Skip to content
files.co

¿Son seguras las herramientas PDF online? Qué significa de verdad '0 subidas'

La mayoría de las herramientas PDF online suben tu archivo a un servidor. Qué significa '0 subidas', los riesgos reales y cómo verificarlo con DevTools.

AG Antonia González · 25 de junio de 2026 · 6 min de lectura

Encontraste una web gratuita que une, comprime o desbloquea un PDF en segundos. Se ve limpia, funciona y un pequeño aviso promete que tu archivo se “borra en una hora”. La pregunta es justa: ¿estas herramientas son realmente seguras?

La respuesta honesta es “depende”, y casi siempre depende de algo que no puedes ver desde la propia página. Vamos a hacer visible esa parte invisible, sin alarmismo.

La mayoría de las herramientas “online” suben tu archivo

Esta es la parte que nadie pone en letras grandes: la mayoría de las herramientas PDF que encuentras online envían tu documento a un servidor remoto. El procesamiento —unir, OCR, conversión— ocurre en su máquina, no en la tuya. Eso no es un escándalo en sí mismo; es simplemente cómo funciona el software de servidor. El PDF sale de tu ordenador.

Las promesas que vienen después (“borramos los archivos en 1 hora”, “nunca los miramos”) pueden ser totalmente sinceras. El problema es que no puedes verificarlas. Una vez que tu archivo está en el servidor de otra persona, estás confiando en:

  • Su política de retención. “Borrado en una hora” es una configuración, no una ley física. Logs, copias de seguridad y cachés pueden guardar copias más tiempo del que dice la promesa visible.
  • Su seguridad. Los servidores sufren brechas. Un documento que nunca salió de tu portátil no puede filtrarse en la brecha de otro.
  • Sus terceros. Muchas herramientas funcionan sobre infraestructura que no es suya y pasan los archivos por servicios de procesamiento, colas o buckets de almacenamiento que nunca verás.

Nada de esto significa que toda herramienta online sea maliciosa. Significa que “confía en mí” es todo el modelo de seguridad, y para una factura, un contrato, un informe médico o el escaneo de un DNI, eso quizá no baste.

Qué significa de verdad “0 subidas”

Una herramienta genuinamente client-side hace algo distinto: nunca envía tu archivo a ningún sitio. El código que procesa el PDF se descarga a tu navegador una vez, y luego tu documento se abre, se analiza y se modifica enteramente en la RAM de tu dispositivo.

El motor detrás de esto suele ser WebAssembly: código compilado (a menudo las mismas librerías que se usan en servidor) ejecutándose dentro del sandbox del navegador a velocidad casi nativa. Tu PDF se lee como bytes en un búfer de memoria, se transforma y se vuelve a escribir como un archivo nuevo que descargas localmente. Cierra la pestaña y esa memoria desaparece. No hubo servidor en medio porque no hacía falta.

Esto es lo que “0 subidas” debería significar, literalmente: cero peticiones de red llevando tu archivo. No “subido y borrado rápido”, sino nunca subido.

Cómo notar la diferencia (abre DevTools)

No tienes que creerle a nadie, ni siquiera a nosotros. Tu navegador trae la prueba incluida:

  1. Abre la herramienta PDF, pero no sueltes aún tu archivo.
  2. Pulsa F12 (o clic derecho → Inspeccionar) y ve a la pestaña Network.
  3. Pulsa el botón de grabar/limpiar para empezar de cero.
  4. Ahora ejecuta la operación: añade tu archivo y pulsa el botón.
  5. Observa las peticiones. Una herramienta client-side muestra el archivo leyéndose localmente y ninguna petición saliente con tu documento. Una herramienta de servidor muestra una subida clara (a menudo un POST con el peso de tu archivo en el cuerpo) seguida de la descarga del resultado.

Si ves tu PDF de 4 MB enviándose en el cuerpo de una petición, fue subido, diga lo que diga el aviso. Si el único tráfico de red son los recursos de la página y quizá algún ping de analítica, tu archivo se quedó en tu máquina.

Una checklist de confianza

Antes de entregar un PDF sensible a cualquier herramienta web, repasa esto:

  • ¿Procesa en client-side? Mira la pestaña Network. Esta es la prueba más importante de todas.
  • ¿Sigue funcionando sin conexión? Las herramientas realmente client-side siguen funcionando con el Wi-Fi apagado una vez cargada la página. Las de servidor fallan al instante.
  • ¿La promesa de privacidad es concreta? “Procesado en tu navegador, nunca subido” es verificable. “Respetamos tu privacidad” no lo es.
  • ¿Qué ve la analítica? Herramientas de visitas como Google Analytics o Cloudflare pueden registrar que entraste y a qué página, pero nunca ven el contenido de tu PDF. Saber distinguirlo importa.
  • ¿El cifrado es honesto? Si una herramienta protege tu PDF con contraseña, pregunta con qué estándar. No siempre se usa el más fuerte, y deberías saberlo.

Dónde está files.co, con honestidad

Construimos files.co priorizando el client-side, así que la prueba de DevTools de arriba es precisamente el objetivo. Abre la pestaña Network, ejecuta una unión o una compresión, y no encontrarás tu PDF en ninguna petición. Se procesa en la RAM de tu navegador con WebAssembly y nunca nos lo envías.

Dos aclaraciones que preferimos decir claras antes que esconder. Primera: nuestra herramienta Protect cifra los PDF con AES-128, no AES-256. AES-128 es robusto y estándar para la protección con contraseña de PDF, pero no vamos a presumir de un número que no implementamos. Segunda: sí usamos analítica —Google Analytics y Cloudflare— que ven visitas y tráfico, igual que casi cualquier web. No ven el contenido de tu archivo, porque tu archivo nunca sale de tu dispositivo para que lo vean.

Las herramientas PDF online no son inseguras por naturaleza. Pero “seguro” debería ser algo que puedas comprobar, no algo que tengas que creer. Abre DevTools, mira la pestaña Network y deja que el archivo —o su ausencia— hable por sí solo.

Explora por categoría

Organizar Convertir Editar Seguridad