Skip to content
Dropfile
PreciosPrueba gratis de 14 díasCredits10

¿Son seguras las herramientas PDF online? Revisión basada en evidencia para 2026

La seguridad depende de la arquitectura, la retención y la postura frente al entrenamiento de IA, no de la marca. Esto es lo que publican iLovePDF y Smallpdf, y la lista corta que deberías aplicar a cualquier herramienta.

Ir a la tabla comparativa

Illustrated otter avatar

Por Sarah W. · Revisado por DropFile Editorial Team

Publicado Última revisión

¿Son seguras las herramientas PDF online?

Respuesta corta: unas sí y otras no. La diferencia suele estar en la arquitectura, no en la marca. Lo importante es cómo circula el archivo, cuánto tiempo se conserva y si el proveedor lo usa para algo más que procesarlo.

  • Herramientas solo en navegador ejecutan el trabajo en tu dispositivo con JavaScript o WebAssembly. El archivo no sale del equipo.
  • Herramientas con servidor efímero suben el archivo, lo procesan y lo eliminan en una ventana corta y publicada.
  • Servicios cloud con retención suben y guardan los archivos para historial, colaboración o compartición, ampliando la superficie de confianza.
Comparación de tres arquitecturas de procesamiento PDF: solo navegador, servidor efímero y nube con retención.
Tres arquitecturas, tres perfiles de riesgo. DropFile usa navegador para herramientas de página y procesamiento efímero para IA.

Para tareas de página como unir, dividir, organizar o convertir a imágenes, DropFile funciona completamente en tu navegador. Para resumir, extraer o chatear con IA usamos procesamiento efímero sin retención. Lo explicamos en la página de privacidad y en la página de seguridad.

¿Qué ocurre cuando subes un PDF a una herramienta online gratuita?

Si la herramienta es solo en navegador, nada sale de tu dispositivo. Si es server-side, el archivo viaja por TLS, se procesa en la infraestructura del proveedor y se elimina según su política declarada. El riesgo real está en los detalles: retención, subencargados, jurisdicción y uso secundario.

  • TLS protege el archivo en tránsito, no dentro de los sistemas del proveedor.
  • Cada cloud, OCR, plataforma de analítica o proveedor de IA amplía el perímetro de confianza.
  • "Borramos los archivos después de X horas" no equivale a privacidad durante esas horas.
  • La cuestión del entrenamiento de IA importa: algunos proveedores lo niegan de forma expresa y otros no lo aclaran.

¿Cómo se comparan DropFile, iLovePDF y Smallpdf en privacidad?

La tabla se basa en las páginas públicas de cada proveedor. Si una celda dice "No indicado", significa que el proveedor no trata ese punto en sus páginas principales de privacidad, seguridad o confianza en la fecha de revisión.

Comparativa de privacidad entre DropFile, iLovePDF y Smallpdf a partir de sus propias páginas públicas (abril de 2026).
DropFileiLovePDFSmallpdf
Tipo de servicioUtilidades PDF en navegador + herramientas de IA efímerasSuite PDF onlineSuite PDF online
Arquitectura principalNavegador para unir/dividir/organizar/convertir; servidor efímero para IAProcesamiento server-side en web; también ofrecen app de escritorio3Server-side6
¿Hace falta subir el archivo?No para herramientas de página; sí para IASí en la web36
Retención sin cuentaNada almacenado en herramientas de navegador; las salidas de IA no se retienen salvo historial1"one, two or twenty-four hours..."4"within one hour"6
Retención con cuentaHistorial cifrado, 7 días / 30 días / 1 año según plan1Misma ventana 1/2/24 horas; iLoveSign puede conservar hasta 5 años3Se borra en una hora salvo que se guarde en almacenamiento de cuenta6
Postura sobre entrenamiento de modelos"Nothing stored. Nothing trained on."1No indicado en las páginas principales3"We do not use these files to train models"6
Proveedor cloud nombradoGoogle Cloud (Cloud Run, Cloud SQL)2No indicado; se listan subencargados como Cloudflare, Stripe, PayPal y Sentry4Hetzner para procesamiento; Cloudflare para datos de autenticación6
JurisdicciónEstados Unidos (DropFile AI)No indicado con precisión; se describe como servicio global5Smallpdf AG está en Suiza; servidores en Irlanda6
Certificaciones declaradasCapa de plataforma GCP: SOC 1/2/3 e ISO 27001; sin claim de SOC 2 o HIPAA a nivel producto2ISO/IEC 27001; cumplimiento GDPR y eIDAS3ISO/IEC 27001; GDPR, CCPA, nFADP, eIDAS7
Herramienta dedicada para limpiar metadatosTodavía no — hoja de rutaNo aparece una herramienta dedicadaNo figura entre las principales; sí existe una guía en el blog8
Herramienta dedicada de redacciónTodavía no — hoja de rutaNo figura entre las principalesNo figura entre las principales

Cómo leer la tabla: una ventana de retención concreta es buena señal; una postura explícita sobre entrenamiento de IA también; y nombrar al proveedor cloud añade transparencia real. La ausencia de información no demuestra el peor escenario, pero obliga al usuario a decidir con menos datos.

¿Qué revela realmente un PDF sobre ti?

Un PDF es un contenedor, no una imagen plana. Además del texto visible, suele guardar nombre del autor, software de creación, usuario del sistema operativo, marcas temporales, miniaturas, anotaciones, formularios, archivos incrustados y a veces JavaScript. La especificación ISO 32000 trata los metadatos como contenido de primera clase.

Eso importa porque un archivo aparentemente inocuo puede seguir exponiendo detalles de origen o comportamientos inesperados. La investigación Shadow Attacks mostró que un PDF firmado puede alterarse visualmente después de la firma sin invalidarla12.

Por qué una caja negra no es una redacción real

Dibujar un rectángulo negro sobre el texto es anotación, no redacción. La capa de texto original puede seguir recuperándose con copiar y pegar, con herramientas como pdftotext o con la búsqueda del propio PDF13.

La redacción real elimina el texto del content stream y reescribe el archivo para que los bytes desaparezcan. NIST SP 800-88 Rev. 1 es la referencia práctica para ese tipo de eliminación destructiva14.

Un PDF con cajas negras visibles mientras la capa de texto oculta sigue intacta debajo.
El rectángulo negro tapa la capa visible, pero el flujo de texto inferior puede seguir intacto.

Cómo verificar por ti mismo cualquier herramienta PDF

No hace falta confiar en el marketing del proveedor sobre si sube o no los archivos. Las herramientas de desarrollador del navegador responden a esa pregunta básica en menos de un minuto.

  1. Abre la pestaña Red. Abre las herramientas de desarrollador y limpia la lista de peticiones.
  2. Usa la herramienta con un PDF de prueba pequeño. Mejor un archivo inocuo que un documento sensible.
  3. Busca peticiones salientes con el archivo. Si es solo navegador, no verás una subida del archivo. Si es server-side, normalmente sí.

No es una auditoría completa de seguridad, pero sí basta para confirmar o desmentir la mayoría de las afirmaciones de "no subimos archivos".

Siete preguntas antes de subir un PDF sensible

  1. ¿Dónde se ejecuta físicamente el archivo? ¿En el navegador, en un servidor del proveedor o en ambos?
  2. Si se sube, cuánto tiempo se conserva? Busca una ventana concreta y una política de borrado.
  3. ¿Quiénes son los subencargados? Cloud, OCR, IA, analítica, soporte.
  4. ¿Se usa el contenido para entrenar modelos? En flujos con IA esto debería estar declarado con claridad.
  5. ¿Cuál es la jurisdicción y la postura legal? Dónde está constituida la empresa y dónde residen los datos.
  6. ¿La redacción elimina texto de verdad? Ejecuta la prueba de copiar y pegar.
  7. ¿Cuál es el historial de incidentes? Las divulgaciones claras inspiran más confianza que el silencio.

Qué esperan los reguladores de los flujos documentales

En 2026 los reguladores tratan la gestión documental como parte de las medidas técnicas y organizativas del responsable. Hay tres referencias que aparecen una y otra vez en la práctica.

  • Artículo 25 del RGPD favorece arquitecturas que minimizan la recogida de datos desde el diseño16.
  • Artículo 32 del RGPD se centra en confidencialidad, integridad, resiliencia y salvaguardas adecuadas17.
  • HIPAA 45 CFR §164.312 exige controles de acceso, auditoría, integridad y seguridad en la transmisión cuando hay PHI18.

Los flujos solo en navegador hoy son viables porque los navegadores modernos ya exponen suficientes APIs de archivos. La File System Access API forma parte de ese cambio15.

Las herramientas de página de DropFile — unir, dividir, organizar páginas y convertir a imágenes — funcionan localmente. Las herramientas de IA como resumir y extraer se procesan de forma efímera y no se usan para entrenamiento. No afirmamos tener todavía una herramienta de redacción destructiva ni un limpiador dedicado de metadatos.

Referencias

  1. DropFile — Privacy policyRetention by plan, AI-training stance, history toggle

  2. DropFile — Security pageInfrastructure, encryption, compliance posture

  3. iLovePDF — Security & Data ProtectionRetention, encryption, ISO 27001, desktop app

  4. iLovePDF — Privacy Policy (hosted on iubenda)Granular 1/2/24-hour retention windows; listed subprocessors

  5. iLovePDF — PDF Compliance & GDPR"Global online service"; desktop app as local-processing option

  6. Smallpdf — Privacy NoticeNo model training; Hetzner + Cloudflare subprocessors; Swiss HQ; 1-hour retention

  7. Smallpdf — Trust CenterISO 27001, GDPR, CCPA, nFADP; TLS

  8. Smallpdf — Ways to remove PDF metadata (blog)

  9. Scribd Inc. — About

  10. Everand — homepage

  11. ISO 32000-2 — Document management — Portable document format

  12. Shadow Attacks on PDF signatures

  13. Nitro — Best PDF Redaction Tools 2026

  14. NIST SP 800-88 Rev. 1 — Guidelines for Media Sanitization

  15. File System Access API — MDN Web Docs

  16. GDPR Article 25 — Data protection by design and by default

  17. GDPR Article 32 — Security of processing

  18. HIPAA 45 CFR §164.312 — Technical safeguards

Preguntas frecuentes

¿Es seguro iLovePDF?
iLovePDF publica una certificación ISO 27001 y dice que elimina los archivos subidos en una, dos o veinticuatro horas según el tipo de cuenta. Sus páginas públicas no aclaran de forma explícita el entrenamiento de modelos con esas subidas.
¿Es seguro Smallpdf?
Smallpdf afirma que borra los archivos en una hora salvo que se guarden en el almacenamiento de la cuenta, y su política de privacidad dice expresamente que no los usa para entrenar modelos.
¿Es seguro subir un extracto bancario o un pasaporte a una herramienta PDF online?
Solo si aceptas la ventana de retención, la política de entrenamiento y la jurisdicción del proveedor, o si la herramienta es solo en navegador y el archivo nunca sale de tu dispositivo.
¿Tapar texto con un rectángulo negro lo redacta de verdad?
No. Solo oculta el texto visualmente. La capa de texto puede seguir dentro del archivo y recuperarse con copiar y pegar o con la búsqueda del PDF.
¿Cómo sé si un PDF tiene metadatos ocultos?
Abre el archivo y revisa sus propiedades. Autor, Creador, Productor y Palabras clave son los campos más habituales. Para más detalle, usa herramientas como pdfinfo o exiftool.
¿DropFile sube mis archivos?
No en nuestras herramientas PDF de página. Sí en las herramientas de IA como resumir, extraer o chat, pero solo para procesarlos de forma efímera y sin usarlos para entrenar modelos.
¿Qué hago si ya subí un PDF sensible a otro sitio?
Comprueba la ventana de retención del proveedor, borra el archivo de cualquier almacenamiento asociado a la cuenta y rota cualquier secreto o credencial que el documento pudiera exponer.

Une, divide y organiza PDFs sin subir el archivo

Nuestras herramientas PDF de página funcionan enteramente en tu navegador. El archivo no llega a nuestros servidores, así que no hay ventana de retención ni cuestión de entrenamiento de IA.

Abrir herramientas PDF de DropFile