Publicamos afirmaciones de seguridad en nuestra herramienta de generación de contraseñas: que usa criptografía real, que nada se transmite a nuestros servidores, que no hay analítica de terceros involucrada. Son afirmaciones fáciles de escribir y difíciles de verificar — a menos que alguien audite el código real.
Así que lo hicimos nosotros mismos, con una metodología white-box estricta: cada hallazgo debía registrarse como Confirmado, Refutado, o No concluyente, siempre citando archivo y línea exacta. Nada se sube de nivel de confianza sin evidencia directa.
1. ¿Usa criptografía real?
Confirmado. Cada carácter y palabra generada pasa por una función que utiliza crypto.getRandomValues() — la API criptográfica del navegador diseñada para producir números impredecibles en un sentido criptográfico. Math.random(), que no ofrece esa garantía, no aparece en ningún punto del flujo de generación.
2. ¿Se transmite la contraseña generada a algún servidor?
Confirmado que no. Revisamos cada llamada de red disparada por la herramienta, incluyendo la de analítica interna. El único dato que viaja a nuestro servidor es el modo usado (por ejemplo, "modo contraseña" o "modo frase de paso") — nunca el valor generado.
3. ¿Hay analítica de terceros (Google Analytics, Meta, etc.) en esta herramienta específica?
Confirmado que no. El diseño del sitio separa deliberadamente las páginas de herramientas (que solo cargan analítica propia, de primera parte) de las páginas de marketing (que sí incluyen Google Analytics). Verificamos que el layout usado por el generador de contraseñas no incluye ningún script de terceros.
Lo que también encontramos: un texto de ayuda impreciso
La auditoría no solo confirmó lo que ya afirmábamos — también encontró un error de precisión en el texto de ayuda de la opción "compatible con sistemas legacy". El texto mencionaba que la opción evitaba comillas, backslash y diagonal, pero esos caracteres nunca formaron parte del conjunto de símbolos generado, ni siquiera en el modo normal. No era un problema de seguridad, pero sí una afirmación de producto que no resistía la verificación directa del código — y la corregimos.
Por qué publicamos esto
Cualquier proveedor puede afirmar que su herramienta es segura. Muy pocos publican la evidencia línea por línea que sustenta esa afirmación. Si va a confiar una contraseña generada a una herramienta online, la pregunta correcta no es "¿dicen que es segura?" — es "¿puedo verificarlo yo mismo?". En nuestro caso, la respuesta es sí: puede inspeccionar el código fuente de la página en cualquier momento.