SEGURIDAD

Privacidad arquitectónica, no una promesa de privacidad.

La mayoría de herramientas de archivos en línea prometen ser privadas. Vastiko no puede ser de otra forma: no hay paso de subida, ni almacenamiento del lado del servidor, ni pipeline de descifrado. Verifícalo tú mismo en 30 segundos.

Última actualización: 2026-04-25 · Versión 1.0

La verificación de 30 segundos

Abre la herramienta Edit PDF de Vastiko.
Abre las DevTools de tu navegador (F12 o clic derecho → Inspeccionar).
Cambia a la pestaña Network. Marca 'Preserve log'.
Suelta un PDF en la zona de drop.
Observa el panel Network. No hay POST de subida, ni PUT, ni WebSocket que lleve tu archivo. Las únicas peticiones son la obtención de assets estáticos (HTML, CSS, JS) y (si está habilitado) pings anónimos de analítica.

Lo mismo es cierto para cada herramienta de Vastiko. Puedes verificar la afirmación de privacidad tú mismo — no tienes que confiar en nuestra palabra.

Cómo cada herramienta permanece local

Edit PDF

El renderizado y manipulación de PDF estándar de la industria se ejecuta completamente en la memoria del navegador.

Compress PDF

Las páginas se re-renderizan y re-comprimen localmente — sin subida, sin procesamiento del lado del servidor.

Convert (PDF↔Image, PDF↔Word/Excel/PPT)

Las conversiones de formato se realizan en el navegador usando APIs modernas.

Criptografía (Unlock PDF / Protect PDF)

Las operaciones protegidas por contraseña se ejecutan enteramente en tu navegador:

Módulo WebAssembly (qpdf-wasm) parsea el manejador de seguridad PDF y aplica AES-256 R5, AES-128 y RC4 (40/128-bit) — cubriendo la especificación completa del manejador de seguridad PDF.
Sin transmisión al servidor: tu contraseña nunca se envía a nosotros. Existe en la memoria del navegador solo durante la operación y después se descarta.
Carga diferida: el módulo WASM se obtiene solo cuando visitas Unlock PDF o Protect PDF, manteniendo el resto del sitio ligero.

Puedes verificarlo de la misma forma que con las otras herramientas: abre DevTools → Network, suelta tu PDF cifrado y confirma que no hay subida — solo la descarga del módulo WASM.

Lo que los atacantes no pueden hacer

Como los datos del archivo nunca llegan a nuestros servidores:

Una brecha en nuestro proveedor de hosting no puede exponer tus archivos. No hay almacenamiento de archivos que vulnerar.
Una citación judicial no puede obligarnos a entregar tus archivos. No los tenemos y nunca los tuvimos.
Un actor malicioso no puede exfiltrar contenido de usuario de nosotros. Los datos están en tu máquina, no en la nuestra.

Ofuscación de código y transparencia

El bundle de JavaScript está minificado y ofuscado. Es una elección deliberada para proteger la propiedad intelectual de Vastiko — para hacer más difícil que los clones copien nuestro trabajo — y no compromete la garantía de privacidad. La privacidad es verificable desde el comportamiento en runtime, no desde el código fuente: abre DevTools → Network y confirma que no ocurre subida de archivos. La arquitectura (todo en tu navegador) es lo que hace privado a Vastiko; la ofuscación solo protege lo que construimos.

Si detectas un problema de seguridad o cualquier comportamiento que contradiga estas afirmaciones, repórtalo a info [arroba] vastiko [punto] com. Tratamos esos reportes como prioridad.

Infraestructura de hosting

El sitio se entrega como HTML, CSS y JavaScript estáticos desde un servidor web alojado en la nube. No hay backend de aplicación, ni base de datos de usuarios, ni pipeline de procesamiento de archivos del lado del servidor. La garantía de privacidad viene de la arquitectura, no de un proveedor o región específicos — tus archivos no llegarían a nuestros servidores independientemente de dónde estén esos servidores.

Reportar vulnerabilidades

Somos un equipo pequeño y aún no manejamos un bug bounty formal, pero apreciamos la divulgación responsable. Envía un email a info [arroba] vastiko [punto] com con pasos de reproducción. Buscamos confirmar en 48 horas y reconocerte públicamente si lo deseas.

Alcance de cumplimiento

Como no procesamos datos personales vinculados a usuarios identificables en el servidor, nuestra exposición a GDPR y CCPA es mínima — pero las garantías de privacidad que damos son más fuertes que lo que el cumplimiento requiere. Ver la política de privacidad para detalles.