← Todos los artículos

Cómo verificar que una herramienta web nunca sube tus archivos (guía con DevTools)

2026-05-30

Respuesta corta: abre las DevTools del navegador, ve a la pestaña Network (Red), bórrala y luego usa la herramienta con un archivo. Si el archivo nunca sale de tu navegador, verás descargar el código de la herramienta, pero no verás subir los bytes de tu archivo. Aquí va la versión de 60 segundos, más cómo leer lo que ves.

Por qué "no guardamos tus archivos" no basta

La mayoría de las herramientas "gratis" online suben tu archivo a un servidor, lo procesan allí y devuelven el resultado. Su política de privacidad quizá prometa borrarlo después, pero es una promesa que no puedes comprobar. "No guardamos tus archivos" sigue significando que tu archivo fue transmitido y estuvo, descifrado, en la máquina de otra persona. Una garantía que no puedes verificar no es privacidad; es marketing.

La buena noticia: los navegadores modernos pueden hacer el trabajo de verdad ellos mismos — procesamiento de imágenes, renderizado de PDF, codificación de vídeo con WebAssembly, e incluso redes neuronales con WebGPU. Cuando una herramienta corre localmente, tu archivo se lee en la memoria de la pestaña, se procesa y se te devuelve como descarga. Nunca toca la red. Y a diferencia de una promesa, puedes confirmarlo tú mismo en menos de un minuto.

La comprobación de 60 segundos (pestaña Network)

  1. Abre la herramienta en una pestaña nueva (por ejemplo, Compresor de imágenes o Imagen a texto).
  2. Abre DevTools — pulsa F12, o clic derecho → Inspeccionar. (Cmd+Opt+I en Mac, Ctrl+Shift+I en Windows y Linux.)
  3. Haz clic en la pestaña Network (Red).
  4. Pulsa el icono de borrar (🚫) para limpiar las peticiones, y marca Preserve log (Conservar registro) para que no desaparezca nada.
  5. Ahora suelta tu archivo en la herramienta y ejecútala.
  6. Mira la lista de peticiones y ordénala por Size (Tamaño).

Lo que buscas: una petición que sube tu archivo es un POST (o PUT) con un cuerpo de petición de aproximadamente el tamaño de tu archivo. Sube una foto de 5 MB y verías una carga de ~5 MB saliendo hacia fuera. Si las únicas transferencias grandes son el propio código de la herramienta y los archivos .wasm entrando hacia dentro — y se detienen tras la primera ejecución porque están en caché —, tu archivo se quedó donde estaba.

Cómo distinguir una subida del tráfico normal

No toda petición es una alarma. Esto es normal incluso en una herramienta 100% local:

  • Carga de código y recursos — paquetes de JavaScript, binarios .wasm (FFmpeg, Tesseract y compañía), fuentes, la propia página. Son descargas: la respuesta tiene tamaño, el cuerpo de la petición está vacío, y quedan en caché tras la primera visita.
  • Analítica y anuncios — pings pequeños a Google Analytics o AdSense. Minúsculos, y nunca contienen tu archivo (no pueden: tu archivo no está en ninguna variable a la que lleguen).

Esto es una alarma:

  • Un POST/PUT cuya carga (payload) es de aproximadamente el tamaño de tu archivo. Abre la pestaña Payload/Request de esa petición y verás literalmente los bytes, o un formulario multipart con el nombre de tu archivo.
  • Una subida a un dominio de almacenamiento inesperado (un bucket de S3, algún CDN) justo al pulsar "procesar".

Regla práctica: descargas entrando, sin subidas grandes saliendo = procesamiento local.

La opción nuclear: desenchufa

Si prefieres no leer registros de peticiones, hay una prueba más burda que cualquiera puede hacer:

  1. Carga la página de la herramienta una vez para que descargue su código.
  2. Activa el modo avión / apaga el Wi-Fi — o en DevTools pon el desplegable de Network throttling en Offline (Sin conexión).
  3. Ejecuta la herramienta.

Si sigue funcionando sin conexión, físicamente no puede estar subiendo tu archivo: no hay conexión por la que subirlo. (Unas pocas herramientas descargan un motor grande bajo demanda — algunas de vídeo bajan FFmpeg la primera vez. Deja terminar esa descarga, luego desconéctate y procesa.)

Entonces, ¿por qué tantas herramientas suben los archivos?

Sinceramente, porque el lado servidor es más fácil de monetizar. Subir permite a una empresa esconder funciones tras una suscripción, registrar el uso y, en el peor de los casos, quedarse tus archivos para entrenar modelos. El procesamiento local exige más ingeniería: compilar librerías de C a WebAssembly, encajarlas en el presupuesto de memoria del navegador, renunciar a esa palanca. El intercambio merece la pena por una razón — tus archivos no van a ninguna parte, y no tienes que creerme a mí. Puedes mirar la pestaña Network.

Esa es toda la idea detrás de ToolKoala: cada herramienta corre en tu navegador. Abre DevTools en cualquiera de ellas y compruébalo tú mismo.

Preguntas frecuentes

¿"Sin subida" significa que la herramienta funciona sin conexión? Tras la primera carga, normalmente sí. El código queda en caché, así que la mayoría siguen funcionando sin conexión. Unas pocas que descargan un motor grande bajo demanda (algunas de vídeo) necesitan esa descarga primero.

¿Podría una herramienta subir mi archivo en secreto por WebSockets o en segundo plano? La pestaña Network también muestra el tráfico de WebSocket y de fetch/XHR en segundo plano, carga incluida. Si los bytes de tu archivo salen, aparecen ahí. Ese es el punto: una subida no tiene dónde esconderse de la pestaña Network.

¿Son la analítica o los anuncios un problema de privacidad? Ven señales estándar de visita — ubicación aproximada, tipo de dispositivo —, no tu archivo. Tu archivo nunca entra en una variable a la que llegue un script de anuncios, y si los bloqueas las herramientas siguen funcionando.

¿Esto es específico de ToolKoala? No. Esta comprobación sirve para cualquier herramienta web. Hazla en cada "conversor online gratis" antes de confiarle un archivo sensible.

— Milo 🐨