Seguridad en gottrix
gottrix.app procesa archivos 100% en local en tu navegador: el código de conversión no tiene acceso a ningún servidor externo (impuesto por la Content-Security-Policy), así que una subida es técnicamente imposible. La entrega se realiza por TLS 1.2/1.3 con HSTS (2 años), un conjunto completo de cabeceras de seguridad y alojamiento en Hetzner, en Alemania. Cada afirmación de esta página es verificable por ti mismo.
Arquitectura de cero subidas: seguridad por eliminación
Los conversores en línea habituales suben tu archivo a un servidor, lo procesan allí y te devuelven el resultado - cada uno de esos pasos es una superficie de ataque. gottrix elimina por completo el paso crítico: los motores (para imágenes, PDFs, audio, vídeo y más) se ejecutan como WebAssembly directamente en tu navegador. Lo que nunca se transmite no puede interceptarse en tránsito, no puede filtrarse desde ningún servidor y no puede exigírsele a nadie.
Esto se impone por arquitectura, no por política, con dos zonas estrictamente separadas: el código que toca los bytes de tu archivo (motores y web workers) está limitado a su propio origen por la Content-Security-Policy y no contiene ninguna llamada de red - una prueba automática lo verifica en cada build. La capa de página, que nunca ve tus archivos, solo puede alcanzar una lista blanca de analítica documentada.
- Motores y workers: 0 primitivas de red, ningún origen externo - comprobado de forma estática en cada build.
- Capa de página: peticiones externas solo a la lista blanca de analítica documentada, nunca bytes de archivo.
- Sin alternativa de subida: si el procesamiento local falla, obtienes un mensaje de error honesto - nunca un desvío por servidor.
- Prueba sin conexión: tras tu primera visita, las herramientas siguen funcionando en modo avión - la evidencia más sólida de que no se envía nada.
Transporte: TLS y HSTS
El sitio web se entrega exclusivamente por HTTPS - TLS 1.2 y 1.3 con conjuntos de cifrado modernos y certificados gestionados automáticamente. HTTP Strict Transport Security (HSTS) está configurado con max-age=63072000 (2 años) incluyendo subdominios: así, el navegador impone HTTPS por sí mismo en cada visita futura. Para situarlo: el contenido de tus archivos nunca viaja por esta conexión, porque nunca sale de tu dispositivo - el cifrado de transporte protege la entrega del sitio en sí.
Cabeceras HTTP de seguridad
Cada respuesta del servidor lleva un conjunto completo de cabeceras de seguridad. Los valores son configuración, no aspiración: una prueba automática interrumpe cualquier despliegue en el que falte o difiera alguna.
| Cabecera y valor | Efecto |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Impone HTTPS durante 2 años, incluidos todos los subdominios. |
| X-Frame-Options: DENY | Impide insertar el sitio en marcos externos (protección contra clickjacking, doblemente asegurada vía frame-ancestors en la CSP). |
| X-Content-Type-Options: nosniff | Evita que el navegador adivine tipos de contenido y ejecute archivos como script. |
| Referrer-Policy: strict-origin-when-cross-origin | Transmite como máximo el origen a sitios externos, nunca URLs completas. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Desactiva 12 APIs de dispositivo y sensores (cámara, micrófono, ubicación, USB y más) que el sitio no necesita; solo el modo de pantalla completa sigue permitido para el propio origen. |
| Cross-Origin-Opener-Policy: same-origin | Aísla la ventana del navegador de sitios externos que la hayan abierto. |
La Content-Security-Policy completa
La CSP es el bloqueo técnico detrás de la garantía de cero subidas. Se genera a partir de un único archivo fuente y se muestra aquí en vivo desde esa misma fuente - las 15 directivas, sin abreviar:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (comprobado el 2026-07-09): 0 hallazgos de severidad alta. Además del propio origen, connect-src permite únicamente la lista blanca de analítica documentada de la capa de página - metadatos, nunca contenido de archivos.
Verificación independiente
Hay tres revisiones externas firmemente planificadas que se ejecutarán contra el dominio en vivo en el lanzamiento público: SSL Labs (configuración TLS), Mozilla Observatory (postura de seguridad HTTP) y securityheaders.com (integridad de cabeceras). Los resultados solo se muestran y enlazan una vez que los escaneos se han ejecutado realmente - gottrix nunca muestra sellos o notas sin verificar, y una prueba automática en cada build lo garantiza.
Alojamiento y ubicación de los datos
Los servidores de origen los opera Hetzner Online GmbH en Alemania y están sujetos al RGPD. En ellos solo reside el sitio web estático: sin cuentas de usuario, sin contenido de archivos, sin base de datos de contenidos. Los registros del servidor solo contienen datos de acceso técnicamente necesarios con un periodo de conservación breve; existe un contrato de encargo del tratamiento con Hetzner. Como el procesamiento de archivos ocurre en local en tu navegador, el contenido de tus archivos nunca llega de todos modos a esta ubicación.
Analítica y consentimiento
La analítica de uso anónima (Google Analytics 4 con Consent Mode v2 Advanced) arranca con todas las señales en rechazado: sin tu consentimiento no se establece ninguna cookie de analítica ni se crea ningún identificador. Con consentimiento, se miden como máximo las páginas vistas y el identificador de la herramienta usada - nunca nombres de archivo, tamaños de archivo o contenido de archivos. Todos los detalles y las bases jurídicas están en la política de privacidad.
Preguntas frecuentes sobre seguridad
¿Es segura gottrix.app?
Su seguridad se basa en la arquitectura y no en promesas: los archivos se procesan exclusivamente en local en tu navegador y nunca se transmiten a ningún servidor - una Content-Security-Policy estricta prohíbe al código de conversión cualquier conexión externa. A eso se suman TLS 1.2/1.3 con HSTS, un conjunto completo de cabeceras de seguridad y alojamiento en Alemania. Cada uno de estos puntos es verificable por ti mismo en el código fuente, la pestaña de red o mediante la prueba del modo avión.
¿Se suben o se almacenan mis archivos en algún sitio?
No. La conversión se ejecuta por completo en la memoria de tu navegador; no existe ningún endpoint de subida ni almacenamiento en servidor para el contenido de archivos. La Content-Security-Policy deniega al código de motores y workers cualquier conexión a servidores externos, y una prueba automática lo verifica en cada build. Cierra la pestaña y los datos desaparecen - no hay nada que haya que borrar en el servidor.
¿Qué cifrado utiliza gottrix.app?
El sitio web se entrega exclusivamente por HTTPS con TLS 1.2 y 1.3 y conjuntos de cifrado modernos; HSTS impone HTTPS durante dos años incluidos los subdominios. El contenido de tus archivos en sí nunca viaja por ninguna conexión, porque nunca sale de tu dispositivo - el cifrado de transporte protege la entrega del sitio y los metadatos de uso opcionales basados en consentimiento.
¿Dónde se alojan los servidores?
Los servidores de origen los opera Hetzner Online GmbH en Alemania, bajo el RGPD. En ellos solo reside el sitio web estático: sin cuentas de usuario, sin contenido de archivos, sin base de datos de contenidos. Como el procesamiento ocurre en local en tu navegador, la ubicación del servidor es irrelevante para el contenido de tus archivos - nunca lo alcanzan en ningún momento.
¿Cómo puedo verificar estas afirmaciones de seguridad yo mismo?
Tres formas que no requieren conocimientos especiales: la prueba del modo avión (abre una herramienta, desconéctate, convierte - sigue funcionando), la pestaña de red de las herramientas de desarrollo (F12: ninguna petición de archivo durante la conversión) y las cabeceras de respuesta que cualquier navegador puede mostrar. La guía paso a paso está en la página de prueba; en el lanzamiento público se añaden escaneos externos de SSL Labs, Mozilla Observatory y securityheaders.com.
¿Qué datos recopila gottrix en general?
Sin tu consentimiento: ninguna cookie de analítica ni identificadores, solo registros de servidor técnicamente necesarios con un periodo de conservación breve. Con consentimiento, Google Analytics 4 mide el uso agregado, como páginas vistas y el identificador de la herramienta usada; los nombres de archivo, tamaños de archivo y contenido de archivos nunca se registran. Las bases jurídicas completas y cómo retirar el consentimiento están en la política de privacidad.