Seguridad informática

La mayoría de las «auditorías de margen gratis» tienen precio. Solo se paga con datos. Tecleas tu ticket real, tu food cost real, tu mano de obra real — y a la mañana siguiente un vendedor te escribe con la respuesta que ellos generaron, más la oferta que ya te iban a hacer. La herramienta era el embudo. Tus números eran el calificador.

El patrón se esconde porque nadie hace la pregunta obvia: ¿a dónde van mis inputs el momento en que los tecleo? En un navegador funcional, puedes contestar esa pregunta en menos de un minuto. Abre DevTools, ve a la pestaña Network, teclea un número, observa qué pasa. Una herramienta segura: nada. Una insegura: cada keystroke postea al servidor. La mecánica es exactamente así de visible.

Este pilar existe porque las herramientas de calidad para restaurantes deberían ser honestas con su manejo de datos, y la mayoría no lo son. El cluster no moraliza. Te enseña a verificar.

Los cuatro niveles de datos de restaurante, ordenados por daño si se exponen

El modelo mental que decide qué compartir y dónde:

• Nivel 1 — Público, intencional. Horarios, dirección, menú, tipo de cocina, fotos. Quieres esto en cada directorio que puedas encontrar. No hace falta ninguna restricción.
• Nivel 2 — Números operativos, sensibles pero acotados. Rangos de ingreso, ticket promedio, prime cost, porcentaje de food cost. Útiles en benchmarks y comparaciones. Solo deberían salir de tu cabeza cuando un contrato nombre qué hace el receptor con ellos. Encuestas RAMW, las notas de investigación del estudio, tu contador. No una herramienta gratis de margen de un proveedor del que nunca oíste.
• Nivel 3 — Datos de clientes. Listas de reservas, direcciones de email, el log de quejas, el cliente regular que dejó una estrella. Sujeto a ley de privacidad (GDPR, CCPA, PIPA de Maryland). Vive solo en tu POS, tu plataforma de reservas y tus respaldos cifrados. Nunca tecleado en una herramienta gratis.
• Nivel 4 — Identidad. EIN, SSN del dueño, routing bancario, credenciales del procesador de pagos, facturas de proveedores con términos de pago. La lista de cosas que, si se exponen, toman seis meses limpiar. Vive detrás de 2FA, nunca en email, nunca en una carpeta compartida de Drive, nunca cerca de una herramienta gratis.

El principio: los datos nunca fluyen hacia un nivel más alto. Una herramienta que necesita Nivel 2 (tu ticket promedio) para computar una respuesta de Nivel 1 (un benchmark direccional de la industria) es sospechosa. Una que necesita Nivel 3 (emails de clientes) para computar una respuesta de Nivel 2 (una lista de marketing) está vendiendo a tus clientes. Una que necesita Nivel 4 (tu info bancaria) para computar cualquier cosa que no sea procesar pagos es una estafa.

La auditoría de cinco pruebas que puedes correr sobre cualquier herramienta gratis

El recorrido completo está en Cómo saber si una herramienta de restaurante es segura; las cinco pruebas, en orden de qué tan rápido atrapan a un mal actor:

1. La prueba de Network (15 segundos). Abre DevTools, pestaña Network. Teclea un número real en la herramienta. Mira el log de requests. Si un solo keystroke postea tu input, vete. Las herramientas de Muntin (/es/security/) envían una promesa verificable: cero outbound requests cuando tecleas un número.
2. La prueba de Storage (15 segundos). Application → Storage. Teclea un número. Recarga la página. ¿Tu número persistió? Si sí — localStorage, IndexedDB, cookies — la herramienta está haciendo una copia. Eso puede estar bien (el Workshop de Muntin persiste en localStorage por tu guardado explícito) pero debería ser obvio, no una sorpresa.
3. La prueba de View Source (30 segundos). Click derecho, View Page Source. Busca «fetch(» o «XMLHttpRequest». Una herramienta segura tiene cero hits en el camino del código de la calculadora; una insegura llama a fetch() en el handler del keystroke.
4. La prueba de hash de integridad (1 minuto). El sitio publica /security/integrity.txt con hashes SHA-256 de cada archivo JS enviado. Puedes hashear el archivo que tu navegador efectivamente cargó y comparar. Si coinciden, el JS que corriste es el JS que el estudio dice enviar. /security/integrity.txt en este sitio.
5. La prueba del competidor (5 minutos). Corre las mismas cinco pruebas en una herramienta comparable. La diferencia es el argumento que carga peso. La mayoría de las calculadoras de «margen gratis» falla al menos tres de las cinco.

La pregunta del proveedor

Más allá de las herramientas mismas, la pregunta del proveedor: ¿a quién dejas ver tus datos cuando armas tu stack? La respuesta honesta para un restaurante independiente se ve algo así:

• POS (Toast, Square, Clover). Vive aquí data de Nivel 3. El contrato es lo que importa; lee la cláusula de exportación de datos y la de eliminación antes de firmar.
• Plataforma de reservas (OpenTable, Resy, Tock). Vive aquí data de Nivel 3. La mayoría agrega tus datos en reportes de tendencia que vuelven a vender a la industria — legalmente está bien, pero pregúntalo antes de comprometerte.
• Agregadores (DoorDash, Uber Eats, Grubhub). Vive aquí data de Nivel 3, con no-portabilidad explícita. El agregador es dueño de la relación con el cliente; tú eres dueño de la relación con la cocina. La op-ed de la cuenta de DoorDash (/es/blog/an-honest-doordash-math-for-independent-restaurants-2026/) hace el caso para la propiedad del canal directo justamente por esto.
• Herramientas gratis que piden tus números. Aplica la auditoría de cinco pruebas. Si fallan, teclea números ficticios; si no puedes testearla con números falsos, esa es la respuesta.

Respuesta a incidente: qué hacer si tu stack se vulnera

El escenario de brecha más probable para un restaurante independiente es una brecha en el proveedor del POS (código de otro), no propia. Los cuatro pasos en orden:

1. Verifica que la brecha sea real. Los emails de phishing que dicen «tus datos fueron expuestos» son ellos mismos un phish. Revisa la página propia de incidentes del proveedor, no el enlace del email. PIPA de Maryland le da al proveedor 45 días para reportar al Attorney General; la brecha es real si el registro del AG la tiene.
2. Lee qué fue expuesto. Nivel 1 (horarios, dirección) — nada que hacer. Nivel 2 (ingreso) — incómodo pero no accionable. Nivel 3 (emails de clientes) — tus comensales necesitan notificación bajo la mayoría de las leyes estatales. Nivel 4 (banking, credenciales del procesador) — congela las cuentas, rota credenciales, reporta al FBI.
3. Notifica a los clientes si la brecha es Nivel 3. La ley de Maryland (PIPA) requiere notificación dentro de 45 días para residentes cuyos datos fueron expuestos. La notificación es plantillable; la página del AG tiene el marco. Hazlo aunque el proveedor diga que va a notificar; tus clientes se inscribieron contigo, no con el proveedor.
4. Documenta la línea de tiempo. Cuándo te enteraste, qué fue expuesto, qué hiciste, cuándo notificaste. PIPA de Maryland exige retener esto al menos tres años. El estudio usa un solo archivo de GDocs por incidente; tabular, simple.

Qué hacer este mes

Tres acciones:

1. Corre la auditoría de cinco pruebas en cada herramienta de «margen gratis» en la que tengas hoy una pestaña abierta. La mayoría falla. Las que pasan son las que te quedas usando.
2. Lista a tus proveedores por nivel. ¿Qué proveedor tiene data Nivel 1, 2, 3 y 4? La mayoría de los operadores nunca armó la lista. El acto de escribirla atrapa los over-shares.
3. Configura una bóveda gratuita en LastPass / 1Password / Bitwarden para las credenciales del estudio. Data Nivel 4 nunca debería estar en una hoja de Google. Migra este mes; toma 90 minutos una sola vez y te ahorra una limpieza de seis meses después.

Operadores que quieren ayuda del lado del estudio: la auditoría de $499 incluye un recorrido proveedor-por-nivel para el stack actual del operador como parte del entregable.

Dónde este tema toca a los otros

• Operaciones y margen — porque la data de Nivel 2 (tus números operativos) es el input de la mayor parte del trabajo de margen. Protégela donde vive; no la dispares por todas las herramientas gratis.
• Confianza y reseñas — porque el marco de credibilidad que te gana reseñas de tus comensales es el mismo que debería ganarte la confianza de tus proveedores.
• Búsqueda con IA y citación — porque los modelos de búsqueda con IA son una clase emergente de proveedor, y la pregunta «¿entrena con mis datos?» es una pregunta de Nivel 2. La página /es/ai/ documenta la postura del estudio; los operadores que evalúan herramientas de IA deberían hacer las mismas preguntas.

El compuesto a vigilar: tu lista nivel-por-proveedor, refrescada cada trimestre. La lista misma es la disciplina.