Nico Taboada
16 de mayo de 2026
Hace poco estuve viendo varias apps de IA construidas con Supabase (muchas de las apps se decantan Supabase como DB, asi que en este caso vamos a analizar esta DB).
Y noté un patrón que se repite un monton:
Muchos founders están dejando expuesta información privada de usuarios sin siquiera darse cuenta.
No porque Supabase sea inseguro.
Sino porque configuran la base de datos mal.
3 cosas básicas que revisaría hoy mismo si usás Supabase:
Verificá que RLS esté activado
RLS (Row Level Security) define qué filas puede leer cada usuario.
Si está apagado, cualquiera con tu anon key puede terminar leyendo datos que no debería
A menos que quieras que una tabla sea pública, RLS debería estar prendido.
Sin eso, tu anon key puede convertirse básicamente en acceso libre a la tabla.
Definí políticas claras
No alcanza con activar RLS.
También necesitás policies bien definidas.
Por ejemplo:
un usuario puede leer SUS datos
pero no los de otros usuarios
He visto apps donde cualquier usuario autenticado podía leer perfiles completos de todos los demás.
Nunca expongas tu Service Role Key
Supabase tiene dos claves:
la anon key
y la service role key
La service role key es prácticamente acceso admin total.
Si termina:
en el frontend
en GitHub
o en un repo público
tu DB entera queda comprometida.
La cantidad de apps de IA que están saliendo es enorme.
Y muchos founders están priorizando “shippear rápido” antes que seguridad básica.
Eso está bien…
hasta que alguien encuentra el agujero.
PD: estoy haciendo consultorías 1:1 para founders que están construyendo apps de IA.
Una de las cosas tantas cosas que vemos es justamente el tema de seguridad, arquitectura y malas configuraciones en producción.
Si te interesa saber más sobre las consultorías, respondeme este mail.
Abrazo grande,
Nico
Keep Reading
Related Articles
Enjoyed this article? Get more like it.
Subscribe to the newsletter to get weekly insights on building and scaling software products.