Tus datos de viaje, protegidos por diseño
Cómo recopilamos, procesamos y protegemos la información que introduces. Sin letra pequeña. Hechos técnicos verificables sobre un stack 100% bajo control propio en la Unión Europea.
Viaje con Inteligencia es un ecosistema de conciencia situacional asistido por fuentes OSINT públicas. Los análisis de riesgo generados son síntesis automatizadas de información pública (MAEC, USGS, GDACS, ACLED, WHO y 73+ fuentes más) combinadas con modelos de IA. No constituyen asesoramiento de seguridad profesional, legal, médico ni consular.
Las condiciones en destino pueden cambiar sin previo aviso. Para operaciones de alto riesgo, consulta siempre las recomendaciones oficiales del MAEC y un profesional certificado en seguridad de viaje.
Un aggregator OSINT-asistido, no una plataforma de inteligencia operacional
Viaje con Inteligencia correlaciona y contextualiza 73+ fuentes OSINT públicas para que viajeros accedan a información que normalmente solo está al alcance de servicios de inteligencia corporativos.
Contextualización OSINT-asistida por IA
Correlacionamos fuentes abiertas (MAEC, USGS, GDACS, ACLED, WHO, World Bank, Global Peace Index, Aviation Safety Network…) y aplicamos un índice IRV compuesto de 16 KPIs en 5 dimensiones ponderadas para 136 países. El Chat IA (Groq/LLaMA) genera recomendaciones personalizadas en tiempo real.
No generamos inteligencia operacional primaria
No realizamos recopilación activa, vigilancia, análisis HUMINT ni accedemos a fuentes clasificadas. Consulta la lista completa de fuentes y la metodología IRV.
El espacio entre el MAEC y la inteligencia corporativa
Viajeros independientes, periodistas freelance, ONG, nómadas digitales y equipos pequeños sin acceso a productos de inteligencia de viaje corporativos. El MAEC ofrece avisos genéricos; los productos empresariales cuestan cinco cifras anuales.
Proyecto personal de código abierto
Desarrollado por M. Castillo desde España. Repositorio público en GitHub. Arquitectura y evolución documentadas en /ecosistema.
Stack técnico verificable — 100% EU, bajo control propio
En mayo de 2026 completamos la migración de Vercel a infraestructura self-hosted en Hetzner Cloud (datacenter EU). Ningún dato de usuario transita por redes de edge compartidas fuera del control de la plataforma.
Nota sobre API externa de IA: Groq es un proveedor ubicado en EE.UU. Las llamadas a su API se realizan bajo Cláusulas Contractuales Tipo (SCCs) del RGPD. La API no retiene datos en su política estándar. Los datos enviados son exclusivamente el input sanitizado de la sesión activa — nunca identificadores persistentes.
¿Qué ocurre con tu itinerario? Trazabilidad completa
Del momento en que introduces tu destino hasta la eliminación automática. Sin pasos ocultos.
| Dato | ¿Se almacena? | Retención | Cifrado | Propósito |
|---|---|---|---|---|
| Email / cuenta | Sí | Vida de la cuenta | AES-256 · Supabase EU | Autenticación |
| Itinerario / destino | Temporal | Máx. 24 horas | TLS + RLS en BD | Análisis IRV |
| Historial consultas | Opcional | Hasta supresión | AES-256 · RLS por uid | Informes previos |
| Datos de pago | No (Stripe) | No aplica | PCI DSS L1 vía Stripe | Facturación delegada |
| Email newsletter | Sí | Hasta baja | Resend · AES-256 | Comunicación opcional |
| Logs de acceso | Sí | 30 días rolling | Nginx · Hetzner | Seguridad |
Defensa en capas — respuestas técnicas concretas
Las preguntas correctas: ¿qué se almacena?, ¿cuánto tiempo?, ¿está cifrado?, ¿qué garantías hay? Respuestas — sin marketing.
Cifrado en tránsito y en reposo
- TLS 1.3 en toda la cadena: cliente → Nginx → Next.js → Supabase
- HSTS con preload — no hay fallback a HTTP
- Supabase cifra volúmenes con AES-256 en reposo
- Certificados Let's Encrypt con renovación automática
Row Level Security (RLS)
- Todas las tablas con datos personales tienen RLS activo
- Políticas:
auth.uid() = user_id— aislamiento por usuario - Una API key comprometida no accede a datos de otros usuarios
Control propio de infraestructura
- Migración self-hosted en Hetzner Cloud EU (Mayo 2026)
- Elimina superficie de ataque de edge networks compartidas
- Acceso SSH con clave pública — sin contraseñas
- Firewall UFW + reglas Nginx restrictivas
Gestión de secretos
- Todas las API keys en variables de entorno — nunca en código
- Cero secretos comiteados en el repositorio GitHub
- Webhook de Stripe validado con firma HMAC
Rate limiting en API públicas y B2B
- Límites por IP y
user_iden rutas/api/* - Protección reforzada en webhooks de Stripe
- API B2B con autenticación por token (
x-api-key)
Canal de divulgación de vulnerabilidades
/.well-known/security.txtcon contacto y PGP key- SLA de respuesta a reportes: 72 horas
- Reconocimiento público a investigadores responsables
El modelo que usamos y cómo lo protegemos
Una integración de IA activa con arquitectura stateless. No comparte contexto entre usuarios.
Chat IA en tiempo real
- Usado para el Chat IA conversacional en el dashboard
- Cada conversación es una sesión completamente nueva
- No existe historial compartido entre usuarios
- Input sanitizado antes de enviar — caracteres de control, patrones de inyección
Prompt injection
- Función
sanitizeItinerary()previo al análisis: valida y limpia el input - Separación estructural: datos de usuario y system prompt en roles API distintos
- Monitorización de outputs fuera del dominio de viaje
- Self-hosting elimina vectores de ataque de edge compartido
Transparencia y supervisión humana
- Todos los análisis generados por IA están identificados como tales
- Mecanismo de feedback en informes generados
- Sin perfilado discriminatorio, manipulación subliminal ni puntuación social
- Documentación de fuentes y limitaciones mantenida públicamente
73+ fuentes OSINT públicas integradas
Todas las fuentes son públicas y verificables. Ninguna es propietaria ni clasificada. Lista completa →
Normativa aplicable y cumplimiento
Operamos desde España con usuarios en la Unión Europea.
Protección de datos personales
- Base jurídica: consentimiento explícito (art. 6.1.a)
- Minimización: solo los datos necesarios para el análisis
- Tus derechos: acceso, rectificación, supresión — desde tu perfil o [email protected]
- Infraestructura: Hetzner EU + Supabase EU — datos dentro del EEE
- API externa IA: cubierta por SCCs del RGPD
Uso responsable de inteligencia artificial
- Clasificación: riesgo limitado según uso actual
- Transparencia (art. 50): toda interacción IA identificada
- Supervisión humana (art. 14): feedback en informes
- Prohibiciones (art. 5): sin perfilado discriminatorio
Servicios de la Sociedad de la Información
- Identificación del prestador en /legal
- Política de cookies conforme a directrices AEPD
- Disclaimer operacional en todos los informes IA
Seguridad en pagos delegada
- Stripe Checkout — tarjetas nunca tocan la infraestructura
- Clasificación SAQ-A: mínima responsabilidad PCI DSS
- Webhook validado con firma HMAC