¿Las herramientas "sin subir archivos" son realmente seguras?

Sí, cuando están bien implementadas. Las que usan WebAssembly (WASM) procesan los archivos dentro de la pestaña del navegador, los bytes nunca salen de tu dispositivo, no se guardan copias y al cerrar la pestaña todo se borra de la memoria. Verifícalo en DevTools (pestaña Network): una herramienta verdaderamente local muestra cero peticiones salientes con payload del archivo durante el proceso.

¿Por qué la mayoría de herramientas online suben los archivos al servidor?

Tres razones: (1) histórica, antes de que WebAssembly madurara hacia 2020, el servidor era la única opción. (2) Negocio, las herramientas de servidor monetizan vía suscripciones/límites, más difícil para opciones gratuitas en cliente. (3) Algunas operaciones realmente necesitan cómputo en servidor (archivos enormes, modelos ML). Para la mayoría de operaciones bajo 2 GB, el cliente es ya superior.

¿Qué dice el RGPD sobre el procesamiento de archivos?

Bajo el RGPD, cuando un archivo contiene datos personales (fotos de personas, documentos con nombres/DNIs, grabaciones de voz), subirlo a un servidor de terceros convierte a esa parte en encargado del tratamiento, exigiendo contratos, notificación de brechas y derechos de supresión. El procesamiento local evita esto por completo: ningún dato llega a un tercero, así que las obligaciones del RGPD no se activan.

¿Cómo verifico que una herramienta procesa localmente?

Abre DevTools del navegador (F12) → pestaña Network → procesa un archivo → busca peticiones POST/PUT salientes con los datos del archivo. Las herramientas locales no muestran ninguna. Si ves una subida de varios megas, el archivo fue al servidor. Bonus: prueba en modo avión, una herramienta verdaderamente local sigue funcionando con el WiFi apagado tras cargar la página.

PRIVACY

Herramientas de Archivos Locales vs en la Nube: La Verdad sobre la Privacidad (2026)

Por qué la mayoría de herramientas online suben tus archivos en silencio a sus servidores, qué guardan y cómo el procesamiento local con WebAssembly cambia las reglas. Los hechos técnicos y legales.

DuneTools · 26 de abril de 2026 · 11 min de lectura

Cuando subes una foto, un PDF o un audio a un “conversor online gratis”, ¿qué pasa realmente? En 2026 la respuesta sorprende a quien le importa la privacidad: la mayoría de estas herramientas sube tu archivo en silencio a sus servidores, lo procesa allí y guarda una copia, a veces durante horas, a veces indefinidamente.

Esta guía explica la diferencia técnica entre procesamiento en servidor y procesamiento en cliente, por qué importa legal y personalmente, y cómo verificar qué tipo de herramienta estás usando.

0Bytes subidos (local)

3Métodos de verificación

5+Leyes de privacidad afectadas

~10sAhorrados vs upload

Qué significa “subir” realmente

Cuando visitas una herramienta online típica y arrastras un archivo, técnicamente ocurre esto:

Tu navegador abre una conexión TCP con el servidor.
Los bytes del archivo se envían por esa conexión (la barra de progreso).
El servidor recibe los bytes y los escribe en disco (o memoria).
El servidor ejecuta la conversión / compresión / lo que sea.
El servidor escribe el resultado.
Tu navegador descarga el resultado.
El servidor puede o no borrar el original, su política, tu confianza.

"Borrado en 24 horas" es difícil de auditar

Incluso herramientas que afirman retención corta suelen retener logs, metadatos, datos derivados o copias de backup. Verificar nada de esto requiere acceso a su infraestructura, que tú no tienes. Confianza sin verificación no es seguridad.

Qué significa “procesamiento en cliente” realmente

Entre 2020-2022 los navegadores se volvieron lo bastante potentes para ejecutar procesamiento pesado localmente vía WebAssembly (WASM), un formato binario que permite que librerías C/C++/Rust (como libjpeg, ffmpeg, pdf-lib) corran a velocidad casi nativa dentro de la pestaña.

Flujo en servidor

Abres la página (~200 KB)
Arrastras archivo → bytes subidos
El servidor procesa
Bytes descargados de vuelta
El servidor puede guardar copia

Round-trip de red para cada operación. Confías en la política de retención del operador.

Flujo en cliente (WASM)

Abres la página → módulo WASM (~2–5 MB)
Arrastras archivo → se lee a memoria del navegador
El WASM procesa dentro de la pestaña
Resultado generado en memoria
Guardar → archivo va a tu dispositivo

Cero peticiones salientes con payload. Verifícalo en DevTools.

El archivo nunca atraviesa la red más allá de la carga inicial de la página.

Cómo verificar que una herramienta es realmente local

No te fíes del badge “100% privado”, verifícalo:

Método	Qué haces	Qué buscas	Esfuerzo
DevTools Network	F12 → Network → suelta archivo → procesa	Cero POST/PUT salientes con payload	30s
Modo avión	Carga la página, apaga WiFi, procesa	La herramienta sigue funcionando	60s
Cerrar pestaña	Procesa un archivo, cierra, reabre	Sin “recientes”, sin registro server-side	30s

Test de DevTools Network en 5 pasos

Abre la herramienta en Chrome / Firefox / Safari.
Pulsa F12 → pestaña Network.
Haz clic en Clear para limpiar peticiones previas.
Arrastra el archivo y ejecuta la herramienta.
Si ves POST /api/upload con Content-Length: 5000000+, el archivo fue al servidor. Una herramienta local muestra cero.

Por qué importa: 5 escenarios reales

Periodista con grabaciones de fuentes confidenciales

Has entrevistado a un denunciante. Su grabación contiene información identificable que podría ponerle en peligro. Necesitas extraer el audio de un vídeo. Una extracción en servidor pondría la grabación en hardware que no controlas, sujeto a citaciones, hackeos o amenazas internas. Una extracción local con DuneTools Extraer Audio mantiene el archivo solo en tu portátil.

Profesional sanitario con documentos de pacientes

HIPAA en EE. UU., RGPD en UE, regulaciones similares en otros sitios, los registros médicos no pueden transmitirse a procesadores terceros sin garantías contractuales específicas. Una enfermera intentando comprimir un PDF de resultados de laboratorio antes de mandarlo por email a un colega violaría técnicamente HIPAA si el compresor sube a un servidor de terceros. La compresión local resuelve esto por completo.

Abogado con documentos privilegiados

El secreto profesional puede renunciarse al compartir documentos privilegiados con terceros. Incluso en jurisdicciones con privilegio fuerte, subir un PDF privilegiado a un compresor online gratis arriesga la renuncia. El procesamiento local evita al tercero del todo.

Diseñadora antes del lanzamiento

Diseñando una nueva identidad de producto. Los archivos del logo y los assets de marca son confidenciales hasta el lanzamiento. Subir el logo a un generador de favicon significa que ya está en hardware ajeno antes de la presentación pública. Competidores, filtradores, hackers, cualquiera puede romper la confidencialidad pre-lanzamiento. La generación local lo mantiene estrictamente interno.

Cualquiera con fotos personales

Tu móvil tiene 10.000 fotos. Algunas son familiares, otras íntimas, otras son documentos que fotografiaste. Subirlas a un “compresor gratis” significa que existen fuera de tu control. Hasta con la mejor política de privacidad, hay brechas, empleados que abusan, gobiernos que citan judicialmente. El procesamiento local significa que la foto nunca salió de tu dispositivo.

El ángulo legal: RGPD, CCPA, HIPAA

Bajo la mayoría de leyes modernas de privacidad:

RGPD (UE): cuando subes un archivo con datos personales a un tercero, te conviertes en “responsable del tratamiento” usando un “encargado del tratamiento” (la web). Esto activa requisitos: contrato de tratamiento de datos, notificación de brechas en 72 horas, derecho a supresión, minimización de datos. El procesamiento local, los datos nunca salen de tu dispositivo, esquiva estos requisitos por completo.
CCPA (California): similar. Subir datos personales a un tercero activa derechos del consumidor a saber qué se recoge, borrarlo, oponerse a su venta. El procesamiento local te mantiene fuera del alcance de la CCPA.
HIPAA (sanidad EE. UU.): el procesamiento por terceros de PHI requiere un Business Associate Agreement. Casi ninguna herramienta online gratuita ofrece un BAA. El procesamiento local es la única opción HIPAA-segura para tareas ad-hoc.

Para una organización, “usamos herramientas locales” es notablemente más fácil de defender en auditorías y revisiones de cumplimiento que “subimos archivos a varios servicios de terceros”.

El ángulo del rendimiento

Contraintuitivamente, el procesamiento local suele ser más rápido:

Tarea	Tiempo en servidor	Tiempo local (WASM)	Ganador
Comprimir imagen 5 MB	4s subida + 1s proceso + 1s descarga = 6s	0,8s en navegador	Local
Extraer audio vídeo 100 MB	16s up + 5s + 16s down = 37s	8s	Local
Unir PDF 50 MB	8s up + 2s + 8s down = 18s	3s	Local
Transcodificar vídeo 1 GB	A veces imposible en cliente	n/a	Servidor
Upscale ML (modelo enorme)	Posible en servidor	n/a	Servidor

El procesamiento local no solo es más privado, para archivos por debajo de 2 GB también es más rápido, porque el round-trip de red domina el tiempo de pared.

Cuándo el servidor es genuinamente necesario

Lo local no siempre es posible:

Operaciones que requieren RAM masiva más allá de lo que exponen los navegadores (~4 GB máx en Chrome moderno, menos en Safari móvil).
Operaciones basadas en ML con modelos grandes (pesos del orden de GB, demasiado para enviar al navegador).
Operaciones dependientes de red (descarga con autenticación, descarga de vídeo desde fuentes con cookies).
Flujos colaborativos multiusuario (dos personas editando el mismo doc, necesita estado en servidor).

Para todo lo demás, lo local debería ser el default en 2026.

Cómo está construido DuneTools

Cada utilidad de DuneTools corre íntegramente en cliente vía WebAssembly. En concreto:

Imagen: mozjpeg.wasm, oxipng.wasm, libwebp.wasm, libavif.wasm, codificación/decodificación de todos los formatos en local.
PDF: pdf-lib.wasm, pdfjs.wasm, lectura/escritura/manipulación completa sin servidor.
Audio: lamejs.wasm (codificación MP3), ffmpeg.wasm (transcodificación), procesamiento en navegador.
Vídeo: ffmpeg.wasm para silenciado, extracción de frames, conversión de formato.

Puedes verificar cualquiera con los métodos de arriba. La arquitectura es abierta: inspecciona la pestaña Network, ejecuta tests en modo avión, mira los módulos WASM en la pestaña Sources de DevTools.

Resumen: en la duda, ve a local

En 2026, para cualquier operación de archivo bajo 2 GB, el procesamiento local debería ser tu default. Los beneficios de privacidad son reales (los datos nunca salen del dispositivo), los legales son reales (la mayoría de regulaciones no aplican si no hay tercero involucrado), el rendimiento es competitivo o mejor y el coste es el mismo (la mayoría de herramientas locales son gratis, ya que no hay servidor que financiar).

Uses DuneTools u otra herramienta cliente, el principio es el mismo: tus archivos, tu dispositivo, tu salida. La nube no es necesaria.