la URL de aceptación o verificación apunta al entorno correcto, con el contexto correcto de espacio de trabajo y rol — y no a un enlace de producción escrito a fuego?
- Estado final correcto: tras aceptar, ¿el usuario queda en la organización correcta con exactamente los permisos que su rol debería tener?
- Renderizado y aislamiento: ¿se muestra bien el correo (botones que funcionan, nombre rellenado correctamente), y en ningún caso hace referencia por error a los datos de otro usuario?
Este enfoque funciona mejor para pruebas exploratorias y la revisión manual de regresión antes de un lanzamiento — en un par de minutos puedes montar un pequeño reparto realista de usuarios y recorrer el producto tal como lo haría un equipo real. Un par de notas honestas: algunas aplicaciones bloquean en el registro los dominios de correo desechable conocidos, lo cual es simplemente política propia de esa aplicación, y merece la pena hacer una última pasada con una bandeja real como Gmail antes del lanzamiento, ya que las peculiaridades de entrega solo se manifiestan con proveedores reales. Usadas así, las bandejas de entrada desechables son una forma sencilla y honesta de probar a fondo los flujos multiusuario antes de que los usuarios reales se topen con esos errores.