ClearedToShip
Obtener la autorización

¿Es seguro Supabase? Cómo asegurar tu app de Supabase

Supabase es seguro por diseño, pero solo si activas y configuras correctamente la seguridad a nivel de fila. Casi toda exposición viene de saltarse ese paso.

Respuesta corta

Supabase es una plataforma bien construida y segura. Casi toda brecha de datos en Supabase se remonta a un mismo error: la seguridad a nivel de fila (RLS) está desactivada o escrita de forma demasiado permisiva, de modo que la clave anon pública puede leer tablas enteras. La clave anon está pensada para ser pública: tu seguridad viene de RLS, no de ocultar la clave.

Supabase es una plataforma segura y bien diseñada, y la clave anon (pública) está pensada para quedar expuesta en tu frontend. Casi toda brecha de datos en Supabase se reduce a un único error: la seguridad a nivel de fila (RLS) está desactivada o escrita de forma demasiado permisiva, de modo que cualquiera con tu clave anon puede leer tablas enteras. Tu protección viene de las políticas de RLS, no de mantener en secreto la clave anon. Si solo haces una cosa antes de lanzar, confirma que RLS esté activado y correctamente acotado en cada tabla que contenga datos de usuarios.

Supabase seguridad de un vistazo

Tipo de plataforma
Backend de código abierto (Postgres, auth, almacenamiento)
Riesgo más común
RLS desactivado o configurado como "permitir todo"
¿La clave anon es secreta?
No, es pública por diseño; RLS es el control
Clave service-role
Nunca debe llegar al navegador: omite RLS
Cómo revisar
Ejecuta el verificador de RLS de Supabase gratis

Los riesgos de seguridad más comunes de Supabase

RLS desactivado en una tabla

Cualquier tabla sin RLS activado es totalmente legible (y a menudo escribible) por cualquiera con tu clave anon, que se distribuye en tu frontend.

Políticas demasiado permisivas

Una política de "permitir todo" o "true" técnicamente activa RLS mientras deja los datos completamente abiertos. Que RLS esté "activado" no es lo mismo que RLS esté correcto.

Clave service-role en el cliente

La clave service-role omite RLS por completo. Si llega al navegador o a un repositorio público, toda tu base de datos queda expuesta.

Cómo asegurar tu app de Supabase

Revisa tu app de Supabase en 60 segundos

Pega tu URL ya desplegada para un escaneo gratuito de preparación para el lanzamiento, y luego obtén una autorización revisada por una persona y respaldada por seguro antes de lanzar.

Gratis, sin tarjeta. Calificación instantánea de encabezados de seguridad en pantalla, y luego un informe de preparación para el lanzamiento revisado por una persona, por correo.

Preguntas frecuentes sobre la seguridad de Supabase

¿Es seguro exponer mi clave anon de Supabase?
Sí: la clave anon está diseñada para ser pública y se distribuye en tu frontend. Tu protección viene de las políticas de seguridad a nivel de fila, no de mantener en secreto la clave anon. La clave service-role, en cambio, nunca debe quedar expuesta.
¿Cómo reviso si mis tablas de Supabase son públicas?
Usa nuestro verificador de RLS de Supabase gratis. Pega la URL de tu proyecto y tu clave anon, y te informa qué tablas devuelven datos sin autenticación.
¿Supabase cumple con HIPAA?
Supabase ofrece un nivel compatible con HIPAA en sus planes de pago con un BAA firmado, pero el cumplimiento es una responsabilidad compartida: aún tienes que configurar correctamente RLS, los controles de acceso y los registros. Que la plataforma sea capaz de cumplir con HIPAA no hace que tu app específica cumpla.
Escaneo gratuito de preparación para el lanzamiento
Obtener mi escaneo gratis