> ## Documentation Index
> Fetch the complete documentation index at: https://docs.cbpayapp.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Actualizar mis preferencias de 2FA

> Permite al owner de la cuenta configurar su propio 2FA. Siempre puedes endurecer (activar acciones, subir a un canal más fuerte: totp > email > sms/whatsapp) pero nunca bajar del piso de la organización. Relajar (desactivar una acción activa o bajar de canal) exige un `X-OTP-Token` de la acción `security_settings`. Elegir `channel:totp` exige la app autenticadora ya enrolada. Activar el 2FA de la acción `login` por canal telefónico (`sms`/`whatsapp`) exige el teléfono de la cuenta ya verificado (completa cualquier desafío OTP por SMS/WhatsApp); si no, el request se rechaza con `409 phone_verification_required` — evita que te bloquees con un número mal escrito.



## OpenAPI

````yaml /openapi.es.yaml put /v1/otp/preferences
openapi: 3.1.0
info:
  title: CBPay API
  version: '1.89'
  description: |
    CBPay es una plataforma de pagos multimoneda: payouts y cobros fiat
    en toda América Latina, transferencias internas, fondeo y retiros
    on-chain, y screening KYC. Cada cuenta mantiene cuatro saldos virtuales
    independientes — USDT (la moneda operativa), USDC, BTC y GOLD (gramos de
    oro fino) — que nunca se mezclan ni se convierten automáticamente.
    Los payouts y las comisiones de servicios pueden pagarse desde cualquiera
    de los cuatro saldos: define un predeterminado con `PUT /v1/settlement` o
    haz override por payout con `settlement_asset`.

    Todos los montos son strings decimales en la precisión de cada moneda (6
    decimales para USDT/USDC/GOLD, 8 para BTC). Los errores siempre devuelven
    `{"error": "<code>", "message": "<detail>"}`.
servers:
  - url: https://api.qbank.cl/platform
    description: Live (producción, dinero real)
  - url: https://cryptobank.qbank.cl/platform
    description: Test (sandbox, dinero simulado — keys pk_test_)
security:
  - bearerAuth: []
tags:
  - name: Comprobantes
    description: >-
      Comprobante PDF brandeado por operacion, con verificacion publica de
      autenticidad (QR firmado), receipt_url en cada respuesta/webhook y envio
      automatico por email en estados finales.
  - name: Autenticación
    description: >-
      Registra e inicia sesión de los miembros de la cuenta. Las sesiones duran
      24 horas.
  - name: Cuenta
    description: Perfil, miembros y llaves de API de la cuenta que llama.
  - name: Saldos
    description: Saldos, historial de movimientos y tasas de cambio.
  - name: Payouts
    description: >-
      Dispersiones fiat que se debitan del saldo de settlement que elijas (USDT
      por defecto).
  - name: Payins
    description: Recargas fiat que se acreditan al saldo en USDT.
  - name: Transferencias
  - name: Contacts
  - name: Swaps
    description: >-
      Transferencias internas gratuitas entre cuentas CBPay (persona o empresa,
      cualquier combinación).
  - name: Crypto
    description: Fondeo y retiros on-chain (TRON, Ethereum y Bitcoin).
  - name: Wallets segregadas
    description: >-
      Wallets on-chain con saldo propio (empresas ilimitadas; personas 1 por
      combinación red+activo) — crear, importar, enviar, exportar la llave
      privada y auto-forward. El saldo vive on-chain, nunca en el ledger.
  - name: QR Crypto POS
    description: >-
      Cobros QR crypto con monto para procesadores con POS físicos (cuentas
      empresa): merchants verificados, dirección exclusiva + QR por cobro,
      detección temprana del pago, conciliación por merchant y devoluciones por
      el riel de retiro crypto.
  - name: KYC / KYB
  - name: Screening de wallets
    description: >-
      Evaluación de riesgo AML de direcciones blockchain (sanciones, exposición
      a fondos ilícitos) con comisión por scan, más protección automática
      gratuita en retiros y depósitos.
  - name: AML screening
    description: >-
      Verificación de identidad: KYC para personas, KYB para empresas, con
      screening AML, re-screening y monitoreo continuo.
  - name: Analytics
  - name: Webhooks
    description: Suscripciones para recibir notificaciones de eventos firmadas.
  - name: Estado
    description: Disponibilidad del servicio.
  - name: Banking
    description: >-
      Cuentas bancarias reales: recibe, mantén y envía dinero por rieles
      bancarios internacionales.
  - name: Cards
    description: >-
      Tarjetas virtuales y físicas que gastan Just-In-Time del saldo USDT de la
      cuenta, con límites de gasto por tarjeta.
  - name: Seguridad (OTP)
    description: >-
      Códigos de verificación de un solo uso por SMS/WhatsApp/email que protegen
      acciones sensibles, más las preferencias de 2FA self-service. Aplican solo
      a sesiones de usuario — las API keys quedan exentas.
  - name: Passkeys
    description: >-
      Inicio de sesión sin contraseña con la biometría del dispositivo (Face ID,
      Touch ID, Windows Hello, llaves de seguridad) vía WebAuthn, apps
      autenticadoras (TOTP) con códigos de respaldo, y gestión de
      sesiones/dispositivos.
  - name: Login social
    description: >-
      Registro e inicio de sesión sin contraseña con Google, Apple, Microsoft y
      Facebook vía token exchange. El front obtiene la credencial del proveedor;
      la API la verifica y emite la sesión CBPay.
paths:
  /v1/otp/preferences:
    put:
      tags:
        - Seguridad (OTP)
      summary: Actualizar mis preferencias de 2FA
      description: >-
        Permite al owner de la cuenta configurar su propio 2FA. Siempre puedes
        endurecer (activar acciones, subir a un canal más fuerte: totp > email >
        sms/whatsapp) pero nunca bajar del piso de la organización. Relajar
        (desactivar una acción activa o bajar de canal) exige un `X-OTP-Token`
        de la acción `security_settings`. Elegir `channel:totp` exige la app
        autenticadora ya enrolada. Activar el 2FA de la acción `login` por canal
        telefónico (`sms`/`whatsapp`) exige el teléfono de la cuenta ya
        verificado (completa cualquier desafío OTP por SMS/WhatsApp); si no, el
        request se rechaza con `409 phone_verification_required` — evita que te
        bloquees con un número mal escrito.
      operationId: putOTPPreferences
      parameters:
        - name: X-OTP-Token
          in: header
          required: false
          schema:
            type: string
      requestBody:
        required: true
        content:
          application/json:
            schema:
              type: object
              required:
                - action
                - required
              properties:
                action:
                  type: string
                  enum:
                    - login
                    - payout
                    - crypto_withdrawal
                    - transfer
                    - banking_operation
                    - card_reveal
                    - api_key_create
                    - member_add
                    - phone_change
                    - password_change
                    - email_change
                    - security_settings
                required:
                  type: boolean
                channel:
                  type: string
                  enum:
                    - sms
                    - whatsapp
                    - email
                    - totp
                  default: sms
            example:
              action: payout
              required: true
              channel: totp
      responses:
        '200':
          description: Política efectiva actualizada.
          content:
            application/json:
              example:
                enabled: true
                actions:
                  - action: payout
                    required: true
                    channel: totp
                    source: account
        '403':
          description: >-
            Bloqueado por la org (`policy_locked_by_org` /
            `channel_locked_by_org`) u OTP requerido para relajar
            (`otp_required`).
        '409':
          description: >-
            App autenticadora sin enrolar para `channel:totp`
            (`totp_enrollment_required`), o teléfono sin verificar al activar el
            2FA de login por canal telefónico (`phone_verification_required`).
components:
  securitySchemes:
    bearerAuth:
      type: http
      scheme: bearer
      description: |
        JWT de sesión (de register/login) o llave de API (`pk_...`).
        `X-API-Key: <token>` se acepta como header alternativo.

````