¿Qué hace esto en realidad?

Kodo pregunta a ChatGPT, Google, Siri, Yelp y otros sitios las mismas cosas que preguntan tus vecinos, como "mejor peluquería cerca" o "buenos tacos en el centro". Vemos si apareces. Si no apareces, te decimos qué falta y te guiamos para arreglarlo. La mayoría de los arreglos tardan cinco minutos y no cuestan nada.

¿Está mi negocio en ChatGPT?

Puede que sí. ChatGPT solo recomienda más o menos 1 de cada 100 negocios locales para una búsqueda dada, así que la mayoría son invisibles hasta que alguien arregla lo básico. Escribe el nombre de tu negocio en la comprobación al inicio de esta página y verás exactamente dónde apareces y dónde no, en unos 30 segundos.

¿Necesito saber de tecnología para usar Kodo?

No. Si puedes escribir el nombre de tu negocio, puedes usar Kodo. El informe está en español claro. Cada arreglo tiene una opción de un botón o un paso a paso corto. No hay código, ni archivos de configuración, ni jerga de marketing. Si algo se entiende mal, dínoslo y lo reescribimos.

La primera comprobación es gratis. Después, $19 al mes te da seguimiento mensual de un negocio y diez búsquedas que te importan. $39 al mes añade reseñas, citaciones y tres competidores. $79 al mes es el paquete completo, con búsquedas ilimitadas, publicaciones automáticas y automatización de solicitudes de reseña. Sin contrato, cancela cuando quieras.

¿Por qué importa esto ahora?

Más de la mitad de los consumidores usó herramientas de IA para encontrar un negocio local el año pasado, frente a menos de uno de cada cinco el año anterior (BrightLocal, 2025). Cuando alguien le pide a ChatGPT o a Siri una peluquería, un restaurante o un mecánico, la IA elige un puñado de nombres. Si no eres uno de ellos, el cliente nunca te ve.

¿Qué diferencia a Kodo de otras herramientas?

La mayoría de las herramientas de SEO local están hechas para marketers, no para dueños. Usan palabras como "citación", "schema" y "share of voice", y cuestan entre $50 y $300 al mes. Kodo empieza en $19, habla en español claro y se centra en lo que los asistentes de IA dicen de ti, no solo en Google. Está pensado para la persona que lleva la tienda.

¿Qué me muestra la comprobación gratis exactamente?

Una sola nota de cómo te ve la IA hoy, tres cosas concretas que te perjudican (en palabras llanas, como "a tu perfil de Google le faltan fotos"), una comparación con un competidor cerca y tres arreglos sugeridos. El primer arreglo siempre es gratis. La comprobación entera tarda unos 30 segundos.

¿Puedo probar Kodo antes de pagar?

Sí. La comprobación instantánea de la portada es gratis y no pide tarjeta. Los planes de pago incluyen una prueba gratis de 14 días para que veas cómo funciona el seguimiento mensual y los arreglos antes de cualquier cargo. Si no te resulta útil en esos 14 días, simplemente no sigas. No te perseguimos.

Seguridad · Kodo

Infraestructura

Kodo funciona sobre Vercel para alojamiento y cómputo, con una base de datos Postgres gestionada (Neon) para los datos de la aplicación. Cuando necesitamos almacenamiento de objetos (por ejemplo, los informes PDF en planes Ganar), usamos Vercel Blob. Nuestra región de despliegue principal es Estados Unidos. Vercel gestiona el tráfico en el edge, la terminación TLS y la mitigación de DDoS en el borde de la red. Neon gestiona la replicación de la base de datos, la recuperación a un punto en el tiempo y los backups gestionados.

Los dos proveedores publican su propia documentación de seguridad, que puedes leer directamente: vercel.com/security y neon.tech/security. Los dos tienen certificación SOC 2 Tipo II.

Cifrado

Todo el tráfico entre tu navegador y Kodo va cifrado con TLS 1.2 o superior. No aceptamos conexiones por HTTP plano. Las conexiones de base de datos desde nuestros servidores de aplicación a Postgres también van cifradas con TLS. Los datos en reposo en la base de datos están cifrados con AES-256 por el proveedor de la base de datos. Los backups gestionados van cifrados con el mismo estándar.

No guardamos contraseñas. La autenticación la gestiona Clerk, que usa hashing de contraseñas estándar del sector y soporta opciones modernas sin contraseña (passkeys, magic links, inicio de sesión social).

Autenticación y acceso

La autenticación de usuario final la gestiona Clerk. Clerk soporta autenticación multifactor (MFA) para las cuentas que la activan, y recomendamos activarla. Las sesiones usan cookies seguras, solo HTTP, con los flags Secure y SameSite activados.

El acceso interno a los sistemas de producción está limitado al equipo pequeño de ingenieros que lo necesita para operar el servicio. Cada miembro del equipo entra en las consolas de los proveedores con single sign-on y MFA obligatoria. El acceso a la base de datos de producción queda registrado. Rotamos las credenciales de forma periódica e inmediatamente cuando cambia el rol de un miembro del equipo.

Seguridad de la aplicación

La aplicación sigue prácticas estándar de seguridad web:

Cabeceras de Content Security Policy para limitar qué scripts y recursos carga el navegador.
Strict Transport Security (HSTS) para que los navegadores se nieguen a hablar con Kodo por HTTP plano.
Cookies seguras, solo HTTP y SameSite para cualquier estado de sesión.
Consultas a la base de datos parametrizadas a través de nuestro ORM. No construimos SQL concatenando strings, lo que cierra la puerta a la inyección en el origen.
Validación de entrada en el servidor en cada endpoint de la API, usando librerías de validación de esquemas.
Rate limiting en los endpoints públicos (incluida la comprobación gratis) para frenar el abuso y los intentos de credential stuffing.
Escaneo de dependencias en cada pull request para enterarnos cuando una librería que usamos tiene una vulnerabilidad conocida.

Procesadores de terceros

Usamos una lista corta de proveedores para entregar el producto. Cada uno fue elegido porque su postura de seguridad está bien documentada y es apropiada para los datos que maneja:

Vercel para alojamiento, cómputo en el edge y TLS.
Neon para Postgres gestionado, backups y recuperación a un punto en el tiempo.
Clerk para autenticación de usuario final y gestión de sesiones.
Stripe para procesamiento de pagos. Stripe tiene certificación PCI-DSS Nivel 1. Nunca vemos ni guardamos números de tarjeta completos; de eso se ocupa Stripe en su propia infraestructura.
Resend para email transaccional (tu informe, actualizaciones mensuales, avisos de seguridad).
APIs de asistentes de IA de OpenAI, Anthropic, Google y xAI, usadas para hacer las comprobaciones que prometemos. Enviamos las preguntas públicas que haría un cliente (por ejemplo, "mejor peluquería en Malasaña"). No enviamos datos de cuenta ni información personal.

La lista completa de proveedores y lo que procesa cada uno está en nuestra política de privacidad.

Monitoreo y respuesta a incidentes

Monitoreamos producción buscando patrones de tráfico inusuales, picos de error e intentos fallidos de autenticación. Las alertas críticas paginan al ingeniero de guardia. Revisamos los registros cada semana y después de cualquier incidente relevante.

Si descubrimos un incidente de seguridad que afecta a los datos de los usuarios, avisaremos a los usuarios afectados sin retraso indebido, y en cualquier caso dentro de 72 horas de confirmar el incidente. Esto coincide con el plazo de notificación del GDPR. El aviso te contará qué pasó, qué datos estuvieron involucrados, qué hemos hecho al respecto, y qué (si algo) deberías hacer por tu lado.

Backups y recuperación

La base de datos se respalda a diario por el proveedor de Postgres gestionado, con recuperación a un punto en el tiempo de los últimos 7 días. Los backups van cifrados y se guardan en la misma región que la base de datos principal. Probamos el procedimiento de restauración cada trimestre contra un entorno de staging para saber que funciona de verdad antes de necesitarlo.

Privacidad y minimización de datos

Recogemos el mínimo necesario para hacer la comprobación y entregar el informe: el nombre de tu negocio, la ciudad en la que estás y (en planes de pago) la dirección de email a la que enviamos actualizaciones. No te pedimos la tarjeta en la comprobación gratis. No vendemos datos. No compartimos la información de tu cuenta con otros clientes.

El desglose completo de qué recogemos, cuánto tiempo lo guardamos y cómo pedir el borrado está en la política de privacidad.

Lo que aún no hacemos

Ser honestos sobre los huecos importa tanto como listar las prácticas. Esto es lo que no tenemos hoy:

Certificación SOC 2. Seguimos las prácticas que busca una auditoría SOC 2, pero aún no estamos certificados. Tenemos previsto perseguir SOC 2 Tipo II a medida que crezcamos.
Programa formal de bug bounty. Aún no tenemos un bounty pagado. Sí aceptamos y respondemos a reportes de vulnerabilidades en [email protected] (ver abajo).
Cuestionarios de seguridad personalizados para procurement de empresa. Nos centramos en pequeños negocios, no en ciclos de procurement de empresa. Si necesitas una revisión de seguridad profunda para una organización grande, Kodo aún no es el encaje correcto.
Informes de pentest bajo demanda. Hacemos revisiones de seguridad internas en cada lanzamiento importante. Las pruebas de penetración por un tercero están en la hoja de ruta.

Reportar una vulnerabilidad

Si crees que has encontrado un problema de seguridad en Kodo, por favor escribe a [email protected]. Incluye los pasos para reproducirlo, el impacto que crees que tiene, y cualquier prueba de concepto con la que te sientas cómodo compartir. Respondemos en 5 días hábiles, normalmente en 1.

No tomaremos acciones legales contra investigación de seguridad de buena fe, mientras no accedas a datos de usuarios más allá de lo necesario para probar el problema, no degrades el servicio para otros usuarios, y nos des una ventana razonable para arreglarlo antes de la divulgación pública.

Última actualización: 28 de mayo de 2026. Kodo es un equipo pequeño. Esta página describe nuestras prácticas actuales, no una certificación. La actualizamos a medida que el producto evoluciona.

¿Está Kodo certificado en SOC 2?

Aún no. Seguimos las prácticas de seguridad que busca una auditoría SOC 2 (cifrado en tránsito y en reposo, acceso a producción limitado y auditado, backups gestionados, respuesta a incidentes), y tenemos previsto perseguir la certificación SOC 2 Tipo II a medida que crezcamos. Si necesitas un proveedor certificado hoy, Kodo aún no es el encaje correcto.

¿Dónde se guardan mis datos?

En Postgres gestionado (Neon) en Estados Unidos, con backups cifrados diarios y recuperación a un punto en el tiempo de los últimos 7 días. El alojamiento de la aplicación funciona sobre Vercel, también en una región de EE. UU. Los dos proveedores tienen certificación SOC 2 Tipo II.

¿La conexión con Kodo está cifrada?

Sí. Todo el tráfico entre tu navegador y Kodo usa TLS 1.2 o superior. No aceptamos conexiones por HTTP plano. El mismo cifrado TLS protege las conexiones entre nuestros servidores y la base de datos.

¿Cómo reporto un problema de seguridad?

Escribe a [email protected] con los pasos para reproducirlo, el impacto que crees que tiene, y cualquier prueba de concepto. Respondemos en 5 días hábiles. No tomaremos acciones legales contra investigación de buena fe que respete los datos de los usuarios y nos dé una ventana razonable para arreglar el problema.

¿Ofrecéis un cuestionario de seguridad para procurement de empresa?

Aún no. Kodo está hecho para pequeños negocios, así que ahora mismo no rellenamos cuestionarios de seguridad personalizados para equipos de procurement de empresa. Las prácticas que seguimos están listadas en esta página. Si necesitas más, ponte en contacto y te diremos honestamente si podemos ayudar.

Seguridad en Kodo