El Formateador JSON de FormatArc ejecutándose por completo en el navegador sin subir nadaEl Formateador JSON de FormatArc ejecutándose por completo en el navegador sin subir nada
Publicado: 2026-06-02

¿Son seguros los conversores JSON en línea? Verifícalo antes de pegar secretos

Cuándo los conversores JSON/YAML en línea son riesgosos, cómo verificar tú mismo el procesamiento en el navegador con DevTools y alternativas más seguras como jq, yq, editores y herramientas sin conexión.

La respuesta corta

Un conversor JSON, YAML o CSV en línea es seguro de usar solo cuando puedes confirmar que tu entrada nunca se envía a un servidor ni se almacena. Algunas herramientas en línea hacen todo el trabajo dentro de tu navegador, así que tus datos nunca salen de la pestaña. Otras suben en silencio lo que pegas, lo registran y, en algunos casos, lo publican. No puedes saber cuál de las dos estás usando solo con mirar la página de inicio, así que el hábito seguro es verificar antes de pegar cualquier cosa sensible.

Este artículo te muestra cómo emitir ese juicio por tu cuenta, con una lista de verificación que puedes aplicar a cualquier conversor, una prueba con DevTools que toma treinta segundos y las categorías de datos que nunca deberías pegar en una herramienta web que no has verificado.

Orientación rápida:

  • Datos de ejemplo públicos y no sensibles: cualquier formateador de buena reputación sirve.
  • Cualquier cosa que contenga credenciales, tokens, datos de clientes o configuración interna: usa únicamente una herramienta que hayas verificado que se ejecuta por completo en tu navegador, o convierte sin conexión.
  • En caso de duda: trátala como insegura y usa un método local.

Si quieres un conversor que puedas verificar ahora mismo que funciona en el navegador, el Formateador JSON de FormatArc sigue funcionando con tu red desactivada, porque nunca envía tu entrada a ningún lado.

Por qué esta pregunta importa ahora

En noviembre de 2025, la firma de seguridad watchTowr publicó una investigación sobre dos de los sitios de formateo y conversión en línea más populares, JSONFormatter y CodeBeautify. Ambos ofrecían una función de guardar y compartir con una página de "Enlaces recientes". Los enlaces para compartir seguían un patrón de URL predecible, lo que significaba que cualquiera podía enumerarlos con un rastreador sencillo y leer todo lo que otros usuarios habían guardado.

Los investigadores recopilaron más de 80.000 envíos guardados, más de 5 GB de datos. Dentro había credenciales de Active Directory, claves de acceso a bases de datos y a la nube, claves privadas, secretos de pipelines CI/CD, tokens JWT y de API, credenciales de pasarelas de pago y exportaciones completas de AWS Secrets Manager. Las organizaciones afectadas abarcaban los sectores de gobierno, banca, salud, seguros, aeroespacial y telecomunicaciones. Puedes leer la divulgación completa en el informe de watchTowr.

Un detalle hace que la lección sea inequívoca. Los investigadores subieron tokens canario configurados para expirar después de 24 horas. Registraron que alguien accedía a esos tokens 48 horas después de subirlos, después de que los enlaces supuestamente hubieran expirado. Los atacantes ya estaban raspando estas plataformas y probando las credenciales que encontraban.

La conclusión no es que esos dos sitios fueran excepcionalmente malos. Es que cualquier cosa que pegues en un conversor que almacena o transmite tu entrada puede quedar expuesta de la misma manera, a través de una filtración, una mala configuración, una brecha o una función que no sabías que existía. La solución es usar herramientas cuya arquitectura haga imposible la exposición, y saber cómo distinguirlas.

Los tres modelos de procesamiento

Los conversores en línea se dividen en tres grupos según lo que ocurre con tus datos. Esa diferencia lo es todo.

Modelo Dónde se procesan los datos Se almacena en un servidor Riesgo típico
En el servidor (subida) Se envían al servidor del proveedor A menudo, al menos temporalmente Alto: tránsito, registros, brechas, retención
Guardar y compartir Se envían y se persisten deliberadamente con una URL Sí, por diseño Máximo: enlaces públicos, URLs predecibles, retención indefinida
En el navegador (cliente) Dentro de la pestaña de tu navegador No Bajo: no se envía ni se almacena nada

Un conversor en el servidor tiene que recibir tus datos para procesarlos. Incluso un proveedor honesto los mantiene en tránsito, en memoria, posiblemente en registros de acceso y posiblemente en archivos temporales. Una sola mala configuración expone todo.

Un modelo de guardar y compartir es peor porque almacenar tu entrada es el objetivo de la función, no un accidente. Este es exactamente el modelo que se filtró en la investigación de watchTowr. La comodidad de "comparte este JSON formateado con un enlace" es el mismo mecanismo que hizo que 80.000 envíos fueran públicamente legibles.

Un conversor en el navegador carga su código una vez y luego hace todo localmente en JavaScript. Tu entrada nunca cruza la red. No hay nada en un servidor que pueda filtrarse, porque nunca se envió nada.

Los verdaderos culpables: enviar y almacenar

Conviene ser preciso sobre qué causa realmente la exposición, porque algunas defensas en las que la gente confía no la abordan.

Los datos se envían. Si la herramienta hace un POST de tu entrada a un servidor para procesarla, tus datos han salido de tu control en el instante en que haces clic en convertir. Lo que el proveedor haga con ellos a continuación queda fuera de tus manos.

Los datos se almacenan. Incluso una herramienta que procesa en el servidor y afirma eliminar los datos de inmediato puede conservar registros de acceso, registros de error con cargas útiles o copias en caché. Las funciones de guardar y compartir los almacenan a propósito, a veces para siempre.

Existe una URL para compartir. Si una herramienta genera un enlace a tu salida formateada, esa salida vive en un servidor y cualquiera que encuentre o adivine la URL puede acceder a ella. Los esquemas de URL predecibles convierten esto de un riesgo pequeño en un problema de enumeración masiva.

Los términos de servicio permiten la reutilización. Algunas herramientas gratuitas, y muchas basadas en IA, se reservan el derecho de usar el contenido enviado para análisis o para entrenar modelos. Una vez que tu secreto está en su conjunto de entrenamiento o en su canalización de análisis, no puedes recuperarlo.

Fíjate en lo que no está en esta lista. HTTPS no ayuda aquí. HTTPS cifra la conexión entre tu navegador y el servidor, lo que protege contra quienes espían en la red. No hace nada respecto a lo que el servidor hace con tus datos después de que llegan: el almacenamiento, el registro, el compartir y el acceso del operador ocurren todos al otro lado del cifrado. Una herramienta puede servirse sobre un HTTPS perfecto y aun así filtrar todo lo que pegas.

Cómo verificar tú mismo que una herramienta funciona en el navegador

Esta es la parte que los competidores rara vez enseñan, y es la habilidad más útil aquí. No tienes que confiar en una política de privacidad. Puedes comprobarlo.

Abre el conversor en tu navegador, luego abre DevTools (F12, o haz clic derecho y elige Inspeccionar) y ve a la pestaña Network (Red). Ahora haz esto:

  1. Haz clic en el menú desplegable de limitación (throttling) en la pestaña Network y elige Offline (Sin conexión), o marca Offline. Esto desconecta la página de la red.
  2. Pega tu entrada y ejecuta la conversión.
  3. Observa qué pasa. Si la herramienta sigue convirtiendo tus datos con la red sin conexión, el trabajo está ocurriendo en tu navegador. Una herramienta del lado del servidor se quedaría colgada o mostraría un error, porque no puede alcanzar su backend.

Hay una sutileza que conviene conocer, porque separa una comprobación rápida de una real. Funcionar sin conexión demuestra que la lógica de conversión es local. Por sí solo, no demuestra que la página nunca envíe tus datos cuando vuelva a estar en línea. Una página podría procesar localmente y aun así hacer un POST de una copia a algún lado. Así que, para la comprobación más sólida, hazlo también al revés:

  1. Mantén la red en línea y borra el registro de Network.
  2. Pega tu entrada y convierte.
  3. Inspecciona la lista de peticiones. Una herramienta genuinamente del lado del navegador no envía nuevas peticiones que lleven tu entrada. Si ves un POST o una petición cuya carga útil contiene los datos que pegaste, la herramienta los está transmitiendo, sin importar lo que diga el marketing.

Cuando ejecutas esta prueba en el Formateador JSON de FormatArc, la conversión sigue funcionando con la red sin conexión y no envía ninguna petición que contenga tu entrada, porque toda la herramienta son archivos estáticos y JavaScript del navegador, sin ningún backend al que llamar.

Una lista de verificación de cinco puntos para cualquier conversor

Antes de pegar datos sensibles en una herramienta web que no hayas usado antes, repasa estos puntos. Toman un minuto y son la diferencia entre estar a salvo o arrepentirte.

  1. ¿Declara explícitamente el procesamiento en el cliente? Frases vagas como "tus datos están seguros con nosotros" no significan nada. Busca una afirmación clara de que el procesamiento ocurre en tu navegador y de que los datos no se envían a un servidor, y luego verifícala.
  2. ¿Pasa la prueba de DevTools? Usa las comprobaciones de sin conexión y de registro de Network descritas arriba. Esta es la única afirmación que puedes confirmar en lugar de simplemente confiar.
  3. ¿Tiene una función de guardar o compartir? Una página de "guardar esto", "enlace para compartir" o "recientes" significa que tu entrada puede persistirse en un servidor. Esa es exactamente la función que se filtró en el incidente de 2025. Evítala para cualquier cosa sensible.
  4. ¿Está libre de rastreadores y anuncios? Las redes publicitarias y los scripts de análisis se ejecutan en la misma página que tus datos. No son el conversor, pero son código de terceros adicional con acceso a la página. Cuantos menos scripts de terceros, más seguro.
  5. ¿Funciona sin conexión después de cargar? Carga la página, desconéctate y confirma que sigue funcionando. Una herramienta que necesita la red a mitad de la conversión está haciendo algo en un servidor.

Así puedes comparar herramientas según las características que importan para la seguridad. Complétala para cualquier conversor que estés evaluando.

Característica de seguridad Qué buscar
Procesamiento en el cliente La conversión se ejecuta en el navegador, verificable en DevTools
No requiere subir archivos Solo pegar, o lectura local de archivos que nunca sale de la página
Sin URL de guardar o compartir Sin persistencia de tu entrada en el servidor
Sin rastreadores ni anuncios Scripts de terceros mínimos en la página
Funciona sin conexión Funciona con la red desactivada después de cargar
Código abierto El código puede ser inspeccionado y auditado por cualquiera

Ninguna fila por sí sola es una garantía. Una herramienta que puntúa bien en todas ellas, y pasa la prueba de DevTools, es una en la que puedes confiar razonablemente con entrada sensible.

En el navegador es más seguro, pero no automáticamente seguro

Sería deshonesto afirmar que una herramienta que funciona en el navegador está libre de riesgos, así que aquí está el matiz. Incluso cuando la conversión ocurre localmente, otro código en la misma página todavía puede ver lo que pegas:

  • Las redes publicitarias y los scripts de análisis se ejecutan en la página y pueden leer su contenido.
  • Los scripts de terceros cargados desde CDN externas se ejecutan con los permisos de la página.
  • Las extensiones del navegador pueden leer y modificar cualquier página que visites, incluidos los datos que pegaste.
  • Una falla de cross-site scripting (XSS), o una dependencia comprometida en el propio código de la página, puede exfiltrar datos incluso de una herramienta que por lo demás es local.

Por eso "menos scripts de terceros" es una propiedad de seguridad real, no un detalle agradable, y por eso importa el código abierto: permite auditar el comportamiento real de la página. Un conversor servido como archivos estáticos, sin análisis, sin red publicitaria y sin función de guardar, tiene una superficie de ataque mucho menor que uno repleto de rastreadores, aunque ambos ejecuten la conversión en el navegador. Mantén también tu navegador y tus extensiones confiables, ya que una extensión maliciosa derrota cualquier otra precaución.

Alternativas más seguras para datos sensibles

Si no tienes confianza en que una herramienta web sea segura, o los datos son demasiado sensibles para arriesgarse, tienes buenas opciones locales.

Herramientas verificadas que funcionan en el navegador. Un conversor que has confirmado que se ejecuta localmente sirve incluso para entrada sensible, porque nada sale de tu máquina. Las herramientas de FormatArc están construidas así: Formateador JSON, YAML a JSON, JSON a YAML y CSV a JSON se ejecutan por completo en el navegador sin subir nada, y siguen funcionando con la red desactivada.

Herramientas de línea de comandos. jq formatea y consulta JSON. yq convierte entre JSON y YAML. Ambas son binarios únicos que se ejecutan por completo en tu máquina. Para recetas más detalladas, consulta Convertir JSON a YAML y Convertir YAML a JSON, que cubren los enfoques con yq y scripting en detalle. Una advertencia: los secretos todavía pueden quedar en el historial de tu shell, en tu portapapeles y en los registros de CI aunque la herramienta en sí sea local, así que límpialos si los datos son verdaderamente sensibles.

Las funciones integradas de tu editor. VS Code formatea JSON con una combinación de teclas. La mayoría de los editores tienen el formateo de JSON y YAML integrado o a una extensión de distancia, y nunca tocan la red para ello.

¿Necesitas revisar un error, no convertir? Si solo intentas averiguar por qué un analizador rechaza tu JSON, a menudo no necesitas pegar la carga útil real en absoluto. Reproduce la estructura con valores de marcador de posición, o consulta Cómo corregir errores de análisis JSON para reconocer fallos comunes solo a partir del mensaje de error. Cuando quieras practicar con algo seguro, usa JSON de ejemplo público y nuestros consejos de formateo en lugar de datos reales.

Una nota sobre las extensiones del navegador: una extensión para formatear JSON puede ser cómoda, pero una extensión lee todas las páginas que visitas y puede venderse o actualizarse para comportarse de otra manera. Si usas una, prefiere una opción de código abierto y mantenida activamente, y aplícale el mismo escrutinio. Comparamos opciones en la guía de extensiones JSON para Chrome.

Por qué FormatArc es seguro por construcción

FormatArc está construido de modo que la exposición no solo sea improbable, sino estructuralmente imposible, y puedes verificar cada afirmación:

  • 100% en el navegador. Cada conversión se ejecuta en JavaScript dentro de tu pestaña. Tu entrada nunca se envía a ningún servidor.
  • Sin subidas. Pegas tus datos; no hay ningún paso de subida de archivos que envíe tus datos a otro lugar.
  • Sin backend. Todo el sitio son archivos estáticos en una CDN. No hay ningún servidor que reciba, procese o almacene tu entrada, así que no hay nada que filtrar, registrar o vulnerar.
  • Sin función de guardar y compartir. No hay página de "enlaces recientes" ni una URL para compartir tus datos, que es exactamente la función que causó la filtración de 2025.
  • Verificable. Desactiva tu red en DevTools y las herramientas siguen funcionando. Observa la pestaña Network y no verás ninguna petición que lleve tu entrada.

Aplica la lista de verificación de cinco puntos de arriba a FormatArc y pasa todas las filas que puedes verificar. Ese es el punto: no deberías creernos solo porque lo decimos, deberías poder comprobarlo, y con una herramienta estática que funciona en el navegador puedes hacerlo.

Lista de verificación final antes de pegar

  • ¿Los datos son sensibles (credenciales, tokens, datos de clientes o personales, configuración interna)? Si es así, no los pegues en una herramienta no verificada.
  • ¿Has ejecutado la prueba de DevTools con la red sin conexión y la del registro de Network? Si no, trata la herramienta como no verificada.
  • ¿La herramienta tiene una función de guardar, compartir o "recientes"? Si es así, evítala para datos sensibles.
  • ¿Podrías hacer esto localmente en su lugar, con una herramienta verificada que funcione en el navegador, con jq/yq o con tu editor? Si es así, prefiérelo.

Cuando la respuesta a "¿puedo confirmar que mis datos nunca se envían?" es sí, un conversor en línea es una herramienta rápida, cómoda y segura. Cuando no puedes confirmarlo, supón lo peor y convierte sin conexión.

Preguntas frecuentes

Ya pegué un secreto en una herramienta en línea. ¿Qué debo hacer?

Trátalo como comprometido. Rótalo: regenera la clave de API, cambia la contraseña, vuelve a emitir el token, revoca y vuelve a emitir el certificado. Asume que ya ha sido raspado, ya que la investigación de watchTowr demostró que los atacantes accedían a datos supuestamente expirados en menos de 48 horas. La rotación es la única solución fiable una vez que un secreto ha salido de tu control.

¿Debería mi equipo prohibir por completo los conversores en línea?

Una prohibición general es difícil de hacer cumplir y empuja a la gente hacia herramientas en la sombra. Una mejor política es permitir herramientas verificadas que funcionen en el navegador y métodos locales (jq, yq, funciones del editor) para datos sensibles, y enseñar la prueba de verificación con DevTools para que la gente pueda comprobarlo por sí misma. Reserva las herramientas en línea no verificadas únicamente para datos públicos y no sensibles.

¿No basta con HTTPS para mantener mis datos seguros?

No. HTTPS cifra la conexión para que nadie pueda espiar en tránsito. No hace nada respecto a lo que el servidor hace con tus datos después de que llegan: almacenarlos, registrarlos, generar un enlace para compartir o dejar que un operador los lea. Un sitio con un HTTPS impecable puede aun así filtrar todo lo que pegas. Lo que te protege es que los datos nunca se envíen.

Si una herramienta funciona sin conexión, ¿es definitivamente segura?

Funcionar sin conexión demuestra que la lógica de conversión se ejecuta localmente, lo cual es necesario pero no suficiente. Una página podría procesar localmente y aun así enviar una copia de tus datos cuando vuelva a estar en línea. Para la comprobación completa, observa también la pestaña Network mientras estás en línea y confirma que ninguna petición lleva tu entrada. Una herramienta que pasa ambas comprobaciones, y no tiene función de guardar ni de compartir, es una en la que puedes confiar.

¿Son las herramientas de línea de comandos como jq y yq más seguras que las herramientas web?

Para la conversión en sí, sí: jq y yq se ejecutan por completo en tu máquina y no envían nada. Solo recuerda que los secretos todavía pueden terminar en el historial de tu shell, en tu portapapeles y en los registros de CI, así que límpialos al manejar datos verdaderamente sensibles. Una herramienta verificada que funcione en el navegador ofrece una seguridad similar sin necesidad de instalar nada.