Índice
Las plataformas de gestión de traducciones ocupan una posición crítica en el ciclo de vida del desarrollo de software. Gestionan textos de productos aún no publicados, campañas de marketing, avisos legales y comunicaciones internas — contenido que, si se expone prematuramente, puede dañar marcas, violar acuerdos de confidencialidad (NDA) y descarrilar lanzamientos de productos. Sin embargo, la seguridad en el ámbito de la localización ha sido históricamente una idea de último momento.
En Better i18n, adoptamos un enfoque diferente. La seguridad no es una característica añadida a posteriori. Está integrada en cada capa de la plataforma, desde cómo se autentican los usuarios hasta cómo se almacenan y transmiten las cadenas de traducción. En esta publicación, desglosamos la arquitectura de seguridad que protege sus flujos de trabajo de traducción.
Autenticación: Cuatro Métodos, Un Principio
El principio es simple: ofrecer a los equipos el método de autenticación que se adapte a su postura de seguridad, sin comprometer la protección.
Correo Electrónico y Contraseña con Verificación
La base. Cada cuenta creada con correo electrónico y contraseña pasa por una verificación de correo electrónico obligatoria antes de conceder el acceso. Esto elimina las cuentas fantasma y garantiza que cada usuario de su organización sea una persona verificada con una bandeja de entrada real.
Aplicamos requisitos de contraseña robustos y hasheamos todas las credenciales con algoritmos de hash modernos y salados. Las contraseñas en texto plano nunca llegan a nuestra base de datos.
OAuth: Google & GitHub
Para los equipos que ya usan Google Workspace o GitHub Organizations, el inicio de sesión único (SSO) mediante OAuth elimina completamente la gestión de contraseñas. Los usuarios se autentican a través de su proveedor de identidad existente, heredando las políticas de MFA y sesión que ya tienen implementadas.
Esto es especialmente valioso para los equipos de desarrollo. Los desarrolladores ya viven en GitHub — permitirles autenticarse con la misma identidad reduce la fricción y elimina otro conjunto de credenciales que gestionar.
Códigos de Un Solo Uso por Correo Electrónico
El OTP por correo electrónico proporciona autenticación sin contraseña para usuarios que necesitan acceso sin la carga de gestionar credenciales. Cada código es de un solo uso y tiene un tiempo límite, lo que lo hace ideal para colaboradores externos, traductores freelance o partes interesadas que revisan traducciones ocasionalmente.
Sin contraseña no hay contraseña que suplantar, reutilizar o atacar por fuerza bruta.
Passkeys WebAuthn
Las passkeys son el futuro de la autenticación, y Better i18n las soporta hoy. Construidas sobre el estándar WebAuthn, las passkeys utilizan criptografía de clave pública donde la clave privada nunca abandona el dispositivo del usuario. No hay ningún secreto compartido que interceptar, ningún código que suplantar y ninguna contraseña que robar.
Para los equipos empresariales que exigen autenticación resistente al phishing, las passkeys ofrecen la garantía más sólida disponible en las aplicaciones web modernas.
Gestión de Organizaciones y Equipos
La autenticación permite entrar a los usuarios. La autorización determina qué pueden hacer una vez dentro.
Better i18n admite múltiples organizaciones por cuenta, cada una con su propio conjunto aislado de proyectos, miembros y facturación. Esto es importante para agencias que gestionan múltiples clientes, empresas con unidades de negocio distintas y consultores que trabajan en varias organizaciones.
Control de Acceso Basado en Roles
Tres roles establecen límites de permisos claros:
- Owner — Control total sobre la organización, incluyendo facturación, gestión de miembros y operaciones destructivas como la eliminación de la organización.
- Admin — Gestión de proyectos y miembros sin acceso a la facturación ni a acciones destructivas a nivel de organización.
- Member — Trabajo de traducción diario dentro de los proyectos asignados. Sin acceso administrativo.
Esto es deliberadamente simple. Los sistemas RBAC complejos con docenas de permisos granulares generan confusión y configuraciones erróneas. Tres roles, claramente definidos, reducen la superficie de errores de seguridad relacionados con permisos.
Invitaciones de Miembros
Los nuevos miembros se unen mediante invitación por correo electrónico con una página de aceptación dedicada en /invite/{inviteId}. Las invitaciones están limitadas a una organización específica y caducan tras un período determinado. Sin registro abierto, sin incorporación de autoservicio — cada miembro es invitado explícitamente por alguien con autoridad para hacerlo.
Seguridad de las API Keys: Defensa en Profundidad
Los pipelines de CI/CD, los sistemas de compilación y los scripts de automatización necesitan acceso programático. Las API keys lo hacen posible, pero también son uno de los vectores más comunes de exposición accidental (piense en archivos .env filtrados y secretos comprometidos en commits).
Better i18n aplica tres capas de protección:
Alcance a Nivel de Organización. Cada API key está vinculada a una única organización. Una key creada para la Organización A no puede acceder a los datos de la Organización B, incluso si ambas organizaciones comparten el mismo propietario. Esto evita el movimiento lateral en caso de que una key se vea comprometida.
Almacenamiento Hasheado. Las API keys se hashean antes de escribirse en la base de datos. Almacenamos el hash, no la key. Si un atacante obtiene acceso de lectura a nuestra base de datos, obtiene hashes — no keys utilizables. La key sin procesar se muestra una sola vez en el momento de su creación y nunca más.
Revocación Instantánea. Cuando una key se ve comprometida — o incluso se sospecha que lo está — puede revocarse de inmediato desde el panel de control. La revocación es instantánea y permanente. No hay período de gracia, no hay acceso en caché, no hay sesiones residuales.
Infraestructura: Reforzada desde el Edge
La plataforma funciona sobre una arquitectura elegida específicamente por sus características de seguridad:
Cloudflare Workers gestiona todo el cómputo en el edge. Esto significa mitigación automática de DDoS, terminación TLS y distribución geográfica sin necesidad de gestionar servidores. No hay puertos abiertos, no hay acceso SSH y no hay superficie de ataque tradicional.
PlanetScale proporciona la capa de base de datos con cifrado automático en reposo, controles de acceso detallados y registro de auditoría. Las ramas de base de datos permiten revisar los cambios de esquema antes de la implementación — el mismo flujo de trabajo de pull request que los desarrolladores usan para el código.
Cloudflare R2 almacena activos con cifrado en reposo y en tránsito. Los controles de residencia de datos permiten a las organizaciones mantener sus datos en regiones específicas, lo cual es relevante para los requisitos de GDPR y soberanía de datos.
Cumplimiento: SOC 2, ISO 27001, GDPR
Los equipos de adquisiciones empresariales necesitan documentación, no promesas. Better i18n está alineado con tres grandes marcos de cumplimiento:
SOC 2 Type II proporciona verificación independiente y de terceros de nuestros controles de seguridad. La auditoría cubre seguridad, disponibilidad y confidencialidad — los tres criterios de servicio de confianza más relevantes para una plataforma de gestión de traducciones.
La certificación ISO 27001 significa que nuestro sistema de gestión de seguridad de la información (SGSI) sigue el estándar internacional para identificar, evaluar y gestionar los riesgos de seguridad de forma sistemática.
El cumplimiento del GDPR abarca los acuerdos de procesamiento de datos, el derecho al olvido, la minimización de datos y el consentimiento transparente. Para los equipos europeos y cualquier organización que gestione datos de usuarios de la UE, esto es innegociable.
Cifrado: En Tránsito y En Reposo
Todos los datos que se mueven entre sus sistemas y Better i18n están cifrados con TLS 1.3 — la versión más reciente del protocolo, que ofrece handshakes más rápidos y conjuntos de cifrado más robustos que sus predecesores.
Los datos en reposo están cifrados con AES-256 en todas las capas de almacenamiento. Esto incluye la base de datos, el almacenamiento de objetos y cualquier caché temporal. Las claves de cifrado se gestionan a través de los sistemas de gestión de claves de los proveedores de infraestructura con rotación automática.
Las sesiones de autenticación utilizan cookies seguras, HttpOnly y SameSite gestionadas por Better Auth. Esta combinación evita que el cross-site scripting (XSS) acceda a los tokens de sesión, bloquea los ataques de cross-site request forgery (CSRF) y garantiza que las cookies solo se transmitan a través de HTTPS.
Conclusión
La seguridad en la localización no consiste en marcar casillas — aunque también hacemos eso. Se trata de reconocer que el contenido de traducción es propiedad intelectual sensible que merece la misma protección que el código fuente y los datos de los clientes.
Better i18n ofrece cuatro métodos de autenticación (incluidas passkeys resistentes al phishing), aislamiento a nivel de organización con control de acceso basado en roles, gestión reforzada de API keys, infraestructura cifrada en la red edge de Cloudflare y alineación con SOC 2, ISO 27001 y GDPR.
Sus traducciones merecen una mejor seguridad. Ahora la tienen.
