IA al Código

Crear un Bot de Telegram con IA en Node.js (Tutorial Completo 2026)

contacto@francobosg.netlify.app (Fran Cobos) — Wed, 29 Apr 2026 00:00:00 GMT

Los bots de Telegram son sorprendentemente útiles: asistente personal, bot de soporte para tu producto, automatizaciones... Y con IA integrada son mucho más potentes que los bots de comandos de antes. En este tutorial construyes un bot completo desde cero en menos de una hora. ## Lo que vas a construir - Bot de Telegram que responde a mensajes con IA (OpenAI o Claude) - Memoria de conversación por usuario (recuerda el contexto) - Comandos: `/start`, `/clear` (limpiar historial), `/help` - Límite de mensajes para no arruinarte con la API - Deploy gratuito en Railway ## Requisitos previos - Node.js 18+ instalado - Cuenta en Telegram - API Key de OpenAI o Anthropic (o DeepSeek que es más barata) --- ## Paso 1: Crear el bot en Telegram Abre Telegram y habla con **@BotFather**: ``` /newbot ``` BotFather te pedirá: 1. Un nombre para el bot (ej: "Mi Asistente IA") 2. Un username (debe terminar en `bot`, ej: `mi_asistente_ia_bot`) Te dará un **token** como este: `7291834756:AAFxyz123...` Guárdalo, es tu clave para controlar el bot. --- ## Paso 2: Configurar el proyecto ```bash mkdir telegram-bot-ia cd telegram-bot-ia npm init -y npm install grammy openai dotenv ``` **grammy** es la mejor librería para bots de Telegram en 2026 (más moderno que node-telegram-bot-api). Crea la estructura: ``` telegram-bot-ia/ ├── src/ │ ├── bot.js │ ├── ai.js │ └── memoria.js ├── .env ├── .env.example └── package.json ``` Crea el `.env`: ```bash # .env TELEGRAM_TOKEN=7291834756:AAFxyz123... OPENAI_API_KEY=sk-... # Opcional: limitar uso MAX_MENSAJES_POR_USUARIO=50 MAX_TOKENS_RESPUESTA=500 ``` Crea el `.env.example` (para el repo, sin secrets): ```bash TELEGRAM_TOKEN=tu_token_aqui OPENAI_API_KEY=tu_api_key_aqui ``` Añade al `.gitignore`: ``` node_modules/ .env ``` --- ## Paso 3: El módulo de IA ```javascript // src/ai.js import OpenAI from 'openai' const openai = new OpenAI({ apiKey: process.env.OPENAI_API_KEY }) const SISTEMA_PROMPT = `Eres un asistente útil y conciso. Respondes siempre en español. Tus respuestas son directas y al punto. Si no sabes algo, lo dices honestamente.` /** * @param {Array<{role: string, content: string}>} historial * @returns {Promise} */ export async function preguntarIA(historial) { const mensajes = [ { role: 'system', content: SISTEMA_PROMPT }, ...historial ] const respuesta = await openai.chat.completions.create({ model: 'gpt-4o-mini', // barato y rápido messages: mensajes, max_tokens: parseInt(process.env.MAX_TOKENS_RESPUESTA || '500'), temperature: 0.7, }) return respuesta.choices[0].message.content } ``` Si prefieres usar Claude (Anthropic): ```javascript // src/ai.js (versión Claude) import Anthropic from '@anthropic-ai/sdk' const client = new Anthropic({ apiKey: process.env.ANTHROPIC_API_KEY }) export async function preguntarIA(historial) { const mensajes = historial.map(m => ({ role: m.role === 'user' ? 'user' : 'assistant', content: m.content })) const respuesta = await client.messages.create({ model: 'claude-haiku-4-5', // el más barato de Claude max_tokens: parseInt(process.env.MAX_TOKENS_RESPUESTA || '500'), system: SISTEMA_PROMPT, messages: mensajes, }) return respuesta.content[0].text } ``` O DeepSeek (compatible con la API de OpenAI): ```javascript // src/ai.js (versión DeepSeek — más barata) import OpenAI from 'openai' const openai = new OpenAI({ apiKey: process.env.DEEPSEEK_API_KEY, baseURL: 'https://api.deepseek.com' }) export async function preguntarIA(historial) { const mensajes = [ { role: 'system', content: SISTEMA_PROMPT }, ...historial ] const respuesta = await openai.chat.completions.create({ model: 'deepseek-chat', messages: mensajes, max_tokens: 500, }) return respuesta.choices[0].message.content } ``` --- ## Paso 4: La memoria de conversación ```javascript // src/memoria.js // Almacena el historial por usuario en memoria RAM // Se pierde al reiniciar, pero es suficiente para empezar const historiales = new Map() const MAX_MENSAJES = 20 // Mantener solo los últimos 20 mensajes por usuario /** * Obtiene el historial de un usuario * @param {number} userId * @returns {Array<{role: string, content: string}>} */ export function obtenerHistorial(userId) { if (!historiales.has(userId)) { historiales.set(userId, []) } return historiales.get(userId) } /** * Añade un mensaje al historial * @param {number} userId * @param {'user' | 'assistant'} rol * @param {string} contenido */ export function añadirMensaje(userId, rol, contenido) { const historial = obtenerHistorial(userId) historial.push({ role: rol, content: contenido }) // Mantener solo los últimos N mensajes (ventana deslizante) if (historial.length > MAX_MENSAJES) { historial.splice(0, historial.length - MAX_MENSAJES) } } /** * Limpia el historial de un usuario * @param {number} userId */ export function limpiarHistorial(userId) { historiales.set(userId, []) } /** * Cuenta los mensajes del usuario en las últimas 24h * Para limitar uso — versión simple en memoria */ const contadoresDiarios = new Map() export function puedeEnviarMensaje(userId) { const max = parseInt(process.env.MAX_MENSAJES_POR_USUARIO || '50') const ahora = Date.now() const dia = 24 * 60 * 60 * 1000 if (!contadoresDiarios.has(userId)) { contadoresDiarios.set(userId, { count: 0, resetAt: ahora + dia }) } const contador = contadoresDiarios.get(userId) // Resetear si pasó un día if (ahora > contador.resetAt) { contador.count = 0 contador.resetAt = ahora + dia } if (contador.count >= max) return false contador.count++ return true } ``` --- ## Paso 5: El bot principal ```javascript // src/bot.js import 'dotenv/config' import { Bot } from 'grammy' import { preguntarIA } from './ai.js' import { obtenerHistorial, añadirMensaje, limpiarHistorial, puedeEnviarMensaje } from './memoria.js' const bot = new Bot(process.env.TELEGRAM_TOKEN) // /start — Mensaje de bienvenida bot.command('start', async (ctx) => { const nombre = ctx.from?.first_name || 'amigo' await ctx.reply( `¡Hola, ${nombre}! 👋\n\n` + `Soy un asistente con IA. Escríbeme cualquier cosa y te respondo.\n\n` + `Comandos disponibles:\n` + `/clear — Borrar historial de conversación\n` + `/help — Ver esta ayuda` ) }) // /help — Ayuda bot.command('help', async (ctx) => { await ctx.reply( `*Cómo usarme:*\n\n` + `Escríbeme cualquier mensaje y te respondo con IA.\n` + `Recuerdo el contexto de nuestra conversación.\n\n` + `*Comandos:*\n` + `/clear — Borra nuestra conversación y empezamos de cero\n` + `/start — Mensaje de bienvenida`, { parse_mode: 'Markdown' } ) }) // /clear — Limpiar historial bot.command('clear', async (ctx) => { limpiarHistorial(ctx.from.id) await ctx.reply('Historial borrado. ¡Empecemos de cero! 🧹') }) // Mensajes de texto — la lógica principal bot.on('message:text', async (ctx) => { const userId = ctx.from.id const textoUsuario = ctx.message.text // Ignorar comandos que no manejamos if (textoUsuario.startsWith('/')) return // Verificar límite de mensajes if (!puedeEnviarMensaje(userId)) { await ctx.reply( '⚠️ Has alcanzado el límite diario de mensajes. Vuelve mañana.' ) return } // Mostrar "escribiendo..." mientras procesa await ctx.replyWithChatAction('typing') try { // Añadir mensaje del usuario al historial añadirMensaje(userId, 'user', textoUsuario) // Obtener historial completo y preguntar a la IA const historial = obtenerHistorial(userId) const respuesta = await preguntarIA(historial) // Guardar respuesta en historial añadirMensaje(userId, 'assistant', respuesta) // Enviar respuesta await ctx.reply(respuesta, { parse_mode: 'Markdown' }) } catch (error) { console.error('Error al llamar a la IA:', error) // Quitar el último mensaje del historial si falló const historial = obtenerHistorial(userId) historial.pop() await ctx.reply( '❌ Hubo un error al procesar tu mensaje. Inténtalo de nuevo.' ) } }) // Manejar errores del bot bot.catch((err) => { console.error('Error en el bot:', err) }) // Arrancar el bot bot.start() console.log('🤖 Bot iniciado correctamente') ``` Añade el `type: module` al `package.json`: ```json { "name": "telegram-bot-ia", "version": "1.0.0", "type": "module", "scripts": { "start": "node src/bot.js", "dev": "node --watch src/bot.js" }, "dependencies": { "dotenv": "^16.0.0", "grammy": "^1.30.0", "openai": "^4.0.0" } } ``` --- ## Paso 6: Probarlo localmente ```bash node src/bot.js # 🤖 Bot iniciado correctamente ``` Abre Telegram, busca tu bot por el username y escríbele. Debería responder con IA. --- ## Paso 7: Añadir funcionalidades extra ### Comandos personalizados ```javascript // Añade esto en bot.js — ejemplo: /resume que resume texto bot.command('resume', async (ctx) => { const texto = ctx.message.text.replace('/resume', '').trim() if (!texto) { await ctx.reply('Uso: /resume [texto a resumir]') return } await ctx.replyWithChatAction('typing') // Usar la IA con un prompt específico (sin historial) const respuesta = await preguntarIA([ { role: 'user', content: `Resume esto en 3 puntos clave: ${texto}` } ]) await ctx.reply(`📝 *Resumen:*\n\n${respuesta}`, { parse_mode: 'Markdown' }) }) ``` ### Responder a imágenes (Vision) ```javascript bot.on('message:photo', async (ctx) => { await ctx.replyWithChatAction('typing') // Obtener la foto en mayor resolución const foto = ctx.message.photo.at(-1) const file = await ctx.api.getFile(foto.file_id) const fotoUrl = `https://api.telegram.org/file/bot${process.env.TELEGRAM_TOKEN}/${file.file_path}` const caption = ctx.message.caption || '¿Qué hay en esta imagen?' const respuesta = await openai.chat.completions.create({ model: 'gpt-4o-mini', messages: [{ role: 'user', content: [ { type: 'text', text: caption }, { type: 'image_url', image_url: { url: fotoUrl } } ] }], max_tokens: 500 }) await ctx.reply(respuesta.choices[0].message.content) }) ``` --- ## Paso 8: Deploy gratuito en Railway 1. Sube el código a GitHub (sin el `.env`) 2. Ve a [railway.app](https://railway.app) y crea una cuenta 3. Crea un nuevo proyecto → "Deploy from GitHub repo" 4. Selecciona tu repositorio 5. En **Variables**, añade: - `TELEGRAM_TOKEN` = tu token - `OPENAI_API_KEY` = tu API key 6. Railway detecta automáticamente Node.js y ejecuta `npm start` Tu bot estará online 24/7 de forma gratuita (Railway da $5/mes gratis, suficiente para un bot pequeño). Alternativas gratuitas: - **Render**: plan gratuito, se duerme tras 15min de inactividad (el bot no nota esto porque usa polling) - **Fly.io**: 3 máquinas gratuitas para siempre - **Hetzner VPS**: €4/mes, total control, no hay gratis pero es lo más barato de pago --- ## Resumen del código final ``` telegram-bot-ia/ ├── src/ │ ├── bot.js ← Lógica del bot y comandos │ ├── ai.js ← Llamadas a OpenAI/Claude/DeepSeek │ └── memoria.js ← Historial por usuario + límites ├── .env ← Secrets (no subir a git) ├── .env.example ← Template para el repo ├── .gitignore └── package.json ``` Con menos de 200 líneas de código tienes un bot de Telegram con IA, memoria de conversación y límites de uso. A partir de aquí puedes añadir: - Base de datos con SQLite para persistir el historial - Pagos con Stripe para cobrar por el acceso - Webhooks en vez de polling para mayor eficiencia - Comandos adicionales según tu caso de uso El código completo está pensado para ser el punto de partida, no el destino final.

Next.js 15: Todas las Novedades que Cambian tu Forma de Programar

contacto@francobosg.netlify.app (Fran Cobos) — Wed, 29 Apr 2026 00:00:00 GMT

Next.js 15 salió con cambios que rompen muchas apps y otros que hacen la vida mucho mejor. Voy a explicar cada uno con código real para que sepas exactamente qué te afecta. ## Los cambios más importantes de un vistazo 1. **Caché desactivado por defecto** — el cambio que más rompe cosas 2. **React 19 integrado** — `use()`, Server Actions mejorados, optimistic updates 3. **Turbopack estable en desarrollo** — 76% más rápido en dev 4. **`after()`** — ejecutar código después de enviar la respuesta 5. **`forbidden()` y `unauthorized()`** — manejo nativo de 401/403 6. **`instrumentation.js` estable** — observabilidad en el servidor 7. **Mejoras en Forms** — `

` component nativo --- ## 1. El caché ya no está activo por defecto Este es el cambio que más confunde a la gente que migra desde v14. ### ¿Cómo era en v14? ```typescript // Next.js 14 — esto se CACHEABA por defecto (force-cache) const res = await fetch('https://api.example.com/productos') const data = await res.json() // ⚠️ Solo hacía la petición UNA VEZ y devolvía el resultado cacheado el resto ``` ### ¿Cómo es en v15? ```typescript // Next.js 15 — NO se cachea por defecto (no-store) const res = await fetch('https://api.example.com/productos') const data = await res.json() // ✅ Hace la petición CADA VEZ que se renderiza el componente ``` Ahora el comportamiento por defecto es el que esperas de cualquier `fetch` normal. **Si quieres caché, tienes que pedirla explícitamente:** ```typescript // Caché estático: igual que v14 por defecto const res = await fetch('https://api.example.com/productos', { cache: 'force-cache' }) // Revalidar cada hora const res = await fetch('https://api.example.com/productos', { next: { revalidate: 3600 } }) // Sin caché (ahora el default) const res = await fetch('https://api.example.com/productos', { cache: 'no-store' }) ``` ### Route Handlers también cambian ```typescript // v14 — GET Route Handler se CACHEABA // v15 — GET Route Handler NO se cachea por defecto // app/api/productos/route.ts export async function GET() { const productos = await db.query('SELECT * FROM productos') return Response.json(productos) // En v15: siempre fresh. En v14: podía quedar stale. } // Para recuperar el comportamiento de v14 en v15: export const dynamic = 'force-static' export async function GET() { ... } ``` ### Client Router Cache ```typescript // v14 — los layouts se cacheaban 5 minutos en el cliente // v15 — el Client Router Cache no cachea por defecto // Recuperar comportamiento v14 en next.config.ts: const config = { experimental: { staleTimes: { dynamic: 30, // segundos static: 180, } } } ``` --- ## 2. React 19 — Las novedades que más usarás ### El hook `use()` — leer Promises y Context ```tsx // Antes (React 18) — suspense con async component async function Productos() { const productos = await fetchProductos() // Solo funciona en Server Components return } // React 19 — use() funciona en Client Components también import { use } from 'react' function Productos({ productosPromise }: { productosPromise: Promise }) { const productos = use(productosPromise) // Suspende automáticamente return } // Uso: const promesa = fetchProductos() }> ``` También funciona con Context (reemplaza `useContext`): ```tsx const tema = use(TemaContext) // equivalente a useContext(TemaContext) pero más flexible ``` ### Server Actions mejorados con `useActionState` ```tsx // React 19 + Next.js 15 import { useActionState } from 'react' async function crearProducto(estado: Estado, formData: FormData) { 'use server' const nombre = formData.get('nombre') as string try { await db.insert({ nombre }) return { exito: true, mensaje: 'Producto creado' } } catch (e) { return { exito: false, error: 'Error al crear' } } } function FormularioProducto() { const [estado, accion, isPending] = useActionState(crearProducto, null) return ( {estado?.error &&

{estado.error}

} {estado?.exito &&

{estado.mensaje}

} ) } ``` ### `useOptimistic` — updates optimistas limpios ```tsx import { useOptimistic } from 'react' function ListaTareas({ tareas }: { tareas: Tarea[] }) { const [tareasOptimistas, addTareaOptimista] = useOptimistic( tareas, (estado, nuevaTarea: Tarea) => [...estado, nuevaTarea] ) async function añadirTarea(formData: FormData) { const texto = formData.get('texto') as string const tareaTemp = { id: Date.now(), texto, completada: false } addTareaOptimista(tareaTemp) // UI actualiza inmediatamente await crearTarea(texto) // Luego hace la llamada real } return (

{tareasOptimistas.map(t => )}

) } ``` --- ## 3. Turbopack estable en desarrollo ```bash # Next.js 15 — activar Turbopack en desarrollo next dev --turbopack ``` O en `package.json`: ```json { "scripts": { "dev": "next dev --turbopack" } } ``` Los números que publica Vercel en proyectos grandes: - **Arranque inicial del servidor**: 76% más rápido - **Hot Module Replacement (HMR)**: hasta 96% más rápido - **Compilación de rutas**: significativamente más rápido Para proyectos medianos/grandes, el cambio en experiencia de desarrollo es muy notable. Para proyectos pequeños la diferencia es menos perceptible. **Compatibilidad:** La mayoría de loaders de webpack tienen equivalente en Turbopack, pero algunos plugins personalizados aún no son compatibles. Revisa tu `next.config.ts` antes de activarlo. --- ## 4. `after()` — Código después de la respuesta Una función muy útil que no existía antes de forma oficial: ```typescript import { after } from 'next/server' export async function GET() { const datos = await fetchDatos() // Envía la respuesta al usuario const respuesta = Response.json(datos) // Este código se ejecuta DESPUÉS de enviar la respuesta // El usuario ya tiene su respuesta, no espera esto after(async () => { await analytics.track('api_called') await cache.actualizar('datos') await logger.guardar({ timestamp: new Date(), ruta: '/api/datos' }) }) return respuesta } ``` Perfecto para: - Analytics y logging sin penalizar la latencia - Invalidar cachés - Enviar notificaciones - Tareas de mantenimiento Funciona en Route Handlers, Server Components y Server Actions. --- ## 5. `forbidden()` y `unauthorized()` — Errores 401/403 nativos ```typescript import { forbidden, unauthorized } from 'next/navigation' // En un Server Component o Route Handler export default async function PaginaAdmin() { const sesion = await getSession() if (!sesion) { unauthorized() // Lanza un 401, renderiza unauthorized.tsx } if (sesion.rol !== 'admin') { forbidden() // Lanza un 403, renderiza forbidden.tsx } return } ``` Crea los archivos de error en `app/`: ``` app/ unauthorized.tsx ← se renderiza con 401 forbidden.tsx ← se renderiza con 403 not-found.tsx ← 404 (existía antes) ``` ```tsx // app/unauthorized.tsx export default function NoAutorizado() { return (

Inicia sesión para continuar

Iniciar sesión

) } ``` --- ## 6. El componente ` ) } ``` Lo que hace diferente: - **Prefetch automático** de la página `/buscar` cuando el formulario es visible - **Navegación del lado cliente** (sin recarga) usando el App Router - **Loading UI** automático (usa `loading.tsx`) - **URL actualizada** con los params del form para poder compartir el resultado --- ## Cómo migrar de Next.js 14 a 15 ### Usa el codemod automático ```bash npx @next/codemod@canary upgrade latest ``` Esto actualiza las dependencias y aplica los cambios de API automáticamente. ### Cambios manuales que el codemod no hace **1. Revisar los fetch con caché implícita:** ```bash # Busca en tu proyecto todos los fetch sin cache explícito grep -rn "await fetch(" src/ --include="*.tsx" --include="*.ts" ``` Para cada fetch en un Server Component, decide si quieres caché o no y añádelo explícitamente. **2. `cookies()`, `headers()`, `params` ahora son async:** ```typescript // v14 import { cookies } from 'next/headers' const cookieStore = cookies() const token = cookieStore.get('token') // v15 import { cookies } from 'next/headers' const cookieStore = await cookies() // ← await obligatorio const token = cookieStore.get('token') ``` El codemod lo migra automáticamente, pero si tienes abstracciones propias encima, revísalas. **3. `params` en Page components ahora es una Promise:** ```typescript // v14 export default function Pagina({ params }: { params: { slug: string } }) { const { slug } = params } // v15 export default async function Pagina({ params }: { params: Promise<{ slug: string }> }) { const { slug } = await params // ← await } ``` --- ## Resumen de lo que afecta a tu código del día a día | Feature | Impacto en migración | Lo que tienes que hacer | |---|---|---| | Caché desactivado | **Alto** | Revisar todos los fetch y añadir `cache` explícito | | `cookies()` async | **Alto** | El codemod lo migra, revisar abstracciones | | `params` async | **Medio** | El codemod lo migra | | React 19 | **Bajo** | Sin cambios breaking para la mayoría | | Turbopack | **Bajo** | Opt-in, añadir `--turbopack` en dev | | `after()` | **Ninguno** | Nueva API, úsala cuando quieras | | `forbidden()`/`unauthorized()` | **Ninguno** | Reemplaza tu manejo manual de errores | Para proyectos nuevos, Next.js 15 con React 19 es la combinación a usar en 2026. Para migrar proyectos existentes: ejecuta el codemod, revisa los fetch y reserva 2-4 horas para los casos edge.

Python para Desarrolladores JavaScript: Guía Definitiva 2026

contacto@francobosg.netlify.app (Fran Cobos) — Wed, 29 Apr 2026 00:00:00 GMT

Sabes JavaScript. Quieres aprender Python. Buenas noticias: **ya tienes el 60% aprendido**. La lógica de programación, async/await, los módulos, los arrays y objetos... todo eso lo vas a reutilizar. Solo cambia la sintaxis y el ecosistema. Esta guía va directa al grano: JS a la izquierda, Python a la derecha. Aprende por comparación. ## Por qué aprender Python si ya sabes JavaScript En 2026, Python es **el lenguaje de la IA**. Todos los modelos, librerías y tutoriales de machine learning usan Python por defecto. Si quieres: - Llamar a APIs de IA de forma avanzada (fine-tuning, embeddings, RAG) - Trabajar con datos (pandas, numpy) - Automatizar tareas con scripts potentes - Construir agentes de IA (LangChain, LlamaIndex) - Acceder al mercado laboral data/ML ...Python es imprescindible. Y si ya sabes JS, aprenderlo es más fácil que para la mayoría. ## Sintaxis básica: comparativa directa ### Variables y tipos ```javascript // JavaScript const nombre = "Ana" let edad = 28 const activo = true const precio = 9.99 // Tipos con TypeScript const nombre: string = "Ana" const edad: number = 28 ``` ```python # Python nombre = "Ana" edad = 28 activo = True precio = 9.99 # Tipos con type hints (opcional pero recomendado) nombre: str = "Ana" edad: int = 28 ``` Diferencias clave: - Sin `const`, `let`, `var`. Solo asignación directa - `True`/`False` con mayúscula (no `true`/`false`) - Sin punto y coma al final - La indentación **es obligatoria** y define los bloques (sin llaves `{}`) ### Strings ```javascript // JavaScript const saludo = `Hola, ${nombre}! Tienes ${edad} años` const upper = nombre.toUpperCase() const partes = "hola mundo".split(" ") const sinEspacios = " hola ".trim() ``` ```python # Python saludo = f"Hola, {nombre}! Tienes {edad} años" # f-string upper = nombre.upper() partes = "hola mundo".split(" ") sin_espacios = " hola ".strip() ``` Los f-strings de Python son exactamente como los template literals de JS. La sintaxis de métodos es casi idéntica. ### Condicionales ```javascript // JavaScript if (edad >= 18) { console.log("Mayor de edad") } else if (edad >= 16) { console.log("Casi") } else { console.log("Menor") } // Ternario const estado = edad >= 18 ? "adulto" : "menor" ``` ```python # Python if edad >= 18: print("Mayor de edad") elif edad >= 16: print("Casi") else: print("Menor") # Ternario estado = "adulto" if edad >= 18 else "menor" ``` - `else if` → `elif` - Sin llaves, con `:` al final y sangría - El ternario Python es al revés: `valor_si_true if condicion else valor_si_false` ### Bucles ```javascript // JavaScript for (let i = 0; i < 5; i++) { console.log(i) } // forEach const nums = [1, 2, 3, 4, 5] nums.forEach(n => console.log(n)) // for...of for (const n of nums) { console.log(n) } // while let i = 0 while (i < 5) { console.log(i) i++ } ``` ```python # Python for i in range(5): print(i) # Iterar lista (equivale a for...of) nums = [1, 2, 3, 4, 5] for n in nums: print(n) # enumerate si necesitas el índice for i, n in enumerate(nums): print(f"{i}: {n}") # while i = 0 while i < 5: print(i) i += 1 ``` Python no tiene `for` de 3 partes. Usa `range(n)` para contar, `for x in lista` para iterar. ## Arrays → Listas. Objetos → Diccionarios ### Arrays / Listas ```javascript // JavaScript const frutas = ["manzana", "pera", "uva"] frutas.push("naranja") frutas.pop() const primera = frutas[0] const longitud = frutas.length const sinPrimera = frutas.slice(1) // map, filter, reduce const mayus = frutas.map(f => f.toUpperCase()) const largas = frutas.filter(f => f.length > 4) const total = [1, 2, 3].reduce((acc, n) => acc + n, 0) ``` ```python # Python frutas = ["manzana", "pera", "uva"] frutas.append("naranja") # push → append frutas.pop() # igual primera = frutas[0] longitud = len(frutas) # .length → len() sin_primera = frutas[1:] # slicing nativo # List comprehensions (más idiomático que map/filter) mayus = [f.upper() for f in frutas] largas = [f for f in frutas if len(f) > 4] total = sum([1, 2, 3]) # reduce para sumas → sum() # map y filter existen pero se usan menos mayus2 = list(map(lambda f: f.upper(), frutas)) largas2 = list(filter(lambda f: len(f) > 4, frutas)) ``` Las **list comprehensions** son la forma más pythonica de hacer map/filter. Apréndetelas: ```python # [expresion for variable in iterable if condicion] cuadrados_pares = [x**2 for x in range(10) if x % 2 == 0] # → [0, 4, 16, 36, 64] ``` ### Objetos / Diccionarios ```javascript // JavaScript const usuario = { nombre: "Ana", edad: 28, activo: true } // Acceso console.log(usuario.nombre) console.log(usuario["nombre"]) // Destructuring const { nombre, edad } = usuario // Spread const nuevo = { ...usuario, rol: "admin" } // Verificar si existe una key if ("nombre" in usuario) { ... } if (usuario.hasOwnProperty("nombre")) { ... } ``` ```python # Python usuario = { "nombre": "Ana", "edad": 28, "activo": True } # Acceso print(usuario["nombre"]) # siempre con corchetes print(usuario.get("nombre")) # sin KeyError si no existe # "Destructuring" — no existe igual, pero hay desempaquetado nombre, edad = usuario["nombre"], usuario["edad"] # Merge (Python 3.9+) nuevo = {**usuario, "rol": "admin"} # Verificar si existe una key if "nombre" in usuario: ... ``` En Python las keys de los dicts van siempre con comillas. No hay notación de punto para acceder a valores (eso es para atributos de clases/objetos). ## Funciones ```javascript // JavaScript function sumar(a, b) { return a + b } // Arrow function const multiplicar = (a, b) => a * b // Default params function saludar(nombre = "Mundo") { return `Hola, ${nombre}!` } // Rest params function suma(...nums) { return nums.reduce((a, b) => a + b, 0) } // Objeto como parámetro (named params) function crear({ nombre, edad = 25 }) { return { nombre, edad } } ``` ```python # Python def sumar(a, b): return a + b # Lambda (como arrow function simple) multiplicar = lambda a, b: a * b # Default params def saludar(nombre="Mundo"): return f"Hola, {nombre}!" # Args variables (*args equivale a rest) def suma(*nums): return sum(nums) # Keyword arguments (named params) def crear(nombre, edad=25): return {"nombre": nombre, "edad": edad} crear(nombre="Ana", edad=30) # llamada con kwargs ``` ## Clases ```javascript // JavaScript class Persona { constructor(nombre, edad) { this.nombre = nombre this.edad = edad } saludar() { return `Hola, soy ${this.nombre}` } static crear(nombre, edad) { return new Persona(nombre, edad) } } class Empleado extends Persona { constructor(nombre, edad, empresa) { super(nombre, edad) this.empresa = empresa } } ``` ```python # Python class Persona: def __init__(self, nombre: str, edad: int): self.nombre = nombre self.edad = edad def saludar(self) -> str: return f"Hola, soy {self.nombre}" @staticmethod def crear(nombre: str, edad: int) -> "Persona": return Persona(nombre, edad) class Empleado(Persona): def __init__(self, nombre: str, edad: int, empresa: str): super().__init__(nombre, edad) self.empresa = empresa ``` - `constructor` → `__init__` - `this.` → `self.` (y `self` va siempre como primer parámetro) - `extends` → el nombre de la clase entre paréntesis - `static` → decorador `@staticmethod` ## Async/Await En JavaScript, async/await es para Promises. En Python es para corrutinas. La sintaxis es **casi idéntica**: ```javascript // JavaScript async function obtenerUsuario(id) { try { const response = await fetch(`/api/users/${id}`) const data = await response.json() return data } catch (error) { console.error("Error:", error) throw error } } // Promise.all const [user, posts] = await Promise.all([ obtenerUsuario(1), obtenerPosts(1) ]) ``` ```python # Python (con httpx o aiohttp en vez de fetch) import httpx async def obtener_usuario(id: int): try: async with httpx.AsyncClient() as client: response = await client.get(f"/api/users/{id}") data = response.json() return data except Exception as error: print(f"Error: {error}") raise # asyncio.gather equivale a Promise.all import asyncio user, posts = await asyncio.gather( obtener_usuario(1), obtener_posts(1) ) ``` Para ejecutar código async en Python necesitas `asyncio.run()` o un framework async (FastAPI, Starlette): ```python import asyncio async def main(): resultado = await obtener_usuario(1) print(resultado) asyncio.run(main()) ``` ## Módulos ```javascript // JavaScript (ES Modules) // math.js export const PI = 3.14159 export function sumar(a, b) { return a + b } export default function multiplicar(a, b) { return a * b } // main.js import multiplicar, { PI, sumar } from './math.js' import * as math from './math.js' ``` ```python # Python # math_utils.py PI = 3.14159 def sumar(a, b): return a + b def multiplicar(a, b): return a * b # main.py from math_utils import PI, sumar, multiplicar import math_utils # como import * as from math_utils import multiplicar as mult # alias ``` En Python **no hay `export`**. Todo lo definido en un módulo es importable por defecto. ## Gestión de paquetes: npm → pip + venv ```bash # JavaScript npm init npm install express npm install -D eslint cat package.json # Python equivalente python -m venv venv # crear entorno virtual (como node_modules aislado) venv\Scripts\activate # Windows source venv/bin/activate # Mac/Linux pip install fastapi pip install --dev ruff # no hay -D exacto, usar grupos en pyproject.toml cat requirements.txt # o pyproject.toml ``` **Importante:** Siempre usa `venv` (entorno virtual). Es el equivalente a `node_modules` pero tienes que activarlo manualmente. Sin él, instalas paquetes globalmente (malo). ```bash # Guardar dependencias (como package.json) pip freeze > requirements.txt # Instalar desde requirements.txt (como npm install) pip install -r requirements.txt ``` Para proyectos modernos, usa **`uv`** en vez de pip — es el equivalente a npm para Python, mucho más rápido: ```bash pip install uv uv init mi-proyecto uv add fastapi httpx uv run python main.py ``` ## El ecosistema Python para devs JS | Necesidad | JavaScript | Python | |---|---|---| | API REST | Express, Fastify, Hono | **FastAPI**, Flask, Django | | ORM | Prisma, Drizzle | **SQLAlchemy**, Tortoise, Peewee | | Validación | Zod | **Pydantic** | | Testing | Jest, Vitest | **pytest** | | Linting | ESLint | **Ruff** | | Formatter | Prettier | **Black**, Ruff | | Build tool | Vite, esbuild | **uv**, Poetry | | IA/ML | — | **PyTorch, LangChain, HuggingFace** | | Data | — | **pandas, numpy, polars** | ## Tu primer API con FastAPI (el Express de Python) ```python # main.py from fastapi import FastAPI from pydantic import BaseModel app = FastAPI() # Modelo (como un schema de Zod) class Usuario(BaseModel): nombre: str edad: int usuarios = [] @app.get("/usuarios") async def listar(): return usuarios @app.post("/usuarios") async def crear(usuario: Usuario): usuarios.append(usuario) return {"mensaje": "creado", "usuario": usuario} @app.get("/usuarios/{id}") async def obtener(id: int): if id >= len(usuarios): return {"error": "no encontrado"}, 404 return usuarios[id] ``` ```bash pip install fastapi uvicorn uvicorn main:app --reload # API corriendo en http://localhost:8000 # Docs automáticas en http://localhost:8000/docs ← ¡Esto no tiene Express! ``` FastAPI genera Swagger UI automáticamente. Sin instalar nada extra. ## Resumen rápido de diferencias | Concepto | JavaScript | Python | |---|---|---| | Bloques | `{ }` | Indentación | | Booleanos | `true`/`false` | `True`/`False` | | Nulo | `null`/`undefined` | `None` | | Array | `Array` | `list` | | Objeto | `Object` | `dict` | | String length | `.length` | `len()` | | Console | `console.log()` | `print()` | | Módulos | `import/export` | `import` (sin export) | | Clases | `constructor`, `this` | `__init__`, `self` | | Herencia | `extends` | `class Hijo(Padre)` | | try/catch | `catch (e)` | `except Exception as e` | | Ternario | `cond ? a : b` | `a if cond else b` | Con esto tienes todo lo que necesitas para empezar. Pon en práctica con un script pequeño o construye una API con FastAPI — en 3 días ya no estarás consultando esta guía.

React Native vs Flutter vs Expo 2026: Cuál Elegir para tu App Móvil

contacto@francobosg.netlify.app (Fran Cobos) — Wed, 29 Apr 2026 00:00:00 GMT

Quieres hacer una app móvil. Tienes tres opciones principales y nadie te da una respuesta directa porque "depende". Voy a dártela con contexto real. ## El resumen ejecutivo (para los que no quieren leer todo) | | React Native + Expo | Flutter | |---|---|---| | **Lenguaje** | JavaScript / TypeScript | Dart | | **Si ya sabes** | React → elección obvia | Dart o quieres máximo rendimiento | | **Rendimiento** | Muy bueno (New Architecture) | Excelente (motor propio Skia/Impeller) | | **Ecosistema** | Enorme (npm) | Creciendo rápido | | **Mercado laboral** | ★★★★★ | ★★★☆☆ | | **Curva aprendizaje** | Baja si sabes React | Media (aprender Dart) | | **Build/Deploy** | EAS Build (fácil) | Manual (más complejo) | | **Casos de uso ideales** | Startups, apps MVP, web+móvil | Apps con UI muy custom, fintech, Google | **Mi recomendación directa:** - **Sabes React/JS → Expo (React Native)** - **Quieres rendimiento máximo con UI totalmente custom → Flutter** - **Empresa con equipo mixto JS/móvil → Expo** --- ## React Native en 2026: dónde está ### La New Architecture (ya es el estándar) React Native durante años tuvo un problema: el "bridge" entre JavaScript y el código nativo era lento. En 2024-2026 se completó la New Architecture, que lo soluciona: - **JSI (JavaScript Interface)**: comunicación síncrona entre JS y nativo, sin serializar a JSON - **Fabric**: nuevo sistema de rendering (antes era asíncrono) - **TurboModules**: módulos nativos cargados lazy, mucho más rápidos Resultado: la brecha de rendimiento con Flutter se redujo enormemente. Las apps con New Architecture habilitada son prácticamente indistinguibles en velocidad. Para activarla en un proyecto Expo: ```json // app.json { "expo": { "newArchEnabled": true } } ``` ### Expo en 2026: ya no es opcional Antes, Expo era "la versión limitada" de React Native. Ya no es así. Con **Expo SDK 52+**: - **Expo Go**: prueba tu app en el móvil sin compilar (escaneas QR) - **EAS Build**: compila tu app en la nube, sin necesitar un Mac para iOS - **EAS Update**: actualizaciones over-the-air sin pasar por el App Store - **Expo Router**: routing basado en ficheros (como Next.js, pero para móvil) - **Expo Modules API**: crea módulos nativos custom con TypeScript + Kotlin/Swift Crear un proyecto en 2026: ```bash npx create-expo-app@latest mi-app cd mi-app npx expo start ``` Abres Expo Go en el móvil, escaneas el QR y ya estás viendo tu app. Sin Android Studio ni Xcode configurados. ### El ecosistema en 2026 Todo lo que usas en web tiene equivalente: ```bash # Navegación npx expo install expo-router # UI Components npm install react-native-paper # Material Design npm install nativewind # Tailwind para RN npm install @shopify/restyle # Design system # Gestos y animaciones npx expo install react-native-reanimated react-native-gesture-handler # Estado npm install zustand @tanstack/react-query # Storage npx expo install expo-secure-store expo-sqlite @react-native-async-storage/async-storage # Cámara, localización, notificaciones npx expo install expo-camera expo-location expo-notifications ``` --- ## Flutter en 2026: dónde está ### Dart: el elefante en la habitación Dart es el mayor obstáculo para adoptar Flutter si vienes de JS. Pero tiene algunas ventajas: - **Compilado a código nativo ARM**: no hay intérprete JS en medio - **Type system sólido**: null safety obligatorio desde Dart 3 - **Código predecible**: sin "this" extraño, sin prototype chain Un widget Flutter básico: ```dart import 'package:flutter/material.dart'; class MiApp extends StatelessWidget { @override Widget build(BuildContext context) { return MaterialApp( home: Scaffold( appBar: AppBar(title: Text('Mi App')), body: Center( child: Column( mainAxisAlignment: MainAxisAlignment.center, children: [ Text('Hola Mundo', style: TextStyle(fontSize: 24)), SizedBox(height: 16), ElevatedButton( onPressed: () => print('Pulsado'), child: Text('Púlsame'), ), ], ), ), ), ); } } ``` Comparado con React Native: ```jsx // React Native equivalente import { View, Text, Button } from 'react-native' export default function MiApp() { return ( Hola Mundo

Tailwind CSS v4: Guía Completa y Migración desde v3 (2026)

contacto@francobosg.netlify.app (Fran Cobos) — Wed, 29 Apr 2026 00:00:00 GMT

Tailwind CSS v4 no es una actualización más. Es una reescritura completa con un nuevo motor, nueva sintaxis de configuración y un cambio de filosofía: **Tailwind se convierte en un motor CSS nativo**, sin Node.js en runtime. Si llevas proyectos con v3 o estás empezando uno nuevo, esto te afecta. Vamos al grano. ## ¿Qué cambia de verdad en Tailwind v4? ### 1. El motor Oxide — builds 100x más rápidos El mayor cambio técnico. El nuevo motor está escrito en **Rust** usando Lightning CSS por debajo, en vez de PostCSS. Benchmarks reales: | Proyecto | v3 build | v4 build | |---|---|---| | Proyecto mediano (500 clases) | 1.2s | 50ms | | Proyecto grande (3000+ clases) | 4.8s | 120ms | | HMR (cambio en desarrollo) | 200ms | 5ms | En dev, el cambio es brutal. HMR casi instantáneo. ### 2. Adiós a `tailwind.config.js` (en proyectos nuevos) En v3, toda la configuración iba en `tailwind.config.js`: ```js // v3 — tailwind.config.js module.exports = { theme: { extend: { colors: { brand: '#6366f1', }, fontFamily: { sans: ['Inter', 'sans-serif'], } } } } ``` En v4, la configuración va **en tu CSS** con `@theme`: ```css /* v4 — styles.css */ @import "tailwindcss"; @theme { --color-brand: #6366f1; --font-family-sans: 'Inter', sans-serif; --spacing-128: 32rem; } ``` Ventaja: tus tokens de diseño son **variables CSS nativas**. Puedes usarlos en cualquier parte, no solo en clases de Tailwind. ### 3. Variables CSS de primera clase Todo en v4 genera variables CSS automáticamente. El color `brand` que defines en `@theme` está disponible como: - Clase Tailwind: `bg-brand`, `text-brand`, `border-brand` - Variable CSS: `var(--color-brand)` en cualquier `style` inline o CSS custom ```html

...

``` ### 4. Clases que cambian o desaparecen Las diferencias más importantes entre v3 y v4: | v3 | v4 | Nota | |---|---|---| | `shadow-sm` | `shadow-xs` | Renombrado | | `shadow` | `shadow-sm` | Renombrado | | `rounded` | `rounded-sm` | Renombrado | | `blur` | `blur-sm` | Renombrado | | `ring` | `ring-3` | Ahora explícito | | `basis-1/2` | igual | Sin cambio | | `bg-opacity-50` | `bg-black/50` | Nueva sintaxis | | `text-opacity-75` | `text-black/75` | Nueva sintaxis | La regla de los `*-sm` / `*-xs`: en v4, la escala de tamaños se ajusta. Lo que antes era el valor "default" (sin sufijo) ahora tiene nombre explícito. ### 5. Variantes de nueva sintaxis ```html

``` Nuevas variantes en v4: - `starting:` — para animaciones de entrada (antes necesitabas JS) - `in-[.selector]:` — aplica estilo cuando el elemento está dentro de ese selector - `**:` — aplica a todos los descendientes (como `*` pero recursivo) - `not-[.active]:` — cuando NO tiene esa clase ## Cómo instalar Tailwind v4 ### En proyecto nuevo con Vite ```bash npm create vite@latest mi-proyecto -- --template vanilla cd mi-proyecto npm install -D tailwindcss @tailwindcss/vite ``` En `vite.config.js`: ```js import { defineConfig } from 'vite' import tailwindcss from '@tailwindcss/vite' export default defineConfig({ plugins: [ tailwindcss(), ], }) ``` En tu `src/style.css`: ```css @import "tailwindcss"; /* Tu configuración aquí */ @theme { --color-brand: #6366f1; } ``` **Sin `tailwind.config.js`. Sin `content: []`. Sin PostCSS.** Tailwind v4 detecta las clases automáticamente. ### En proyecto Next.js ```bash npm install -D tailwindcss @tailwindcss/postcss ``` En `postcss.config.mjs`: ```js const config = { plugins: { "@tailwindcss/postcss": {}, }, }; export default config; ``` ### En proyecto Astro ```bash npx astro add tailwind # Selecciona v4 cuando pregunte ``` O manualmente: ```bash npm install -D @tailwindcss/vite ``` Y en `astro.config.mjs`: ```js import tailwind from "@tailwindcss/vite"; export default defineConfig({ vite: { plugins: [tailwind()], }, }); ``` ## Cómo migrar desde v3: paso a paso ### Opción 1: Migración automática (recomendada) ```bash npx @tailwindcss/upgrade ``` Este comando: 1. Actualiza las dependencias en `package.json` 2. Migra `tailwind.config.js` a `@theme` en tu CSS 3. Renombra las clases que cambiaron (`shadow` → `shadow-sm`, etc.) 4. Convierte `bg-opacity-50` a `bg-black/50`, etc. Cubre ~80-90% de los casos. Revisa el diff después. ### Opción 2: Migración manual **Paso 1 — Actualizar dependencias:** ```bash npm install -D tailwindcss@next @tailwindcss/vite npm uninstall autoprefixer ``` **Paso 2 — Borrar `tailwind.config.js` y mover la config a CSS:** ```css /* Antes (tailwind.config.js) */ /* theme.extend.colors.brand = '#6366f1' */ /* Ahora en globals.css */ @import "tailwindcss"; @theme { --color-brand: #6366f1; --color-brand-dark: #4f46e5; } ``` **Paso 3 — Actualizar `vite.config.js` o `postcss.config.js`:** Elimina los plugins de PostCSS para Tailwind y usa el plugin de Vite en su lugar. **Paso 4 — Renombrar clases con búsqueda/reemplazo:** Las más comunes: ``` shadow → shadow-sm shadow-sm → shadow-xs rounded → rounded-sm blur → blur-sm ring → ring-3 ``` Usa este regex en VS Code para encontrarlos: `\b(shadow|rounded|blur)\b(?!-)` **Paso 5 — Migrar opacidades:** ``` bg-{color}-{shade}/opacity → bg-{color}-{shade}/{opacity} bg-black bg-opacity-50 → bg-black/50 text-white text-opacity-75 → text-white/75 ``` ### Problemas comunes en la migración **Error: `Cannot find module 'tailwindcss/plugin'`** En v4 los plugins se importan diferente: ```js // v3 const plugin = require('tailwindcss/plugin') // v4 import plugin from 'tailwindcss/plugin' // o en CSS: // @plugin "./mi-plugin.js" ``` **Las clases de componentes de terceros se rompen** Si usas Flowbite, DaisyUI, Shadcn, etc., pueden necesitar actualización. Comprueba la compatibilidad con v4 en sus docs. **El dark mode no funciona igual** En v3 podías usar `darkMode: 'class'` en config. En v4: ```css @import "tailwindcss"; /* Activar dark mode por clase */ @variant dark (&:where(.dark, .dark *)); ``` ## Las funcionalidades que más me gustan de v4 ### `@utility` — crea clases personalizadas reales ```css @utility container { max-width: 1280px; margin-inline: auto; padding-inline: 1.5rem; } ``` Ahora `container` es una clase de Tailwind real, con variantes responsivas: `sm:container`, `md:container`... ### `starting:` para animaciones sin JavaScript ```html

Portfolio Profesional a Medida: Caso Real con Next.js 16 y Framer Motion

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

No solo hago SaaS o aplicaciones de empresa. También hago **portfolios a medida** para todo tipo de profesionales: fotógrafas, diseñadoras, joyeras, arquitectos, músicos, desarrolladores, consultores. Este artículo es el caso real del portfolio que hice para **Laura Cobos**, joyera artesanal y Oficial de 1ª Categoría con más de 10 años de experiencia en alta joyería. Puedes verlo en [lauracobosg.netlify.app](https://lauracobosg.netlify.app/). --- ## Por qué un profesional creativo necesita un portfolio propio LinkedIn es suficiente para un perfil básico. Pero cuando tu trabajo es visual — una pieza de joyería, una fotografía, un diseño de interiores — necesitas un espacio donde el **trabajo sea el protagonista**, no el algoritmo de una red social. Un portfolio a medida permite: - **Diseño 100% adaptado** a la estética de tu trabajo - **Sin distracciones** — sin publicidad, sin notificaciones, sin perfiles de competencia al lado - **URL propia** que puedes poner en tarjetas, Instagram, presupuestos - **SEO real** — tu nombre aparece en Google cuando alguien te busca - **Rendimiento** — carga en menos de 1.5 segundos --- ## El proyecto: portfolio para Laura Cobos Laura necesitaba un portfolio que transmitiera la **elegancia de la alta joyería artesanal**. No una plantilla de Wix ni un tema de WordPress. Algo construido desde cero que se sintiera tan cuidado como sus piezas. Tu navegador no soporta vídeo HTML5. ### Stack elegido | Tecnología | Rol | |---|---| | **Next.js 16 (App Router)** | Framework — Static Export para deploy sin servidor | | **TypeScript strict** | Tipado total en los 8 componentes | | **Tailwind CSS** | Estilos utility-first, responsive sin media queries | | **Framer Motion** | Animaciones de entrada con HOC `FadeIn` reutilizable | | **Lucide React** | Iconografía ligera sin dependencias pesadas | | **Netlify** | Deploy automático desde Git, CDN global, SSL gratis | El build genera una carpeta `/out` con HTML/CSS/JS estático puro — sin servidor Node, sin runtime, sin coste de infraestructura. --- ## Las partes técnicas más interesantes ### 1. Carrusel infinito vertical sin librerías La sección de portfolio tenía que mostrar piezas en un carrusel vertical que girara sin fin. Sin Swiper, sin `react-slick`, sin dependencias externas. La solución fue la **técnica del array triplicado**: ```typescript // Triplicamos el array para poder hacer scroll infinito const tripleCards = [...cards, ...cards, ...cards]; const [idx, setIdx] = useState(cards.length); // Empezamos en el tercio central useEffect(() => { const interval = setInterval(() => { setIdx(prev => prev + 1); }, 3000); return () => clearInterval(interval); }, []); // Cuando llegamos al límite, reseteamos al tercio central sin animación useEffect(() => { if (idx >= cards.length * 2) { setTimeout(() => { // Desactivamos la transición CSS 1 frame para evitar parpadeo setTransition(false); setIdx(cards.length); requestAnimationFrame(() => setTransition(true)); }, 400); } }, [idx]); ``` El truco es **desactivar la transición CSS durante 1 frame** para que el reset al centro sea invisible. El usuario ve un carrusel infinito; por debajo hay un array de 3×N elementos. El tamaño de cada tarjeta también se calcula dinámicamente: ```typescript const cardW = Math.round(window.innerHeight * 0.52 * 0.75); // Para que la sección siempre encaje en pantalla sin overflow ``` ### 2. Hover swap sin parpadeo En el Hero hay una imagen principal que al hacer hover muestra otra imagen diferente. La implementación naive — cambiar el `src` del `` — produce un **parpadeo** mientras la nueva imagen descarga. La solución: **dos `` superpuestas** con `position: absolute`, y una transición de opacidad de 700ms entre ellas: ```tsx

``` Ambas imágenes se cargan al inicio. No hay parpadeo, no hay cambio de `src`, no hay flash. La transición es suave porque solo estamos cambiando opacidad entre dos elementos ya cargados. ### 3. Galería masonry con overlay La galería de piezas usa un **grid masonry** donde cada tarjeta tiene proporciones distintas. Al hacer hover aparece un overlay oscuro con el nombre de la pieza. ```tsx

{piezas.map((pieza) => (

{pieza.nombre}

))}

``` ### 4. Navbar con scroll spy La barra de navegación resalta la sección activa mientras el usuario hace scroll, sin ninguna librería externa: ```typescript useEffect(() => { const sections = document.querySelectorAll('section[id]'); const observer = new IntersectionObserver( (entries) => { entries.forEach(entry => { if (entry.isIntersecting) { setActiveSection(entry.target.id); } }); }, { threshold: 0.5 } ); sections.forEach(s => observer.observe(s)); return () => observer.disconnect(); }, []); ``` --- ## Resultados Lighthouse | Métrica | Puntuación | |---|---| | Performance | 95/100 | | Accessibility | 97/100 | | SEO | 100/100 | | Best Practices | 100/100 | Carga completa en menos de 1.5 segundos en 4G. El Static Export de Next.js sirve HTML/CSS/JS puro desde el CDN de Netlify — no hay servidor que arrancar, no hay tiempo de cold start. --- ## Qué tipo de portfolios hago No solo para joyeras. He hecho y puedo hacer portfolios para: - **Profesionales creativos** — joyeros, fotógrafos, ilustradores, diseñadores gráficos, arquitectos - **Freelancers técnicos** — desarrolladores, diseñadores UX/UI, consultores - **Músicos y artistas** — con secciones de discografía, fechas, vídeos - **Profesores y formadores** — con cursos, recursos descargables y contacto - **Cualquier profesional que quiera tener presencia digital propia** Cada portfolio es diferente. El stack se adapta a lo que necesita el proyecto: si hay mucha animación, Next.js + Framer Motion. Si es más sencillo, Vite + Vanilla JS es suficiente y más rápido. --- ## ¿Te interesa un portfolio? Si eres profesional y quieres un portfolio que represente tu trabajo de verdad — no una plantilla, no un Wix — puedes contactarme desde [la sección de contacto de mi portfolio](https://francobosg.netlify.app/#contacto) o escribirme directamente. Te cuento qué necesito saber, qué stack tendría sentido para tu caso y una estimación de tiempo y coste. --- *¿Quieres ver el making of de mi propio portfolio? Lo cuento en [este artículo](/blog/como-hice-mi-portfolio-vite-tailwind/).*

Context Window de la IA: Cómo Aprovecharlo al Máximo en Proyectos Grandes

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Llevas una hora trabajando con el agente en un módulo complejo. Las primeras respuestas eran perfectas — entendía la arquitectura, el estilo de código, las convenciones del proyecto. Ahora está generando código inconsistente, olvidando cosas que le dijiste al principio, repitiendo preguntas que ya respondiste. El context window se llenó. Y tú no lo viste venir. El context window es el recurso más crítico y menos gestionado del trabajo con IA. Esta guía te explica cómo funciona y cómo aprovecharlo en proyectos reales. ## Qué es el context window y por qué importa El context window es la "memoria de trabajo" del modelo — todo lo que puede ver a la vez. Incluye: - El historial de mensajes de la conversación - El código que has pegado o adjuntado - Los archivos que el agente ha leído - Las respuestas que el modelo ha generado - Los resultados de herramientas (MCP, ejecución de código, etc.) Cuando el contexto se llena, el modelo debe decidir qué olvidar. Generalmente olvida el inicio de la conversación — justo donde estaban tus instrucciones de arquitectura, el contexto inicial del proyecto y las convenciones que estableciste. ### Tamaños de contexto en 2026 | Modelo | Context window | En palabras aprox. | |--------|---------------|-------------------| | **Claude Sonnet 4.5** | 200K tokens | ~150.000 palabras | | **Claude Opus 4** | 200K tokens | ~150.000 palabras | | **GPT-4.1** | 128K tokens | ~96.000 palabras | | **GPT-4o** | 128K tokens | ~96.000 palabras | | **Gemini 1.5 Pro** | 1M tokens | ~750.000 palabras | | **Gemini 2.0 Flash** | 1M tokens | ~750.000 palabras | | **Llama 3.3 70B** | 128K tokens | ~96.000 palabras | 200K tokens suena a mucho. Pero un proyecto mediano de TypeScript con 50 archivos de 200 líneas ya son ~500K tokens. Un proyecto real con 200+ archivos supera fácilmente el millón. --- ## El problema del "Lost in the Middle" Más contexto no siempre es mejor. Los modelos tienen un problema conocido: **prestan más atención al inicio y al final del contexto que al medio**. ``` Inicio del contexto → Alta atención ✅ ... Medio del contexto → Baja atención ⚠️ ... Final del contexto → Alta atención ✅ ``` Esto significa que si metes 50 archivos de código en el medio de una conversación larga y luego haces una pregunta al final, el modelo puede ignorar archivos completos. **Ejemplo real:** ``` Mensaje 1: "El proyecto usa NestJS con multi-tenancy. Cada query debe filtrar por tenantId." [200 mensajes después, con código de 20 archivos en el medio] Mensaje 201: "Añade un endpoint para listar campañas" Resultado: el modelo genera el endpoint SIN filtrar por tenantId porque olvidó la instrucción del mensaje 1. ``` --- ## Estrategias para gestionar el context window ### 1. El archivo de contexto persistente En vez de explicar el proyecto al inicio de cada sesión, mantén un archivo `CONTEXT.md` en el proyecto: ```markdown # CONTEXT.md — Atrapaclientes ## Arquitectura - NestJS 11 + TypeORM - Multi-tenancy a nivel de fila (TenantContextGuard inyecta tenantId en todas las queries) - RBAC con 31 permisos — usar @RequirePermissions() en todos los endpoints protegidos - PostgreSQL 17, 29 entidades ## Convenciones - DTOs en kebab-case: create-campaign.dto.ts - Todos los endpoints GET paginados: ?page=1&limit=10 - Respuestas de error: { error: string, statusCode: number } - Nunca exponer IDs numéricos, siempre UUIDs ## Lo que NUNCA debe hacer la IA - Hardcodear tenantId - Omitir validación con class-validator en DTOs - Usar any en TypeScript - Crear endpoints sin guardia de auth ``` Al inicio de cada sesión: `@CONTEXT.md Implementa [tarea]`. El contexto relevante siempre está al inicio, donde el modelo tiene más atención. ### 2. Conversaciones cortas y específicas En vez de una conversación larga de 50 mensajes para implementar un módulo completo, divide en conversaciones cortas: ``` Conversación 1: "Crea la entidad Campaign con sus relaciones" Conversación 2: "Crea el CampaignService con los métodos CRUD" Conversación 3: "Crea el CampaignController con los endpoints REST" Conversación 4: "Añade tests para el CampaignService" ``` Cada conversación empieza limpia con contexto fresco. El agente no arrastra el ruido de las decisiones anteriores. ### 3. Selección de archivos, no proyectos enteros Cuando uses `@codebase` o `@workspace` en Cursor/Copilot, el agente intenta leer todos los archivos relevantes. Esto consume contexto rápidamente. Mejor práctica: especifica los archivos exactos que necesita: ``` ❌ "@codebase ¿cómo funciona el módulo de auth?" ✅ "@src/modules/auth/auth.service.ts @src/modules/auth/auth.guard.ts ¿cómo funciona el módulo de auth?" ``` Ahorras tokens y el modelo tiene mejor señal. ### 4. Prompt caching para contexto repetido Si pagas por API directa, el [prompt caching de Claude](/blog/prompt-caching-openai-claude-ahorrar-tokens-2026/) te permite marcar partes del prompt como cacheables. Si el contexto base del proyecto siempre es el mismo, el caching lo mantiene sin consumir tokens en cada llamada. ```python # Con Anthropic SDK, el contexto del sistema se cachea automáticamente # si tienes prompt caching habilitado en tu plan messages = [ { "role": "user", "content": [ { "type": "text", "text": system_context, "cache_control": {"type": "ephemeral"} # Cacheable }, { "type": "text", "text": "Implementa el endpoint de login con JWT" } ] } ] ``` ### 5. Resúmenes como checkpoint En sesiones largas, cuando notes que el contexto empieza a llenarse, pide un resumen antes de continuar: ``` "Antes de continuar, resume en bullet points: 1. Qué hemos implementado en esta sesión 2. Las decisiones de arquitectura que tomamos 3. Lo que queda pendiente" ``` Guarda ese resumen. En la siguiente sesión, empieza con él en vez de con todo el historial anterior. --- ## Context window en diferentes editores ### Cursor Cursor muestra el uso de tokens en la barra inferior del chat. Cuando se acerca al límite: - La conversación se marca con un aviso - Puedes usar **"New conversation"** para empezar limpio manteniendo los archivos abiertos **Tip**: Las `.cursorrules` o las instrucciones de `Settings → Rules for AI` siempre se inyectan al inicio del contexto. Ponlas cortas y precisas — son tokens que consumes en cada mensaje. ### GitHub Copilot Copilot gestiona el contexto automáticamente, priorizando el archivo activo y los archivos relacionados. Puedes controlar qué entra al contexto con: - `#file:ruta/archivo.ts` — incluir un archivo específico - `#selection` — solo el código seleccionado - `@workspace` — todo el proyecto (costoso en tokens) ### Cline / Claude Dev Muestra el uso de tokens en tiempo real. Cuando se acerca al límite, crea automáticamente un resumen de la sesión y empieza un nuevo contexto. Puedes configurar el umbral en la configuración. --- ## Cómo estructurar proyectos grandes para la IA La arquitectura de tu proyecto afecta directamente qué tan bien trabaja la IA contigo. Algunos patrones que funcionan bien: ### Módulos pequeños y cohesivos Un módulo de 5 archivos de 100 líneas es mejor que un archivo de 500 líneas. El agente puede leer el módulo completo sin saturar el contexto. ``` ✅ Buena estructura para IA: /modules/auth/ auth.module.ts (30 líneas) auth.service.ts (150 líneas) auth.controller.ts (80 líneas) auth.guard.ts (60 líneas) dto/ login.dto.ts (20 líneas) register.dto.ts (25 líneas) ❌ Mala estructura para IA: /auth.ts (500 líneas con todo mezclado) ``` ### Nombres descriptivos Los nombres de archivos y funciones son parte del contexto implícito. `getUsersByTenantWithActiveSubscription` le da más información al modelo que `getUsers2`. ### Comentarios de arquitectura, no de implementación ```typescript // ✅ Útil para la IA (arquitectura) // TenantContextGuard se ejecuta antes que este guard. // req.user.tenantId está garantizado en este punto. // ❌ Inútil para la IA (obvio) // Obtiene el usuario por ID async getUserById(id: string) { ``` --- ## El patrón de "contexto mínimo viable" Cuando trabajo en una tarea específica, construyo el contexto mínimo que la IA necesita: ``` 1. Instrucciones de arquitectura (del CONTEXT.md) 2. El archivo que estoy modificando 3. Los archivos que el archivo importa 4. El tipo/interfaz de los datos que maneja 5. La descripción de la tarea Nada más. ``` No meto 20 archivos "por si acaso". Más contexto no relevante = más ruido = peor respuesta. Si el agente necesita más contexto, me lo pedirá. O puedo usar [MCP servers](/blog/mcp-servers-cursor-copilot-que-son-2026/) para que consulte lo que necesita sin que yo tenga que pegarlo manualmente. --- ## Síntomas de que el contexto está degradado Reconocer cuándo el contexto está fallando te ahorra mucho tiempo: | Síntoma | Causa probable | |---------|---------------| | El agente "olvida" convenciones del proyecto | Instrucciones iniciales desplazadas por el historial | | Código inconsistente con lo que hizo antes | Lost in the middle — no ve el código anterior | | Respuestas genéricas sin contexto del proyecto | Contexto demasiado lleno, modelo generalizando | | El agente pregunta cosas que ya respondiste | Historial de conversación demasiado largo | | Cambios que contradicen decisiones previas | Decisiones en el medio del contexto ignoradas | Cuando veas estos síntomas: **nueva conversación con contexto fresco**. --- ## Gestión del contexto con agentes autónomos Los [agentes autónomos](/blog/crear-agente-ia-langchain-nodejs-tutorial/) tienen un reto adicional: necesitan mantener contexto entre múltiples pasos de ejecución. Las estrategias para esto: ### Memoria externa Guardar el estado del agente en un archivo o base de datos, no en el contexto del chat: ```javascript // El agente guarda su "memoria" en un archivo const memory = { task: "implementar módulo de auth", completedSteps: ["entity", "service"], pendingSteps: ["controller", "tests"], decisions: { "hash algorithm": "argon2", "token expiry": "7 days" } }; fs.writeFileSync("agent-memory.json", JSON.stringify(memory)); ``` ### Resúmenes progresivos Cada N pasos, el agente hace un resumen de lo completado y lo sustituye por el historial detallado. Comprime el contexto sin perder información relevante. ### Contexto por tarea, no por proyecto En vez de tener un contexto global del proyecto, el agente carga solo el contexto relevante para la tarea actual. Similar al patrón RAG que cuento en [crear un chatbot con RAG](/blog/crear-chatbot-rag-openai-tutorial-2026/). --- ## Calculando el coste del contexto Si pagas por API (no por suscripción de editor), el tamaño del contexto afecta directamente al coste. La [calculadora de precios de IA](/blog/calculadora-precios-ia-2026/) te ayuda a estimar, pero aquí están los precios orientativos para 2026: | Modelo | Input (por 1M tokens) | Output (por 1M tokens) | |--------|----------------------|------------------------| | Claude Sonnet 4.5 | $3 | $15 | | Claude Opus 4 | $15 | $75 | | GPT-4.1 | $2 | $8 | | Gemini 1.5 Pro | $1.25 | $5 | Una sesión de trabajo de 2 horas con contexto largo (50K tokens de input promedio por mensaje) puede costar entre $1 y $10 dependiendo del modelo. Con prompt caching activo, el coste se reduce un 90% en el contexto repetido. --- ## Conclusión El context window no es solo una limitación técnica — es una restricción que moldea cómo deberías estructurar tu trabajo con IA. Las prácticas clave: 1. **CONTEXT.md** con la arquitectura del proyecto, siempre al inicio 2. **Conversaciones cortas** por tarea, no maratones de 3 horas 3. **Archivos específicos**, no @codebase a ciegas 4. **Nueva conversación** cuando los síntomas de degradación aparecen 5. **Módulos pequeños** — benefician tanto a humanos como a IAs Un buen manejo del contexto es lo que separa el [vibe coding que funciona del que destroza](/blog/vibe-coding-bien-mal-experiencia-real-2026/) proyectos. No es sobre cuánto contexto metes — es sobre qué contexto es relevante.

IA para Revisar Pull Requests: CodeRabbit, Copilot y Cómo Usarlos Bien

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Un PR de 800 líneas llega a tu repo. El autor lo marca como "pequeño refactor". Tienes 15 minutos antes de la siguiente reunión. ¿Lo apruebas sin leer o lo dejas pendiente? Esta es la situación real en la que la IA para revisar PRs tiene más valor. No para reemplazar la revisión — para que cuando llegues al PR, los problemas obvios ya estén identificados y puedas focalizarte en lo que realmente importa. ## Por qué la revisión de PRs es un cuello de botella En equipos pequeños, la revisión de código es una de las tareas más importantes y más descuidadas. El motivo es simple: es costosa en tiempo y atención. Revisar bien un PR de 500 líneas requiere: - Entender el contexto del cambio - Seguir la lógica de cada función modificada - Pensar en edge cases - Verificar que los tests son suficientes - Detectar problemas de seguridad Eso son 30-60 minutos por PR. En proyectos activos con varios PRs al día, la revisión se convierte en un cuello de botella o, peor, en una formalidad que no añade valor real. La IA no resuelve esto completamente. Pero sí elimina el trabajo mecánico de detectar los problemas más obvios, para que tú puedas centrarte en los que realmente requieren criterio humano. --- ## Herramientas principales ### CodeRabbit CodeRabbit es el más maduro del ecosistema. Se instala como GitHub App y revisa automáticamente cada PR que se abre o actualiza. **Qué hace bien:** - Resumen automático de los cambios en lenguaje natural - Comentarios inline en líneas específicas del diff - Detección de bugs potenciales y code smells - Sugerencias de mejora con código de ejemplo - Diagrama de flujo del walkthrough de cambios - Revisión de tests — avisa si un cambio no tiene test asociado **Cómo se ve en práctica:** Cuando abres un PR con CodeRabbit instalado, en los primeros minutos aparece un comentario con: ```markdown ## Summary This PR adds the campaign creation endpoint with multi-tenant support. ## Walkthrough - `CampaignController` (+80 lines): New POST /campaigns endpoint - `CampaignService` (+120 lines): createCampaign() with tenant isolation - `create-campaign.dto.ts` (+35 lines): Validation with class-validator ## Potential Issues ⚠️ Line 45 in campaign.service.ts: The query doesn't filter by tenantId. Campaigns from other tenants could be exposed. ⚠️ Line 23 in campaign.controller.ts: No rate limiting on this endpoint. Could be abused for enumeration attacks. ``` El primer punto es exactamente el tipo de error de seguridad crítico que en una revisión rápida podría pasar desapercibido. **Configuración recomendada** (`.coderabbit.yaml` en la raíz del repo): ```yaml language: "es" reviews: profile: "chill" # assertive | chill — chill es menos ruidoso request_changes_workflow: false high_level_summary: true poem: false # Desactiva el poema al final (es una feature, en serio) review_status: true collapse_walkthrough: true path_filters: - "!dist/**" - "!node_modules/**" - "!*.lock" - "!*.min.js" chat: auto_reply: true ``` **Coste**: Gratis para repos públicos. Para repos privados, el plan gratuito incluye 50 reviews/mes. El plan Pro es $12/usuario/mes. --- ### GitHub Copilot Code Review GitHub Copilot tiene una función de revisión de código integrada directamente en la interfaz de PRs. A diferencia de CodeRabbit (automático), Copilot review se activa manualmente. **Cómo activarlo:** En cualquier PR, en la pestaña "Files changed", hay un botón de Copilot en la esquina superior derecha. Al pulsarlo, Copilot analiza todos los cambios y añade comentarios inline. **Qué hace bien:** - Review interactivo — puedes hacerle preguntas sobre su propio comentario - Entiende el contexto del repo si tienes `@workspace` configurado - Mejor en sugerencias de refactor que en detección de seguridad - Genera sugerencias de código con un botón "Accept suggestion" **Lo que falta respecto a CodeRabbit:** - No es automático — alguien tiene que activarlo en cada PR - No genera el resumen de alto nivel del PR completo - Menos especializado en seguridad **Mejor uso de Copilot para PRs:** Como complemento a la revisión humana. Cuando estás en el PR leyendo el diff y tienes dudas, puedes preguntarle directamente: ``` "¿Este cambio en el TenantContextGuard puede afectar a los endpoints que no usan el guard?" "¿Hay edge cases que no estamos manejando en este try/catch?" "¿Los tests cubren el caso en que el tenantId es undefined?" ``` --- ### Revisión asistida manual (sin herramienta de PR) Si no usas CodeRabbit ni tienes Copilot Business, puedes hacer revisión asistida copiando el diff al chat de Claude o ChatGPT. **El prompt que uso:** ``` Eres un senior developer revisando un Pull Request. El proyecto es [descripción breve: NestJS multi-tenant SaaS con RBAC]. Las convenciones son: [listar las más relevantes]. Revisa este diff y dame: 1. Problemas críticos (bugs, seguridad, pérdida de datos) 2. Problemas medios (rendimiento, mantenibilidad) 3. Sugerencias menores (estilo, naming) Para cada problema: línea, descripción, sugerencia de fix. [DIFF AQUÍ] ``` Es manual pero funciona bien para PRs que no pasan por un repo con CodeRabbit configurado. --- ## Qué detecta la IA y qué no ### Detecta bien **Bugs de lógica simple:** ```typescript // La IA detecta esto if (user.role === "admin" || "superadmin") { // Siempre true — "superadmin" es truthy } // Y sugiere esto if (user.role === "admin" || user.role === "superadmin") { ``` **Problemas de seguridad por patrón:** ```javascript // Detecta inyección SQL por interpolación const sql = `SELECT * FROM users WHERE id = ${userId}`; // Detecta credenciales hardcodeadas const apiKey = "sk-proj-123abc..."; // Detecta CORS demasiado permisivo app.use(cors({ origin: "*" })); ``` **Code smells:** - Funciones demasiado largas - Duplicación de código - Nombres de variables poco descriptivos - Comentarios desactualizados **Tests insuficientes:** - Funciones sin test correspondiente - Tests que no cubren el caso de error - Mocks vacíos que no prueban nada --- ### No detecta (o detecta mal) **Vulnerabilidades de lógica de negocio:** ```typescript // La IA NO siempre detecta esto si no entiende el modelo de datos async getCampaigns(tenantId: string, userId: string) { // Falta validar que userId pertenece a tenantId return this.campaignRepo.find({ where: { tenantId } }); } ``` La IA no sabe que en tu sistema un userId puede pertenecer a otro tenant. Necesita conocer el modelo de negocio para detectarlo. **Problemas de rendimiento no obvios:** ```typescript // La IA no detecta N+1 queries en ORMs complejos const orders = await Order.findAll(); for (const order of orders) { order.items = await OrderItem.findAll({ where: { orderId: order.id } }); // N+1 } ``` Algunos detectores lo pillan, otros no. Depende de lo explícito que sea el patrón. **Errores de integración entre servicios:** Si un cambio en el servicio A rompe el servicio B porque dependen de un contrato implícito, la IA solo lo detecta si tiene contexto de ambos servicios. **Condiciones de carrera:** ```typescript // Parece correcto, pero tiene race condition en alta concurrencia const exists = await this.userRepo.findOne({ where: { email } }); if (!exists) { await this.userRepo.save({ email, ... }); // Otro hilo puede crear el mismo email aquí } ``` --- ## Flujo de trabajo con IA en la revisión de PRs Este es mi flujo cuando tengo CodeRabbit + Copilot en el proyecto: ``` 1. PR abierto ↓ 2. CodeRabbit revisa automáticamente (2-5 min) ↓ 3. Leer el resumen de CodeRabbit - ¿Hay críticos? → resolver antes de revisión humana - ¿Solo sugerencias? → continuar ↓ 4. Revisión humana focalizada: - Lógica de negocio (lo que la IA no entiende) - Cambios en auth/seguridad - Impacto en otras partes del sistema ↓ 5. Preguntas a Copilot inline para dudas concretas ↓ 6. Aprobar o solicitar cambios ``` El resultado: reviews que antes me tomaban 45 minutos ahora me toman 15-20. No porque revise menos — sino porque no gasto tiempo en los problemas que la IA ya identificó. --- ## Configurar Copilot para que entienda tu proyecto La calidad del review de Copilot mejora mucho si tiene contexto del proyecto. Usa el archivo de instrucciones: ```markdown # Instrucciones para Copilot ## Contexto del proyecto - NestJS 11 multi-tenant SaaS - Cada request tiene req.user.tenantId (inyectado por TenantContextGuard) - TODAS las queries deben filtrar por tenantId — si no lo hacen, es un bug crítico - RBAC con @RequirePermissions() — todos los endpoints protegidos lo necesitan ## Al revisar código, prioriza: 1. Falta de filtro por tenantId en queries → Bug crítico de seguridad 2. Endpoints sin @RequirePermissions → Escalada de privilegios 3. DTOs sin validación con class-validator → Input no validado 4. any en TypeScript → Riesgo de runtime errors ``` Este archivo también mejora el autocompletado y las respuestas de Copilot en general, no solo en revisiones. Lo cuento en [cómo sacar el máximo a GitHub Copilot](/blog/cursor-vs-copilot-vs-windsurf-2026/). --- ## Revisión de PRs generados por IA Si usas [vibe coding](/blog/vibe-coding-bien-mal-experiencia-real-2026/) y el agente genera PRs completos, la revisión de IA es especialmente útil — no para sustituir tu revisión, sino para tener una segunda "opinión" sobre el código que la IA generó. El patrón que funciona: **un modelo revisa lo que generó otro modelo**. CodeRabbit (basado en Claude) revisando código generado por Cursor (también Claude) parece redundante, pero en la práctica el review model tiene más contexto del proyecto y detecta inconsistencias que el generation model ignoró. ```bash # El agente generó el módulo → abres PR → CodeRabbit revisa # Resultado habitual: 2-3 puntos que el agente pasó por alto # Los más comunes: # - Falta filter por tenantId (el agente olvida el contexto de multi-tenancy) # - Test no cubre el caso de error 404 # - Import innecesario que quedó del código anterior ``` --- ## Métricas: ¿funciona realmente? En proyectos donde he tenido CodeRabbit configurado durante varios meses: - **~30% de los PRs** tenían al menos un comentario de CodeRabbit que resultó en un cambio real - **~8% de los PRs** tenían un problema detectado por CodeRabbit que se hubiera ido a producción sin la revisión automática - Los problemas más frecuentes detectados: queries sin filtro de tenant (2 veces), tests insuficientes (5 veces), código duplicado que debería haberse refactorizado (4 veces) No es perfecto. Pero el 8% de PRs con bugs reales detectados antes de producción tiene un ROI clarísimo. --- ## Alternativas y complementos | Herramienta | Especialidad | Precio | |-------------|-------------|--------| | **CodeRabbit** | Review automático completo | Gratis / $12/usuario | | **GitHub Copilot** | Review interactivo | $10-19/usuario | | **Sourcery** | Refactor y code quality | Gratis / $14/usuario | | **DeepSource** | Análisis estático + IA | Gratis / $12/usuario | | **Snyk** | Seguridad y vulnerabilidades | Gratis / desde $25 | | **SonarQube** | Calidad y deuda técnica | Gratis (self-hosted) | Para proyectos pequeños o en solitario: CodeRabbit gratuito + Copilot Pro es suficiente. Para equipos: CodeRabbit Pro + Copilot Business + Snyk para seguridad. --- ## Conclusión La IA para revisión de PRs no reemplaza al revisor humano — elimina el ruido para que el revisor humano pueda focalizarse en lo que importa. Configura CodeRabbit en tu repo (es gratuito para empezar), ajusta el `.coderabbit.yaml` para reducir el ruido, y úsalo como primera capa de revisión. Reserva tu atención para la lógica de negocio, los cambios de arquitectura y los edge cases que solo tú puedes evaluar. Y si generas código con IA, combinarlo con un revisor IA es el mínimo que puedes hacer antes de mergear a producción. Los problemas que la IA generadora pasó por alto, la IA revisora los puede pillar — especialmente si usas [MCP servers](/blog/mcp-servers-cursor-copilot-que-son-2026/) para que el revisor tenga contexto real del proyecto.

MCP Servers: Qué Son, Para Qué Sirven y Cómo Usarlos en Cursor y Copilot

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Llevabas meses copiando y pegando contexto en el chat de tu IA. El schema de la base de datos. El output del último error. La documentación de la API. Con **MCP servers**, tu agente consulta todo eso directamente, sin que tú hagas nada. MCP (Model Context Protocol) es el cambio más importante en cómo funcionan los agentes de IA desde que apareció el autocompletado. Aquí te explico qué es, cómo funciona y cómo configurarlo en Cursor y GitHub Copilot con ejemplos reales. ## ¿Qué es MCP exactamente? MCP es un **protocolo abierto** creado por Anthropic (los de Claude) que define cómo un modelo de IA puede comunicarse con herramientas externas de forma estandarizada. Antes de MCP, si querías que tu IA leyera tu base de datos tenías dos opciones: 1. Copiar y pegar el schema manualmente en el chat 2. Escribir function calling personalizado para cada herramienta y cada modelo Con MCP: 1. Configuras un MCP server una sola vez 2. Cualquier cliente compatible (Cursor, Copilot, Claude Desktop, Cline) puede usarlo ``` Sin MCP: Tú → copias schema → pegas en chat → IA responde Con MCP: Tú → "qué tablas tiene mi BD?" → IA consulta MCP server → IA responde con datos reales ``` ### La arquitectura MCP en 3 capas ``` ┌─────────────────────────────────────────┐ │ MCP Client │ │ (Cursor, GitHub Copilot, Cline...) │ └──────────────────┬──────────────────────┘ │ JSON-RPC sobre stdio/HTTP ┌──────────────────▼──────────────────────┐ │ MCP Server │ │ (proceso local o remoto) │ │ - Expone "tools" que el modelo invoca │ │ - Expone "resources" (contexto estático)│ │ - Expone "prompts" (plantillas) │ └──────────────────┬──────────────────────┘ │ ┌──────────────────▼──────────────────────┐ │ Fuente de datos │ │ (PostgreSQL, GitHub API, filesystem, │ │ Jira, Slack, tu propia API...) │ └─────────────────────────────────────────┘ ``` El modelo **decide cuándo llamar** al MCP server. Si le preguntas "¿cuántos usuarios se registraron ayer?", el agente invoca el tool de SQL, ejecuta la query y te devuelve la respuesta — sin que tú hayas escrito ninguna query. --- ## MCP vs Function Calling: la diferencia real Esta confusión es muy común. Son cosas distintas que se complementan: | Concepto | Qué es | Dónde vive | |----------|--------|------------| | **Function calling** | Capacidad del modelo de invocar funciones definidas en el prompt | En el modelo (OpenAI, Anthropic, Gemini) | | **MCP** | Protocolo de transporte para comunicar cliente ↔ servidor de herramientas | En el cliente y el servidor | MCP **usa** function calling por debajo. El MCP server registra sus tools como funciones que el modelo puede invocar. La diferencia es que MCP estandariza el protocolo, así que el mismo servidor funciona con cualquier modelo compatible. --- ## MCP servers que uso en el día a día ### 1. `@modelcontextprotocol/server-filesystem` Accede a archivos y carpetas fuera del proyecto abierto. Útil cuando trabajas con monorepos o necesitas que el agente lea documentación en otra ruta. ```bash npm install -g @modelcontextprotocol/server-filesystem ``` **Caso de uso real**: "Lee el README del proyecto de infraestructura y explícame cómo desplegar el backend." El agente lee directamente `/home/fran/infra/README.md` sin que yo copie nada. --- ### 2. `@modelcontextprotocol/server-github` Conecta con la API de GitHub. El agente puede leer issues, PRs, código de otros repos y comentarios. ```bash npm install -g @modelcontextprotocol/server-github ``` **Caso de uso real**: "¿Hay algún issue abierto sobre el timeout de la transcripción?" El agente busca en tus issues de GitHub y te resume los relevantes. Sin salir del editor. --- ### 3. `@modelcontextprotocol/server-postgres` Conecta directamente a PostgreSQL. El agente puede ejecutar queries, inspeccionar schemas y analizar datos. ```bash npm install -g @modelcontextprotocol/server-postgres ``` **Caso de uso real**: "¿Cuántos tenants activos hay en producción y cuál es el que más requests genera?" El agente escribe y ejecuta la query, sin que tú la escribas. > Usa siempre un usuario de solo lectura para esto. Nunca conectes el MCP server con credenciales de superusuario. --- ### 4. `@modelcontextprotocol/server-sqlite` Igual que Postgres pero para SQLite. Muy útil en proyectos con base de datos local o para desarrollo. --- ### 5. `mcp-server-fetch` Permite al agente hacer peticiones HTTP. Útil para consultar documentación online, APIs REST o webhooks. ```bash npm install -g mcp-server-fetch ``` **Caso de uso real**: "Mira la documentación de Coolify y dime cómo configurar las variables de entorno." El agente consulta `docs.coolify.io` directamente. --- ## Configurar MCP en Cursor Cursor guarda la configuración de MCP en `~/.cursor/mcp.json` (global) o `.cursor/mcp.json` en la raíz del proyecto (local, tiene prioridad). ### Configuración básica ```json { "mcpServers": { "filesystem": { "command": "npx", "args": [ "-y", "@modelcontextprotocol/server-filesystem", "/Users/fran/proyectos", "/Users/fran/documentos" ] }, "github": { "command": "npx", "args": ["-y", "@modelcontextprotocol/server-github"], "env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "ghp_tu_token_aqui" } }, "postgres": { "command": "npx", "args": [ "-y", "@modelcontextprotocol/server-postgres", "postgresql://readonly_user:password@localhost:5432/mi_bd" ] } } } ``` ### Verificar que funciona 1. Abre Cursor 2. Ve a **Settings → MCP** (o `Cmd/Ctrl+Shift+P` → "MCP") 3. Deberías ver los servidores listados con estado ✅ o ❌ 4. En el chat, empieza con `@` para ver las herramientas disponibles Si un servidor falla, comprueba el log en la pestaña MCP de Settings. El error más común es que `npx` no encuentra el paquete — en ese caso instálalo globalmente primero. --- ## Configurar MCP en GitHub Copilot (VS Code) GitHub Copilot añadió soporte MCP en VS Code. La configuración va en `settings.json` o en `.vscode/mcp.json` del proyecto. ### Via `.vscode/mcp.json` (recomendado por proyecto) ```json { "servers": { "github": { "type": "stdio", "command": "npx", "args": ["-y", "@modelcontextprotocol/server-github"], "env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "${env:GITHUB_TOKEN}" } }, "filesystem": { "type": "stdio", "command": "npx", "args": [ "-y", "@modelcontextprotocol/server-filesystem", "${workspaceFolder}" ] } } } ``` ### Via `settings.json` (global) ```json { "github.copilot.chat.mcp.enabled": true, "mcp": { "servers": { "postgres": { "type": "stdio", "command": "npx", "args": ["-y", "@modelcontextprotocol/server-postgres", "postgresql://..."] } } } } ``` Para usar las herramientas MCP en Copilot, abre el chat en **modo agente** (icono de agente) y el modelo las invocará automáticamente cuando sea relevante. --- ## Crear tu propio MCP server en Node.js Si quieres conectar el agente a tu propia API o lógica personalizada, puedes crear un MCP server en minutos. ### Estructura mínima ```bash npm init -y npm install @modelcontextprotocol/sdk ``` ```javascript // server.js import { Server } from "@modelcontextprotocol/sdk/server/index.js"; import { StdioServerTransport } from "@modelcontextprotocol/sdk/server/stdio.js"; import { CallToolRequestSchema, ListToolsRequestSchema, } from "@modelcontextprotocol/sdk/types.js"; const server = new Server( { name: "mi-api-server", version: "1.0.0" }, { capabilities: { tools: {} } } ); // Definir los tools disponibles server.setRequestHandler(ListToolsRequestSchema, async () => ({ tools: [ { name: "get_clientes_activos", description: "Devuelve el número de clientes activos en la plataforma", inputSchema: { type: "object", properties: { tenant_id: { type: "string", description: "ID del tenant a consultar", }, }, required: ["tenant_id"], }, }, ], })); // Implementar la lógica de cada tool server.setRequestHandler(CallToolRequestSchema, async (request) => { if (request.params.name === "get_clientes_activos") { const { tenant_id } = request.params.arguments; // Tu lógica real aquí: consulta a BD, llamada a API, etc. const count = await fetchClientesActivos(tenant_id); return { content: [ { type: "text", text: `El tenant ${tenant_id} tiene ${count} clientes activos.`, }, ], }; } throw new Error(`Tool desconocido: ${request.params.name}`); }); // Arrancar el servidor const transport = new StdioServerTransport(); await server.connect(transport); ``` Luego añades el server a tu configuración de Cursor o Copilot: ```json { "mcpServers": { "mi-api": { "command": "node", "args": ["/ruta/a/tu/server.js"], "env": { "API_KEY": "tu_clave" } } } } ``` --- ## Casos de uso reales donde MCP marca la diferencia ### Debugging con contexto de producción Sin MCP: "Tengo este error en producción: [error]" → la IA adivina Con MCP: el agente consulta los logs reales de tu servidor y el estado actual de la BD para dar una respuesta precisa ### Revisión de PRs con contexto del proyecto Sin MCP: pegar el diff en el chat Con MCP + GitHub server: "revisa el PR #47 y dime si hay problemas de seguridad" — el agente lee el PR, los archivos cambiados y el historial de la rama Esto enlaza directamente con lo que cuento en [Cómo usar IA para revisar Pull Requests](/blog/ia-para-revisar-pull-requests-2026/) — los MCP servers son la pieza que hace esa revisión realmente útil. ### Generación de código con schema real Sin MCP: pegar el schema de la BD Con MCP + Postgres server: "crea el DTO de TypeScript para la tabla `campaigns`" — el agente inspecciona la tabla directamente y genera el DTO correcto al 100% ### Documentación actualizada siempre Sin MCP: documentación desactualizada en el contexto Con MCP + Fetch server: el agente consulta la documentación oficial en tiempo real antes de responder --- ## Errores comunes al configurar MCP ### El servidor no aparece en Cursor ``` Error: spawn npx ENOENT ``` Node.js no está en el PATH que usa Cursor. Solución: usa la ruta absoluta: ```json { "command": "/usr/local/bin/node", "args": ["/usr/local/bin/npx", "-y", "@modelcontextprotocol/server-github"] } ``` ### El servidor aparece pero las tools no se invocan El modelo no invoca tools automáticamente si la pregunta no es lo suficientemente específica. Sé explícito: ``` ❌ "¿Cómo van los usuarios?" ✅ "Consulta la tabla users de la base de datos y dime cuántos se registraron esta semana" ``` ### Errores de autenticación con GitHub El token debe tener permisos `repo` (lectura) y `read:org` si necesitas repos de organización. Genera uno en GitHub → Settings → Developer settings → Personal access tokens. --- ## MCP vs Agentes con herramientas propias Si ya usas [agentes con LangChain](/blog/crear-agente-ia-langchain-nodejs-tutorial/) o function calling propio, ¿para qué migrar a MCP? La ventaja principal es la **portabilidad**. Un MCP server funciona con Cursor, con Copilot, con Claude Desktop y con Cline sin cambiar nada. Si mañana cambias de editor, tus herramientas siguen funcionando. Si solo usas un editor y ya tienes herramientas personalizadas, no hay urgencia. MCP brilla especialmente cuando: - Quieres compartir herramientas entre varios editores o agentes - Usas herramientas estándar (GitHub, Postgres, Filesystem) y no quieres implementarlas desde cero - Trabajas en equipo y quieres que todos tengan el mismo contexto disponible --- ## El ecosistema MCP en 2026 El catálogo oficial de MCP servers está en [modelcontextprotocol.io/servers](https://modelcontextprotocol.io/servers). Algunos destacados además de los mencionados: - **Sentry** — el agente puede buscar errores y trazas directamente - **Jira / Linear** — gestión de tareas sin salir del editor - **Slack** — leer mensajes y contexto de canales - **Puppeteer** — automatización de navegador - **Redis** — consultar caché y datos en memoria - **Docker** — inspeccionar contenedores y logs La comunidad está creciendo rápido. Si construyes un MCP server para una herramienta que usas, considera publicarlo — es una buena forma de contribuir al ecosistema. --- ## Conclusión MCP no es una moda pasajera — es la pieza que faltaba para que los agentes de IA dejen de ser asistentes que responden preguntas y se conviertan en herramientas que actúan sobre contexto real. Si usas Cursor o GitHub Copilot a diario, configurar los MCP servers de GitHub y Postgres te va a cambiar cómo trabajas. El setup son 10 minutos y el retorno es inmediato. Y si quieres ir más lejos, echa un vistazo a cómo funcionan los [agentes autónomos con LangChain](/blog/crear-agente-ia-langchain-nodejs-tutorial/) — MCP y agentes con memoria son el siguiente paso natural.

Vibe Coding: Lo Bueno, Lo Malo y Lo que Nadie te Cuenta (Experiencia Real 2026)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Andrej Karpathy tuiteó en febrero de 2025: *"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."* El término explotó. De repente todo el mundo hablaba de programar sin programar. La IA escribe, tú aceptas, el producto existe. Llevo meses haciendo vibe coding en proyectos reales — desde scripts de un día hasta plataformas SaaS completas. Esto es lo que nadie te cuenta. ## Qué es realmente el vibe coding Vibe coding no es nuevo. Siempre hemos usado generadores de código, frameworks, librerías. Lo nuevo es la **escala**: ahora la IA puede generar sistemas completos funcionales en minutos, no fragmentos de código. La definición práctica: describes lo que quieres, el agente genera el código, tú aceptas sin leer en detalle, el sistema funciona (o no). El ciclo es: ``` Descripción en lenguaje natural ↓ Agente genera código ↓ Tú aceptas (o rechazas con feedback rápido) ↓ Test superficial ("¿funciona visualmente?") ↓ Siguiente feature ``` La diferencia con usar GitHub Copilot para autocompletar es que en vibe coding **la IA toma decisiones de arquitectura**. Qué estructura de archivos. Qué librería usar. Cómo modelar los datos. Tú pides resultados, no código específico. --- ## Lo bueno: dónde el vibe coding es imbatible ### Prototipos y MVPs Es el caso de uso perfecto. Tienes una idea, la describes, en 2 horas tienes algo que funciona suficientemente bien para mostrar a un cliente o validar con usuarios. En el [caso real de iECO](/blog/caso-real-ia-reuniones-gemini-supabase/), el prototipo con Streamlit tardó menos de un día haciendo vibe coding puro. Sin ese prototipo rápido, no hubiera podido validar que la idea era viable antes de invertir semanas en la arquitectura real. ### Scripts y automatizaciones one-shot Scripts de migración de datos, procesadores de archivos, integraciones simples con APIs. Código que ejecutas una vez, revisas el output, y descartas. El riesgo de no entender el código es casi cero porque el contexto es limitado y el resultado es verificable. ``` "Crea un script que lea todos los CSV de esta carpeta, combine las columnas 'nombre' y 'apellidos', y exporte un único CSV con email, nombre_completo y telefono" ``` Tiempo sin IA: 20 minutos. Con vibe coding: 2 minutos. Y el resultado es el mismo. ### Explorar tecnologías desconocidas Quieres probar Svelte pero nunca lo has usado. Haces vibe coding con el agente, en una tarde tienes una app funcionando, entiendes los conceptos principales sin leer la documentación entera. Luego profundizas donde necesitas. ### Código repetitivo y boilerplate Tests unitarios básicos, DTOs de TypeScript, migraciones de base de datos simples, componentes de formulario. Todo lo que sabes exactamente qué tiene que hacer pero que es tedioso de escribir. En [Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/), generé los 29 DTOs de TypeORM con un prompt por entidad. Lo que hubiera tardado un día tardó una hora. No porque no supiera escribirlos, sino porque el agente los escribía correctamente y yo solo revisaba. --- ## Lo malo: dónde el vibe coding te destroza ### Seguridad Este es el problema gordo. La IA genera código funcional que **parece seguro pero no lo es**. Los errores más comunes que he visto en código generado con vibe coding: **Inyección SQL por interpolación:** ```javascript // Lo que genera el agente con vibe coding descuidado const query = `SELECT * FROM users WHERE email = '${email}'`; // Lo correcto const query = "SELECT * FROM users WHERE email = $1"; const result = await db.query(query, [email]); ``` **IDOR sin validación:** ```javascript // El agente genera esto — cualquier usuario puede ver cualquier recurso app.get('/api/campaigns/:id', async (req, res) => { const campaign = await Campaign.findById(req.params.id); res.json(campaign); }); // Necesitas validar que el recurso pertenece al usuario autenticado app.get('/api/campaigns/:id', authMiddleware, async (req, res) => { const campaign = await Campaign.findOne({ where: { id: req.params.id, tenantId: req.user.tenantId } }); if (!campaign) return res.status(404).json({ error: 'Not found' }); res.json(campaign); }); ``` **Credenciales hardcodeadas:** ```javascript // El agente las pone "para que funcione el ejemplo" const apiKey = "sk-proj-abc123..."; // ← va directo al repo si no lo revisas ``` Si estás haciendo vibe coding en producción, lee siempre cualquier código que maneje auth, queries a base de datos y llamadas a APIs externas. ### Deuda técnica silenciosa El agente optimiza para que funcione ahora, no para que sea mantenible. Con vibe coding puro acabas con: - **Funciones de 300 líneas** que "hacen lo que pediste" pero son imposibles de modificar - **Duplicación masiva** — el agente no refactoriza lo que ya existe, añade - **Nombres inconsistentes** — `getUserById`, `fetchUser`, `getUser` para hacer lo mismo en distintas partes - **Sin manejo de errores** — el happy path funciona, los edge cases explotan en producción Yo lo llamo la "deuda de vibe" — a corto plazo avanzas rápido, a medio plazo el código es una mina. ### El agente en bucle Si no supervisas, el agente puede entrar en un bucle intentando arreglar errores que él mismo creó. Cuesta dinero y tiempo. Lo cuento en detalle en [cómo parar un agente en bucle infinito](/blog/agente-ia-bucle-infinito-cline-cursor-2026/). ### Dependencia del contexto Si el proyecto crece y el agente pierde contexto de la arquitectura inicial, empieza a tomar decisiones inconsistentes. Sin un buen manejo del [context window](/blog/context-window-ia-como-aprovecharlo-2026/), el código generado en la sesión 1 y el de la sesión 10 parecen escritos por personas diferentes. --- ## Mi enfoque real: vibe coding supervisado Después de meses, mi forma de trabajar no es vibe coding puro ni programación tradicional. Es algo intermedio que llamo **vibe coding supervisado**: ### 1. Arquitectura manual, implementación con IA Diseño la estructura del proyecto yo: qué módulos, qué modelos de datos, qué patrón de arquitectura. La IA implementa dentro de ese marco. ``` Yo defino: - /modules/auth/ → JWT + refresh tokens - /modules/campaigns/ → CRUD + estado - /modules/users/ → multi-tenancy con guard La IA implementa cada módulo según el patrón que yo he definido ``` ### 2. Revisión de código en puntos críticos No leo todo el código generado, pero sí leo cualquier cosa relacionada con: - Autenticación y autorización - Queries a base de datos - Manejo de datos del usuario - Configuración de CORS, headers de seguridad - Variables de entorno y secrets Para el resto (componentes UI, lógica de negocio sin seguridad crítica), confío más en el agente. ### 3. Tests como red de seguridad Si el agente genera código que pasa los tests, hay más probabilidades de que sea correcto. Los tests los pide el agente también, pero los reviso para asegurar que prueban lo que importa, no que hagan pasar el test con mocks vacíos. Lo cuento en [cómo testear código generado por IA](/blog/testear-codigo-generado-ia-copilot-cursor-2026/). ### 4. Commits frecuentes Antes de pedirle al agente una tarea grande, hago commit. Si el agente rompe algo, `git checkout .` y vuelves al estado anterior. Sin commits frecuentes, el vibe coding puede costarte horas de recuperación. ```bash # Antes de cualquier tarea del agente git add -A && git commit -m "checkpoint antes de refactor auth" # Si el agente lo rompe todo git checkout . ``` --- ## Cuándo usar vibe coding y cuándo no | Situación | Vibe coding | Supervisado | Manual | |-----------|-------------|-------------|--------| | Prototipo/MVP | ✅ | - | - | | Script one-shot | ✅ | - | - | | Boilerplate/DTOs | ✅ | - | - | | Feature nueva en prod | - | ✅ | - | | Refactor grande | - | ✅ | - | | Sistema de auth | - | - | ✅ | | Gestión de pagos | - | - | ✅ | | Queries críticas | - | ✅ | - | | Infraestructura/DevOps | - | ✅ | - | --- ## El elefante en la habitación: ¿está matando el vibe coding a los developers? La respuesta honesta: **no, pero está cambiando qué skills importan**. Lo que importa cada vez menos: - Memorizar sintaxis - Escribir boilerplate rápido - Conocer todos los métodos de una API de memoria Lo que importa cada vez más: - Saber si el código generado es correcto y seguro - Diseñar arquitecturas que el agente pueda implementar bien - Debuggear cuando la IA falla (y falla) - Entender el negocio para hacer las preguntas correctas El vibe coding sin conocimientos previos produce código que funciona en el demo pero explota en producción. Con conocimientos previos, multiplica tu velocidad sin sacrificar calidad. La IA es tan buena como el criterio de quien la dirige. --- ## Herramientas para hacer vibe coding bien - **Cursor** con Agent mode — el mejor para proyectos con múltiples archivos. [Comparativa completa aquí](/blog/cursor-vs-copilot-vs-windsurf-2026/) - **Cline** — agente open source para VS Code, muy configurable - **GitHub Copilot** — más conservador pero más integrado con el flujo de trabajo - **MCP servers** — dan al agente contexto real (BD, repos, APIs). [Cómo configurarlos](/blog/mcp-servers-cursor-copilot-que-son-2026/) - **git** — tu red de seguridad. Sin commits frecuentes, el vibe coding es ruleta rusa --- ## Conclusión El vibe coding es real y es útil. No es el fin de la programación ni la salvación del mundo. Es una herramienta más, con sus casos de uso y sus límites. Mi conclusión después de meses: **vibe coding en proyectos de exploración, vibe coding supervisado en producción, cero vibe coding en seguridad**. Y siempre, siempre, commits frecuentes.

Next.js vs Remix en 2026: Cuál Elegir Según Tu Proyecto (Comparativa Real)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Llevo tiempo usando los dos en proyectos reales y la pregunta "¿Next.js o Remix?" sigue siendo legítima en 2026. No hay una respuesta universal. Hay casos donde uno gana claramente. Esta comparativa no es un benchmark de marketing — es mi experiencia construyendo apps con ambos. ## El estado actual de cada uno **Next.js 15** (Vercel) sigue dominando el ecosistema React. App Router ya es el estándar, Server Components son estables, y el ecosistema de librerías es enorme. Prácticamente cualquier librería de React tiene ejemplos de integración con Next.js. **Remix / React Router v7** (Shopify → fusión con React Router en 2025) apostó por las APIs nativas del navegador: `fetch`, `FormData`, `Response`. El resultado es un framework que se siente más "web" y menos "framework inventando cosas nuevas". --- ## Modelo de datos: donde la diferencia es más grande Esta es la diferencia filosófica más importante. ### Next.js: Server Actions y Route Handlers ```typescript // app/productos/page.tsx — Server Component async function ProductosPage() { // Fetch directo en el servidor const productos = await db.producto.findMany(); return ; } // app/actions.ts — Server Action para mutaciones "use server"; export async function crearProducto(formData: FormData) { const nombre = formData.get("nombre") as string; const precio = Number(formData.get("precio")); await db.producto.create({ data: { nombre, precio } }); revalidatePath("/productos"); } ``` ### Remix: Loaders y Actions ```typescript // app/routes/productos.tsx import { json, type LoaderFunction, type ActionFunction } from "@remix-run/node"; import { useLoaderData, Form } from "@remix-run/react"; export const loader: LoaderFunction = async () => { const productos = await db.producto.findMany(); return json(productos); }; export const action: ActionFunction = async ({ request }) => { const formData = await request.formData(); const nombre = formData.get("nombre") as string; const precio = Number(formData.get("precio")); await db.producto.create({ data: { nombre, precio } }); return json({ ok: true }); }; export default function Productos() { const productos = useLoaderData(); return ( <> ); } ``` **La diferencia clave**: En Remix, el `

` funciona **sin JavaScript** (progressive enhancement real). Si el JS falla o tarda en cargar, el formulario sigue enviando datos. En Next.js con Server Actions, el formulario depende del JS del cliente para la mayoría de los casos. --- ## Rendimiento: cuándo importa cuál En apps con mucha navegación e interactividad, Remix tiene una ventaja arquitectural: **prefetching inteligente de datos y código en paralelo**. Next.js tiende a cargar datos en cascada si no tienes cuidado (un componente espera al padre, que espera al abuelo). Con Remix, los loaders de la ruta actual y sus sub-rutas se ejecutan en paralelo. ``` Next.js con anidación de fetch sin cuidado: Layout fetch → Page fetch → Component fetch (cascada: 3x lento) Remix (por defecto): Todos los loaders en paralelo (1x rápido) ``` Para apps de contenido estático (blogs, marketing, documentación), **Next.js gana** gracias a SSG e ISR que Remix no tiene nativamente. Este blog está hecho con Astro precisamente porque para contenido estático se puede ir más lejos que con Next.js. Pero para apps SaaS interactivas, la comparativa es válida. Hablo más sobre esto en el artículo de [migración de React a Astro](/blog/migracion-react-astro-rendimiento-lighthouse-2026/). --- ## Deploy: dónde puedes alojar cada uno ### Next.js - **Vercel**: el deploy más sencillo posible, es de la misma empresa - **Netlify**: soporte oficial - **AWS, GCP**: con adaptadores - **Docker / VPS**: funciona, pero necesitas configuración extra - **Coolify**: [para self-hosting sin DevOps](/blog/coolify-self-hosting-deploy-sin-devops-2026/), funciona razonablemente bien ### Remix / React Router v7 - **Cloudflare Workers**: excelente integración, latencia mínima global - **Vercel**: soporte - **Fly.io**: popular en la comunidad Remix por el control que da - **Node.js nativo**: más sencillo que Next.js porque es un servidor HTTP estándar Si priorizas la libertad de deploy y no depender de Vercel, Remix da más opciones nativas. La discusión de [Vercel vs VPS](/blog/vercel-vs-vps-coste-real-nextjs-2026/) es relevante aquí. --- ## Developer Experience: lo que sientes trabajando ### Qué hace Next.js mejor - Documentación más completa y actualizada - Más tutoriales, más Stack Overflow, más ejemplos en GitHub - `next/image` para optimización de imágenes es excelente - `next/font` para fuentes sin layout shifts - El ecosistema de librerías UI (Shadcn, NextUI) está mayoritariamente pensado para Next.js ### Qué hace Remix mejor - Los errores de routing son más claros y predecibles - El modelo mental de "ruta = loader + action + componente" es más simple una vez lo entiendes - Los `error boundaries` por ruta (si falla un loader, solo falla esa sección, no la app entera) - Progressive enhancement real sin configurar nada ### Lo que los dos hacen mal - **Next.js**: el sistema de caché en App Router ha confundido a toda la comunidad. En v15 lo cambiaron casi todo respecto a v13. La inestabilidad de la API de caché es un problema real - **Remix**: la comunidad es más pequeña y hay menos recursos de aprendizaje. Algunos patrones necesitan más boilerplate --- ## Autenticación en cada uno La autenticación es uno de los casos donde más noto la diferencia práctica. **Con Next.js** uso [Auth.js (antes NextAuth)](/blog/auth-js-nextauth-implementacion-real-2026/) que tiene integración nativa. Funciona muy bien. **Con Remix** la autenticación se implementa con sessions nativas del servidor usando cookies HTTP. Más control, más verboso: ```typescript // remix — session nativa import { createCookieSessionStorage, redirect } from "@remix-run/node"; const { getSession, commitSession } = createCookieSessionStorage({ cookie: { name: "__session", secrets: [process.env.SESSION_SECRET!], secure: process.env.NODE_ENV === "production", httpOnly: true, sameSite: "lax" } }); export async function login(request: Request) { const session = await getSession(request.headers.get("Cookie")); session.set("userId", "123"); return redirect("/dashboard", { headers: { "Set-Cookie": await commitSession(session) } }); } ``` Más código, pero entiendes exactamente qué pasa. Para [proteger APIs con JWT](/blog/proteger-api-nodejs-jwt-auth-guia-2026/), Remix te da más control sobre las cabeceras HTTP. --- ## Tabla comparativa | Aspecto | Next.js 15 | Remix / RR v7 | |---------|------------|---------------| | Ecosistema | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | | Documentación | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | | Rendimiento SSG/ISR | ⭐⭐⭐⭐⭐ | ⭐⭐ | | Rendimiento apps dinámicas | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | | Progressive enhancement | ⭐⭐ | ⭐⭐⭐⭐⭐ | | Modelo de datos (claridad) | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | | Libertad de deploy | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | | Curva de aprendizaje | Suave | Moderada | --- ## Cuándo elegir cada uno ### Elige Next.js si: - Es tu primer framework de React y quieres el camino con más recursos - Necesitas SSG o ISR para contenido que se regenera poco (blog, landing, documentación) - Tu equipo ya conoce Next.js - Quieres el deploy más sencillo posible en Vercel - Usas muchas librerías de UI del ecosistema React (Shadcn, etc.) ### Elige Remix / React Router v7 si: - La app tiene muchos formularios, mutaciones de datos y flujos de usuario complejos - Priorizas el rendimiento en navegaciones y quieres datos en paralelo automáticamente - Quieres deploy en Cloudflare Workers (latencia mínima globalmente) - El equipo entiende bien los conceptos web (HTTP, cookies, forms) - Quieres progressive enhancement sin configurar nada --- ## Mi recomendación honesta Si empiezas un proyecto nuevo en 2026 y no tienes una razón específica para uno u otro: **empieza con Next.js**. No porque sea mejor técnicamente en todo. Sino porque tiene más comunidad, más ejemplos, más soluciones a problemas concretos. Cuando atasques (y atascarás), encontrarás solución más rápido. Si llevas tiempo con Next.js y te frustra el modelo de caché o quieres un framework que "piense en web" en vez de "pensar en React", dale una oportunidad a Remix. El cambio mental merece la pena para ciertos tipos de apps. Y si lo que necesitas es un blog o sitio de contenido estático, ninguno de los dos es la respuesta correcta — te interesa más Astro, como cuento en [cómo migré de React a Astro](/blog/migracion-react-astro-rendimiento-lighthouse-2026/).

PostgreSQL vs MySQL en 2026: Cuál Elegir para Tu Proyecto (Guía Definitiva)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

La pregunta PostgreSQL vs MySQL aparece en cada proyecto que empieza desde cero. No hay una respuesta única, pero hay una respuesta correcta para cada tipo de proyecto. Llevo años usando los dos en producción y este artículo es la guía que me habría ahorrado elegir mal al principio. ## El estado actual en 2026 **PostgreSQL 17** es el estándar de facto para proyectos modernos. Supabase lo popularizó enormemente en el ecosistema JavaScript. Prisma, el ORM más usado con Node.js, recomienda PostgreSQL explícitamente. **MySQL 9** sigue siendo el más usado en términos absolutos (millones de apps en producción, WordPress, etc.). Oracle lo mantiene. MariaDB es la alternativa open source que muchos prefieren. La tendencia es clara: proyectos nuevos eligen PostgreSQL. Proyectos legacy siguen con MySQL. --- ## Diferencias técnicas que importan en el día a día ### 1. Tipos de datos: donde PostgreSQL gana claramente ```sql -- PostgreSQL tiene tipos que MySQL no tiene nativamente: -- Arrays CREATE TABLE etiquetas_articulo ( id SERIAL PRIMARY KEY, articulo_id INT, tags TEXT[] -- Array nativo ); INSERT INTO etiquetas_articulo (articulo_id, tags) VALUES (1, ARRAY['typescript', 'javascript', 'react']); SELECT * FROM etiquetas_articulo WHERE 'typescript' = ANY(tags); -- Búsqueda en array -- JSON/JSONB (indexable, no solo almacenamiento) CREATE TABLE configuraciones ( id SERIAL PRIMARY KEY, usuario_id INT, datos JSONB ); -- Índice GIN en columna JSONB CREATE INDEX idx_config_datos ON configuraciones USING GIN(datos); SELECT * FROM configuraciones WHERE datos @> '{"tema": "dark"}'; -- Query sobre JSON indexado -- Enums nativos CREATE TYPE estado_pedido AS ENUM ('pendiente', 'procesando', 'enviado', 'entregado'); CREATE TABLE pedidos ( id SERIAL PRIMARY KEY, estado estado_pedido DEFAULT 'pendiente' ); ``` MySQL tiene JSON desde v5.7 y arrays se simulan con VARCHAR o tablas pivote. La diferencia es que PostgreSQL hace estos tipos **indexables y eficientes**. ### 2. Transacciones y ACID PostgreSQL tiene cumplimiento ACID más estricto por diseño. Un ejemplo real donde importa: ```sql -- PostgreSQL — DDL dentro de transacciones (MySQL no soporta esto) BEGIN; ALTER TABLE usuarios ADD COLUMN premium BOOLEAN DEFAULT false; UPDATE usuarios SET premium = true WHERE plan = 'pro'; -- Si algo falla, el ALTER TABLE también se revierte ROLLBACK; -- o COMMIT ``` En MySQL, los comandos DDL (`ALTER TABLE`, `CREATE INDEX`, etc.) hacen commit implícito. No puedes revertirlos en una transacción. ### 3. Consultas avanzadas: CTEs, Window Functions, LATERAL ```sql -- PostgreSQL — CTE recursivo para jerarquías (comentarios anidados, categorías) WITH RECURSIVE comentarios_hilo AS ( SELECT id, contenido, padre_id, 0 AS nivel FROM comentarios WHERE id = 1 -- Comentario raíz UNION ALL SELECT c.id, c.contenido, c.padre_id, h.nivel + 1 FROM comentarios c INNER JOIN comentarios_hilo h ON c.padre_id = h.id ) SELECT * FROM comentarios_hilo ORDER BY nivel; -- Window Functions (disponibles en ambos, pero más potentes en PG) SELECT nombre, salario, AVG(salario) OVER (PARTITION BY departamento) AS media_dept, RANK() OVER (PARTITION BY departamento ORDER BY salario DESC) AS ranking FROM empleados; ``` MySQL soporta CTEs y Window Functions desde v8.0, pero el soporte de PostgreSQL es más completo y maduro. ### 4. Full-Text Search ```sql -- PostgreSQL FTS nativo — muy potente SELECT titulo, ts_rank(to_tsvector('spanish', contenido), query) AS relevancia FROM articulos, to_tsquery('spanish', 'typescript & javascript') query WHERE to_tsvector('spanish', contenido) @@ query ORDER BY relevancia DESC; -- Con índice GIN para FTS rápido CREATE INDEX idx_articulos_fts ON articulos USING GIN(to_tsvector('spanish', contenido)); ``` MySQL tiene FTS pero con capacidades más limitadas. Para un blog, un buscador interno, o una app con búsqueda de contenido, PostgreSQL es superior. --- ## Herramientas y ecosistema ### ORMs con Node.js | ORM | PostgreSQL | MySQL | |-----|------------|-------| | **Prisma** | Soporte completo, recomendado | Soporte completo | | **Drizzle** | Soporte nativo | Soporte nativo | | **TypeORM** | Soporte completo | Soporte completo | | **Sequelize** | Soporte completo | Soporte completo | Si usas [Supabase vs Firebase](/blog/supabase-vs-firebase-experiencia-produccion-2026/), Supabase te da PostgreSQL gestionado con API REST y Realtime incluidos. ### Servicios gestionados **PostgreSQL gestionado:** - **Supabase**: la opción más popular para proyectos JavaScript, tier gratuito generoso - **Neon**: PostgreSQL serverless, paga por uso - **Railway**: fácil de configurar, buena DX - **Render**: opción sólida con tier gratuito - **AWS RDS**: enterprise, costoso pero muy estable **MySQL gestionado:** - **PlanetScale**: MySQL serverless con branching (ahora de pago) - **AWS RDS MySQL**: muy estable - **Google Cloud SQL**: buen soporte - **Hosting compartido**: la mayoría incluye MySQL, menos PostgreSQL Si haces [self-hosting con Coolify](/blog/coolify-self-hosting-deploy-sin-devops-2026/), ambas bases de datos están disponibles como contenedores con un click. --- ## Cuándo MySQL sigue siendo la respuesta correcta No todo es PostgreSQL. MySQL tiene ventajas reales en algunos escenarios: **1. Hosting compartido básico** Si tu cliente tiene un hosting de 5€/mes, probablemente solo ofrece MySQL (cPanel, Plesk). No vale la pena la discusión. **2. Proyectos WordPress / PHP** WordPress es MySQL. El ecosistema PHP está más orientado a MySQL. Si tu stack es PHP, no te compliques. **3. Equipo con experiencia profunda en MySQL** Si tu equipo lleva 10 años con MySQL, conoce sus quirks, sabe optimizarlo y tiene procedimientos internos, no hay razón para cambiar por moda. **4. Replicación master-slave simple** MySQL tiene una replicación más sencilla de configurar para casos de lectura escalada. PostgreSQL tiene streaming replication pero es más complejo. --- ## Rendimiento: los benchmarks honestos Los benchmarks de bases de datos son notoriamente difíciles de interpretar porque dependen del workload. Lo que sí puedo decir con experiencia: **Lecturas simples con índice**: MySQL puede ser marginalmente más rápido (1-10%). En la práctica, irrelevante. **Escrituras concurrentes**: PostgreSQL gana. El sistema MVCC de PostgreSQL maneja mejor la concurrencia sin bloqueos de tabla. **Queries complejas (JOINs múltiples, agregaciones, CTEs)**: PostgreSQL gana claramente. El planificador de queries es más sofisticado. **JSON / datos semi-estructurados**: PostgreSQL con JSONB gana ampliamente. **Full-text search**: PostgreSQL gana. La conclusión es que para el 95% de las apps web, el rendimiento de la base de datos no es el cuello de botella — son los índices mal diseñados, las N+1 queries y la falta de caché. --- ## Ejemplo real: migrar un proyecto de MySQL a PostgreSQL Cuando migré un proyecto de MySQL a PostgreSQL, los cambios más comunes fueron: ```sql -- MySQL -- PostgreSQL AUTO_INCREMENT → SERIAL o GENERATED ALWAYS AS IDENTITY TINYINT(1) → BOOLEAN TEXT con collation → TEXT (sin necesidad de especificar) LIMIT x, y (offset, rows) → LIMIT y OFFSET x IFNULL(col, 'default') → COALESCE(col, 'default') GROUP BY sin agrupar todo → Error (PG es más estricto, y correcto) Backticks `nombre_tabla` → Comillas dobles "nombre_tabla" (o nada) ``` El cambio más molesto: PostgreSQL es case-sensitive en identificadores sin comillas y los convierte a minúsculas. `SELECT "UserName" FROM Users` en MySQL funciona, en PostgreSQL necesitas comillas si usaste mayúsculas al crear la tabla. --- ## Integración con IA y APIs modernas Para proyectos que usan IA, PostgreSQL tiene una ventaja significativa: **pgvector**. ```sql -- Instalar extensión pgvector CREATE EXTENSION vector; -- Tabla para embeddings de IA CREATE TABLE documentos ( id SERIAL PRIMARY KEY, contenido TEXT, embedding vector(1536) -- Dimensiones de OpenAI text-embedding-3-small ); -- Búsqueda por similitud coseno SELECT contenido, 1 - (embedding <=> $1) AS similitud FROM documentos ORDER BY embedding <=> $1 LIMIT 10; ``` Si construyes un chatbot RAG o un sistema de búsqueda semántica como el que explico en [crear un chatbot RAG con OpenAI](/blog/crear-chatbot-rag-openai-tutorial-2026/), pgvector convierte PostgreSQL en una base de datos vectorial sin necesitar servicios externos como Pinecone o Weaviate. --- ## Veredicto final ``` ¿Proyecto nuevo en 2026? ├── ¿Usa WordPress o PHP legacy? → MySQL ├── ¿Solo tienes hosting compartido? → MySQL (o busca mejor hosting) ├── ¿Equipo con experiencia profunda en MySQL? → Quédate en MySQL └── Cualquier otro caso → PostgreSQL ``` PostgreSQL es mejor en casi todo lo que importa en 2026: tipos de datos modernos, JSONB, arrays, FTS, ACID estricto, pgvector para IA, consultas complejas. La única razón para elegir MySQL es una razón práctica (ecosistema existente, hosting, equipo) no técnica. Si estás construyendo un SaaS nuevo, lee [lo que nadie te cuenta sobre construir un SaaS en 2026](/blog/construir-saas-2026-lo-que-nadie-te-cuenta/) — la elección de base de datos es uno de los puntos que trato.

TypeScript para Desarrolladores JavaScript: La Guía Práctica que Ojalá Hubiera Tenido

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Llevaba 3 años escribiendo JavaScript y convencido de que TypeScript era para proyectos enterprise con 50 desarrolladores. Me equivocaba. Lo adopté en un proyecto mediano y en dos semanas detectó 4 bugs reales que habrían llegado a producción. Esta es la guía que me habría ahorrado los primeros tropiezos. ## Por qué TypeScript vale la pena (con datos reales) Antes de entrar en código, el argumento más honesto que puedo darte: **JavaScript** no te dice que esto es un error hasta que el usuario lo sufre: ```javascript function calcularPrecio(precio, descuento) { return precio - precio * descuento; } calcularPrecio("100", 0.1); // "100" - "100" * 0.1 = "100" - 10 = "10010" 🔥 ``` **TypeScript** lo detecta antes de ejecutar: ```typescript function calcularPrecio(precio: number, descuento: number): number { return precio - precio * descuento; } calcularPrecio("100", 0.1); // Error: Argument of type 'string' is not assignable to parameter of type 'number' ``` El error aparece en tu editor, no en producción. --- ## Paso 1: Instalar y configurar TypeScript ```bash npm install -D typescript ts-node @types/node npx tsc --init ``` El `tsconfig.json` básico que uso en todos mis proyectos: ```json { "compilerOptions": { "target": "ES2022", "module": "commonjs", "lib": ["ES2022"], "outDir": "./dist", "rootDir": "./src", "strict": true, "esModuleInterop": true, "skipLibCheck": true, "forceConsistentCasingInFileNames": true, "resolveJsonModule": true }, "include": ["src/**/*"], "exclude": ["node_modules", "dist"] } ``` La opción clave es `"strict": true`. Activa todas las comprobaciones importantes. No la desactives aunque duela al principio. --- ## Tipos básicos: el 80% de lo que usarás ```typescript // Primitivos const nombre: string = "Fran"; const edad: number = 30; const activo: boolean = true; // Arrays const tags: string[] = ["typescript", "javascript"]; const puntuaciones: number[] = [8, 9, 7]; // Objetos con tipo inline const usuario: { nombre: string; edad: number } = { nombre: "Fran", edad: 30 }; // Union types — cuando puede ser más de un tipo function formatearId(id: string | number): string { return id.toString(); } // Optional — cuando puede no estar function saludar(nombre: string, apellido?: string): string { return apellido ? `${nombre} ${apellido}` : nombre; } ``` --- ## Interfaces vs Types: la pregunta que todo el mundo hace La respuesta corta: **usa `interface` para objetos, `type` para todo lo demás**. ```typescript // Interface — ideal para objetos y contratos de clase interface Usuario { id: number; nombre: string; email: string; rol: "admin" | "editor" | "viewer"; } // Type — ideal para unions, intersecciones y tipos complejos type Resultado = | { ok: true; datos: T } | { ok: false; error: string }; type IdONombre = string | number; ``` La diferencia práctica más importante: las interfaces se pueden **extender y combinar**, los types no se pueden redeclarar: ```typescript interface Animal { nombre: string; } interface Animal { patas: number; // Válido — TypeScript las fusiona } // ✅ Ahora Animal tiene nombre Y patas type Coche = { marca: string }; type Coche = { modelo: string }; // ❌ Error: Duplicate identifier 'Coche' ``` Para trabajar en proyectos como los que describo en [construir un SaaS desde cero](/blog/construir-saas-2026-lo-que-nadie-te-cuenta/), tener bien tipadas las interfaces de tu dominio es la diferencia entre un código mantenible y un caos. --- ## Generics: el superpoder de TypeScript Los generics asustan al principio. No son más que **tipos reutilizables con parámetro**: ```typescript // Sin generics — necesito duplicar para cada tipo function primeraStringArray(arr: string[]): string { return arr[0]; } function primerNumberArray(arr: number[]): number { return arr[0]; } // Con generics — una función para todos los tipos function primero(arr: T[]): T { return arr[0]; } primero(["a", "b", "c"]); // TypeScript infiere T = string primero([1, 2, 3]); // TypeScript infiere T = number primero([true, false]); // TypeScript infiere T = boolean ``` El patrón de generic que más uso en APIs: ```typescript // Respuesta tipada de API interface ApiResponse { data: T; status: number; message: string; } interface Producto { id: number; nombre: string; precio: number; } async function fetchProducto(id: number): Promise> { const res = await fetch(`/api/productos/${id}`); return res.json(); } const respuesta = await fetchProducto(1); respuesta.data.nombre; // TypeScript sabe que es string ✅ respuesta.data.precio; // TypeScript sabe que es number ✅ ``` --- ## Tipado de funciones async y promesas El punto donde más gente se atasca: ```typescript // Forma correcta de tipar funciones async async function obtenerUsuario(id: number): Promise { const res = await fetch(`/api/usuarios/${id}`); if (!res.ok) { throw new Error(`HTTP error: ${res.status}`); } return res.json() as Promise; } // Con manejo de errores tipado type ResultadoApi = | { success: true; data: T } | { success: false; error: string }; async function obtenerUsuarioSafe(id: number): Promise> { try { const usuario = await obtenerUsuario(id); return { success: true, data: usuario }; } catch (error) { return { success: false, error: error instanceof Error ? error.message : "Error desconocido" }; } } ``` Este patrón se combina muy bien con [proteger tu API con JWT en Node.js](/blog/proteger-api-nodejs-jwt-auth-guia-2026/), donde los tipos te obligan a manejar todos los casos de error. --- ## Errores comunes y cómo evitarlos ### ❌ Error 1: Usar `any` para todo ```typescript // Mal — pierdes todo el beneficio de TypeScript function procesarDatos(datos: any) { return datos.nombre.toUpperCase(); // Runtime error si datos no tiene nombre } // Bien — usa unknown y valida function procesarDatos(datos: unknown) { if (typeof datos === "object" && datos !== null && "nombre" in datos) { const { nombre } = datos as { nombre: string }; return nombre.toUpperCase(); } throw new Error("Datos inválidos"); } ``` ### ❌ Error 2: No usar type guards ```typescript // Mal — TypeScript no sabe qué tipo es function procesarEvento(evento: MouseEvent | KeyboardEvent) { console.log(evento.key); // Error: 'key' no existe en MouseEvent } // Bien — type guard function procesarEvento(evento: MouseEvent | KeyboardEvent) { if (evento instanceof KeyboardEvent) { console.log(evento.key); // ✅ TypeScript sabe que es KeyboardEvent } else { console.log(evento.clientX); // ✅ TypeScript sabe que es MouseEvent } } ``` ### ❌ Error 3: `as` para silenciar errores ```typescript // Trampa — le dices a TypeScript que confíe en ti ciegamente const usuario = await fetch("/api/user").then(r => r.json()) as Usuario; usuario.nombre; // TypeScript confía en ti, pero puede ser undefined en runtime // Mejor — valida con zod o una función de validación import { z } from "zod"; const UsuarioSchema = z.object({ id: z.number(), nombre: z.string(), email: z.string().email() }); const datos = await fetch("/api/user").then(r => r.json()); const usuario = UsuarioSchema.parse(datos); // Lanza error si no coincide ``` --- ## TypeScript con React y Next.js En proyectos React, el tipado más usado: ```typescript import { FC, ReactNode, useState, useEffect } from "react"; // Componente tipado interface TarjetaProductoProps { producto: Producto; onAgregar: (id: number) => void; children?: ReactNode; } const TarjetaProducto: FC = ({ producto, onAgregar, children }) => { return (

{producto.nombre}

{producto.precio}€

{children}

); }; // useState con tipo explícito const [productos, setProductos] = useState([]); const [loading, setLoading] = useState(false); // useEffect tipado useEffect(() => { const cargar = async () => { const data = await fetchProductos(); setProductos(data); }; cargar(); }, []); ``` Si usas [Auth.js / NextAuth con Next.js](/blog/auth-js-nextauth-implementacion-real-2026/), TypeScript te permite tipar la sesión correctamente y evitar acceder a campos que no existen. --- ## TypeScript con Node.js y Express ```typescript import express, { Request, Response, NextFunction } from "express"; // Extender el tipo Request para añadir propiedades custom declare global { namespace Express { interface Request { usuario?: Usuario; } } } // Middleware tipado const autenticar = (req: Request, res: Response, next: NextFunction): void => { const token = req.headers.authorization?.split(" ")[1]; if (!token) { res.status(401).json({ error: "Token requerido" }); return; } // Verificar token... req.usuario = { id: 1, nombre: "Fran", email: "fran@example.com", rol: "admin" }; next(); }; // Route handler tipado const obtenerPerfil = async (req: Request, res: Response): Promise => { if (!req.usuario) { res.status(401).json({ error: "No autenticado" }); return; } res.json({ usuario: req.usuario }); }; ``` --- ## Herramientas esenciales del ecosistema TypeScript | Herramienta | Para qué sirve | |-------------|----------------| | **Zod** | Validación de datos en runtime con inferencia de tipos | | **tRPC** | APIs tipadas end-to-end sin código extra | | **Prisma** | ORM con tipos generados automáticamente desde el schema | | **ts-node** | Ejecutar TypeScript directamente sin compilar | | **tsx** | Alternativa más rápida a ts-node | | **type-fest** | Utilidades de tipos para casos avanzados | Para proyectos que usan IA, TypeScript brilla especialmente: puedes tipar las respuestas de la API de OpenAI o Claude y asegurarte de que [parseas el JSON correctamente](/blog/parsear-json-ia-sin-errores-openai-claude-2026/). --- ## Plan de aprendizaje en 4 semanas **Semana 1**: Tipos básicos, interfaces, funciones tipadas. Convierte un archivo JS tuyo a TS. **Semana 2**: Generics básicos, union types, type guards, async/await. Convierte un módulo completo. **Semana 3**: Tipos de utilidad (`Partial`, `Required`, `Pick`, `Omit`, `Record`). Empieza a usar Zod. **Semana 4**: Tipos condicionales, infer, decorators si usas NestJS. Proyecto completo en TS. El objetivo no es entender TODO TypeScript. Es eliminar el 90% de los errores de tipo que te llegarían a producción. --- ## Recursos adicionales - Si usas IA para programar, leer código TypeScript tipado le da **mucho más contexto** a herramientas como Cursor o Copilot — te genera código mejor - TypeScript es casi obligatorio si sigues los patrones de [NestJS sobre Express](/blog/por-que-nestjs-sobre-express-saas-2026/) - Para estructurar bien tus carpetas TypeScript en proyectos React, echa un vistazo a [estructura de carpetas en React/Next.js](/blog/estructura-carpetas-react-nextjs-2026/) TypeScript no es una carga — es un radar que detecta los misiles antes de que impacten. Cuanto antes lo adoptes, más bugs evitarás sin esfuerzo adicional.

Variables de Entorno en Node.js y Next.js: La Guía Completa para No Filtrar Secretos

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 27 Apr 2026 00:00:00 GMT

Cometí este error en mi primer proyecto: subí el `.env` a GitHub con la clave de la API de OpenAI. En 20 minutos había bots escaneando el repo y consumiendo mi crédito. La lección fue cara. Esta guía cubre todo lo que necesitas saber sobre variables de entorno para no cometer los mismos errores. ## Lo primero: el .gitignore correcto Antes de cualquier otra cosa, asegúrate de que tu `.gitignore` tiene esto: ```gitignore # Variables de entorno — NUNCA subir al repo .env .env.local .env.*.local .env.development.local .env.test.local .env.production.local # Sí puedes subir estos (sin secretos reales): # .env.example # .env.development (solo si no tiene secretos) ``` El archivo `.env.example` es la convención para documentar qué variables necesita el proyecto sin revelar los valores reales: ```bash # .env.example — sí va al repositorio DATABASE_URL=postgresql://user:password@localhost:5432/miapp OPENAI_API_KEY=sk-... JWT_SECRET=cambia-esto-por-una-cadena-aleatoria-larga REDIS_URL=redis://localhost:6379 NEXT_PUBLIC_APP_URL=http://localhost:3000 ``` --- ## Node.js: cómo cargar variables de entorno ### Opción 1: Node.js 20.6+ nativo (sin dependencias) ```bash node --env-file=.env src/index.js # Para múltiples archivos node --env-file=.env --env-file=.env.local src/index.js ``` ### Opción 2: dotenv (la forma clásica) ```bash npm install dotenv ``` ```javascript // src/index.js — primera línea del entry point require("dotenv").config(); // Si usas ES Modules import "dotenv/config"; // Ya puedes acceder a las variables const dbUrl = process.env.DATABASE_URL; const apiKey = process.env.OPENAI_API_KEY; ``` ### Opción 3: dotenv con configuración avanzada ```javascript import dotenv from "dotenv"; import path from "path"; dotenv.config({ path: path.resolve(process.cwd(), `.env.${process.env.NODE_ENV || "development"}`), }); // Carga .env.development, .env.production, etc. ``` --- ## Next.js: el sistema de variables de entorno automático Next.js carga las variables automáticamente según el entorno, sin instalar dotenv: ``` .env → Siempre (base) .env.local → Siempre (sobreescribe, no va a git) .env.development → Solo con next dev .env.production → Solo con next build / next start .env.test → Solo con jest / vitest ``` **La regla de oro de Next.js**: solo las variables con prefijo `NEXT_PUBLIC_` llegan al cliente. ```bash # .env DATABASE_URL=postgresql://... # Solo servidor ✅ JWT_SECRET=mi-secreto # Solo servidor ✅ OPENAI_API_KEY=sk-... # Solo servidor ✅ NEXT_PUBLIC_APP_URL=https://mi-app.com # Cliente Y servidor ⚠️ NEXT_PUBLIC_STRIPE_KEY=pk_live_... # Cliente Y servidor ⚠️ ``` ```typescript // En un Server Component o API Route — seguro const secreto = process.env.JWT_SECRET; // ✅ // En un Client Component — PELIGRO const secreto = process.env.JWT_SECRET; // undefined en cliente, no explota pero no funciona const publica = process.env.NEXT_PUBLIC_APP_URL; // ✅ Funciona en cliente ``` --- ## Validar variables de entorno con Zod (imprescindible) El problema con `process.env` es que siempre devuelve `string | undefined`. Si falta una variable crítica, tu app falla en runtime con un error críptico, no al arrancar. La solución: validar las variables al arrancar la app con Zod. ```typescript // src/env.ts — valida al importar, falla rápido si falta algo import { z } from "zod"; const envSchema = z.object({ // Base de datos DATABASE_URL: z.string().url("DATABASE_URL debe ser una URL válida"), // Auth JWT_SECRET: z.string().min(32, "JWT_SECRET debe tener al menos 32 caracteres"), // APIs externas OPENAI_API_KEY: z.string().startsWith("sk-"), // Opcionales con defaults PORT: z.coerce.number().default(3000), NODE_ENV: z.enum(["development", "test", "production"]).default("development"), // Variables públicas (Next.js) NEXT_PUBLIC_APP_URL: z.string().url().optional(), }); // Valida al importar — si falta algo, falla inmediatamente con mensaje claro const parsed = envSchema.safeParse(process.env); if (!parsed.success) { console.error("❌ Variables de entorno inválidas:"); console.error(parsed.error.flatten().fieldErrors); process.exit(1); } export const env = parsed.data; ``` Ahora en lugar de `process.env.DATABASE_URL` (string | undefined), usas `env.DATABASE_URL` (string garantizado): ```typescript import { env } from "@/env"; // TypeScript sabe que es string, no puede ser undefined const db = new PrismaClient({ datasources: { db: { url: env.DATABASE_URL } } }); ``` Si usas [TypeScript en tu proyecto](/blog/typescript-para-javascript-developers-guia-2026/), este patrón es especialmente poderoso porque obtienes autocompletado de todas tus variables de entorno. --- ## Gestión de secretos en producción El `.env` es solo para desarrollo local. En producción, nunca subas un archivo `.env` al servidor. ### En Vercel ```bash # Por interfaz web o CLI vercel env add DATABASE_URL production vercel env add JWT_SECRET production ``` ### En Netlify ```bash netlify env:set DATABASE_URL "postgresql://..." netlify env:set JWT_SECRET "mi-secreto-largo" ``` ### En Docker / VPS ```bash # docker-compose.yml — nunca hardcodees valores reales aquí services: app: environment: - DATABASE_URL=${DATABASE_URL} - JWT_SECRET=${JWT_SECRET} env_file: - .env.production # Este archivo va en el servidor, no en el repo ``` Si haces [self-hosting con Coolify](/blog/coolify-self-hosting-deploy-sin-devops-2026/), tiene una interfaz para gestionar variables de entorno por proyecto directamente desde el panel. ### En GitHub Actions ```yaml # .github/workflows/deploy.yml env: DATABASE_URL: ${{ secrets.DATABASE_URL }} JWT_SECRET: ${{ secrets.JWT_SECRET }} ``` Los secretos se configuran en GitHub → Repositorio → Settings → Secrets and variables → Actions. --- ## Organizar variables por entorno Para proyectos con múltiples entornos (development, staging, production): ```bash # Estructura recomendada .env.example # Documentación — sí al repo .env # Valores locales — NO al repo .env.staging # Valores staging — NO al repo (o sí si no tiene secretos reales) .env.production # NUNCA en el repo ``` Un truco para cambiar entre entornos en local: ```bash # package.json { "scripts": { "dev": "node --env-file=.env src/index.js", "dev:staging": "node --env-file=.env.staging src/index.js", "build": "tsc", "start": "NODE_ENV=production node dist/index.js" } } ``` --- ## Seguridad: errores que no debes cometer ### ❌ Error 1: Loguear las variables de entorno ```javascript // NUNCA hagas esto en producción console.log("Config:", process.env); // Filtra todos los secretos a los logs // Bien console.log("Database conectado:", env.DATABASE_URL.split("@")[1]); // Solo el host ``` ### ❌ Error 2: Exponer variables en el frontend ```typescript // ❌ MAL — en Next.js, esto expone la clave al bundle del cliente export const config = { apiKey: process.env.OPENAI_API_KEY, // Undefined en cliente, pero el nombre ya da info }; // ✅ BIEN — crear un proxy API en el servidor // pages/api/chat.ts export default async function handler(req, res) { const openai = new OpenAI({ apiKey: process.env.OPENAI_API_KEY }); // Solo servidor // ... } ``` Esto es especialmente importante si usas APIs de IA como explico en [usar la API de ChatGPT o Claude](/blog/usar-api-chatgpt-claude-gratis-2026/) — la clave nunca debe llegar al cliente. ### ❌ Error 3: Hardcodear secretos aunque sean temporales ```javascript // NUNCA — aunque sea "solo para probar" const apiKey = "sk-proj-abc123..."; // Acaba en git, acaba filtrado // SIEMPRE variables de entorno const apiKey = process.env.OPENAI_API_KEY; ``` ### ❌ Error 4: Usar el mismo secreto en dev y producción ```bash # .env (desarrollo) JWT_SECRET=desarrollo-secreto-simple # .env.production (producción — secreto diferente y largo) JWT_SECRET=xK9mP2vQ8nR4tY7wZ1bA6cD3eF5gH0iJ ``` Los secretos de producción deben ser distintos, aleatorios y largos. Puedes generarlos con: ```bash node -e "console.log(require('crypto').randomBytes(32).toString('hex'))" ``` --- ## Qué hacer si filtraste un secreto a GitHub 1. **Rota la clave inmediatamente** — no esperes, ve al panel de la API y genera una nueva 2. **Revoca la clave comprometida** — desactívala en el proveedor 3. **Limpia el historial de git**: ```bash # Instala BFG Repo Cleaner # https://rtyley.github.io/bfg-repo-cleaner/ # Borra el archivo del historial completo java -jar bfg.jar --delete-files .env .git # O borra un valor específico java -jar bfg.jar --replace-text passwords.txt .git git reflog expire --expire=now --all git gc --prune=now --aggressive git push --force ``` 4. **Añade `gitleaks`** a tu flujo para detectar futuros problemas antes de hacer push: ```bash # Pre-commit hook con gitleaks gitleaks detect --source . --exit-code 1 ``` --- ## Herramientas del ecosistema | Herramienta | Para qué sirve | |-------------|----------------| | **dotenv** | Cargar .env en Node.js | | **@t3-oss/env-nextjs** | Validación de env con Zod integrada para Next.js | | **zod** | Validar el schema de variables | | **1Password CLI** | Inyectar secretos desde un gestor de contraseñas | | **Doppler** | Gestión centralizada de secretos para equipos | | **gitleaks** | Detectar secretos en código fuera del repositorio | | **HashiCorp Vault** | Gestión enterprise de secretos | Para proyectos personales, la combinación Zod + `.env.local` + variables en Vercel/Netlify es más que suficiente. Para equipos o proyectos con múltiples servicios, considera Doppler o 1Password Teams para centralizar los secretos. Si usas [protección de API con JWT en Node.js](/blog/proteger-api-nodejs-jwt-auth-guia-2026/), la gestión correcta del `JWT_SECRET` que aquí describes es el primer paso crítico de seguridad.

Construir un SaaS en 2026: Lo que Nadie te Cuenta Antes de Empezar

contacto@francobosg.netlify.app (Fran Cobos) — Thu, 23 Apr 2026 00:00:00 GMT

He lanzado dos SaaS en el último año: [Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/) (NestJS + React, gestión de campañas multitenant) y [iECO](/blog/caso-real-ia-reuniones-gemini-supabase/) (FastAPI + Next.js, SaaS de IA para reuniones). Ambos están en producción con clientes reales. Esto es lo que me habría ahorrado tiempo saber antes de empezar. --- ## 1. La arquitectura que no puedes cambiar después Hay dos decisiones que si las tomas mal te obligan a reescribir el proyecto entero: ### Multitenancy desde el día 1 Si tu SaaS tiene múltiples empresas o usuarios con datos separados, el `company_id` (o `tenant_id`) tiene que estar en **todas** las tablas desde el principio. No "cuando lo necesite". Ahora. ```sql -- MAL: añadir tenant_id después ALTER TABLE meetings ADD COLUMN company_id UUID; -- Ahora tienes que hacer data migration, actualizar todos los queries, -- añadir índices, revisar todos los endpoints... 2-3 días de trabajo. -- BIEN: desde el diseño inicial CREATE TABLE meetings ( id UUID PRIMARY KEY DEFAULT gen_random_uuid(), company_id UUID NOT NULL REFERENCES companies(id), title VARCHAR(255) NOT NULL, created_at TIMESTAMPTZ DEFAULT NOW() ); CREATE INDEX idx_meetings_company_id ON meetings(company_id); ``` Y lo más importante: nunca filtres por `company_id` en el controller. Hazlo en una capa de middleware que lo inyecte automáticamente: ```typescript // NestJS: Guard que inyecta el tenant en cada request @Injectable() export class TenantGuard implements CanActivate { canActivate(context: ExecutionContext): boolean { const req = context.switchToHttp().getRequest(); req.companyId = req.user.companyId; // del JWT return true; } } // El service solo ve los datos de su tenant async findAll(companyId: string): Promise { return this.repo.find({ where: { companyId } }); } ``` Si te olvidas de añadir el filtro en un endpoint, tienes un data leak entre clientes. El guard lo hace imposible de olvidar. > Para ver este patrón en acción en un proyecto real, revisa [Caso Real: SaaS Multitenant con NestJS y React](/blog/caso-real-saas-atrapaclientes-nestjs-react/). ### Monolito modular, no microservicios Todos los tutoriales de SaaS en YouTube muestran microservicios. La realidad: - Con microservicios necesitas service discovery, comunicación entre servicios (gRPC/mensajería), distributed tracing, y cada servicio tiene su propia CI/CD, logs y monitoring. - Un solo developer o equipo pequeño no tiene tiempo para todo eso. **Lo que funciona en la práctica:** ``` src/ modules/ auth/ # JWT, refresh tokens, RBAC companies/ # Gestión de tenants users/ # Usuarios por tenant billing/ # Stripe, suscripciones [feature]/ # Módulos de negocio common/ guards/ # TenantGuard, AuthGuard, RolesGuard decorators/ # @CurrentUser(), @Roles() filters/ # Manejo global de errores ``` Cada módulo es independiente. Si en el futuro necesitas extraer `billing` como microservicio, lo puedes hacer. Pero no lo hagas prematuramente. --- ## 2. El auth que parece simple y no lo es JWT de "Hello World" son 30 minutos. JWT de producción en un SaaS son 2-3 días. Lo que necesitas realmente: ```typescript // Lista de lo que necesitas implementar, no un "npm install passport" // ✅ Access token (15-60 min expiración) // ✅ Refresh token (7-30 días, rotación en cada uso) // ✅ Revocación de refresh tokens (tabla en BD o Redis) // ✅ Logout en todos los dispositivos // ✅ Rate limiting en /auth/login // ✅ Bloqueo por intentos fallidos // ✅ Roles: superadmin / company_admin / company_user // ✅ Permisos granulares dentro de cada rol // ✅ Middleware que verifica rol en cada endpoint ``` El flujo de refresh tokens es lo que más gente omite y luego duele: ```typescript @Post('refresh') async refresh(@Body() dto: RefreshTokenDto) { // 1. Verificar que el refresh token existe en BD y no está revocado const stored = await this.tokenRepo.findOne({ token: dto.refreshToken }); if (!stored || stored.revokedAt) throw new UnauthorizedException(); // 2. Verificar expiración if (stored.expiresAt < new Date()) throw new UnauthorizedException(); // 3. Rotación: revocar el anterior, crear uno nuevo await this.tokenRepo.update(stored.id, { revokedAt: new Date() }); const newRefreshToken = await this.tokenRepo.save({ userId: stored.userId, token: generateSecureToken(), expiresAt: addDays(new Date(), 30), }); return { accessToken: this.jwt.sign({ sub: stored.userId }), refreshToken: newRefreshToken.token, }; } ``` > Para una guía completa de JWT en Node.js: [Cómo Proteger una API Node.js con JWT](/blog/proteger-api-nodejs-jwt-auth-guia-2026/). --- ## 3. El flujo de registro que nadie piensa En un SaaS multitenant, el flujo de registro no es solo "email + contraseña". Necesitas decidir: **¿Registro libre o con aprobación?** - Registro libre: el usuario se registra y accede inmediatamente. Simple, bueno para B2C. - Con aprobación: el usuario solicita acceso, un admin lo aprueba. Necesario cuando el acceso tiene coste o cuando quieres controlar quién usa el producto. El flujo con aprobación que implementé en iECO: ``` Usuario rellena formulario de solicitud ↓ Estado: PENDING (no puede hacer login) ↓ Notificación al superadmin ↓ Superadmin aprueba → Estado: ACTIVE → email de confirmación Superadmin rechaza → Estado: REJECTED → email de rechazo ↓ Usuario activo puede hacer login ``` En la BD: ```sql CREATE TYPE user_status AS ENUM ('pending', 'active', 'rejected', 'suspended'); CREATE TABLE users ( id UUID PRIMARY KEY DEFAULT gen_random_uuid(), email VARCHAR(255) UNIQUE NOT NULL, password_hash VARCHAR(255) NOT NULL, status user_status DEFAULT 'pending', company_id UUID REFERENCES companies(id), role VARCHAR(50) DEFAULT 'company_user', approved_at TIMESTAMPTZ, approved_by UUID REFERENCES users(id) ); ``` --- ## 4. El panel de admin que necesitarás aunque no lo planifiques Todo SaaS acaba necesitando un panel de administración. Si no lo planificas, lo construirás reactivamente cuando un cliente llame diciendo que no puede entrar. Lo mínimo viable: - **Gestión de usuarios**: listar, suspender, cambiar rol, resetear contraseña - **Gestión de empresas** (si es multitenant): crear, editar, suspender tenant - **Solicitudes pendientes**: aprobar/rechazar registros - **Logs básicos**: últimos accesos, errores críticos Un truco: separa claramente los endpoints de admin con un prefijo y un guard dedicado: ```typescript @Controller('admin') @UseGuards(AuthGuard, RolesGuard) @Roles('superadmin') export class AdminController { // Solo superadmin puede acceder aquí } ``` --- ## 5. El despliegue: self-hosted es la opción más inteligente a escala pequeña Los costes de Vercel/Railway/Render escalan rápido. Para un SaaS small con <50.000 visitas/mes: | Opción | Coste/mes | Control | Setup | |--------|-----------|---------|-------| | Vercel Pro | $20+ | Bajo | Mínimo | | Railway | $5-30+ | Medio | Fácil | | Hetzner VPS + Coolify | ~5€ | Total | 2-3h inicial | Con Coolify en un VPS tienes SSL automático, deploys desde GitHub, gestión de variables de entorno y todas las apps que quieras en el mismo servidor. > Guía completa: [Coolify: Despliega tus Apps sin ser DevOps](/blog/coolify-self-hosting-deploy-sin-devops-2026/) y el [Análisis de costes Vercel vs VPS](/blog/vercel-vs-vps-coste-real-nextjs-2026/). --- ## 6. Lo que nadie menciona: el tiempo no técnico El código es la parte fácil. Lo que no verás en tutoriales: **Stripe y los impuestos**: integrar Stripe Billing para suscripciones recurrentes lleva 1 semana. Gestionar IVA para clientes europeos, facturas, créditos y upgrades/downgrades: otra semana más. **Los emails transaccionales**: registro, bienvenida, aprobación, factura, aviso de pago fallido, recordatorio de trial... fácilmente 15-20 emails distintos. Cada uno con HTML que funcione en Outlook y en Gmail. No los subestimes. **El onboarding**: el usuario que se registra a las 11 de la noche y no entiende cómo funciona el producto va a abrir un ticket. El onboarding (guía inicial, tooltips, email de día 1, email de día 7) reduce el churn más que cualquier feature nueva. **El GDPR**: para clientes europeos necesitas política de privacidad, aviso de cookies, mecanismo de borrado de cuenta y portabilidad de datos. No es opcional. --- ## Stack que volvería a usar Después de dos SaaS en producción, esto es lo que elegiría hoy: ``` Backend: NestJS + TypeORM + PostgreSQL (FastAPI si hay mucho procesamiento IA) Frontend: Next.js 15 + TypeScript + Tailwind CSS + shadcn/ui Auth: JWT propio (access + refresh) o Auth.js para auth social Pagos: Stripe Billing Email: Resend + React Email Deploy: Hetzner VPS + Coolify Monitoring: Sentry (errores) + Plausible (analytics) ``` Lo que **no** volvería a usar para un SaaS pequeño: - Microservicios (complejidad innecesaria) - Supabase Auth (pierde control sobre los tokens y los roles) - MongoDB (las relaciones entre datos en un SaaS son relacionales por naturaleza) --- ## Por dónde empezar Si vas a construir un SaaS hoy: 1. Define los roles y el multitenancy **antes** de escribir código 2. Diseña el schema de BD con `tenant_id` desde el día 1 3. Implementa auth completo (access + refresh + roles) en la primera semana 4. Construye el panel de admin básico en paralelo con el producto 5. Despliega en VPS desde el inicio, no esperes a tener clientes El orden importa. El multitenancy y el auth son los únicos elementos que no puedes añadir sin reescribir. Todo lo demás (features, UI, integraciones) se puede añadir después. --- ## Recursos relacionados - [Caso Real: SaaS IA para Reuniones — iECO (FastAPI + Next.js + Multitenancy)](/blog/caso-real-ia-reuniones-gemini-supabase/) - [Caso Real: SaaS Multitenant con NestJS y React — Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/) - [Por qué NestJS sobre Express para un SaaS](/blog/por-que-nestjs-sobre-express-saas-2026/) - [Proteger una API Node.js con JWT: guía real](/blog/proteger-api-nodejs-jwt-auth-guia-2026/) - [Coolify: Despliega tus Apps sin ser DevOps](/blog/coolify-self-hosting-deploy-sin-devops-2026/) - [Vercel vs VPS: el coste real de desplegar Next.js](/blog/vercel-vs-vps-coste-real-nextjs-2026/) - [Docker para Developers: guía práctica sin teoría innecesaria](/blog/docker-para-developers-guia-practica-2026/)

Coolify: Despliega tus Apps con Docker sin ser DevOps (2026)

contacto@francobosg.netlify.app (Fran Cobos) — Thu, 23 Apr 2026 00:00:00 GMT

Llevo usando Coolify en producción para dos proyectos propios. El resultado: pago ~5€/mes por el VPS y tengo 4 apps desplegadas con SSL automático, deploys automáticos al hacer push y monitorización básica. Antes pagaba ~$40/mes entre Vercel Pro y Railway. El cambio mereció la pena. ## Qué es Coolify (y qué no es) Coolify no es un orquestador de contenedores como Kubernetes. Es una capa de abstracción sobre Docker y Traefik que te da una interfaz web para hacer lo que harías manualmente con `docker-compose.yml` y configuración de nginx. **Lo que hace por ti:** - Genera y gestiona los `docker-compose.yml` automáticamente - Configura Traefik como reverse proxy con SSL Let's Encrypt - Conecta con GitHub/GitLab para deploys automáticos en cada push - Gestiona variables de entorno de forma segura - Logs en tiempo real desde la interfaz - Deploy de bases de datos con 1 click (PostgreSQL, Redis, etc.) **Lo que NO hace:** - Escalar horizontalmente entre varios servidores (para eso necesitas Kubernetes) - Gestionar clusters complejos - Sustituir un DevOps para aplicaciones con requisitos críticos de disponibilidad Para un SaaS small/medium, para proyectos propios o para apps de clientes sin millones de usuarios: perfecto. --- ## El servidor: qué necesitas Cualquier VPS con Debian 12 o Ubuntu 22/24 LTS. Lo mínimo recomendado: | Recurso | Mínimo | Recomendado | |---------|--------|-------------| | CPU | 1 vCPU | 2 vCPU | | RAM | 2 GB | 4 GB | | Disco | 20 GB | 40 GB SSD | | OS | Debian 12 / Ubuntu 22 LTS | Debian 12 | En Hetzner, el **CX22** (2 vCPU, 4 GB RAM, 40 GB SSD) cuesta ~4.50€/mes. Es lo que uso para correr Coolify + 3 apps + 2 bases de datos. > Si quieres comparar costes reales de self-hosting vs plataformas como Vercel, lee [Vercel vs VPS: Cuánto Cuesta Realmente una App Next.js](/blog/vercel-vs-vps-coste-real-nextjs-2026/). --- ## Instalación paso a paso ### 1. Prepara el servidor (10 min) Entra por SSH como root y crea un usuario no-root: ```bash # Crear usuario adduser francobosg usermod -aG sudo francobosg # Copiar SSH keys al nuevo usuario rsync --archive --chown=francobosg:francobosg ~/.ssh /home/francobosg # Desde ahora, usa este usuario ``` Configura el firewall básico: ```bash ufw allow OpenSSH ufw allow 80/tcp ufw allow 443/tcp ufw allow 8000/tcp # Puerto de Coolify ufw enable ``` ### 2. Instala Docker ```bash curl -fsSL https://get.docker.com | sh sudo usermod -aG docker $USER # Cierra y vuelve a abrir la sesión SSH ``` Verifica: ```bash docker run hello-world # Hello from Docker! ``` > Si es tu primera vez con Docker, revisa [Docker para Desarrolladores: Guía Práctica sin Teoría Innecesaria](/blog/docker-para-developers-guia-practica-2026/) antes de continuar. ### 3. Instala Coolify (2 min) ```bash curl -fsSL https://cdn.coollabs.io/coolify/install.sh | bash ``` Eso es todo. El script instala Docker si no lo tienes, configura Traefik como reverse proxy y arranca el panel de Coolify. Abre `http://TU_IP:8000` en el navegador. Verás el wizard de setup inicial. --- ## Configuración inicial de Coolify ### Cuenta de admin En el wizard, crea tu cuenta de administrador. Email y contraseña robusta — esta es la única cuenta con acceso total. ### Apunta tu dominio Antes de configurar SSL necesitas: 1. Un dominio (o subdominio) apuntando a la IP de tu servidor 2. Esperar a que propague (5-60 min) En Coolify: **Settings → General** → pon tu dominio en "Instance Domain". Coolify generará automáticamente SSL para `coolify.tudominio.com`. ### Conecta GitHub **Sources → Add → GitHub App** Coolify crea una GitHub App en tu cuenta con permisos mínimos (solo read de repos). Así puede hacer checkout del código y configurar webhooks para deploys automáticos. --- ## Desplegar tu primera app ### Ejemplo: API FastAPI 1. **New Project → New Resource → Application** 2. Selecciona el repo de GitHub 3. Branch: `main` 4. Build Pack: `Dockerfile` (o Nixpacks si no tienes Dockerfile) Si tienes un `Dockerfile` en la raíz del repo: ```dockerfile FROM python:3.11-slim WORKDIR /app COPY requirements.txt . RUN pip install --no-cache-dir -r requirements.txt COPY . . EXPOSE 8080 CMD ["uvicorn", "main:app", "--host", "0.0.0.0", "--port", "8080"] ``` Coolify detecta el puerto expuesto (`8080`) y configura el reverse proxy automáticamente. 5. **Domain**: `api.tudominio.com` — Coolify genera el certificado SSL solo 6. **Variables de entorno**: añade `DATABASE_URL`, `SECRET_KEY`, etc. de forma segura 7. **Deploy** — el primer deploy tarda 2-3 min (build de la imagen) Desde ese momento, cada `git push` a `main` dispara un deploy automático. ### Desplegar PostgreSQL No instales PostgreSQL directamente en el servidor. Usa el servicio de Coolify: **New Resource → Database → PostgreSQL** Coolify levanta un contenedor PostgreSQL con: - Contraseña generada automáticamente - Volumen persistente para datos - Red interna de Docker (no expuesta al exterior por defecto) Copia la connection string interna (`postgresql://user:pass@postgres:5432/db`) y pégala en las variables de entorno de tu app. --- ## Deploys automáticos y rollback Coolify guarda las últimas N builds. Si un deploy rompe algo: 1. Panel de la app → **Deployments** 2. Elige una build anterior 3. **Redeploy** — vuelves al estado anterior en 30 segundos Para deploys en ramas de feature antes de mergear a main: ```yaml # En Coolify: configurar Preview Deployments # Cada PR genera una URL temporal: pr-123.tudominio.com ``` --- ## Monitorización básica Coolify incluye monitorización básica out of the box: - **Logs**: streaming en tiempo real de cada contenedor - **Métricas**: CPU y RAM del servidor (gráfica simple) - **Health checks**: reinicia el contenedor automáticamente si falla Para monitorización avanzada puedes conectar Prometheus + Grafana como servicio adicional en Coolify, o usar Plausible (que también se despliega en Coolify) para métricas de usuario. --- ## Lo que aprendí usándolo en producción **1. El primer setup tarda más de lo que dicen.** El script de instalación son 5 min, pero preparar el servidor, configurar el DNS, crear la GitHub App y hacer el primer deploy bien configurado son fácilmente 2-3 horas la primera vez. **2. Usa dominios internos para las bases de datos.** PostgreSQL y Redis no deben estar expuestos con dominio público. La connection string interna de Docker (`postgres:5432`) es más rápida y segura. **3. Los volumes de Docker son tu backup.** Los datos de las BDs están en volumes de Docker. Haz snapshots del VPS periódicamente o configura backups automáticos en Coolify. **4. Nixpacks es magia para apps sin Dockerfile.** Para un proyecto Next.js o FastAPI sin Dockerfile, Nixpacks detecta el framework y construye la imagen automáticamente. Funciona el 90% de las veces. **5. Coolify no reemplaza conocer Docker.** Si algo falla, necesitas saber qué es un contenedor, cómo ver logs y qué hace un `docker-compose.yml`. No entres en producción sin haber leído antes [Docker para Desarrolladores](/blog/docker-para-developers-guia-practica-2026/). --- ## ¿Cuándo no usar Coolify? - **Alta disponibilidad real** (99.99% uptime): necesitas Kubernetes + múltiples nodos - **Equipo de DevOps dedicado**: probablemente ya tienen su stack - **Apps con requisitos de compliance estrictos** (PCI-DSS, HIPAA): los managed services tienen certificaciones que tú tendrías que conseguir solo Para todo lo demás — proyectos propios, SaaS small, apps de clientes, prototipos en producción — Coolify es la mejor relación calidad/precio que he encontrado. --- ## Recursos - [Documentación oficial de Coolify](https://coolify.io/docs) - [Vercel vs VPS: comparativa de costes reales](/blog/vercel-vs-vps-coste-real-nextjs-2026/) - [Docker para Developers: guía práctica sin teoría innecesaria](/blog/docker-para-developers-guia-practica-2026/) - [Caso real: SaaS de IA con Coolify en servidor dedicado montado desde cero](/blog/caso-real-ia-reuniones-gemini-supabase/) - [Caso real: SaaS multitenant con NestJS y React desplegado con Coolify](/blog/caso-real-saas-atrapaclientes-nestjs-react/)

React 19: Las Novedades que Cambian tu Código en 2026

contacto@francobosg.netlify.app (Fran Cobos) — Thu, 23 Apr 2026 00:00:00 GMT

React 19 salió en diciembre de 2024. Si usas Next.js 15, ya lo tienes. Si sigues en React 18 con Vite, probablemente aún no has migrado porque "nada está roto". Aquí van las novedades que de verdad cambian cómo escribes código, con ejemplos antes/después para que veas el impacto real. --- ## 1. Actions: adiós al patrón isPending manual El patrón más repetido en React: formulario asíncrono con estado de carga y manejo de errores. **React 18 — el patrón clásico:** ```tsx function FormularioContacto() { const [isPending, setIsPending] = useState(false); const [error, setError] = useState(null); const [success, setSuccess] = useState(false); async function handleSubmit(e: React.FormEvent) { e.preventDefault(); setIsPending(true); setError(null); try { await enviarFormulario(new FormData(e.target as HTMLFormElement)); setSuccess(true); } catch (err) { setError('Error al enviar. Inténtalo de nuevo.'); } finally { setIsPending(false); } } return ( {/* campos del formulario */} {error &&

{error}

} ); } ``` **React 19 — con Actions y useActionState:** ```tsx import { useActionState } from 'react'; async function enviarAction(prevState: any, formData: FormData) { try { await enviarFormulario(formData); return { success: true, error: null }; } catch { return { success: false, error: 'Error al enviar. Inténtalo de nuevo.' }; } } function FormularioContacto() { const [state, action, isPending] = useActionState(enviarAction, { success: false, error: null, }); return ( ); } ``` El `isPending`, el try/catch y el reset de estado lo gestiona React. Tu código se encarga solo de la lógica de negocio. --- ## 2. useOptimistic: UI instantánea antes de que el servidor responda Uno de los patrones más útiles para UX en apps con servidor. Antes necesitabas hacerlo a mano. **Caso de uso**: lista de comentarios donde el nuevo comentario aparece al instante al enviarlo, antes de que el servidor confirme. ```tsx import { useOptimistic, useActionState } from 'react'; function ListaComentarios({ comentariosIniciales }: { comentariosIniciales: Comentario[] }) { const [comentarios, addOptimistic] = useOptimistic( comentariosIniciales, (state, nuevoComentario: string) => [ ...state, { id: Date.now(), texto: nuevoComentario, pendiente: true }, ] ); const [, action, isPending] = useActionState(async (_: any, formData: FormData) => { const texto = formData.get('comentario') as string; addOptimistic(texto); // UI actualiza INSTANTÁNEAMENTE await guardarComentario(texto); // esto puede tardar 300ms }, null); return (

{comentarios.map((c) => (

{c.texto}

))}

); } ``` El comentario aparece en la lista inmediatamente. Si el servidor falla, React hace rollback automático. --- ## 3. El hook use(): Promises y Context en medio de un render `use()` es el primer hook que puedes llamar dentro de condicionales (rompiendo la regla de siempre). **Leer una Promise (con Suspense):** ```tsx import { use, Suspense } from 'react'; function Usuario({ promesaUsuario }: { promesaUsuario: Promise }) { // Esto se puede llamar dentro de un if, un bucle, etc. const usuario = use(promesaUsuario); return

Hola, {usuario.nombre}

; } function App() { const promesa = fetchUsuario(1); // Promise return ( Cargando...

}> ); } ``` **Leer Context de forma condicional:** ```tsx function Boton({ mostrarAdmin }: { mostrarAdmin: boolean }) { if (mostrarAdmin) { // Antes esto era imposible — los hooks no se pueden usar en condicionales const admin = use(AdminContext); return ; } return ; } ``` --- ## 4. ref como prop — adiós a forwardRef Uno de los cambios más celebrados. Antes, para pasar una `ref` a un componente hijo necesitabas `forwardRef`: **React 18:** ```tsx const Input = forwardRef((props, ref) => ( )); ``` **React 19:** ```tsx function Input({ ref, ...props }: InputProps & { ref?: React.Ref }) { return ; } // Uso igual que antes: const inputRef = useRef(null); ``` `forwardRef` sigue funcionando pero está deprecado. La migración es mecánica. --- ## 5. El React Compiler: memoización automática Esta es la novedad más grande en el largo plazo. El compilador analiza tu código en build time y añade `useMemo` y `useCallback` automáticamente donde es necesario. **Antes (React 18 con optimización manual):** ```tsx function ProductoCard({ producto, onAgregar }: Props) { const precioFormateado = useMemo( () => new Intl.NumberFormat('es-ES', { style: 'currency', currency: 'EUR' }).format(producto.precio), [producto.precio] ); const handleAgregar = useCallback(() => { onAgregar(producto.id); }, [onAgregar, producto.id]); return (

{producto.nombre}

{precioFormateado}

); } ``` **Con React Compiler:** ```tsx function ProductoCard({ producto, onAgregar }: Props) { // Sin useMemo ni useCallback — el compilador los añade solo const precioFormateado = new Intl.NumberFormat('es-ES', { style: 'currency', currency: 'EUR' }).format(producto.precio); return (

{producto.nombre}

{precioFormateado}

); } ``` El output compilado incluye la memoización, el código fuente no. Limpio y eficiente. Para activarlo en Vite: ```bash npm install babel-plugin-react-compiler ``` ```js // vite.config.ts import { defineConfig } from 'vite'; import react from '@vitejs/plugin-react'; export default defineConfig({ plugins: [ react({ babel: { plugins: [['babel-plugin-react-compiler', {}]], }, }), ], }); ``` --- ## 6. Document metadata nativo Ya no necesitas `react-helmet` para gestionar ``, `<meta>` y `<link>` en el head: ```tsx function PaginaBlog({ post }: { post: Post }) { return ( <> <title>{post.titulo} | Mi Blog

{post.titulo}

{/* contenido */}

); } ``` React eleva estos elementos al `` automáticamente, sin portals ni librerías externas. --- ## Cómo migrar desde React 18 ```bash npm install react@19 react-dom@19 @types/react@19 @types/react-dom@19 ``` Los cambios que probablemente romperán algo: 1. **`ReactDOM.render` eliminado** → usa `ReactDOM.createRoot` 2. **`react-dom/test-utils` eliminado** → importa de `@testing-library/react` 3. **`defaultProps` en funciones** → usa parámetros por defecto de JS 4. **`propTypes` eliminado** → usa TypeScript Para el 95% de proyectos modernos (Vite + TypeScript, Next.js 14+), la migración es sin cambios o con 1-2 pequeños ajustes. --- ## Cuándo adoptar cada feature | Feature | ¿Cuándo usar? | |---------|--------------| | `useActionState` | Formularios con lógica asíncrona. Ya. | | `useOptimistic` | UX de apps tipo chat, likes, listas. | | `use()` con Promises | Data fetching con Suspense. | | `ref` como prop | Migra cuando toques esos componentes. | | React Compiler | Proyectos nuevos. Pruébalo en uno existente. | | Document metadata | Sustituye react-helmet cuando puedas. | --- ## Recursos relacionados - [Estructura de carpetas en React y Next.js que escala](/blog/estructura-carpetas-react-nextjs-2026/) - [Por qué dejé Redux y qué uso ahora](/blog/por-que-deje-redux-alternativas-2026/) - [Animaciones con Framer Motion: el nivel que parece de agencia](/blog/animaciones-framer-motion-premium-2026/) - [Autenticación con Auth.js (NextAuth v5): implementación real](/blog/auth-js-nextauth-implementacion-real-2026/) - [Caso real: SaaS con React 19 en producción](/blog/caso-real-saas-atrapaclientes-nestjs-react/)

Deploy Gratis con GitHub Actions: Automatiza tu Web en Netlify y Vercel (2026)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Haces `git push`, te vas a tomar café, y cuando vuelves tu web ya está actualizada en producción. Sin tocar ningún panel, sin ejecutar comandos manuales, sin errores por olvidar un paso. Eso es CI/CD con **GitHub Actions**. Y es gratis. ## ¿Por qué no solo usar el auto-deploy de Netlify/Vercel? Netlify y Vercel ya hacen deploy automático cuando pusheas. Pero no ejecutan **tus** tests. Si tienes un error de TypeScript, un test roto o un linting que falla, se despliega igual. Con GitHub Actions añades una capa de control: ``` git push → GitHub Actions → Tests ✅ → Build ✅ → Deploy a Netlify/Vercel ↓ Tests ❌ → Deploy cancelado (no se rompe producción) ``` ## Opción 1: Deploy a Netlify con GitHub Actions ### Paso 1: Obtener tokens de Netlify 1. Ve a [app.netlify.com/user/applications](https://app.netlify.com/user/applications) 2. Genera un **Personal Access Token** — cópialo, solo se muestra una vez 3. En tu sitio de Netlify, copia el **Site ID** (Site settings → General → Site ID) ### Paso 2: Configurar secretos en GitHub En tu repositorio → Settings → Secrets and variables → Actions: - `NETLIFY_AUTH_TOKEN`: tu Personal Access Token - `NETLIFY_SITE_ID`: el Site ID de tu sitio ### Paso 3: El workflow ```yaml # .github/workflows/deploy.yml name: Build & Deploy on: push: branches: [main] pull_request: branches: [main] jobs: build-and-deploy: runs-on: ubuntu-latest steps: - name: Checkout código uses: actions/checkout@v4 - name: Setup Node.js uses: actions/setup-node@v4 with: node-version: 22 cache: 'npm' - name: Instalar dependencias run: npm ci - name: Lint run: npm run lint --if-present - name: Tests run: npm test --if-present - name: Build run: npm run build # Solo deploy en push a main (no en PRs) - name: Deploy a Netlify if: github.event_name == 'push' && github.ref == 'refs/heads/main' uses: nwtgck/actions-netlify@v3 with: publish-dir: './dist' production-deploy: true env: NETLIFY_AUTH_TOKEN: ${{ secrets.NETLIFY_AUTH_TOKEN }} NETLIFY_SITE_ID: ${{ secrets.NETLIFY_SITE_ID }} # Preview deploy en PRs - name: Preview Deploy if: github.event_name == 'pull_request' uses: nwtgck/actions-netlify@v3 with: publish-dir: './dist' production-deploy: false alias: pr-${{ github.event.pull_request.number }} env: NETLIFY_AUTH_TOKEN: ${{ secrets.NETLIFY_AUTH_TOKEN }} NETLIFY_SITE_ID: ${{ secrets.NETLIFY_SITE_ID }} ``` ### ¿Qué hace cada paso? | Paso | Qué hace | Si falla... | |------|----------|-------------| | Checkout | Clona tu repo | No arranca nada | | Setup Node | Instala Node 22 con caché de npm | No instala deps | | npm ci | Instala dependencias (exactas del lockfile) | Error de deps | | Lint | Verifica estilo de código | Cancela deploy | | Tests | Ejecuta tests unitarios | Cancela deploy | | Build | Genera la carpeta `dist/` | Cancela deploy | | Deploy | Sube `dist/` a Netlify | Solo si todo pasó | > **Preview Deploys**: Cuando abres un PR, GitHub Actions genera una URL temporal como `pr-42--tu-sitio.netlify.app`. Puedes revisar los cambios antes de mergear. ## Opción 2: Deploy a Vercel con GitHub Actions ### Paso 1: Obtener token de Vercel ```bash # Instala Vercel CLI npm i -g vercel # Login y linkea tu proyecto vercel login vercel link ``` Esto genera `.vercel/project.json` con tu `orgId` y `projectId`. ### Paso 2: Secretos en GitHub - `VERCEL_TOKEN`: desde [vercel.com/account/tokens](https://vercel.com/account/tokens) - `VERCEL_ORG_ID`: de `.vercel/project.json` - `VERCEL_PROJECT_ID`: de `.vercel/project.json` ### Paso 3: El workflow ```yaml # .github/workflows/deploy-vercel.yml name: Deploy to Vercel on: push: branches: [main] pull_request: branches: [main] env: VERCEL_ORG_ID: ${{ secrets.VERCEL_ORG_ID }} VERCEL_PROJECT_ID: ${{ secrets.VERCEL_PROJECT_ID }} jobs: test: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: actions/setup-node@v4 with: node-version: 22 cache: 'npm' - run: npm ci - run: npm run lint --if-present - run: npm test --if-present deploy: needs: test # Solo si los tests pasan runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Install Vercel CLI run: npm i -g vercel # Producción (push a main) - name: Deploy Production if: github.event_name == 'push' run: vercel --prod --token=${{ secrets.VERCEL_TOKEN }} # Preview (PRs) - name: Deploy Preview if: github.event_name == 'pull_request' run: vercel --token=${{ secrets.VERCEL_TOKEN }} ``` **Nota**: separar `test` y `deploy` en dos jobs permite que se ejecuten en paralelo si no hay dependencia, y deja claro que el deploy necesita que los tests pasen primero (`needs: test`). ## Ejemplo real: Portfolio + Blog (Vite + Astro) Este es un workflow adaptado al setup que uso en este blog — un [portfolio Vite + blog Astro](/blog/como-hice-mi-portfolio-vite-tailwind/) con build combinado: ```yaml # .github/workflows/deploy.yml name: Deploy Portfolio + Blog on: push: branches: [main] jobs: deploy: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - uses: actions/setup-node@v4 with: node-version: 22 cache: 'npm' # Portfolio (Vite) - name: Install portfolio deps run: npm ci - name: Build portfolio run: npx vite build # Blog (Astro) - name: Install blog deps working-directory: ./blog run: npm ci - name: Build blog working-directory: ./blog run: npm run build # Deploy combinado - name: Deploy to Netlify uses: nwtgck/actions-netlify@v3 with: publish-dir: './dist' production-deploy: true env: NETLIFY_AUTH_TOKEN: ${{ secrets.NETLIFY_AUTH_TOKEN }} NETLIFY_SITE_ID: ${{ secrets.NETLIFY_SITE_ID }} ``` ## Optimización: Caché de dependencias Si tu build tarda mucho, la mayor parte del tiempo es `npm ci`. Con caché de node_modules, los builds posteriores son mucho más rápidos: ```yaml - uses: actions/setup-node@v4 with: node-version: 22 cache: 'npm' # Cachea node_modules basándose en package-lock.json ``` Si tienes un monorepo con múltiples `package-lock.json`: ```yaml - uses: actions/setup-node@v4 with: node-version: 22 cache: 'npm' cache-dependency-path: | package-lock.json blog/package-lock.json ``` ## Notificaciones: Saber si el deploy falló ### Opción A: GitHub Status Checks Ya viene incluido. En cada PR ves el estado del workflow: ✅ verde o ❌ rojo. ### Opción B: Notificación por email GitHub te notifica por email si un workflow falla (activado por defecto en Settings → Notifications). ### Opción C: Discord webhook ```yaml - name: Notificar a Discord if: failure() run: | curl -X POST ${{ secrets.DISCORD_WEBHOOK }} \ -H "Content-Type: application/json" \ -d '{"content": "❌ Deploy fallido en `${{ github.repository }}`\nCommit: ${{ github.sha }}\nAutor: ${{ github.actor }}"}' ``` ## Workflow avanzado: Matrix builds Si quieres probar tu código en múltiples versiones de Node: ```yaml test: runs-on: ubuntu-latest strategy: matrix: node-version: [20, 22] steps: - uses: actions/checkout@v4 - uses: actions/setup-node@v4 with: node-version: ${{ matrix.node-version }} - run: npm ci - run: npm test ``` Esto ejecuta los tests en Node 20 y Node 22 en paralelo. Si falla en alguna versión, lo sabrás antes de deployar. ## Errores comunes ### "npm ci can only install with an existing package-lock.json" ```bash # Asegúrate de tener package-lock.json commiteado git add package-lock.json git commit -m "add lockfile" git push ``` ### El deploy funciona pero la web no se actualiza Verifica que `publish-dir` apunte a la carpeta correcta: ```yaml # ❌ Incorrecto si tu build genera dist/ publish-dir: './build' # ✅ Correcto publish-dir: './dist' ``` ### Secretos no encontrados Los secretos de un fork NO se comparten. Si alguien hace fork + PR, el workflow no tendrá acceso a tus secrets. Esto es intencional (seguridad). ## ¿Cuánto cuesta? | Plan | Repos públicos | Repos privados | |------|---------------|----------------| | GitHub Free | Minutos ilimitados | 2.000 min/mes | | GitHub Pro | Minutos ilimitados | 3.000 min/mes | Un build típico de Vite + Astro tarda ~2 minutos. Con 2.000 minutos al mes puedes hacer **1.000 deploys/mes** en repos privados. Para proyectos personales, es gratis de facto. ## Resumen ``` 1. Configura secretos en GitHub (tokens de Netlify/Vercel) 2. Crea .github/workflows/deploy.yml 3. El workflow: checkout → install → lint → test → build → deploy 4. Push a main → deploy a producción 5. PR → preview deploy con URL temporal 6. Si los tests fallan → deploy cancelado ``` ## Recursos relacionados - [Cómo hice mi portfolio con Vite y Tailwind](/blog/como-hice-mi-portfolio-vite-tailwind/) — el proyecto que desplegamos con este workflow - [Docker para desarrolladores](/blog/docker-para-developers-guia-practica-2026/) — containeriza tu app antes de deployar - [Comandos Git esenciales](/blog/comandos-git-esenciales-2026/) — domina Git antes de automatizar con Actions

Docker para Desarrolladores: Guía Práctica sin Teoría Innecesaria (2026)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Llevas 3 horas intentando instalar PostgreSQL 16 en tu máquina. En Windows te pide un servicio, en Mac se pelea con Homebrew, y tu compañero tiene la versión 14 porque "a él le funciona así". Con Docker, es un comando: ```bash docker run -d --name postgres -e POSTGRES_PASSWORD=secret -p 5432:5432 postgres:16 ``` PostgreSQL 16 corriendo en 5 segundos. Misma versión para todo el equipo. Sin instalar nada en tu sistema. ## Lo mínimo que necesitas saber ### Imagen vs Contenedor - **Imagen**: La receta. Un paquete con el sistema operativo, dependencias y tu código. Es inmutable. - **Contenedor**: El plato cocinado. Una instancia ejecutándose de esa imagen. Puedes tener varios contenedores de la misma imagen. ```bash # Descargar una imagen docker pull node:22-alpine # Crear y ejecutar un contenedor desde la imagen docker run -it node:22-alpine node -e "console.log('Hola Docker')" ``` ### Comandos que vas a usar el 90% del tiempo ```bash # Ver contenedores corriendo docker ps # Ver TODOS (incluidos los parados) docker ps -a # Parar un contenedor docker stop nombre_o_id # Eliminar un contenedor docker rm nombre_o_id # Ver logs docker logs nombre_o_id # Entrar en un contenedor docker exec -it nombre_o_id sh ``` ## Tu primer Dockerfile Un Dockerfile define cómo construir la imagen de tu aplicación. Este es para una app Node.js: ```dockerfile # Imagen base ligera FROM node:22-alpine # Directorio de trabajo dentro del contenedor WORKDIR /app # Copiar solo package.json primero (aprovecha caché de capas) COPY package*.json ./ RUN npm ci --only=production # Copiar el resto del código COPY . . # Puerto que expone la app EXPOSE 3000 # Comando para arrancar CMD ["node", "src/index.js"] ``` ### Por qué `COPY package*.json` va primero Docker cachea cada instrucción como una "capa". Si copias primero `package.json` y luego haces `npm ci`, Docker solo reinstala dependencias cuando cambias `package.json`. Si cambias un archivo de código, salta directamente al `COPY . .` — **el build tarda segundos en vez de minutos**. ### Construir y ejecutar ```bash # Construir la imagen docker build -t mi-api . # Ejecutar el contenedor docker run -d -p 3000:3000 --name mi-api mi-api # Verificar que funciona curl http://localhost:3000 ``` ## .dockerignore — No copies basura al contenedor Crea un `.dockerignore` en la raíz del proyecto: ``` node_modules npm-debug.log .git .env dist *.md ``` Sin esto, Docker copia `node_modules` (que puede pesar 500MB+) dentro del contenedor y luego los reinstala con `npm ci`. Doble desperdicio. ## Docker Compose — Varios servicios con un comando Tu API necesita base de datos, Redis para caché y tal vez Elasticsearch. Sin Docker Compose, necesitas 3 terminales con 3 comandos. Con Compose, un solo archivo: ```yaml # docker-compose.yml services: api: build: . ports: - "3000:3000" environment: - DATABASE_URL=postgresql://postgres:secret@db:5432/myapp - REDIS_URL=redis://cache:6379 depends_on: - db - cache db: image: postgres:16-alpine environment: POSTGRES_PASSWORD: secret POSTGRES_DB: myapp ports: - "5432:5432" volumes: - pgdata:/var/lib/postgresql/data cache: image: redis:7-alpine ports: - "6379:6379" volumes: pgdata: ``` ### Comandos de Compose ```bash # Levantar todo (en segundo plano) docker compose up -d # Ver logs de todos los servicios docker compose logs -f # Parar todo docker compose down # Parar y eliminar volúmenes (⚠️ borra datos de DB) docker compose down -v ``` > **Truco**: `depends_on` solo espera a que el contenedor arranque, NO a que el servicio esté listo. Para esperar a que PostgreSQL acepte conexiones, usa un health check. ### Health checks ```yaml db: image: postgres:16-alpine environment: POSTGRES_PASSWORD: secret healthcheck: test: ["CMD-SHELL", "pg_isready -U postgres"] interval: 5s timeout: 5s retries: 5 api: build: . depends_on: db: condition: service_healthy ``` Ahora `api` no arranca hasta que PostgreSQL esté realmente listo para recibir conexiones. ## Dockerfile para producción (multi-stage) El Dockerfile básico funciona, pero incluye herramientas de build (npm, compiladores) que no necesitas en producción. Multi-stage build lo soluciona: ```dockerfile # --- Stage 1: Build --- FROM node:22-alpine AS builder WORKDIR /app COPY package*.json ./ RUN npm ci COPY . . RUN npm run build # --- Stage 2: Production --- FROM node:22-alpine WORKDIR /app COPY --from=builder /app/dist ./dist COPY --from=builder /app/node_modules ./node_modules COPY --from=builder /app/package.json ./ EXPOSE 3000 USER node CMD ["node", "dist/index.js"] ``` ### ¿Qué cambia? | Aspecto | Single-stage | Multi-stage | |---------|-------------|-------------| | Tamaño imagen | ~400MB | ~150MB | | Herramientas de build | Incluidas | Excluidas | | Superficie de ataque | Mayor | Menor | | `USER node` | No | Sí (no corre como root) | > **Importante**: Nunca corras contenedores como root en producción. La línea `USER node` usa el usuario `node` que viene incluido en las imágenes oficiales de Node.js. ## Ejemplo real: API NestJS + PostgreSQL + Redis Este es un `docker-compose.yml` de un proyecto real, similar al que usamos en [el caso real de Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/): ```yaml services: api: build: context: . dockerfile: Dockerfile target: production ports: - "3000:3000" env_file: - .env depends_on: db: condition: service_healthy redis: condition: service_started restart: unless-stopped db: image: postgres:16-alpine environment: POSTGRES_USER: ${DB_USER} POSTGRES_PASSWORD: ${DB_PASS} POSTGRES_DB: ${DB_NAME} volumes: - pgdata:/var/lib/postgresql/data healthcheck: test: ["CMD-SHELL", "pg_isready -U ${DB_USER}"] interval: 10s timeout: 5s retries: 5 restart: unless-stopped redis: image: redis:7-alpine command: redis-server --requirepass ${REDIS_PASS} volumes: - redisdata:/data restart: unless-stopped volumes: pgdata: redisdata: ``` **Notas clave:** - `env_file: .env` carga variables de entorno. **Nunca hardcodees contraseñas** en el compose. - `restart: unless-stopped` hace que los contenedores se reinicien si caen (excepto si los paras manualmente). - Los volúmenes (`pgdata`, `redisdata`) persisten datos entre reinicios del contenedor. ## Errores típicos y cómo evitarlos ### 1. "Port already in use" ```bash # Algo ya está usando el puerto 5432 docker compose up -d # Error: port is already allocated # Solución: encuentra qué lo usa # Windows netstat -ano | findstr :5432 # Linux/Mac lsof -i :5432 ``` ### 2. Cambios en el código no se reflejan En desarrollo, monta tu código como volumen para que los cambios se apliquen en caliente: ```yaml api: build: . volumes: - ./src:/app/src # Monta el código fuente command: npm run dev # Usa nodemon o tsx --watch ``` ### 3. La imagen pesa demasiado ```bash # Ver el tamaño de tus imágenes docker images # Usa alpine como base (mucho más ligera) FROM node:22-alpine # ~130MB # vs FROM node:22 # ~1.1GB ``` ### 4. "Cannot connect to database" al arrancar Tu API arranca antes que la DB esté lista. Usa health checks (explicado arriba) o añade retry en tu código: ```javascript // Retry de conexión a la DB async function connectWithRetry(retries = 5, delay = 3000) { for (let i = 0; i < retries; i++) { try { await dataSource.initialize(); console.log('DB conectada'); return; } catch (err) { console.log(`Intento ${i + 1}/${retries} fallido, reintentando...`); await new Promise(r => setTimeout(r, delay)); } } throw new Error('No se pudo conectar a la DB'); } ``` ## Cheatsheet: Comandos Docker esenciales ```bash # --- Imágenes --- docker build -t nombre . # Construir imagen docker images # Listar imágenes docker rmi nombre # Eliminar imagen docker image prune -a # Limpiar imágenes sin usar # --- Contenedores --- docker run -d -p 3000:3000 nombre # Ejecutar en background docker ps # Ver contenedores activos docker stop $(docker ps -q) # Parar TODOS docker rm $(docker ps -aq) # Eliminar TODOS # --- Compose --- docker compose up -d # Levantar servicios docker compose down # Parar servicios docker compose logs -f api # Logs de un servicio docker compose exec api sh # Entrar en un servicio # --- Limpieza --- docker system prune -a # Limpiar TODO lo que no se usa docker volume prune # Limpiar volúmenes huérfanos ``` ## Próximos pasos - Si quieres automatizar el deploy de tu imagen Docker, mira cómo hacerlo con [GitHub Actions y Netlify/Vercel](/blog/deploy-gratis-github-actions-netlify-vercel-2026/) - Para proyectos reales con NestJS y Docker, revisa el [caso real de Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/) - Si estás aprendiendo desarrollo, la [guía para estudiantes DAW/DAM](/blog/guia-estudiantes-daw-dam-smr-2026/) incluye recursos de Docker para principiantes

Proteger tu API en Node.js con JWT: Guía Completa de Autenticación (2026)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Tu API está abierta. Cualquiera puede hacer `curl https://tu-api.com/users` y obtener todos los datos. Necesitas autenticación, y JWT es el estándar de facto para APIs REST. El problema es que el 80% de los tutoriales de JWT que encuentras online tienen agujeros de seguridad: guardan tokens en `localStorage`, no implementan refresh tokens, o usan tiempos de expiración de 30 días. Esta guía implementa autenticación JWT **como se hace en producción**. ## Arquitectura ``` [Login] → POST /auth/login → { accessToken, refreshToken (cookie) } │ [Petición protegida] → GET /users → Authorization: Bearer {accessToken} │ [Token expirado] → POST /auth/refresh → Nueva pareja de tokens ``` **Dos tokens, dos propósitos:** - **Access token**: Corta duración (15 min). Va en el header `Authorization`. Autoriza peticiones. - **Refresh token**: Larga duración (7 días). Va en cookie `httpOnly`. Solo sirve para obtener un nuevo access token. ## Paso 1: Setup del proyecto ```bash mkdir auth-api && cd auth-api npm init -y npm install express jsonwebtoken bcryptjs cookie-parser npm install -D typescript @types/express @types/jsonwebtoken @types/bcryptjs tsx ``` ```typescript // src/config.ts export const config = { accessTokenSecret: process.env.ACCESS_TOKEN_SECRET!, refreshTokenSecret: process.env.REFRESH_TOKEN_SECRET!, accessTokenExpiry: '15m', refreshTokenExpiry: '7d', port: process.env.PORT || 3000, } as const; ``` > **Genera secretos seguros** con: `node -e "console.log(require('crypto').randomBytes(64).toString('hex'))"`. Nunca uses strings como `"mi-secreto"`. ## Paso 2: Generar y verificar tokens ```typescript // src/tokens.ts import jwt from 'jsonwebtoken'; import { config } from './config'; interface TokenPayload { userId: string; email: string; } export function generateAccessToken(payload: TokenPayload): string { return jwt.sign(payload, config.accessTokenSecret, { expiresIn: config.accessTokenExpiry, }); } export function generateRefreshToken(payload: TokenPayload): string { return jwt.sign(payload, config.refreshTokenSecret, { expiresIn: config.refreshTokenExpiry, }); } export function verifyAccessToken(token: string): TokenPayload { return jwt.verify(token, config.accessTokenSecret) as TokenPayload; } export function verifyRefreshToken(token: string): TokenPayload { return jwt.verify(token, config.refreshTokenSecret) as TokenPayload; } ``` **¿Por qué dos secretos diferentes?** Si alguien roba el access token secret, no puede generar refresh tokens (y viceversa). Minimizas el daño de una filtración. ## Paso 3: Middleware de autenticación ```typescript // src/middleware/auth.ts import { Request, Response, NextFunction } from 'express'; import { verifyAccessToken } from '../tokens'; declare global { namespace Express { interface Request { user?: { userId: string; email: string }; } } } export function authenticate(req: Request, res: Response, next: NextFunction) { const authHeader = req.headers.authorization; if (!authHeader?.startsWith('Bearer ')) { return res.status(401).json({ error: 'Token no proporcionado' }); } const token = authHeader.split(' ')[1]; try { const payload = verifyAccessToken(token); req.user = payload; next(); } catch (err) { return res.status(401).json({ error: 'Token inválido o expirado' }); } } ``` ## Paso 4: Rutas de autenticación ```typescript // src/routes/auth.ts import { Router, Request, Response } from 'express'; import bcrypt from 'bcryptjs'; import { generateAccessToken, generateRefreshToken, verifyRefreshToken } from '../tokens'; const router = Router(); // Simulación de DB — en producción usa PostgreSQL, MongoDB, etc. const users = new Map(); // --- REGISTRO --- router.post('/register', async (req: Request, res: Response) => { const { email, password } = req.body; if (!email || !password) { return res.status(400).json({ error: 'Email y contraseña requeridos' }); } if (users.has(email)) { return res.status(409).json({ error: 'El email ya está registrado' }); } // Hash de contraseña — NUNCA guardes contraseñas en texto plano const passwordHash = await bcrypt.hash(password, 12); const id = crypto.randomUUID(); users.set(email, { id, email, passwordHash }); return res.status(201).json({ message: 'Usuario creado' }); }); // --- LOGIN --- router.post('/login', async (req: Request, res: Response) => { const { email, password } = req.body; const user = users.get(email); if (!user) { // Mensaje genérico — no reveles si el email existe o no return res.status(401).json({ error: 'Credenciales inválidas' }); } const validPassword = await bcrypt.compare(password, user.passwordHash); if (!validPassword) { return res.status(401).json({ error: 'Credenciales inválidas' }); } const payload = { userId: user.id, email: user.email }; const accessToken = generateAccessToken(payload); const refreshToken = generateRefreshToken(payload); // Refresh token en cookie httpOnly (inaccesible desde JS del navegador) res.cookie('refreshToken', refreshToken, { httpOnly: true, // No accesible desde JavaScript secure: true, // Solo HTTPS sameSite: 'strict', // Protección CSRF maxAge: 7 * 24 * 60 * 60 * 1000, // 7 días path: '/auth/refresh', // Solo se envía a esta ruta }); return res.json({ accessToken }); }); // --- REFRESH TOKEN --- router.post('/refresh', (req: Request, res: Response) => { const token = req.cookies?.refreshToken; if (!token) { return res.status(401).json({ error: 'Refresh token no proporcionado' }); } try { const payload = verifyRefreshToken(token); const newPayload = { userId: payload.userId, email: payload.email }; // Rotación de tokens: genera AMBOS de nuevo const newAccessToken = generateAccessToken(newPayload); const newRefreshToken = generateRefreshToken(newPayload); res.cookie('refreshToken', newRefreshToken, { httpOnly: true, secure: true, sameSite: 'strict', maxAge: 7 * 24 * 60 * 60 * 1000, path: '/auth/refresh', }); return res.json({ accessToken: newAccessToken }); } catch { // Refresh token inválido o expirado — el usuario debe hacer login de nuevo res.clearCookie('refreshToken'); return res.status(401).json({ error: 'Sesión expirada, inicia sesión de nuevo' }); } }); // --- LOGOUT --- router.post('/logout', (_req: Request, res: Response) => { res.clearCookie('refreshToken', { path: '/auth/refresh' }); return res.json({ message: 'Sesión cerrada' }); }); export default router; ``` ### Detalles de seguridad clave | Decisión | Por qué | |----------|---------| | `httpOnly: true` en cookie | El JS del navegador no puede leer el refresh token → previene XSS | | `secure: true` | La cookie solo se envía por HTTPS → previene man-in-the-middle | | `sameSite: 'strict'` | La cookie no se envía en peticiones cross-origin → previene CSRF | | `path: '/auth/refresh'` | La cookie solo se envía al endpoint de refresh → minimiza exposición | | Mensajes genéricos en login | No revelas si un email existe → previene enumeración de usuarios | | Rotación de refresh tokens | Si roban un refresh token viejo, ya no sirve → reduce ventana de ataque | ## Paso 5: Servidor principal ```typescript // src/index.ts import express from 'express'; import cookieParser from 'cookie-parser'; import { config } from './config'; import authRoutes from './routes/auth'; import { authenticate } from './middleware/auth'; const app = express(); app.use(express.json()); app.use(cookieParser()); // Rutas públicas app.use('/auth', authRoutes); // Rutas protegidas — necesitan access token válido app.get('/me', authenticate, (req, res) => { res.json({ user: req.user }); }); app.get('/dashboard', authenticate, (req, res) => { res.json({ message: `Bienvenido, ${req.user!.email}` }); }); app.listen(config.port, () => { console.log(`API corriendo en http://localhost:${config.port}`); }); ``` ## Flujo completo ```bash # 1. Registrar usuario curl -X POST http://localhost:3000/auth/register \ -H "Content-Type: application/json" \ -d '{"email": "dev@example.com", "password": "S3gur0!2026"}' # 2. Login → recibe accessToken + refreshToken en cookie curl -X POST http://localhost:3000/auth/login \ -H "Content-Type: application/json" \ -d '{"email": "dev@example.com", "password": "S3gur0!2026"}' \ -c cookies.txt # Respuesta: { "accessToken": "eyJhbGc..." } # 3. Petición protegida con el access token curl http://localhost:3000/me \ -H "Authorization: Bearer eyJhbGc..." # 4. Cuando expira → refresh curl -X POST http://localhost:3000/auth/refresh \ -b cookies.txt -c cookies.txt # Respuesta: { "accessToken": "eyJhbGc...(nuevo)" } # 5. Logout curl -X POST http://localhost:3000/auth/logout -b cookies.txt ``` ## Versión NestJS (Guards) Si usas NestJS (como en [nuestro caso real con Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/)), la autenticación se implementa con Guards: ```typescript // auth/jwt.guard.ts import { Injectable, CanActivate, ExecutionContext, UnauthorizedException } from '@nestjs/common'; import { JwtService } from '@nestjs/jwt'; @Injectable() export class JwtAuthGuard implements CanActivate { constructor(private jwtService: JwtService) {} canActivate(context: ExecutionContext): boolean { const request = context.switchToHttp().getRequest(); const authHeader = request.headers.authorization; if (!authHeader?.startsWith('Bearer ')) { throw new UnauthorizedException('Token no proporcionado'); } try { const token = authHeader.split(' ')[1]; const payload = this.jwtService.verify(token); request.user = payload; return true; } catch { throw new UnauthorizedException('Token inválido o expirado'); } } } ``` ```typescript // users/users.controller.ts import { Controller, Get, UseGuards, Req } from '@nestjs/common'; import { JwtAuthGuard } from '../auth/jwt.guard'; @Controller('users') export class UsersController { @Get('me') @UseGuards(JwtAuthGuard) getProfile(@Req() req) { return { user: req.user }; } } ``` ## Errores comunes de seguridad (y cómo evitarlos) ### 1. Guardar JWT en localStorage ```javascript // ❌ NUNCA hagas esto localStorage.setItem('token', accessToken); // Un ataque XSS puede leer localStorage y robar el token // ✅ Guarda el access token en memoria (variable JS) let accessToken = null; async function login(email, password) { const res = await fetch('/auth/login', { method: 'POST', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ email, password }), credentials: 'include', // Para recibir la cookie httpOnly }); const data = await res.json(); accessToken = data.accessToken; // Solo en memoria } ``` ### 2. Access token con expiración larga ```typescript // ❌ Expiración de 30 días — si roban el token, tienen acceso un mes jwt.sign(payload, secret, { expiresIn: '30d' }); // ✅ Expiración corta (15 min) + refresh token para renovar jwt.sign(payload, secret, { expiresIn: '15m' }); ``` ### 3. No hashear contraseñas (o usar MD5/SHA) ```typescript // ❌ MD5 — se crackea en segundos con rainbow tables const hash = md5(password); // ❌ SHA256 — más seguro que MD5 pero no tiene salt automático const hash = crypto.createHash('sha256').update(password).digest('hex'); // ✅ bcrypt — salt automático, computacionalmente costoso const hash = await bcrypt.hash(password, 12); ``` ### 4. Revelar si un email existe en el login ```typescript // ❌ Revela que el email existe if (!user) return res.status(404).json({ error: 'Usuario no encontrado' }); if (!validPassword) return res.status(401).json({ error: 'Contraseña incorrecta' }); // ✅ Mensaje genérico para ambos casos return res.status(401).json({ error: 'Credenciales inválidas' }); ``` ## Checklist de seguridad para tu API - [ ] Secretos JWT generados con `crypto.randomBytes(64)` - [ ] Access token con expiración <= 15 minutos - [ ] Refresh token en cookie `httpOnly`, `secure`, `sameSite` - [ ] Contraseñas hasheadas con bcrypt (rounds >= 12) - [ ] HTTPS obligatorio en producción - [ ] Mensajes de error genéricos en login - [ ] Rotación de refresh tokens - [ ] Rate limiting en `/auth/login` para prevenir fuerza bruta - [ ] CORS configurado solo para dominios de confianza - [ ] Headers de seguridad (Helmet en Express) ## Recursos relacionados - [Error 429 Too Many Requests: cómo manejar rate limiting](/blog/error-429-too-many-requests-api-ia-2026/) — aplica también a tus endpoints de login - [Por qué NestJS sobre Express para un SaaS](/blog/por-que-nestjs-sobre-express-saas-2026/) — Guards, interceptores y módulos para auth escalable - [Caso real SaaS Atrapaclientes](/blog/caso-real-saas-atrapaclientes-nestjs-react/) — autenticación JWT en un producto real con multi-tenancy

Mi Agente de IA Ha Entrado en un Bucle Infinito: Cómo Pararlo y Prevenirlo

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Son las 11 de la noche. Le pides a Cline que "arregle el error de TypeScript en el módulo de auth". Aceptas la primera edición. El agente ejecuta el build. Falla con otro error. Edita otro archivo. Build de nuevo. Falla de nuevo. Edita. Build. Falla. Edita. Miras la factura de la API: **47 llamadas en 3 minutos. $4.20 quemados.** El agente estaba en un **bucle infinito** — intentando arreglar un error que su propio fix anterior creó. Es el problema más caro y frustrante de los agentes de IA autónomos. ## Por qué los agentes entran en bucle ### El ciclo clásico: fix → nuevo error → fix → error original ``` Iteración 1: Error — "Type 'string' is not assignable to type 'number'" → Fix: cambia el tipo a string Iteración 2: Error — "Argument of type 'string' is not assignable to parameter of type 'number'" → Fix: cambia el parámetro a string Iteración 3: Error — "Type 'string' is not assignable to type 'number'" (en otro archivo) → Fix: cambia ese tipo también Iteración 4: Error — el tipo original que cambió en iteración 1 ahora falla → Vuelve al inicio. Bucle infinito. ``` El agente no tiene **memoria de su estrategia**. Cada iteración la trata como un problema nuevo. No sabe que ya intentó la misma solución hace 3 pasos. ### Las 5 situaciones que provocan bucles | Situación | Por qué falla el agente | |-----------|------------------------| | **Errores de tipos en cadena** | Arreglar un tipo rompe otro archivo que depende de él | | **Imports circulares** | A importa B, B importa A — el agente no detecta el ciclo | | **Configuración de build** | tsconfig, webpack, vite.config — el agente cambia opciones al azar | | **Tests que fallan por mocks** | Actualiza el código pero no los mocks, o viceversa infinitamente | | **Errores de permisos/entorno** | El agente no puede arreglar lo que no es código (PATH, permisos de archivo) | ## Cómo parar un agente en bucle ### 1. Parada inmediata | Herramienta | Cómo parar | |-------------|-----------| | **Cline / Claude Dev** | Botón "Cancel" en la barra del agente, o cierra la pestaña del chat | | **Cursor** | `Escape` o botón "Stop" en la ventana del composer | | **Aider** | `Ctrl+C` en la terminal | | **GitHub Copilot Agent** | Botón "Stop" en el panel de chat | ### 2. Si no responde al cancel ```bash # Mata la terminal integrada de VS Code # Ctrl+Shift+P → "Terminal: Kill Active Terminal" # O cierra VS Code directamente — no perderás archivos (auto-save) ``` ### 3. Recuperar tu código tras un bucle ```bash # Ver qué archivos cambió el agente git diff --name-only # Ver los cambios exactos git diff # Deshacer TODO lo que hizo el agente git checkout . # O, si hay cambios que sí querías, deshaz archivo por archivo git checkout -- src/archivo-que-no-quieres.ts ``` > Si usas [Aider](/blog/aider-ia-terminal-barata-alternativa-cursor-2026/), cada iteración es un commit — puedes hacer `git revert` del último commit del agente sin perder nada. ## Cómo prevenir los bucles ### 1. Configura un límite de iteraciones **Cline:** En la configuración de la extensión: ```json { "cline.maxIterations": 5, "cline.autoApprove": false // NUNCA actives auto-approve sin límite } ``` **Cursor:** En Settings → AI → Max iterations: pon 5-10 como máximo. **API directa:** Si tienes tu propio loop de agente: ```javascript const MAX_ITERATIONS = 5; let iterations = 0; while (hasErrors && iterations < MAX_ITERATIONS) { const fix = await agent.suggestFix(currentError); await applyFix(fix); const result = await runBuild(); hasErrors = !result.success; iterations++; if (iterations >= MAX_ITERATIONS) { console.log('⚠️ Límite de iteraciones alcanzado. Revisión manual necesaria.'); break; } } ``` ### 2. No le des autonomía total ``` // ❌ Prompt peligroso "Arregla todos los errores de TypeScript del proyecto hasta que compile" // ✅ Prompt controlado "Arregla el error de tipo en src/auth/service.ts línea 45. Solo modifica ese archivo. Si el fix requiere cambiar otros archivos, dime cuáles ANTES de hacerlo." ``` ### 3. Divide los errores en tareas pequeñas En vez de "arregla los 15 errores de TypeScript", haz: ``` Tarea 1: "Arregla el error en src/auth/service.ts:45" → Verifica que compila Tarea 2: "Arregla el error en src/users/controller.ts:12" → Verifica que compila ... ``` Un error a la vez. Si un fix introduce un error nuevo, lo detectas inmediatamente. ### 4. Usa el modo "Dry Run" o "Plan" Antes de que el agente ejecute cambios, pídele un plan: ``` ANTES de hacer cambios, analiza el error y dame: 1. Qué archivos necesitas modificar 2. Qué cambio harás en cada uno 3. Qué otros archivos podrían verse afectados NO hagas cambios todavía. Solo el plan. ``` Revisa el plan. Si ves que va a tocar 10 archivos para un "error simple", probablemente el agente no entiende el problema y va a entrar en bucle. ### 5. Guarda un checkpoint antes de cada tarea del agente ```bash # Antes de darle una tarea al agente git add -A && git commit -m "checkpoint: antes de refactor auth" # Si el agente la lía, vuelves al checkpoint git reset --hard HEAD ``` ## Coste real de un bucle: Caso con números Un bucle típico de 20 iteraciones con Cline + Claude Sonnet 4: | Concepto | Tokens | Coste | |----------|--------|-------| | Input por iteración (código + instrucciones) | ~8.000 | $0.024 | | Output por iteración (fix + explicación) | ~2.000 | $0.030 | | **20 iteraciones** | **200.000** | **$1.08** | Con Claude Opus 4 el mismo bucle cuesta **~$6.40**. Con GPT-4.1 cuesta **~$1.60**. Si el agente está en modo autónomo y nadie lo para, puede hacer 100+ iteraciones antes de que llegues al límite de la API. Eso son **$5-30 quemados** por un error que podrías haber arreglado manualmente en 5 minutos. > Para controlar estos costes, revisa [cómo programar con IA sin arruinarte](/blog/programar-con-ia-sin-arruinarte-guia-2026/) y [caveman prompting para ahorrar tokens](/blog/caveman-prompting-ahorrar-tokens-ia-2026/). ## Checklist anti-bucle - [ ] Límite de iteraciones configurado (5-10 max) - [ ] Auto-approve desactivado - [ ] Commit/checkpoint antes de cada tarea del agente - [ ] Tareas pequeñas y específicas (un error a la vez) - [ ] Plan antes de ejecución en tareas complejas - [ ] `git diff` después de cada tarea para revisar los cambios - [ ] Rate limit o presupuesto diario configurado en la API ## Artículos relacionados - [Errores comunes al configurar Copilot, Cline y Cursor en VS Code](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — problemas de configuración - [Aider: programar con IA desde la terminal](/blog/aider-ia-terminal-barata-alternativa-cursor-2026/) — el agente que hace commits automáticos (fácil de revertir) - [Error 429 Too Many Requests](/blog/error-429-too-many-requests-api-ia-2026/) — qué hacer cuando el bucle agota tus rate limits

Cómo Resolver un Git Merge Conflict Masivo Provocado por Código de IA

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Tu compañero pushea cambios en `main`. Tú llevas 3 días en una rama donde Cursor refactorizó medio proyecto. Haces `git merge main` y: ``` Auto-merging src/components/Dashboard.tsx CONFLICT (content): Merge conflict in src/components/Dashboard.tsx Auto-merging src/utils/api.ts CONFLICT (content): Merge conflict in src/utils/api.ts Auto-merging src/hooks/useAuth.ts CONFLICT (content): Merge conflict in src/hooks/useAuth.ts ... Automatic merge failed; fix conflicts and then commit the result. ``` **37 archivos con conflictos**. No puedes hacer merge. No puedes hacer push. Estás atrapado. Esto pasa todo el tiempo con código generado por IA. La IA toca muchos archivos, reformatea código existente y genera cambios "ruidosos" que Git no puede resolver automáticamente. ## Por qué la IA genera más conflictos ### 1. Refactoring masivo Cuando le pides a Cursor "refactoriza el módulo de auth", toca 15 archivos. Si alguien editó cualquiera de esos 15 archivos en otra rama → conflicto. ### 2. Reformateo invisible La IA a menudo cambia el formato del código sin cambiar la lógica: ```diff // Tu compañero escribió: - const result = await fetch(url).then(r => r.json()) // La IA "mejoró" el mismo archivo: + const response = await fetch(url); + const result = await response.json(); ``` Semánticamente es lo mismo, pero Git ve líneas diferentes → conflicto. ### 3. Imports reorganizados ```diff // Rama original: - import { useState } from 'react'; - import { useRouter } from 'next/router'; // La IA reorganizó: + import { useRouter } from 'next/router'; + import { useState } from 'react'; ``` Solo cambió el orden. Git: **CONFLICT**. ## Paso 1: No entres en pánico — Evalúa el daño ```bash # ¿Cuántos archivos tienen conflicto? git diff --name-only --diff-filter=U # ¿Cuántos conflictos por archivo? grep -rn "<<<<<<< " --include="*.ts" --include="*.tsx" --include="*.js" | wc -l # Ver un resumen visual git mergetool --tool=vimdiff # O usa VS Code ``` Clasifica los conflictos: | Tipo | Cantidad típica | Estrategia | |------|----------------|------------| | Solo formato (misma lógica) | 60% | Acepta una versión completa | | Cambio real en ambos lados | 25% | Merge manual | | Archivos que solo tocó la IA | 10% | Acepta la versión de la IA (o la tuya) | | Archivos nuevos/eliminados | 5% | Decide cuáles mantener | ## Paso 2: Resuelve los conflictos fáciles primero ### Acepta una versión completa para archivos de solo formato ```bash # Acepta la versión de la rama actual (la tuya / la de la IA) git checkout --ours src/utils/format.ts # Acepta la versión de la otra rama (main) git checkout --theirs src/utils/format.ts # Marcar como resuelto git add src/utils/format.ts ``` ### Resolver varios archivos de golpe ```bash # Aceptar TODOS los archivos de un directorio desde la otra rama git checkout --theirs src/styles/* git add src/styles/* # Aceptar todos los archivos que solo cambió la IA # (archivos que no existen en la otra rama = solo IA los tocó) git diff --name-only --diff-filter=U | xargs git checkout --ours ``` > **Cuidado**: `--ours` y `--theirs` se invierten en `git rebase` vs `git merge`. En merge: `ours` = tu rama, `theirs` = la rama que estás mergeando. En rebase es al revés. ## Paso 3: VS Code Merge Editor para conflictos complejos VS Code tiene un editor de merge visual: 1. Abre un archivo con conflicto 2. VS Code muestra botones: **Accept Current | Accept Incoming | Accept Both | Compare** 3. Usa "Compare Changes" para ver las diferencias lado a lado Para archivos más complejos: ``` Ctrl+Shift+P → "Merge Editor: Open Merge Editor" ``` El editor de 3 vías muestra: - **Izquierda**: Tu versión (current) - **Derecha**: La otra versión (incoming) - **Abajo**: El resultado combinado Puedes seleccionar líneas de cada lado y construir el resultado. ## Paso 4: Pedir a la IA que resuelva el conflicto Para conflictos específicos, puedes pasar el diff a un modelo: ``` Este archivo tiene un merge conflict. Aquí está el diff completo: [Pega el contenido del archivo con los marcadores <<<<<<< ======= >>>>>>>] Resuelve el conflicto combinando ambas versiones. Mantén toda la funcionalidad de ambas ramas. Dame el archivo completo resuelto, SIN marcadores de conflicto. ``` **Cuándo funciona bien**: Conflictos en imports, cambios de formato, renombrado de variables. **Cuándo NO usarlo**: Lógica de negocio diferente en ambas ramas, cambios en la estructura de datos. ## Paso 5: Verificar y commitear ```bash # Verificar que no quedan conflictos grep -rn "<<<<<<< " --include="*.ts" --include="*.tsx" --include="*.js" # (debe devolver 0 resultados) # Verificar que compila npm run build # Verificar que los tests pasan npm test # Commit del merge git add -A git commit -m "merge: resolver conflictos con main tras refactor IA" ``` ## Cómo prevenir conflictos masivos con IA ### 1. Commits pequeños y frecuentes ```bash # ❌ Un commit gigante tras 3 días de refactoring con IA git add -A && git commit -m "refactor everything" # ✅ Un commit por cada tarea del agente git add src/auth/ && git commit -m "refactor: auth module con Cursor" git add src/api/ && git commit -m "refactor: api client con Cursor" ``` ### 2. Merge main frecuentemente ```bash # Cada mañana, antes de seguir trabajando con la IA: git fetch origin git merge origin/main # Resolver conflictos pequeños es más fácil que uno masivo ``` ### 3. Configura Prettier ANTES del refactoring de IA Si todos usan el mismo Prettier config, la IA no puede reformatear "a su estilo": ```bash # Antes del refactoring, formatea todo el proyecto npx prettier --write "src/**/*.{ts,tsx,js,jsx}" git add -A && git commit -m "style: formateo con prettier" # AHORA deja que la IA trabaje # Los cambios serán solo de lógica, no de formato ``` ### 4. Pide a la IA que no reformatee ``` Modifica SOLO la lógica de autenticación en src/auth/service.ts. NO cambies el formato, el orden de los imports ni renombres variables que no sean necesarias. Minimiza los cambios — menos líneas cambiadas = menos conflictos en git. ``` ### 5. Usa ramas cortas ```bash # ❌ Rama de 2 semanas con 200 commits de IA git checkout -b feature/mega-refactor # Conflictos garantizados # ✅ Ramas de 1-2 días máximo git checkout -b fix/auth-validation # Merge rápido, pocos conflictos ``` ## Herramientas útiles | Herramienta | Para qué | |-------------|----------| | **VS Code Merge Editor** | Merge visual de 3 vías integrado | | **git mergetool** | Abre la herramienta de merge configurada | | **IntelliJ Merge** | El mejor merge visual (disponible en Community Edition gratis) | | **meld** | Herramienta visual de merge para Linux | | **delta** | Mejor visualización de diffs en terminal | | **git rerere** | Recuerda cómo resolviste conflictos anteriores | ### Activar git rerere (muy recomendado) ```bash git config --global rerere.enabled true ``` `rerere` = "reuse recorded resolution". Si resuelves un conflicto y luego haces otro merge con el mismo conflicto, Git lo resuelve automáticamente con la misma solución. ## Resumen | Situación | Acción | |-----------|--------| | Conflicto de solo formato | `git checkout --ours/--theirs` | | Conflicto de lógica simple | VS Code Merge Editor | | Conflicto complejo | Pasar a ChatGPT + revisar manualmente | | Prevención | Commits pequeños + merge diario + Prettier | | Monorepo con IA | Ramas cortas + no reformatear + `rerere` | ## Artículos relacionados - [Comandos Git esenciales](/blog/comandos-git-esenciales-2026/) — los comandos que necesitas para manejar conflictos - [Cursor vs Copilot vs Windsurf](/blog/cursor-vs-copilot-vs-windsurf-2026/) — qué editor genera cambios más limpios - [Errores comunes al configurar IA en VS Code](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — problemas con extensiones de IA

La IA Me Da Código Incompleto: Cómo Solucionar el 'Lazy Coding' de ChatGPT y Claude

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Abres ChatGPT, le pides que refactorice tu componente de 200 líneas, y te devuelve esto: ```typescript export function Dashboard() { // ... existing imports ... const [data, setData] = useState(null); // Aquí va tu lógica de fetch existente return (

{/* ... resto del JSX ... */}

); } ``` **60% del código es `// ...`**. No te ha dado nada útil. Has perdido 30 segundos esperando la respuesta y ahora tienes que juntar las piezas como un rompecabezas. Este problema tiene nombre: **Lazy Coding**. Y todos los modelos de IA lo hacen — unos más que otros. ## Por qué la IA hace lazy coding ### 1. Límite de tokens de salida Cada modelo tiene un máximo de tokens que puede generar en una respuesta: | Modelo | Max output tokens | ¿Suficiente para código largo? | |--------|------------------|-------------------------------| | GPT-4.1 | 32.768 | Sí, pero se "cansa" antes | | GPT-4.1 mini | 16.384 | Justo para archivos medianos | | Claude Sonnet 4 | 16.384 | Buen balance | | Claude Opus 4 | 32.768 | El más generoso | Pero el problema no es solo el límite técnico — los modelos están **entrenados para ser concisos**. En el entrenamiento, las respuestas cortas y resumidas se premiaron más que las respuestas exhaustivas. ### 2. El modelo "cree" que ya sabes el resto Cuando le pasas tu código existente y pides un cambio, el modelo interpreta que solo quieres ver **la diferencia**. Es lógico para una conversación humana, pero inútil cuando necesitas copiar-pegar el archivo completo. ### 3. Repeticiones penalizadas Los LLMs penalizan la generación de texto repetitivo. Si tu archivo tiene 50 líneas de JSX similares, el modelo las resume con `// ... resto del JSX` porque generar cada una le "cuesta" probabilísticamente. ## Cómo evitarlo: Prompts que funcionan ### Prompt directo anti-lazy ``` Reescribe este archivo COMPLETO con los cambios aplicados. NO omitas código. NO uses "// ..." ni "// existing code". Incluye TODAS las líneas del archivo, incluidas las que no cambian. Necesito poder copiar y pegar tu respuesta directamente. ``` ### Prompt para cambios parciales (cuando es un archivo enorme) ``` Muéstrame SOLO las funciones que cambian, pero cada función COMPLETA (desde la declaración hasta el cierre). No omitas líneas dentro de las funciones. ``` ### Prompt estilo diff (ahorra tokens y es preciso) ``` Dame los cambios en formato diff (unified diff). Solo las líneas que cambian con 3 líneas de contexto. ``` Respuesta del modelo: ```diff @@ -15,7 +15,9 @@ export function Dashboard() { const [data, setData] = useState(null); + const [loading, setLoading] = useState(true); useEffect(() => { - fetchData().then(setData); + setLoading(true); + fetchData().then(setData).finally(() => setLoading(false)); }, []); ``` Esto es mucho más útil que recibir medio archivo con `// ...`. ## Comparativa: ¿Qué herramienta hace menos lazy coding? Probé el mismo prompt ("refactoriza este componente de 180 líneas para añadir cache") en 5 herramientas: | Herramienta | Código completo | Lazy coding | Notas | |------------|----------------|-------------|-------| | ChatGPT (web) | ❌ 40% | 60% omitido | El peor — resume todo | | Claude (web) | ⚠️ 70% | 30% omitido | Mejor, pero aún corta | | GitHub Copilot Chat | ⚠️ 65% | 35% omitido | Depende del prompt | | Cursor (Agent mode) | ✅ 95% | 5% omitido | Edita el archivo directamente | | Aider + Claude | ✅ 98% | 2% omitido | El mejor — edita con diffs | > Los editores que trabajan directamente con archivos (Cursor, Aider, Copilot Edits) hacen mucho menos lazy coding porque no necesitan "mostrar" el código en chat — lo aplican directamente. ## Técnica avanzada: System prompt para APIs Si usas la API directamente (no la web), puedes añadir un system prompt persistente: ```javascript const response = await openai.chat.completions.create({ model: 'gpt-4.1', messages: [ { role: 'system', content: `Eres un asistente de código. Reglas estrictas: 1. SIEMPRE escribe el código completo, nunca omitas líneas 2. NUNCA uses "// ..." o "// existing code" o "// resto del código" 3. Si el archivo es muy largo, divide la respuesta en partes numeradas 4. Cada función debe estar completa de principio a fin` }, { role: 'user', content: `Refactoriza este archivo:\n\n${fileContent}` } ], max_tokens: 16384, // Asegúrate de dar suficiente espacio }); ``` > Para APIs, revisa [cómo usar la API de ChatGPT y Claude sin arruinarte](/blog/programar-con-ia-sin-arruinarte-guia-2026/). El max_tokens alto sube el coste pero evita respuestas cortadas. ## Técnica nuclear: Divide el archivo antes de pedir Si tu archivo tiene +300 líneas, **no se lo pases entero**. Divídelo: ``` Tengo un archivo con 3 secciones: 1. Imports y tipos (líneas 1-30) 2. Hooks y lógica (líneas 31-120) 3. JSX/render (líneas 121-300) Necesito cambiar la sección 2. Te la paso completa. Dame la sección 2 COMPLETA con los cambios. Yo la pegaré en su sitio. [Pega solo las líneas 31-120] ``` Así el modelo no tiene la tentación de resumir las otras secciones porque no las tiene. ## Configuración en editores para reducir lazy coding ### Cursor ```json // .cursorrules (en la raíz del proyecto) Always write complete code. Never use placeholder comments like "// existing code" or "// ...". When editing a file, rewrite the entire function or component, not just the changed lines. ``` ### GitHub Copilot En VS Code, usa el modo **Copilot Edits** en lugar del chat normal. Edits modifica el archivo directamente y no necesita "mostrar" el código. ### Cline / Claude Dev ```json // En la configuración de Cline, system prompt personalizado: "When writing code, always provide complete implementations. Never abbreviate with comments. Write every line." ``` ## ¿Cuándo está bien que la IA resuma? No siempre es malo. A veces **quieres** que resuma: - **Revisión de código**: "¿Ves bugs en este archivo?" → No necesitas que reescriba todo - **Explicaciones**: "¿Qué hace esta función?" → Solo necesitas la explicación - **Diffs pequeños**: Si cambias una línea, no necesitas las otras 299 El lazy coding solo es un problema cuando necesitas **código ejecutable que puedas copiar y pegar** o que el editor aplique directamente. ## Resumen | Situación | Solución | |-----------|----------| | Chat web (ChatGPT/Claude) | Prompt explícito: "código COMPLETO, sin omisiones" | | API directa | System prompt + max_tokens alto | | Archivo enorme (+300 líneas) | Divide en secciones, pide una a la vez | | Editor (Cursor/Copilot) | Usa modo Agent/Edits en vez de chat | | Terminal (Aider) | Ya genera código completo por defecto | ## Artículos relacionados - [Mejores prompts para programar con IA](/blog/mejores-prompts-programar-ia-2026/) — técnicas avanzadas para sacar código de calidad - [Cursor vs Copilot vs Windsurf](/blog/cursor-vs-copilot-vs-windsurf-2026/) — qué editor genera código más completo - [Errores comunes al configurar Copilot y Cline](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — soluciones rápidas para problemas del editor

La IA Me Sugirió un Paquete NPM que No Existe: Alucinaciones en Desarrollo Web

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Le pides a ChatGPT cómo implementar autenticación con OAuth en Express y te responde: ```bash npm install express-oauth2-simple ``` Lo ejecutas. `npm ERR! 404 Not Found`. El paquete **no existe**. ChatGPT lo inventó. No es un bug. Es una **alucinación** — el modelo generó un nombre de paquete que "suena" correcto pero nunca existió en npm. Y lo peor: a veces el paquete **sí existe**... porque un atacante lo registró sabiendo que la IA lo iba a sugerir. ## Por qué la IA inventa paquetes Los LLMs no tienen acceso en tiempo real a npm. Generan texto basándose en patrones estadísticos: - "express" + "oauth" + "simple" = combinación probable → genera `express-oauth2-simple` - "react" + "auth" + "helper" = combinación probable → genera `react-auth-helper` - "python" + "flask" + "cors" = combinación probable → genera `flask-cors-helper` Ninguno de estos existe (al momento de escribir esto). Pero el modelo **no sabe** que no existen — solo sabe que el nombre encaja con el patrón. ### Cuándo ocurre más | Contexto | Probabilidad de alucinación | |----------|-----------------------------| | Paquetes populares (express, react, lodash) | **Baja** (~2%) | | Paquetes de nicho | **Alta** (~15-20%) | | Paquetes con nombre de 3+ palabras | **Muy alta** (~25%) | | APIs internas de un paquete real | **Media** (~10%) | El modelo no solo inventa paquetes — también inventa **funciones y métodos** de paquetes reales. Ejemplo: ```javascript // ❌ La IA genera esto, pero .streamChat() no existe en el SDK de OpenAI const stream = await openai.streamChat({ model: 'gpt-4.1', ... }); // ✅ La API real es: const stream = await openai.chat.completions.create({ ..., stream: true }); ``` ## El peligro real: Slopsquatting Un investigador de seguridad publicó en 2025 un estudio que demostró: 1. Recopiló los 1.000 nombres de paquetes que ChatGPT más alucinaba 2. Registró 10 de ellos en npm con código inofensivo (para la investigación) 3. En una semana, recibieron **+4.500 descargas** — la mayoría de desarrolladores que copiaron y pegaron código de la IA El ataque se llama **slopsquatting** (una variación de typosquatting): ``` 1. La IA alucina "react-oauth-simplified" 2. Un atacante registra "react-oauth-simplified" en npm con malware 3. Un desarrollador hace: npm install react-oauth-simplified 4. El paquete malicioso se ejecuta en postinstall 5. Roba variables de entorno (.env), tokens, SSH keys ``` No es teoría. Ya ha ocurrido con paquetes reales. ## Cómo verificar antes de instalar ### Paso 1: Busca en npmjs.com Antes de `npm install lo-que-sea`, abre [npmjs.com](https://www.npmjs.com) y busca el paquete: - **¿Existe?** Si no aparece, la IA lo inventó - **¿Tiene descargas?** Un paquete legítimo tiene miles/semana. Menos de 100 → sospechoso - **¿Cuándo se publicó?** Si se publicó hace días y la IA lo sugiere... es slopsquatting - **¿Tiene repositorio de GitHub?** Un paquete sin repo es una red flag ### Paso 2: Usa npm info ```bash # Antes de instalar, verifica npm info react-oauth-simplified # Si no existe, verás: # npm ERR! 404 'react-oauth-simplified' is not in this registry # Si existe, revisa los campos: # - maintainers (¿quién lo mantiene?) # - repository (¿tiene GitHub?) # - weekly downloads (¿es popular?) # - created (¿es nuevo sospechoso?) ``` ### Paso 3: Usa Socket.dev o Snyk ```bash # Socket.dev analiza paquetes npm buscando malware npx socket optimize # Audita tu package.json # Snyk npx snyk test # Busca vulnerabilidades conocidas ``` ### Paso 4: Verifica la API del paquete real Si la IA te sugiere un método de un paquete que sí existe, verifica en la documentación oficial: ```javascript // La IA dice: import { verifyJWT } from 'jsonwebtoken'; // Pero la API real es: import jwt from 'jsonwebtoken'; jwt.verify(token, secret); ``` Abre la documentación o el README del paquete en GitHub. Nunca confíes en la API que la IA te muestra. ## Tabla de alucinaciones comunes Paquetes que la IA sugiere frecuentemente y **no existen**: | La IA sugiere | El paquete real es | |--------------|--------------------| | `express-oauth2-simple` | `passport` + `passport-google-oauth20` | | `react-auth-helper` | `next-auth` o `@auth/core` | | `node-env-config` | `dotenv` | | `mongodb-easy-connect` | `mongoose` o el driver oficial `mongodb` | | `typescript-path-resolver` | `tsconfig-paths` | | `react-form-validation` | `react-hook-form` + `zod` | > **Regla general**: Si el nombre del paquete describe exactamente lo que quieres hacer, probablemente la IA lo inventó. Los paquetes reales suelen tener nombres más creativos (express, lodash, zod, prisma). ## Cómo pedir dependencias a la IA sin riesgo ### Prompt seguro ``` Necesito implementar autenticación OAuth2 en Express.js. Dame el nombre EXACTO del paquete npm más popular para esto. Incluye el enlace a su página en npmjs.com o su repositorio de GitHub. NO inventes paquetes — si no estás seguro del nombre exacto, dímelo. ``` ### Prompt de verificación ``` ¿El paquete "express-oauth2-simple" existe realmente en npm? Si no existe, ¿cuál es la alternativa real más usada? ``` La mayoría de modelos recientes (GPT-4.1, Claude Sonnet 4) son más honestos cuando les preguntas directamente si están seguros. ## Script para auditar dependencias alucinadas Si ya tienes un proyecto con muchas dependencias y quieres verificar que todas son legítimas: ```bash #!/bin/bash # audit-deps.sh — Verifica que todas tus dependencias existen en npm echo "🔍 Verificando dependencias..." for pkg in $(node -e " const pkg = require('./package.json'); const deps = { ...pkg.dependencies, ...pkg.devDependencies }; console.log(Object.keys(deps).join('\n')); "); do result=$(npm view "$pkg" name 2>&1) if echo "$result" | grep -q "404"; then echo "❌ $pkg — NO EXISTE en npm" else downloads=$(npm view "$pkg" --json 2>/dev/null | node -e " let d='';process.stdin.on('data',c=>d+=c);process.stdin.on('end',()=>{ try{console.log(JSON.parse(d).name)}catch{console.log('?')} })") echo "✅ $pkg" fi done ``` ## Resumen | Acción | Cuándo | |--------|--------| | Buscar en npmjs.com | **Siempre** antes de instalar un paquete sugerido por IA | | `npm info paquete` | Cuando tienes dudas sobre un nombre | | Verificar descargas semanales | Si el paquete existe pero no lo conoces | | Revisar la API en la documentación | Cuando la IA usa métodos que no reconoces | | Pedir enlace a GitHub/npm al prompt | Como hábito en cada prompt | ## Artículos relacionados - [Testear código generado por IA](/blog/testear-codigo-generado-ia-copilot-cursor-2026/) — no confíes ciegamente en lo que genera - [Mejores modelos de IA para programar](/blog/mejores-modelos-ia-para-programar-2026/) — qué modelos alucinan menos - [Errores comunes al configurar Copilot y Cline](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — más problemas con IA en el editor

Prettier No Formatea al Guardar en VS Code: Guía Definitiva Paso a Paso

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Instalas Prettier. Configuras un `.prettierrc`. Pulsas `Ctrl+S` para guardar y... nada. El archivo se guarda pero **no se formatea**. Abres otro proyecto, funciona perfecto. Vuelves al tuyo, nada. Llevas 20 minutos tocando configuraciones y sigue sin funcionar. Es el problema más común de VS Code y tiene una solución sistemática. ## TL;DR — Checklist rápido Si tienes prisa, revisa esto en orden: 1. ¿Extensión de Prettier instalada y habilitada? (`esbenp.prettier-vscode`) 2. ¿`formatOnSave` activado en settings.json? 3. ¿Prettier es el formateador por defecto? 4. ¿Tienes un `.prettierrc` en la raíz del proyecto? 5. ¿Hay conflicto con otra extensión (Beautify, ESLint)? 6. ¿El archivo está en `.prettierignore`? Si checaste todo y sigue sin funcionar, sigue leyendo — hay causas más ocultas. ## Paso 1: Verifica la extensión Abre VS Code → Extensions (`Ctrl+Shift+X`) → busca "Prettier": - La extensión correcta es **"Prettier - Code formatter"** de **Prettier** (ID: `esbenp.prettier-vscode`) - Verifica que dice **"Enabled"**, no "Disabled" ni "Enable (Workspace)" - Si dice "Disabled", haz clic en "Enable" > Hay extensiones falsas/antiguas como "Prettier+" o "JS Beautify Prettier". Desinstálalas si las tienes. ## Paso 2: Activa formatOnSave Abre tu `settings.json` (`Ctrl+Shift+P` → "Preferences: Open User Settings (JSON)"): ```json { "editor.formatOnSave": true } ``` **Atención**: Hay DOS archivos settings.json: - **User settings** (global): aplica a todos los proyectos - **Workspace settings** (`.vscode/settings.json`): aplica solo a este proyecto Si el workspace settings tiene `"editor.formatOnSave": false`, **anula** el user settings. Verifica ambos: ```bash # User settings (global) # Windows: %APPDATA%\Code\User\settings.json # Mac: ~/Library/Application Support/Code/User/settings.json # Linux: ~/.config/Code/User/settings.json # Workspace settings (local) # .vscode/settings.json en la raíz del proyecto ``` ## Paso 3: Configura Prettier como formateador por defecto Este es el paso que más gente olvida. VS Code puede tener varios formateadores instalados y no sabe cuál usar. ### Opción A: Desde la interfaz 1. Abre cualquier archivo `.js`, `.ts`, `.css` o `.html` 2. `Ctrl+Shift+P` → "Format Document With..." 3. Selecciona **"Configure Default Formatter..."** 4. Elige **"Prettier - Code formatter"** ### Opción B: En settings.json ```json { "editor.formatOnSave": true, "editor.defaultFormatter": "esbenp.prettier-vscode" } ``` ### Opción C: Por lenguaje (recomendado) ```json { "editor.formatOnSave": true, "editor.defaultFormatter": "esbenp.prettier-vscode", "[javascript]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[typescript]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[typescriptreact]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[json]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[css]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[html]": { "editor.defaultFormatter": "esbenp.prettier-vscode" } } ``` ## Paso 4: Crea un .prettierrc Sin un archivo de configuración, Prettier a veces se niega a formatear porque no sabe qué reglas aplicar. Crea `.prettierrc` en la raíz del proyecto: ```json { "semi": true, "singleQuote": true, "tabWidth": 2, "trailingComma": "es5", "printWidth": 100, "arrowParens": "always", "endOfLine": "lf" } ``` > Si trabajas en un proyecto con más gente, acuerda las reglas primero. Un `.prettierrc` cambiado genera cientos de cambios en un solo commit. ## Paso 5: Resuelve conflictos con ESLint El conflicto Prettier + ESLint es el problema más sutil. ESLint formatea el archivo, luego Prettier intenta reformatear, detecta un conflicto y no hace nada. ### Síntomas - Prettier funciona en archivos `.css` o `.json` pero NO en `.js`/`.ts` - Ves warnings de ESLint sobre formato (comillas, punto y coma) - El archivo "parpadea" al guardar (se formatea y se vuelve a cambiar) ### Solución ```bash npm install --save-dev eslint-config-prettier ``` En tu `eslint.config.js` o `.eslintrc`: ```javascript // eslint.config.js (flat config) import eslintConfigPrettier from 'eslint-config-prettier'; export default [ // ... tus reglas de ESLint eslintConfigPrettier, // SIEMPRE al final — desactiva reglas conflictivas ]; ``` ```json // .eslintrc.json (formato legacy) { "extends": [ "eslint:recommended", "prettier" // Siempre al final ] } ``` Esto desactiva todas las reglas de ESLint que entran en conflicto con Prettier. Ahora ESLint detecta errores de lógica y Prettier se encarga del formato. ## Paso 6: Verifica que no está en .prettierignore Si tienes un `.prettierignore` en la raíz del proyecto, verifica que tu archivo no está excluido: ```bash # .prettierignore dist/ node_modules/ *.min.js # ¿Tienes algo como src/** o *.ts aquí por error? ``` ## Paso 7: Output panel — El log que nadie mira Si todo lo anterior está bien y sigue sin funcionar, VS Code tiene un log de Prettier: 1. `Ctrl+Shift+P` → "Output: Show Output Channel" 2. En el desplegable, selecciona **"Prettier"** 3. Guarda un archivo y mira qué dice Errores comunes en el log: | Error en Output | Causa | Solución | |-----------------|-------|----------| | `Cannot find module 'prettier'` | Prettier no está instalado en el proyecto | `npm install --save-dev prettier` | | `Invalid configuration` | `.prettierrc` tiene syntax error | Valida el JSON | | `File is ignored` | Archivo excluido por `.prettierignore` | Edita `.prettierignore` | | `Multiple formatters` | Dos extensiones compiten | Desinstala la otra | ## Paso 8: Prettier como dependencia del proyecto La extensión de VS Code puede usar su propio Prettier interno o el del proyecto. Para evitar inconsistencias: ```bash npm install --save-dev prettier ``` Y en `.vscode/settings.json`: ```json { "prettier.requireConfig": true } ``` Esto obliga a la extensión a usar el Prettier instalado en `node_modules` y a requerir un `.prettierrc` — si falta, no formatea (y te avisa en el Output). ## Settings.json final (copia y pega) ```json { "editor.formatOnSave": true, "editor.defaultFormatter": "esbenp.prettier-vscode", "prettier.requireConfig": true, "[javascript]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[typescript]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[typescriptreact]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[javascriptreact]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[json]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[css]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[scss]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[html]": { "editor.defaultFormatter": "esbenp.prettier-vscode" }, "[markdown]": { "editor.defaultFormatter": "esbenp.prettier-vscode" } } ``` ## Resumen | Problema | Solución | |----------|----------| | Extensión no instalada | Instalar `esbenp.prettier-vscode` | | `formatOnSave` desactivado | Activar en settings.json | | No es el formateador por defecto | `editor.defaultFormatter: esbenp.prettier-vscode` | | Conflicto con ESLint | Instalar `eslint-config-prettier` | | Sin `.prettierrc` | Crear en la raíz del proyecto | | Archivo ignorado | Revisar `.prettierignore` | | Error invisible | Revisar Output panel → Prettier | | Prettier global vs local | `npm install --save-dev prettier` | ## Artículos relacionados - [Errores comunes al configurar IA en VS Code](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — problemas similares con extensiones de IA - [Comandos Git esenciales](/blog/comandos-git-esenciales-2026/) — si Prettier formatea un archivo entero y genera un diff enorme - [Cursor vs Copilot vs Windsurf](/blog/cursor-vs-copilot-vs-windsurf-2026/) — editores que incluyen formato integrado

TSServer Consume Mucha CPU o Se Bloquea en VS Code: Cómo Solucionarlo

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Abres VS Code con tu proyecto de TypeScript. El ventilador del portátil arranca. Miras el administrador de tareas: **tsserver.js consume 98% de CPU y 3GB de RAM**. El autocompletado tarda 5 segundos. Escribir una línea congela el editor. Es el problema número uno de TypeScript en VS Code y afecta especialmente a monorepos y proyectos con +500 archivos. ## Qué es TSServer y por qué consume tanto **TSServer** es el proceso que VS Code lanza para: - Autocompletado (IntelliSense) - Verificación de tipos en tiempo real - Navegación (Go to Definition, Find References) - Refactoring automático Para hacer esto, tsserver **carga el proyecto entero en memoria**: todos los `.ts`, `.tsx`, los `.d.ts` de `node_modules/@types`, y todo lo referenciado por tu `tsconfig.json`. En un proyecto con React + Material UI + Prisma + tRPC: | Concepto | Archivos | Memoria aprox. | |----------|----------|----------------| | Tu código | ~200 archivos | ~50 MB | | `@types/react` | ~150 archivos | ~80 MB | | Material UI types | ~500 archivos | ~200 MB | | Prisma Client generado | ~50 archivos | ~100 MB | | Otros `@types/*` | ~300 archivos | ~150 MB | | **Total** | **~1.200 archivos** | **~580 MB** | Y eso es un proyecto mediano. Un monorepo con 5+ packages puede llegar a **3-4 GB** fácilmente. ## Solución rápida: Reiniciar TSServer Antes de tocar configuraciones, prueba reiniciarlo: ``` Ctrl+Shift+P → "TypeScript: Restart TS Server" ``` Si tras reiniciar vuelve a consumir CPU en 30 segundos, el problema es estructural — sigue leyendo. ## Solución 1: Excluir archivos del análisis ### tsconfig.json — exclude ```json { "compilerOptions": { ... }, "exclude": [ "node_modules", "dist", "build", ".next", "coverage", "**/*.test.ts", "**/*.spec.ts", "**/*.stories.tsx" ] } ``` Los archivos en `exclude` no se analizan para tipos. Si tus tests o Storybook stories importan cosas raras que enlentecen tsserver, exclúyelos. ### tsconfig.json — include (más agresivo) En vez de excluir, di explícitamente qué incluir: ```json { "compilerOptions": { ... }, "include": [ "src/**/*.ts", "src/**/*.tsx" ] } ``` Esto hace que tsserver ignore todo lo que no esté en `src/`. Drástico pero efectivo. ## Solución 2: Configurar VS Code ### Limitar memoria de TSServer ```json // settings.json { // Memoria máxima para tsserver (en MB) "typescript.tsserver.maxTsServerMemory": 4096, // Desactivar análisis automático de proyectos adyacentes "typescript.disableAutomaticTypeAcquisition": true, // Retrasar el análisis al escribir (menos CPU) "typescript.suggest.autoImports": true } ``` ### Desactivar features que no uses ```json { // Si no usas las sugerencias de imports automáticos "typescript.suggest.autoImports": false, // Si no usas el resaltado de referencias "editor.occurrencesHighlight": "off", // Si no necesitas el breadcrumb (barra de navegación arriba) "breadcrumbs.enabled": false, // Desactivar validación de JS si solo trabajas con TS "javascript.validate.enable": false } ``` ## Solución 3: Monorepos — Un TSServer por package En monorepos, tsserver intenta cargar **todo**. El truco es abrir solo el package en el que trabajas: ```bash # ❌ Abrir la raíz del monorepo (carga todo) code /mi-monorepo # ✅ Abrir solo el package específico code /mi-monorepo/packages/frontend ``` O usa workspaces de VS Code: ```json // mi-monorepo.code-workspace { "folders": [ { "path": "packages/frontend" }, { "path": "packages/api" } ], "settings": { "typescript.tsserver.maxTsServerMemory": 3072 } } ``` Cada folder tendrá su propio tsserver, limitando la carga. ## Solución 4: skipLibCheck Si los tipos de `node_modules` son el problema: ```json // tsconfig.json { "compilerOptions": { "skipLibCheck": true // No verifica .d.ts de node_modules } } ``` Esto reduce drásticamente el tiempo de análisis. La desventaja es que no detectarás errores en los tipos de las dependencias, pero en la práctica rara vez necesitas eso. ## Solución 5: El proyecto generado de Prisma Prisma genera un cliente con miles de tipos. Si tienes Prisma y tsserver consume mucha CPU: ```json // tsconfig.json { "compilerOptions": { "skipLibCheck": true }, "exclude": [ "node_modules/.prisma" // Excluir tipos generados de Prisma ] } ``` Y en VS Code: ```json // settings.json { "files.watcherExclude": { "**/node_modules/.prisma/**": true } } ``` ## Solución 6: File watcher — Reducir lo que VS Code monitoriza VS Code vigila cambios en archivos para reanalizar. En proyectos grandes, el watcher consume CPU: ```json // settings.json { "files.watcherExclude": { "**/node_modules/**": true, "**/dist/**": true, "**/.next/**": true, "**/build/**": true, "**/coverage/**": true, "**/.git/objects/**": true } } ``` ## Diagnóstico: Cómo saber qué consume CPU ### 1. Perfilado de TSServer ``` Ctrl+Shift+P → "TypeScript: Open TS Server Log" ``` Esto abre el log de tsserver. Busca líneas con tiempos altos: ``` [Info] Perf: 2845ms — getSemanticDiagnostics — src/components/Dashboard.tsx [Info] Perf: 1203ms — getCompletionsAtPosition — src/utils/api.ts ``` Si un archivo tarda +1s, es el culpable. Probablemente tiene tipos complejos (generics anidados, conditional types, template literals). ### 2. Ver procesos de VS Code ```bash # Windows — PowerShell Get-Process -Name "node" | Sort-Object CPU -Descending | Select-Object -First 5 # Mac/Linux ps aux | grep tsserver ``` ### 3. VS Code Process Explorer ``` Ctrl+Shift+P → "Developer: Open Process Explorer" ``` Muestra todos los procesos de VS Code con CPU y memoria. El proceso `tsserver.js` aparecerá con su consumo real. ## Tabla resumen de soluciones | Problema | Solución | Impacto en CPU | |----------|----------|----------------| | Muchos archivos | `exclude` / `include` en tsconfig | -40% | | Tipos de node_modules | `skipLibCheck: true` | -30% | | Monorepo completo | Abrir solo el package | -60% | | File watcher | `files.watcherExclude` | -15% | | Autocompletado lento | Desactivar `autoImports` | -20% | | Prisma genera muchos tipos | Excluir `.prisma` | -25% | | Todo junto | Aplicar todas | -70-80% | ## Artículos relacionados - [Prettier no formatea al guardar](/blog/prettier-no-formatea-guardar-vscode-2026/) — otro problema común de VS Code - [Errores comunes al configurar IA en VS Code](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — cuando Copilot también enlentece el editor - [Cursor vs Copilot vs Windsurf](/blog/cursor-vs-copilot-vs-windsurf-2026/) — editores alternativos que manejan mejor proyectos grandes

5 Animaciones con Framer Motion que Uso en Todos Mis Proyectos React

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Cada proyecto React que hago tiene las mismas 5 animaciones. Al principio las implementaba desde cero cada vez, hasta que me hice un mini-kit de componentes reutilizables con Framer Motion. No son animaciones flashy. Son las típicas que hacen que una web pase de "funcional" a "se siente premium". La diferencia entre una web de alguien que acaba de aprender React y una web profesional suele ser esto: **las microinteracciones**. ## Instalación ```bash npm install framer-motion ``` ## 1. Fade-in al hacer scroll (el más usado) Esta es la animación que más uso. Los elementos aparecen suavemente cuando entran en el viewport al hacer scroll. ```tsx 'use client'; import { motion } from 'framer-motion'; interface FadeInProps { children: React.ReactNode; delay?: number; direction?: 'up' | 'down' | 'left' | 'right'; className?: string; } export function FadeIn({ children, delay = 0, direction = 'up', className }: FadeInProps) { const directionOffset = { up: { y: 40 }, down: { y: -40 }, left: { x: 40 }, right: { x: -40 }, }; return ( {children} ); } ``` **Uso:** ```tsx

Este título aparece suavemente

``` **Por qué funciona**: `viewport: { once: true }` hace que la animación solo se ejecute una vez (no cada vez que scrolleas arriba y abajo). El `margin: '-100px'` hace que se active un poco antes de que el elemento sea visible, para que el usuario ya lo vea animándose, no apareciendo de golpe. **Error que cometí**: Al principio usaba `duration: 1.5` pensando que más lento = más elegante. No. Las animaciones largas se sienten lentas y molestas. **0.3 - 0.6 segundos** es el sweet spot. --- ## 2. Stagger List (items que aparecen en cascada) Cuando tienes una lista de cards, features, o cualquier grupo de elementos, hacer que aparezcan uno detrás de otro queda genial. ```tsx 'use client'; import { motion } from 'framer-motion'; const containerVariants = { hidden: { opacity: 0 }, visible: { opacity: 1, transition: { staggerChildren: 0.1, delayChildren: 0.2, }, }, }; const itemVariants = { hidden: { opacity: 0, y: 20 }, visible: { opacity: 1, y: 0, transition: { duration: 0.4, ease: 'easeOut' }, }, }; interface StaggerListProps { children: React.ReactNode; className?: string; } export function StaggerList({ children, className }: StaggerListProps) { return ( {children} ); } export function StaggerItem({ children, className }: StaggerListProps) { return ( {children} ); } ``` **Uso:** ```tsx ``` **El truco**: `staggerChildren: 0.1` significa que cada hijo espera 0.1s más que el anterior. Con 3 items el efecto es sutil pero elegante. Con 10+ items, sube a `0.05` para que no tarde siglos. --- ## 3. Modal con backdrop animado Los modales sin animación se sienten rotos. Con Framer Motion + `AnimatePresence`, entran y salen suavemente. ```tsx 'use client'; import { motion, AnimatePresence } from 'framer-motion'; interface ModalProps { isOpen: boolean; onClose: () => void; children: React.ReactNode; } export function Modal({ isOpen, onClose, children }: ModalProps) { return ( {isOpen && ( <> {/* Backdrop */} {/* Modal */}

e.stopPropagation()} > {children}

)} ); } ``` **Uso:** ```tsx const [isOpen, setIsOpen] = useState(false); setIsOpen(false)}>

Confirmar acción

¿Estás seguro?

``` **Detalle clave**: `AnimatePresence` es lo que permite la animación de salida (`exit`). Sin él, React elimina el componente del DOM inmediatamente y nunca ves la animación de cierre. Me costó un bug de 2 horas descubrir esto la primera vez. **El backdrop con `backdrop-blur-sm`** es ese efecto de desenfoque que usan las apps de Apple. Se ve premium y cuesta 0 esfuerzo extra. --- ## 4. Skeleton Loader animado Los skeleton loaders (esos rectángulos grises pulsantes mientras carga el contenido) son estándar en 2026. Pero los de CSS puro se ven planos. Con Framer Motion quedan más suaves. ```tsx 'use client'; import { motion } from 'framer-motion'; export function Skeleton({ className }: { className?: string }) { return ( ); } // Ejemplo: Skeleton de una card export function CardSkeleton() { return (

); } ``` **Uso:** ```tsx function PostList() { const { data: posts, isLoading } = useQuery({ queryKey: ['posts'], queryFn: fetchPosts }); if (isLoading) { return (

); } return (

{posts.map(post => )}

); } ``` **Tip**: El skeleton debe tener la **misma estructura visual** que el contenido real. Si tu card tiene imagen arriba + título + 2 líneas de texto + tags, tu skeleton debe tener las mismas formas. Si no, hay un "salto" feo cuando se carga el contenido. --- ## 5. Transiciones entre páginas (Next.js App Router) Esta es la más compleja pero la que más impacto visual tiene. Cuando navegas entre páginas, en vez de un corte brusco, el contenido sale suavemente y el nuevo entra. ```tsx // app/template.tsx (NO layout.tsx — template se re-renderiza en cada navegación) 'use client'; import { motion } from 'framer-motion'; export default function Template({ children }: { children: React.ReactNode }) { return ( {children} ); } ``` **Importante**: Usa `template.tsx`, no `layout.tsx`. Los layouts en Next.js no se re-renderizan entre navegaciones — persisten. El `template.tsx` sí se re-renderiza, que es lo que necesitas para que la animación se dispare. **Versión con exit animation** (más compleja, requiere `AnimatePresence` en el layout): ```tsx // app/layout.tsx 'use client'; // Solo si necesitas AnimatePresence import { AnimatePresence } from 'framer-motion'; import { usePathname } from 'next/navigation'; export default function RootLayout({ children }: { children: React.ReactNode }) { const pathname = usePathname(); return ( {children} ); } ``` **Ojo**: Esta versión convierte el layout en Client Component, lo que deshabilita Server Components para todo el tree. Para la mayoría de landing pages no importa. Para apps con mucho data fetching en el servidor, usa la versión `template.tsx` que es más simple y no tiene este trade-off. --- ## Bonus: Hover scale para cards/botones Este no cuenta como "animación" pero lo pongo en todo: ```tsx ``` `whileHover: { scale: 1.02 }` es sutil pero se siente responsive. El `whileTap: { scale: 0.98 }` da feedback táctil al hacer clic. La transición con `spring` se siente más natural que `easeOut`. --- ## Mi checklist antes de animar 1. **¿La animación tiene propósito?** Si es decorativa y no ayuda al usuario a entender qué pasa → la quito 2. **¿Dura menos de 0.5s?** Las animaciones de UI no deberían durar más (las de scroll pueden llegar a 0.6) 3. **¿Respeta `prefers-reduced-motion`?** Siempre: ```tsx // En tu CSS global o Tailwind config @media (prefers-reduced-motion: reduce) { * { animation-duration: 0.01ms !important; transition-duration: 0.01ms !important; } } ``` 4. **¿La animación se ejecuta solo una vez?** `viewport: { once: true }` para scroll animations 5. **¿El contenido es usable sin la animación?** Si JavaScript falla, el contenido debe ser visible ## Artículos relacionados - [10 Ejemplos de Landing Pages con Tailwind CSS](/blog/landing-pages-tailwind-ejemplos-codigo-2026/) — estos diseños con estas animaciones - [Cursor vs Copilot vs Windsurf](/blog/cursor-vs-copilot-vs-windsurf-2026/) — las herramientas que uso para codear más rápido - [Cheat sheet de CSS Grid y Flexbox](/blog/cheat-sheet-css-grid-flexbox-2026/) — los layouts que animo con Framer Motion

Cómo Implementar Autenticación con Auth.js (NextAuth) Sin Volverte Loco

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

La autenticación es esa feature que parece fácil hasta que empiezas a implementarla. "Son solo un login y un register", pensé la primera vez. 3 días después estaba debuggeando callbacks de OAuth, tokens expirados, y sesiones que desaparecían en producción. Auth.js (antes NextAuth) es la mejor opción gratuita para auth en Next.js, pero la documentación asume que ya sabes lo que estás haciendo. Esta guía es la que me habría gustado tener. ## Setup inicial (5 minutos) ### 1. Instalar ```bash npm install next-auth@beta ``` En 2026, la v5 sigue en `@beta` pero es estable para producción. No te asustes por el tag. ### 2. Generar el secret ```bash npx auth secret ``` Esto genera un `AUTH_SECRET` en tu `.env.local`. Este secret firma los JWT y las cookies de sesión. **Sin él, nada funciona.** ### 3. Crear la configuración central ```typescript // src/lib/auth.ts import NextAuth from 'next-auth'; import Google from 'next-auth/providers/google'; import Credentials from 'next-auth/providers/credentials'; import { PrismaAdapter } from '@auth/prisma-adapter'; import { db } from '@/lib/db'; import bcrypt from 'bcryptjs'; export const { handlers, signIn, signOut, auth } = NextAuth({ adapter: PrismaAdapter(db), session: { strategy: 'jwt' }, // JWT en vez de sesiones en BD providers: [ Google({ clientId: process.env.GOOGLE_CLIENT_ID, clientSecret: process.env.GOOGLE_CLIENT_SECRET, }), Credentials({ credentials: { email: { type: 'email' }, password: { type: 'password' }, }, authorize: async (credentials) => { const user = await db.user.findUnique({ where: { email: credentials.email as string }, }); if (!user || !user.hashedPassword) return null; const isValid = await bcrypt.compare( credentials.password as string, user.hashedPassword ); if (!isValid) return null; return { id: user.id, email: user.email, name: user.name }; }, }), ], callbacks: { jwt({ token, user }) { if (user) { token.id = user.id; } return token; }, session({ session, token }) { session.user.id = token.id as string; return session; }, }, pages: { signIn: '/login', // Tu página de login custom }, }); ``` ### 4. Crear la API route ```typescript // src/app/api/auth/[...nextauth]/route.ts import { handlers } from '@/lib/auth'; export const { GET, POST } = handlers; ``` ### 5. El middleware para proteger rutas ```typescript // src/middleware.ts import { auth } from '@/lib/auth'; export default auth((req) => { const isLoggedIn = !!req.auth; const isOnDashboard = req.nextUrl.pathname.startsWith('/dashboard'); const isOnAuth = req.nextUrl.pathname.startsWith('/login') || req.nextUrl.pathname.startsWith('/register'); if (isOnDashboard && !isLoggedIn) { return Response.redirect(new URL('/login', req.nextUrl)); } if (isOnAuth && isLoggedIn) { return Response.redirect(new URL('/dashboard', req.nextUrl)); } }); export const config = { matcher: ['/((?!api|_next/static|_next/image|favicon.ico).*)'], }; ``` ## Los errores que vas a tener (y cómo solucionarlos) ### Error 1: "OAUTH_CALLBACK_ERROR" — el más común ``` [auth][error] OAuthCallbackError: ... ``` **Causa**: El redirect URI en la consola de Google no coincide con tu URL real. **Solución**: Ve a Google Cloud Console → Credentials → OAuth Client → Authorized redirect URIs y añade: ``` http://localhost:3000/api/auth/callback/google # Para dev https://tudominio.com/api/auth/callback/google # Para producción ``` El formato siempre es: `{tu-url}/api/auth/callback/{provider}`. Me pasé 2 horas la primera vez porque puse `/auth/callback/google` sin el `/api`. ### Error 2: La sesión desaparece al refrescar **Causa**: Si usas `strategy: 'database'` (el default con un adapter), Auth.js guarda las sesiones en la BD. Pero si el adapter no está bien configurado, la sesión no se persiste. **Solución**: Usa `strategy: 'jwt'` (como en mi config arriba). Los JWT van en una cookie httpOnly y no necesitan BD para las sesiones. Es más simple y funciona siempre. ```typescript session: { strategy: 'jwt' }, ``` ### Error 3: El user.id no está en la sesión ```typescript const session = await auth(); console.log(session.user.id); // undefined 😱 ``` **Causa**: Auth.js no incluye el `id` del usuario en la sesión por defecto (por seguridad). **Solución**: Añadir los callbacks `jwt` y `session` como en mi config arriba. Y extender los tipos: ```typescript // src/types/next-auth.d.ts import { DefaultSession } from 'next-auth'; declare module 'next-auth' { interface Session { user: { id: string; } & DefaultSession['user']; } } ``` ### Error 4: Credentials provider + Adapter = sesiones rotas **Causa**: Auth.js no persiste sesiones en BD para el Credentials provider (es una decisión de diseño — los passwords no se consideran "seguros" para sesiones de larga duración). **Solución**: Con Credentials, **siempre** usa `strategy: 'jwt'`. Si usas solo OAuth (Google, GitHub), puedes usar `strategy: 'database'`. ## Login con Google — Componente completo ```tsx // features/auth/components/LoginForm.tsx 'use client'; import { signIn } from 'next-auth/react'; import { useState } from 'react'; import { useRouter } from 'next/navigation'; export function LoginForm() { const [email, setEmail] = useState(''); const [password, setPassword] = useState(''); const [error, setError] = useState(''); const [loading, setLoading] = useState(false); const router = useRouter(); const handleCredentialsLogin = async (e: React.FormEvent) => { e.preventDefault(); setLoading(true); setError(''); const result = await signIn('credentials', { email, password, redirect: false, }); if (result?.error) { setError('Email o contraseña incorrectos'); setLoading(false); return; } router.push('/dashboard'); }; return (

{/* Google OAuth */}

{/* Credentials */}

); } ``` **Detalle importante**: `redirect: false` en el `signIn` de credentials permite manejar el error en el cliente en vez de redirigir a una página de error genérica. Para OAuth (Google), usamos `callbackUrl` porque el flujo OAuth necesita la redirección. ## Obtener la sesión en Server Components ```tsx // En cualquier Server Component import { auth } from '@/lib/auth'; export default async function DashboardPage() { const session = await auth(); if (!session) { redirect('/login'); // Por si acaso (el middleware ya lo cubre) } return (

Hola, {session.user.name}

Tu ID: {session.user.id}

); } ``` ## Obtener la sesión en Client Components ```tsx 'use client'; import { useSession } from 'next-auth/react'; export function UserMenu() { const { data: session, status } = useSession(); if (status === 'loading') return ; if (!session) return null; return (

{session.user.name}

); } ``` **No olvides** el `SessionProvider` en tu layout: ```tsx // app/layout.tsx import { SessionProvider } from 'next-auth/react'; export default function RootLayout({ children }) { return ( {children} ); } ``` ## Proteger API Routes ```typescript // app/api/tasks/route.ts import { auth } from '@/lib/auth'; import { NextResponse } from 'next/server'; export async function GET() { const session = await auth(); if (!session) { return NextResponse.json({ error: 'No autorizado' }, { status: 401 }); } const tasks = await db.task.findMany({ where: { userId: session.user.id }, }); return NextResponse.json(tasks); } ``` ## El esquema de Prisma que uso ```prisma // prisma/schema.prisma model User { id String @id @default(cuid()) name String? email String @unique emailVerified DateTime? image String? hashedPassword String? // null si se registró con OAuth accounts Account[] sessions Session[] tasks Task[] createdAt DateTime @default(now()) updatedAt DateTime @updatedAt } model Account { id String @id @default(cuid()) userId String type String provider String providerAccountId String refresh_token String? access_token String? expires_at Int? token_type String? scope String? id_token String? user User @relation(fields: [userId], references: [id], onDelete: Cascade) @@unique([provider, providerAccountId]) } model Session { id String @id @default(cuid()) sessionToken String @unique userId String expires DateTime user User @relation(fields: [userId], references: [id], onDelete: Cascade) } ``` ## Checklist de seguridad Antes de ir a producción, verifico: - [ ] `AUTH_SECRET` generado con `npx auth secret` (no un string inventado) - [ ] Passwords hasheadas con `bcrypt` (nunca en texto plano) - [ ] `redirect: false` en credentials para no filtrar info en la URL - [ ] Cookies con `httpOnly` y `secure` (Auth.js lo hace por defecto en producción) - [ ] CSRF protection activo (Auth.js lo incluye por defecto) - [ ] Variables de entorno en `.env.local`, no hardcodeadas - [ ] Redirect URIs en la consola de OAuth actualizadas para el dominio de producción - [ ] Rate limiting en el endpoint de login (Auth.js NO lo incluye — implementar con `upstash/ratelimit`) ## Artículos relacionados - [Estructura de carpetas en React/Next.js](/blog/estructura-carpetas-react-nextjs-2026/) — cómo organizo la feature de auth - [Proteger tu API Node.js con JWT](/blog/proteger-api-nodejs-jwt-auth-guia-2026/) — auth desde cero sin Auth.js - [Supabase vs Firebase en producción](/blog/supabase-vs-firebase-experiencia-produccion-2026/) — alternativas de auth as a service

Cómo Implementar el Banner de Cookies (RGPD) Correctamente en Tu Web — Paso a Paso

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

El 90% de los banners de cookies que veo en webs de desarrolladores están mal implementados. Y no hablo de diseño — hablo de cumplimiento legal. El error más común: cargar Google Analytics **antes** de que el usuario acepte las cookies. Yo también lo hacía. Ponía el script de GA en el ``, mostraba un banner bonito, y cuando el usuario hacía clic en "Aceptar" guardaba un flag en localStorage. El problema: GA ya estaba trackeando desde el primer milisegundo. Esto es lo que hago ahora, y es lo que exige la RGPD. ## El principio fundamental ``` 1. Cargar la web SIN cookies no esenciales 2. Mostrar el banner 3. El usuario elige: Aceptar / Rechazar / Configurar 4. SOLO si acepta → cargar Analytics, AdSense, etc. 5. Guardar la preferencia para no preguntar otra vez ``` **No al revés.** Primero el consentimiento, después las cookies. ## Implementación completa (HTML + JS puro) ### El banner HTML ```html ``` **Detalles de diseño que importan legalmente:** - Los botones de "Aceptar" y "Rechazar" tienen el **mismo tamaño visual**. Si haces el de aceptar gigante y el de rechazar pequeño/gris, es un *dark pattern* y la AEPD puede multarte. - El texto es claro y directo. Nada de "utilizamos cookies para mejorar tu experiencia" (demasiado vago). - Hay enlace a la política de cookies. ### El JavaScript ```javascript // cookie-consent.js (function() { 'use strict'; const CONSENT_KEY = 'cookie-consent'; const banner = document.getElementById('cookie-banner'); const acceptBtn = document.getElementById('cookie-accept'); const rejectBtn = document.getElementById('cookie-reject'); // Si ya hay una decisión guardada, no mostrar el banner const savedConsent = localStorage.getItem(CONSENT_KEY); if (savedConsent === 'accepted') { loadAnalytics(); return; } if (savedConsent === 'rejected') { return; // No cargar nada, no mostrar banner } // Primera visita: mostrar el banner if (banner) { banner.classList.remove('hidden'); } if (acceptBtn) { acceptBtn.addEventListener('click', function() { localStorage.setItem(CONSENT_KEY, 'accepted'); if (banner) banner.classList.add('hidden'); loadAnalytics(); }); } if (rejectBtn) { rejectBtn.addEventListener('click', function() { localStorage.setItem(CONSENT_KEY, 'rejected'); if (banner) banner.classList.add('hidden'); }); } function loadAnalytics() { // Google Analytics 4 if (!document.querySelector('script[src*="googletagmanager"]')) { var gaScript = document.createElement('script'); gaScript.async = true; gaScript.src = 'https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX'; document.head.appendChild(gaScript); gaScript.onload = function() { window.dataLayer = window.dataLayer || []; function gtag() { window.dataLayer.push(arguments); } window.gtag = gtag; gtag('js', new Date()); gtag('config', 'G-XXXXXXXXXX', { anonymize_ip: true // Anonimizar IP — recomendado por RGPD }); }; } // Aquí puedes cargar otros scripts: AdSense, Facebook Pixel, Hotjar, etc. } })(); ``` **Lo importante:** - `loadAnalytics()` solo se ejecuta si el usuario acepta o si ya aceptó antes - `anonymize_ip: true` anonimiza la IP del usuario (recomendado por RGPD aunque no es obligatorio desde GA4) - Si el usuario rechaza, no se carga nada. Ni ahora ni en visitas futuras - El script se ejecuta en un IIFE para no contaminar el scope global ### Cómo cargarlo en tu web ```html ``` En mi caso con Astro, lo cargo así: ```astro --- // BlogLayout.astro --- ``` ## La política de cookies (página obligatoria) Necesitas una página `/cookies` (o `/cookies.html`) con: ```markdown ## Política de Cookies ### ¿Qué son las cookies? Las cookies son pequeños archivos de texto que se almacenan en tu navegador... ### Cookies que utilizamos | Cookie | Tipo | Proveedor | Propósito | Duración | |--------|------|-----------|-----------|----------| | `cookie-consent` | Técnica (propia) | Este sitio | Guardar tu preferencia de cookies | Permanente | | `_ga` | Analítica (tercero) | Google Analytics | Distinguir usuarios únicos | 2 años | | `_ga_XXXXXXX` | Analítica (tercero) | Google Analytics | Persistir estado de sesión | 2 años | | `color-theme` | Técnica (propia) | Este sitio | Guardar preferencia de tema oscuro/claro | Permanente | ### Cómo gestionar las cookies Puedes cambiar tu preferencia en cualquier momento haciendo clic en [Gestionar cookies]. También puedes configurar tu navegador para bloquear cookies... ### Base legal El tratamiento se basa en tu consentimiento (art. 6.1.a RGPD). Las cookies técnicas se basan en interés legítimo (art. 6.1.f RGPD). ### Contacto Si tienes dudas: [tu email] ``` ## Checklist de cumplimiento ### Obligatorio - [ ] El banner aparece en la primera visita - [ ] NO se cargan cookies de tracking antes del consentimiento - [ ] Hay opción de **rechazar** con la misma visibilidad que aceptar - [ ] La preferencia se guarda y no se pregunta en cada página - [ ] Hay un enlace a la política de cookies desde el banner - [ ] Existe una página de política de cookies accesible - [ ] La política lista todas las cookies con su proveedor, propósito y duración ### Recomendado - [ ] Opción de "configurar" cookies por categoría (analíticas, marketing, etc.) - [ ] Botón para cambiar la preferencia después (en el footer, por ejemplo) - [ ] `anonymize_ip: true` en Google Analytics - [ ] Las cookies se eliminan si el usuario cambia de "aceptar" a "rechazar" ### Prohibido (dark patterns que multa la AEPD) - [ ] Botón de "Aceptar" mucho más grande/visible que "Rechazar" - [ ] Solo opción de "Aceptar" y "Más información" (sin rechazar) - [ ] Cookie wall: "Acepta las cookies o no puedes ver la web" - [ ] Pre-marcar casillas de cookies no esenciales - [ ] Requerir más clics para rechazar que para aceptar ## Versión avanzada: con categorías Si quieres ir más allá y permitir que el usuario elija por categorías: ```javascript const CATEGORIES = { essential: true, // Siempre activas, no se pueden desactivar analytics: false, // Google Analytics, Hotjar marketing: false, // AdSense, Facebook Pixel }; function getConsent() { const saved = localStorage.getItem('cookie-categories'); return saved ? JSON.parse(saved) : null; } function setConsent(categories) { localStorage.setItem('cookie-consent', 'configured'); localStorage.setItem('cookie-categories', JSON.stringify(categories)); if (categories.analytics) loadAnalytics(); if (categories.marketing) loadMarketing(); } // Aceptar todo function acceptAll() { setConsent({ essential: true, analytics: true, marketing: true }); } // Rechazar todo (solo esenciales) function rejectAll() { setConsent({ essential: true, analytics: false, marketing: false }); } ``` ## Mi implementación real En mi portfolio uso una versión simple (aceptar/rechazar) porque solo tengo Google Analytics. No necesito categorías si solo tengo un tipo de cookie no esencial. El código está en mi [portfolio con Vite y Tailwind](/blog/como-hice-mi-portfolio-vite-tailwind/), y el consentimiento se comparte entre el portfolio y el blog porque ambos están en el mismo dominio (`francobosg.netlify.app`). El `localStorage` es compartido, así que si aceptas en el portfolio, el blog ya lo sabe. ## Herramientas que NO recomiendo - **CookieBot, OneTrust, Iubenda**: Son soluciones SaaS de pago (50-200€/mes). Para una web personal o un blog, es matar moscas a cañonazos. El script que te puse arriba hace exactamente lo mismo. - **Plugins de WordPress**: Si no estás en WordPress, no te sirven. Y si estás en WordPress, muchos cargan 100KB+ de JavaScript para algo que se hace con 30 líneas. - **Google Consent Mode**: Es un layer adicional que Google recomienda para "medir sin cookies". En la práctica, sigue necesitando consentimiento para tracking completo. Úsalo solo si tienes ads. ## Artículos relacionados - [Configuración definitiva de CORS en Node.js](/blog/cors-nodejs-express-configuracion-produccion-2026/) — otra pieza de seguridad web - [Cómo hice mi portfolio con Vite y Tailwind](/blog/como-hice-mi-portfolio-vite-tailwind/) — donde implementé este banner - [Deploy gratis con GitHub Actions + Netlify](/blog/deploy-gratis-github-actions-netlify-vercel-2026/) — donde corre esta web

Cheat Sheet Visual de CSS Grid y Flexbox — La Guía que Siempre Busco

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Cada vez que necesito hacer un layout con Grid o Flexbox, acabo buscando en Google lo mismo: "css grid center item", "flexbox space between", "grid auto-fill vs auto-fit"... Así que me hice esta referencia visual para dejar de buscar las mismas cosas una y otra vez. La comparto porque seguro que tú también lo buscas. ## Flexbox — Referencia completa ### El contenedor (parent) ```css .flex-container { display: flex; /* Dirección del eje principal */ flex-direction: row; /* → (default) */ flex-direction: row-reverse; /* ← */ flex-direction: column; /* ↓ */ flex-direction: column-reverse; /* ↑ */ /* ¿Se ajustan a varias líneas? */ flex-wrap: nowrap; /* Todo en una línea (default) */ flex-wrap: wrap; /* Saltan de línea si no caben */ /* Alineación en el eje principal (horizontal si row) */ justify-content: flex-start; /* |■ ■ ■ | */ justify-content: flex-end; /* | ■ ■ ■| */ justify-content: center; /* | ■ ■ ■ | */ justify-content: space-between; /* |■ ■ ■ | */ justify-content: space-around; /* | ■ ■ ■ | */ justify-content: space-evenly; /* | ■ ■ ■ | */ /* Alineación en el eje cruzado (vertical si row) */ align-items: stretch; /* Los items se estiran (default) */ align-items: flex-start; /* Arriba */ align-items: flex-end; /* Abajo */ align-items: center; /* Centro vertical */ align-items: baseline; /* Alinea por la línea base del texto */ /* Espacio entre elementos (moderno, funciona en Flex y Grid) */ gap: 1rem; row-gap: 1rem; column-gap: 2rem; } ``` ### Los items (children) ```css .flex-item { /* Cuánto crece el item si hay espacio extra */ flex-grow: 0; /* No crece (default) */ flex-grow: 1; /* Ocupa todo el espacio disponible */ /* Cuánto se encoge si no hay espacio */ flex-shrink: 1; /* Se encoge proporcionalmente (default) */ flex-shrink: 0; /* NO se encoge — mantiene su tamaño */ /* Tamaño base antes de crecer/encoger */ flex-basis: auto; /* Usa el width del elemento (default) */ flex-basis: 200px; /* Empieza en 200px */ flex-basis: 0; /* Ignora el contenido, distribuye solo por grow */ /* Shorthand (el que siempre uso) */ flex: 1; /* flex-grow: 1, flex-shrink: 1, flex-basis: 0 */ flex: 0 0 200px; /* No crece, no encoge, 200px fijo */ /* Alineación individual (override del align-items del padre) */ align-self: center; align-self: flex-start; align-self: flex-end; align-self: stretch; /* Orden visual */ order: 0; /* Default */ order: -1; /* Se mueve al principio */ order: 1; /* Se mueve al final */ } ``` ### Los 5 patrones Flexbox que más uso #### 1. Centrar algo (el clásico) ```css .center-everything { display: flex; justify-content: center; align-items: center; } /* Tailwind: flex items-center justify-center */ ``` Me pasé 3 años usando `margin: 0 auto` + `line-height` hacks. Ojalá alguien me hubiera dicho esto antes. #### 2. Navbar con logo a la izquierda y links a la derecha ```css .navbar { display: flex; justify-content: space-between; align-items: center; } /* Tailwind: flex items-center justify-between */ ``` #### 3. Cards en fila que saltan de línea ```css .card-grid { display: flex; flex-wrap: wrap; gap: 1rem; } .card { flex: 1 1 300px; /* Mínimo 300px, crece para rellenar */ } /* Tailwind: flex flex-wrap gap-4; child: flex-1 basis-[300px] */ ``` #### 4. Sidebar fija + contenido flexible ```css .layout { display: flex; } .sidebar { flex: 0 0 280px; /* Fija a 280px */ } .content { flex: 1; /* Ocupa el resto */ } /* Tailwind: flex; sidebar: w-[280px] shrink-0; content: flex-1 */ ``` #### 5. Footer que siempre está abajo (sticky footer) ```css body { display: flex; flex-direction: column; min-height: 100vh; } main { flex: 1; /* Empuja el footer abajo */ } /* Tailwind: flex flex-col min-h-screen; main: flex-1 */ ``` --- ## CSS Grid — Referencia completa ### El contenedor (parent) ```css .grid-container { display: grid; /* Definir columnas */ grid-template-columns: 200px 1fr 200px; /* Sidebar | Content | Sidebar */ grid-template-columns: repeat(3, 1fr); /* 3 columnas iguales */ grid-template-columns: repeat(auto-fill, minmax(250px, 1fr)); /* Responsive sin media queries */ grid-template-columns: repeat(auto-fit, minmax(250px, 1fr)); /* Idem, pero estira si sobra espacio */ /* Definir filas */ grid-template-rows: auto 1fr auto; /* Header | Content | Footer */ grid-auto-rows: minmax(100px, auto); /* Filas implícitas: mínimo 100px */ /* Espacio entre celdas */ gap: 1rem; row-gap: 1.5rem; column-gap: 1rem; /* Alinear TODO el contenido del grid */ justify-items: stretch; /* Los items se estiran horizontalmente (default) */ justify-items: center; /* Centrado horizontal */ align-items: stretch; /* Los items se estiran verticalmente (default) */ align-items: center; /* Centrado vertical */ /* Alinear el grid dentro de su contenedor */ justify-content: center; /* Grid centrado horizontalmente */ align-content: center; /* Grid centrado verticalmente */ place-content: center; /* Shorthand: ambos a la vez */ } ``` ### Los items (children) ```css .grid-item { /* Posicionamiento por línea (empieza en 1, no en 0) */ grid-column: 1 / 3; /* Ocupa de la línea 1 a la 3 (2 columnas) */ grid-column: 1 / -1; /* De la primera a la última línea (full width) */ grid-column: span 2; /* Ocupa 2 columnas desde donde esté */ grid-row: 1 / 3; /* Ocupa 2 filas */ /* Alineación individual */ justify-self: center; /* Centrado horizontal en su celda */ align-self: center; /* Centrado vertical en su celda */ place-self: center; /* Shorthand: ambos */ } ``` ### Los 5 patrones Grid que más uso #### 1. Grid responsive sin media queries ```css .responsive-grid { display: grid; grid-template-columns: repeat(auto-fit, minmax(280px, 1fr)); gap: 1.5rem; } /* Tailwind: grid grid-cols-[repeat(auto-fit,minmax(280px,1fr))] gap-6 */ /* O más simple: grid grid-cols-1 md:grid-cols-2 lg:grid-cols-3 gap-6 */ ``` Este es el patrón que uso para el 90% de grids. `auto-fit` + `minmax()` = las columnas se ajustan solas. Si caben 3, hay 3. Si solo caben 2, hay 2. Sin una sola media query. **auto-fill vs auto-fit**: `auto-fill` crea columnas vacías si sobra espacio. `auto-fit` estira las existentes. Para cards, siempre `auto-fit`. #### 2. Layout de página completa (Holy Grail) ```css .page-layout { display: grid; grid-template-columns: 250px 1fr; grid-template-rows: auto 1fr auto; grid-template-areas: "header header" "sidebar main" "footer footer"; min-height: 100vh; } .header { grid-area: header; } .sidebar { grid-area: sidebar; } .main { grid-area: main; } .footer { grid-area: footer; } ``` `grid-template-areas` es pura magia. Puedes leer el layout como si fuera un dibujo ASCII. #### 3. Galería tipo Pinterest (Masonry) ```css .masonry { columns: 3; column-gap: 1rem; } .masonry-item { break-inside: avoid; margin-bottom: 1rem; } /* Nota: esto es CSS Columns, no Grid. Pero lo incluyo porque siempre lo busco como "css grid masonry". Grid masonry real con grid-template-rows: masonry ya funciona en Firefox. */ ``` #### 4. Item que ocupa todo el ancho ```css .full-width-item { grid-column: 1 / -1; /* De la primera a la última línea */ } /* Tailwind: col-span-full */ ``` #### 5. Centrar un item en el grid ```css .centered-grid { display: grid; place-items: center; min-height: 100vh; } /* Tailwind: grid place-items-center min-h-screen */ ``` Sí, `place-items: center` en Grid es otra forma de centrar. Más limpio que Flex para centrar un solo elemento. --- ## Cuándo uso cada uno — Mi regla personal | Situación | Elijo | Por qué | |-----------|-------|---------| | Navbar | Flexbox | Una sola fila, `space-between` | | Grid de cards | Grid | Necesito columnas responsive | | Formulario | Grid | 2 columnas de inputs alineados | | Centrar un div | Grid | `place-items: center` es una línea | | Sidebar + content | Grid | 2 columnas con anchos distintos | | Botones en fila | Flexbox | Una fila con gap | | Dashboard completo | Grid | Filas Y columnas con areas | | Lista vertical | Flexbox | `flex-direction: column` con gap | La regla que me sirve: **si solo necesito una dirección → Flexbox. Si necesito filas Y columnas → Grid.** Cuando dudo, empiezo con Grid porque es más potente y después simplifico a Flexbox si resulta que no necesitaba tanto. --- ## Propiedades nuevas de CSS que uso (2025-2026) ### Container Queries ```css .card-container { container-type: inline-size; } @container (min-width: 400px) { .card { flex-direction: row; /* Horizontal si el contenedor es ancho */ } } /* Tailwind: @container, @md:flex-row */ ``` Los container queries responden al tamaño del contenedor padre, no del viewport. Perfectos para componentes reutilizables. ### Subgrid ```css .parent { display: grid; grid-template-columns: repeat(3, 1fr); } .child { grid-column: span 3; display: grid; grid-template-columns: subgrid; /* Hereda las columnas del padre */ } ``` `subgrid` permite que un hijo herede las líneas del grid del padre. Ideal para alinear contenido dentro de cards en un grid. --- ## Tip final Cuando me pierdo con un layout, abro las DevTools del navegador (F12), selecciono el elemento, y activo el **Grid/Flex overlay** (en Chrome: Layout panel → Grid overlays). Te dibuja las líneas, las areas, y los gaps en pantalla. Es la mejor forma de debuggear layouts. ## Artículos relacionados - [10 Landing Pages con Tailwind CSS (código completo)](/blog/landing-pages-tailwind-ejemplos-codigo-2026/) — estos layouts aplicados a diseños reales - [Cómo hice mi portfolio con Vite y Tailwind](/blog/como-hice-mi-portfolio-vite-tailwind/) — layout real con Flexbox y Grid

Configuración Definitiva de CORS en Node.js/Express para Producción

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Si estás leyendo esto, probablemente estás viendo este error en la consola: ``` Access to fetch at 'http://localhost:4000/api/users' from origin 'http://localhost:3000' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource. ``` Lo he visto cientos de veces. Y la "solución" que encuentra todo el mundo en Stack Overflow es: ```javascript // ❌ La "solución" de Stack Overflow que NO debes usar en producción app.use(cors()); ``` Esto permite que **cualquier web del mundo** haga peticiones a tu API. Para desarrollo local, vale. Para producción con autenticación, es un agujero de seguridad. ## Cómo funciona CORS (la versión corta) 1. Tu frontend en `https://miapp.com` hace `fetch('https://api.miapp.com/users')` 2. El navegador ve que son dominios diferentes → activa CORS 3. El navegador envía una petición **preflight** (OPTIONS) preguntando: "¿puedo hacer esta petición?" 4. El servidor responde con headers diciendo: "sí, `miapp.com` puede hacer GET y POST" 5. Solo entonces el navegador permite la petición real Si el servidor no responde con los headers correctos → el navegador bloquea la respuesta. Tu API procesó la petición, pero el navegador no te deja ver el resultado. ## La configuración que uso en producción ```javascript // src/middleware/cors.js import cors from 'cors'; const allowedOrigins = [ 'https://miapp.com', 'https://www.miapp.com', 'https://admin.miapp.com', ]; // En desarrollo, añadir localhost if (process.env.NODE_ENV !== 'production') { allowedOrigins.push( 'http://localhost:3000', 'http://localhost:5173', // Vite 'http://localhost:4321', // Astro ); } export const corsMiddleware = cors({ origin: function (origin, callback) { // Permitir peticiones sin origin (Postman, curl, server-to-server) if (!origin) return callback(null, true); if (allowedOrigins.includes(origin)) { callback(null, true); } else { callback(new Error(`Origin ${origin} not allowed by CORS`)); } }, credentials: true, // Permite enviar cookies methods: ['GET', 'POST', 'PUT', 'PATCH', 'DELETE', 'OPTIONS'], allowedHeaders: ['Content-Type', 'Authorization'], exposedHeaders: ['X-Total-Count'], // Headers custom que el frontend puede leer maxAge: 86400, // Cache preflight 24h (reduce peticiones OPTIONS) }); ``` ```javascript // src/app.js import express from 'express'; import { corsMiddleware } from './middleware/cors.js'; const app = express(); // CORS debe ir ANTES de todas las rutas app.use(corsMiddleware); app.use(express.json()); // Tus rutas aquí app.use('/api/users', usersRouter); app.use('/api/tasks', tasksRouter); ``` ## Los 7 errores de CORS más comunes (y cómo solucionarlos) ### Error 1: `cors()` sin configurar (wildcard implícito) ```javascript // ❌ Permite TODO. No usar en producción con auth. app.use(cors()); ``` Esto equivale a `Access-Control-Allow-Origin: *`. Si tu API usa cookies o tokens de sesión, el navegador rechazará las peticiones con `credentials: 'include'` cuando el origin es wildcard. ```javascript // ✅ Especificar dominios app.use(cors({ origin: 'https://miapp.com', credentials: true })); ``` ### Error 2: Wildcard + credentials = error ```javascript // ❌ Esto NO funciona app.use(cors({ origin: '*', credentials: true })); ``` ``` Access to fetch at '...' has been blocked by CORS policy: The value of the 'Access-Control-Allow-Origin' header must not be '*' when the request's credentials mode is 'include'. ``` El navegador prohíbe wildcard con credentials. Es una protección de seguridad: si permitieras cualquier origen con cookies, una web maliciosa podría hacer peticiones autenticadas a tu API. ```javascript // ✅ Origin específico con credentials app.use(cors({ origin: 'https://miapp.com', credentials: true })); ``` ### Error 3: El frontend no envía `credentials: 'include'` Tu servidor está bien configurado, pero el frontend no envía las cookies: ```javascript // ❌ Fetch sin credentials — no envía cookies fetch('https://api.miapp.com/users'); // ✅ Fetch con credentials — envía cookies del dominio fetch('https://api.miapp.com/users', { credentials: 'include', }); // ✅ Con axios axios.get('https://api.miapp.com/users', { withCredentials: true, }); ``` ### Error 4: Preflight bloqueado porque OPTIONS no responde ```javascript // ❌ Si tienes rutas que bloquean OPTIONS app.use('/api', authMiddleware, apiRoutes); // El middleware de auth bloquea la petición OPTIONS (no tiene token) ``` ```javascript // ✅ CORS middleware ANTES del auth middleware app.use(corsMiddleware); // Responde a OPTIONS sin auth app.use('/api', authMiddleware, apiRoutes); ``` El preflight (OPTIONS) no lleva cookies ni tokens. Si tu middleware de autenticación está antes que CORS, bloqueará el preflight y ninguna petición pasará. ### Error 5: No incluir `Content-Type` en `allowedHeaders` ```javascript // ❌ El browser envía Content-Type: application/json // pero el servidor no lo permite app.use(cors({ allowedHeaders: ['Authorization'] })); ``` ```javascript // ✅ Incluir Content-Type app.use(cors({ allowedHeaders: ['Content-Type', 'Authorization'] })); ``` Los "simple headers" (`Accept`, `Content-Language`, `Content-Type` con ciertos valores) no necesitan declararse. Pero si envías `Content-Type: application/json`, el navegador lo trata como un header "no simple" y requiere que esté en `allowedHeaders`. ### Error 6: Headers personalizados no visibles en el frontend ```javascript // En el backend res.setHeader('X-Total-Count', '142'); // En el frontend const count = response.headers.get('X-Total-Count'); // null ``` Los navegadores solo exponen los "CORS-safelisted headers" al frontend. Para headers custom, necesitas `exposedHeaders`: ```javascript // ✅ Exponer headers custom app.use(cors({ exposedHeaders: ['X-Total-Count', 'X-Request-Id'] })); ``` ### Error 7: CORS en producción con reverse proxy (Nginx) Si tu API está detrás de Nginx, CORS puede configurarse en Nginx O en Express, pero **no en ambos**. Si ambos añaden `Access-Control-Allow-Origin`, el navegador recibe el header duplicado y lo rechaza: ``` The 'Access-Control-Allow-Origin' header contains multiple values 'https://miapp.com, https://miapp.com', but only one is allowed. ``` ```nginx # ✅ Opción 1: CORS en Nginx (y desactivar en Express) location /api/ { proxy_pass http://localhost:4000; add_header Access-Control-Allow-Origin "https://miapp.com" always; add_header Access-Control-Allow-Credentials true always; add_header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS" always; add_header Access-Control-Allow-Headers "Content-Type, Authorization" always; if ($request_method = OPTIONS) { return 204; } } ``` ```javascript // ✅ Opción 2: CORS en Express (recomendado — más control) // No tocar Nginx, dejar que Express maneje CORS ``` Yo prefiero manejar CORS en Express porque es más fácil de debuggear y mantener que editando configs de Nginx. ## Configuración para múltiples dominios dinámicos Si tienes un SaaS multi-tenant donde cada cliente tiene su subdominio: ```javascript const corsMiddleware = cors({ origin: function (origin, callback) { if (!origin) return callback(null, true); // Permitir cualquier subdominio de miapp.com const allowedPattern = /^https:\/\/[\w-]+\.miapp\.com$/; if (allowedPattern.test(origin) || allowedOrigins.includes(origin)) { callback(null, true); } else { callback(new Error('Not allowed by CORS')); } }, credentials: true, }); ``` **Cuidado**: El regex debe ser estricto. Un regex laxo como `/miapp\.com/` permitiría `evil-miapp.com` (spoofing). ## Config para APIs públicas (sin auth) Si tu API es pública y no usa cookies: ```javascript // ✅ Para APIs públicas — wildcard está bien app.use(cors()); // Equivale a: Access-Control-Allow-Origin: * ``` Ejemplos donde wildcard es correcto: - API de precios de criptomonedas - API de datos abiertos del gobierno - CDN de recursos estáticos - API de herramientas públicas (conversor de moneda, clima, etc.) ## Mi checklist de CORS para producción - [ ] `origin` especifica los dominios exactos (no wildcard con auth) - [ ] `credentials: true` si usas cookies de sesión - [ ] `allowedHeaders` incluye `Content-Type` y `Authorization` - [ ] CORS middleware va ANTES del auth middleware - [ ] Preflight (OPTIONS) responde con 204 sin pasar por auth - [ ] `maxAge: 86400` para cachear preflight y reducir latencia - [ ] No duplicar headers CORS entre Nginx y Express - [ ] Los origenes de desarrollo (localhost) solo se añaden en `NODE_ENV !== 'production'` - [ ] `exposedHeaders` declarados si el frontend lee headers custom - [ ] Logs de errores CORS para detectar intentos sospechosos ## Artículos relacionados - [Error: CORS Access-Control-Allow-Origin](/blog/errores/cors-access-control-allow-origin/) — la guía de error rápida - [Proteger tu API Node.js con JWT](/blog/proteger-api-nodejs-jwt-auth-guia-2026/) — auth que necesita CORS bien configurado - [Banner de Cookies RGPD paso a paso](/blog/banner-cookies-rgpd-implementacion-correcta-2026/) — otra pieza de seguridad web

¿Vale la Pena Pagar Cursor Pro? Comparativa Real con GitHub Copilot en 2026

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Llevo 2 años pagando GitHub Copilot ($10/mes). Hace 3 meses empecé a pagar también Cursor Pro ($20/mes) para comparar. Aquí va mi veredicto honesto, con números reales. **Spoiler**: No hay un ganador claro. Depende de cómo trabajas. Pero sí hay un ganador en relación calidad/precio, y no es el que esperaba. ## Mi setup para la comparativa - **Proyectos**: SaaS con NestJS + React + PostgreSQL, y este mismo portfolio/blog con Astro - **Lenguajes**: TypeScript (90%), Python (10%) - **Periodo**: Enero-Marzo 2026 - **Método**: Misma tarea en ambos editores, midiendo tiempo y calidad ## Autocompletado en línea: Copilot gana El autocompletado mientras escribes (la sugerencia gris en línea) es lo que más usas en el día a día. Aquí Copilot sigue siendo el rey. | Aspecto | Copilot | Cursor | |---------|---------|--------| | Velocidad de sugerencia | ~200ms | ~400ms | | Relevancia contextual | 9/10 | 8/10 | | Multi-línea | Bueno | Bueno | | Sugerencias fantasma | Pocas | Más frecuentes | "Sugerencias fantasma" son las que aparecen y desaparecen antes de que puedas aceptarlas. Cursor las tiene más a menudo, probablemente porque su modelo hace más procesamiento antes de mostrar la sugerencia. **Ejemplo real**: Escribo `const user = await` en un archivo donde tengo Prisma: - **Copilot** sugiere `prisma.user.findUnique({ where: { id } })` en 180ms → correcto - **Cursor** sugiere lo mismo pero en 350ms, y a veces primero muestra `fetch('/api/user')` por medio segundo antes de corregir → molesto Para autocompletado puro, Copilot es más fluido. Lo noto especialmente en archivos grandes donde Cursor a veces se traba. ## Modo Agent/Chat: Cursor gana por goleada Aquí la diferencia es brutal. El modo Agent de Cursor es otra liga: ### Tarea de prueba: "Añadir sistema de notificaciones por email" **Con Copilot Chat** (en VS Code): 1. Le explico lo que necesito en el chat 2. Me da código en el chat que tengo que copiar y pegar 3. No sabe qué archivos ya tengo ni cómo se conectan 4. Tardo **45 minutos** entre pegar código, ajustar imports y arreglar errores **Con Cursor Agent**: 1. Le explico lo que necesito 2. Lee mi estructura de carpetas solo 3. Edita 4 archivos directamente (service, controller, module, template) 4. Ejecuta `npm run build` para verificar 5. Funciona en **12 minutos** con un error menor que arreglo a mano Cursor Agent edita archivos directamente, entiende la estructura del proyecto, y puede ejecutar comandos. Copilot Chat te da texto que tú tienes que aplicar manualmente. > Desde que Copilot lanzó el modo "Edits" y el Agent mode en VS Code, la diferencia se ha reducido. Pero Cursor sigue siendo más rápido porque fue diseñado para esto desde el inicio. ### Refactoring multi-archivo | Tarea | Copilot | Cursor Agent | |-------|---------|-------------| | Renombrar entidad en 8 archivos | 15 min (manual con Find & Replace) | 3 min (lo hace solo) | | Añadir endpoint + tests | 25 min | 8 min | | Migrar de API antigua a nueva | 40 min | 15 min | | Crear CRUD completo | 30 min | 10 min | Cursor Agent me ahorra ~60% del tiempo en tareas multi-archivo. Pero hay una trampa... ## La trampa de Cursor: Las 500 solicitudes El plan Pro incluye 500 solicitudes "fast" al mes. Suena a mucho. No lo es. Mi consumo real en un mes: | Semana | Solicitudes | Acumulado | |--------|------------|-----------| | 1 | 180 | 180 | | 2 | 155 | 335 | | 3 | 140 | 475 | | 4 | 25 (modo slow) | 500 | **A la tercera semana ya estaba en modo slow**. El modo slow usa modelos menos potentes y tarda 10-30 segundos por respuesta. Es usable pero frustrante. ¿Cuántas solicitudes gasta cada acción? - Autocompletado Tab: 0 (no cuenta) - Chat simple: 1 solicitud - Agent (tarea pequeña, 2-3 archivos): 3-5 solicitudes - Agent (tarea grande, 5+ archivos): 8-15 solicitudes Una sesión intensa con el Agent puede gastar 30-50 solicitudes en una hora. Si usas el Agent para todo, las 500 no llegan al mes. ### ¿Solución? Tu propia API key Puedes poner tu API key de OpenAI o Anthropic en Cursor. Pero entonces pagas por token: ``` Tarea mediana con Claude Sonnet (input ~8K tokens, output ~3K tokens): = $0.024 (input) + $0.045 (output) = ~$0.07 por solicitud 50 solicitudes/día × 22 días = 1.100 solicitudes 1.100 × $0.07 = ~$77/mes ``` Sí, **$77/mes** si usas tu key intensamente. Más caro que los $20 del plan Pro. ## Copilot: Precio imbatible | Plan | Precio | Incluye | |------|--------|---------| | **Copilot Free** | $0 | 2.000 autocompletados + 50 chats/mes | | **Copilot Individual** | $10/mes | Ilimitado + chat + Agent mode | | **Copilot Business** | $19/mes | + políticas empresa + IP indemnity | | **Cursor Free** | $0 | 50 solicitudes + autocompletado limitado | | **Cursor Pro** | $20/mes | 500 fast + ilimitado slow + Agent | | **Cursor Business** | $40/mes | + admin + roles | Copilot Individual a $10/mes con uso ilimitado es difícil de superar. Cursor Pro a $20 con 500 solicitudes limitadas es el doble de caro y con menos "gasolina". ## Mi flujo de trabajo real (después de 3 meses) Terminé usando **ambos**, pero para cosas diferentes: | Tarea | Herramienta | Por qué | |-------|-------------|---------| | Escribir código nuevo línea a línea | Copilot | Autocompletado más rápido | | Refactoring multi-archivo | Cursor Agent | 60% más rápido | | Generar tests | Cursor Agent | Entiende el contexto del proyecto | | Debugging rápido | Copilot Chat | Más rápido para preguntas simples | | Crear features completas | Cursor Agent | Edita archivos directamente | | Documentar código | Copilot | Suficiente para JSDoc/comentarios | Pero pagar $30/mes por dos herramientas de IA es excesivo. Tengo que elegir una. ## Mi veredicto: ¿Cuál merece tu dinero? ### Si eres junior o estás aprendiendo → Copilot ($10/mes) - El autocompletado te enseña patrones mientras escribes - El chat es suficiente para preguntas - $10/mes no duele - Se integra en VS Code que ya conoces ### Si eres mid/senior y facturas tu tiempo → Cursor Pro ($20/mes) - El Agent te ahorra 1-2 horas al día en refactoring - Si cobras +$30/hora, los $20/mes se pagan solos en un día - Necesitas saber "guiar" al agente (es una skill) - Vigila las 500 solicitudes ### Si eres freelance con presupuesto ajustado → Copilot Free ($0) - 2.000 autocompletados al mes es suficiente para proyectos pequeños - 50 chats dan para resolver dudas puntuales - Cuando necesites más, paga el mes concreto ### Lo que yo hago ahora Cancelé Cursor Pro y me quedé con Copilot Individual ($10/mes). Para las 2-3 veces al mes que necesito un refactoring masivo, uso [Aider](/blog/aider-ia-terminal-barata-alternativa-cursor-2026/) con mi API key de Claude — me cuesta ~$3-5 por sesión y no pago suscripción. **Total**: $10/mes (Copilot) + ~$5/mes (Aider con API key) = **$15/mes** por lo mejor de ambos mundos. ## Lo que mejoraría de cada uno ### Cursor - Las 500 solicitudes son pocas para el precio. Deberían ser 1.000 o ilimitadas slow más rápido. - El autocompletado debería ser tan fluido como Copilot. - Necesita mejor integración con Git (Copilot muestra diffs inline mejor). ### Copilot - El modo Agent necesita mejorar la edición multi-archivo. - El chat debería poder ejecutar comandos de terminal (como Cursor). - Debería soportar modelos de Anthropic (Claude es mejor para código). ## Artículos relacionados - [Cursor vs Copilot vs Windsurf: Comparativa técnica](/blog/cursor-vs-copilot-vs-windsurf-2026/) — la comparativa más detallada con benchmarks - [Aider: programar con IA desde la terminal por céntimos](/blog/aider-ia-terminal-barata-alternativa-cursor-2026/) — la alternativa barata - [Programar con IA sin arruinarte](/blog/programar-con-ia-sin-arruinarte-guia-2026/) — cómo controlar el gasto en herramientas de IA - [Errores comunes con Copilot y Cline en VS Code](/blog/errores-comunes-ia-vscode-copilot-cline-2026/) — soluciones rápidas

Cómo Estructuro las Carpetas en un Proyecto Grande de React/Next.js (Vida Real)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Pregúntale a ChatGPT "cómo estructurar un proyecto React" y te dará esto: ``` src/ ├── components/ ├── hooks/ ├── utils/ ├── services/ ├── types/ └── styles/ ``` Esta estructura funciona... para un proyecto con 10 archivos. Cuando llegas a 50+ componentes, 20 hooks y 30 utils, abrir la carpeta `components/` es como abrir el cajón de los cubiertos de tu abuela: hay de todo, no encuentras nada, y tienes miedo de tocar algo. ## El problema de organizar por tipo de archivo En uno de mis primeros proyectos grandes (un SaaS de gestión de tareas), tenía esta estructura "por tipo": ``` src/ ├── components/ │ ├── Button.tsx │ ├── Modal.tsx │ ├── TaskCard.tsx │ ├── TaskForm.tsx │ ├── TaskList.tsx │ ├── TaskFilters.tsx │ ├── ProjectSidebar.tsx │ ├── ProjectHeader.tsx │ ├── ProjectSettings.tsx │ ├── UserAvatar.tsx │ ├── UserProfile.tsx │ ├── UserSettings.tsx │ ├── InvoiceTable.tsx │ ├── InvoiceForm.tsx │ ├── ... (47 archivos más) ├── hooks/ │ ├── useTasks.ts │ ├── useProjects.ts │ ├── useAuth.ts │ ├── useInvoices.ts │ ├── ... (18 archivos más) ├── utils/ │ ├── formatDate.ts │ ├── formatCurrency.ts │ ├── taskHelpers.ts │ ├── projectHelpers.ts │ ├── ... (12 archivos más) └── types/ ├── task.ts ├── project.ts ├── user.ts └── invoice.ts ``` Para implementar una feature nueva de tareas, tenía que editar archivos en **5 carpetas diferentes**: components/, hooks/, utils/, types/ y store/. Cada vez que abría VS Code, la barra lateral parecía una sopa de letras. ## La estructura que uso ahora: Feature-Based ``` src/ ├── app/ # Rutas de Next.js (solo routing) │ ├── (auth)/ │ │ ├── login/page.tsx │ │ └── register/page.tsx │ ├── (dashboard)/ │ │ ├── layout.tsx │ │ ├── page.tsx # Dashboard home │ │ ├── tasks/ │ │ │ ├── page.tsx # Lista de tareas │ │ │ └── [id]/page.tsx # Detalle de tarea │ │ ├── projects/ │ │ │ ├── page.tsx │ │ │ └── [id]/page.tsx │ │ └── settings/ │ │ └── page.tsx │ ├── api/ # API routes │ │ ├── tasks/route.ts │ │ ├── projects/route.ts │ │ └── webhooks/stripe/route.ts │ ├── layout.tsx │ └── page.tsx # Landing page │ ├── features/ # 🔑 La clave: lógica agrupada por feature │ ├── tasks/ │ │ ├── components/ │ │ │ ├── TaskCard.tsx │ │ │ ├── TaskForm.tsx │ │ │ ├── TaskList.tsx │ │ │ └── TaskFilters.tsx │ │ ├── hooks/ │ │ │ ├── useTasks.ts │ │ │ └── useTaskMutations.ts │ │ ├── lib/ │ │ │ ├── task-helpers.ts │ │ │ └── task-validation.ts │ │ ├── types.ts │ │ └── index.ts # Re-exports públicos │ │ │ ├── projects/ │ │ ├── components/ │ │ │ ├── ProjectSidebar.tsx │ │ │ ├── ProjectHeader.tsx │ │ │ └── ProjectSettings.tsx │ │ ├── hooks/ │ │ │ └── useProjects.ts │ │ ├── types.ts │ │ └── index.ts │ │ │ ├── auth/ │ │ ├── components/ │ │ │ ├── LoginForm.tsx │ │ │ └── RegisterForm.tsx │ │ ├── hooks/ │ │ │ └── useAuth.ts │ │ ├── lib/ │ │ │ └── auth-config.ts │ │ └── index.ts │ │ │ └── billing/ │ ├── components/ │ │ ├── PricingTable.tsx │ │ ├── InvoiceList.tsx │ │ └── SubscriptionBadge.tsx │ ├── hooks/ │ │ └── useSubscription.ts │ ├── lib/ │ │ └── stripe.ts │ └── index.ts │ ├── components/ # Componentes compartidos (UI primitivos) │ ├── ui/ │ │ ├── Button.tsx │ │ ├── Input.tsx │ │ ├── Modal.tsx │ │ ├── Skeleton.tsx │ │ ├── Badge.tsx │ │ └── Card.tsx │ └── layout/ │ ├── Navbar.tsx │ ├── Sidebar.tsx │ └── Footer.tsx │ ├── lib/ # Utilidades globales │ ├── db.ts # Cliente de Prisma │ ├── api.ts # Fetch wrapper │ ├── utils.ts # cn(), formatDate(), etc. │ └── constants.ts │ ├── hooks/ # Hooks globales (no específicos de una feature) │ ├── useMediaQuery.ts │ └── useDebounce.ts │ └── types/ # Tipos globales └── globals.d.ts ``` ## Las reglas que sigo ### 1. Una feature = una carpeta con todo lo suyo Cada carpeta en `features/` tiene TODO lo que necesita esa funcionalidad: componentes, hooks, utils, tipos. Si mañana quiero eliminar la feature de billing, borro `features/billing/` y listo. ``` features/tasks/ ├── components/ # Solo componentes de tareas ├── hooks/ # Solo hooks de tareas ├── lib/ # Solo utils de tareas ├── types.ts # Solo tipos de tareas └── index.ts # Lo que otras features pueden importar ``` ### 2. El index.ts controla la API pública de la feature ```typescript // features/tasks/index.ts export { TaskList } from './components/TaskList'; export { TaskCard } from './components/TaskCard'; export { useTasks } from './hooks/useTasks'; export type { Task, CreateTaskInput } from './types'; // NO exporto componentes internos como TaskFilters // — es un detalle de implementación de TaskList ``` Esto significa que desde fuera, importas así: ```typescript // ✅ Correcto — importa desde el barrel import { TaskList, useTasks } from '@/features/tasks'; // ❌ Evitar — acoplamiento a la estructura interna import { TaskList } from '@/features/tasks/components/TaskList'; ``` ### 3. `components/` global = solo UI primitivos sin lógica de negocio Si un componente tiene lógica de negocio (fetch datos, validaciones específicas, etc.), va en `features/`. Si es un componente genérico reutilizable (Button, Modal, Input, Card), va en `components/ui/`. ```typescript // components/ui/Button.tsx — genérico, sin lógica de negocio export function Button({ children, variant, ...props }) { ... } // features/tasks/components/TaskCard.tsx — específico de tareas export function TaskCard({ task }: { task: Task }) { // Conoce el tipo Task, formatea fechas específicas, tiene acciones de tareas } ``` ### 4. `app/` es solo routing — sin lógica Las páginas en `app/` son thin wrappers que importan features: ```tsx // app/(dashboard)/tasks/page.tsx import { TaskList } from '@/features/tasks'; import { getCurrentUser } from '@/features/auth'; export default async function TasksPage() { const user = await getCurrentUser(); return ; } ``` 3 líneas. Sin lógica. La página solo decide qué componente de feature renderizar y le pasa los datos necesarios. ### 5. Imports con alias `@/` siempre ```json // tsconfig.json { "compilerOptions": { "paths": { "@/*": ["./src/*"] } } } ``` ```typescript // ✅ Claro, corto, no se rompe al mover archivos import { Button } from '@/components/ui/Button'; import { TaskList } from '@/features/tasks'; // ❌ Infierno de puntos relativos import { Button } from '../../../components/ui/Button'; import { TaskList } from '../../features/tasks/components/TaskList'; ``` ## Cuándo empiezo con esta estructura **No desde el minuto 1.** Para un proyecto nuevo o un MVP, empiezo plano: ``` src/ ├── app/ ├── components/ # Todo junto al principio ├── lib/ └── types/ ``` Cuando llego a **~20 componentes** o cuando noto que toco 4+ carpetas para una feature, es el momento de refactorizar a feature-based. Antes de eso es over-engineering. La migración es gradual: 1. Creo `features/tasks/` 2. Muevo los archivos relacionados con tareas 3. Actualizo los imports 4. Repito para la siguiente feature VS Code con "Move to file" y el rename de TypeScript actualiza los imports automáticamente. ## Errores que he cometido ### Error 1: Carpetas dentro de carpetas dentro de carpetas ``` // ❌ Demasiada anidación features/tasks/components/list/items/card/TaskCard.tsx ``` Si necesitas más de 3 niveles de profundidad, algo va mal. La carpeta `features/tasks/components/` con archivos planos funciona perfectamente hasta 15-20 componentes. Si necesitas más, probablemente la feature es demasiado grande y habría que dividirla. ### Error 2: Features que se importan entre sí de forma circular ```typescript // ❌ features/tasks importa de features/projects // Y features/projects importa de features/tasks // → Dependencia circular ``` Si dos features se necesitan mutuamente, hay algo que debería estar en `lib/` o en una feature compartida. Los tipos compartidos van a `types/`, los utils compartidos a `lib/`. ### Error 3: Mover TODO a features/ desde el principio No todo necesita ser una feature. Si solo tienes un componente de auth (LoginForm) y un hook (useAuth), no necesitas una carpeta `features/auth/` con subcarpetas. Ponlo en `components/` y cuando crezca, muévelo. ## La estructura para un proyecto de portfolio o blog Para proyectos pequeños (portfolios, blogs, landing pages), esta estructura es overkill. Para esos uso: ``` src/ ├── app/ │ ├── page.tsx │ ├── blog/ │ │ ├── page.tsx │ │ └── [slug]/page.tsx │ └── layout.tsx ├── components/ │ ├── Hero.tsx │ ├── ProjectCard.tsx │ ├── BlogPost.tsx │ └── ContactForm.tsx ├── lib/ │ ├── posts.ts # Fetch de posts del blog │ └── utils.ts └── content/ └── posts/ # Markdown files ``` Plano, simple, suficiente. La estructura feature-based solo tiene sentido cuando hay **múltiples dominios de negocio** (users, tasks, billing, projects...). ## Artículos relacionados - [Por qué dejé de usar Redux (y qué uso ahora)](/blog/por-que-deje-redux-alternativas-2026/) — cómo organizo el estado sin Redux - [Caso real: SaaS con NestJS y React](/blog/caso-real-saas-atrapaclientes-nestjs-react/) — esta estructura en un proyecto real - [Auth.js (NextAuth) sin volverte loco](/blog/auth-js-nextauth-implementacion-real-2026/) — cómo estructuro la feature de auth

10 Ejemplos de Landing Pages Modernas con Tailwind CSS (Código Completo y Listo)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Nuevo: Integración con IA

Construye tu SaaS
10x más rápido

Framework completo con autenticación, pagos, dashboard y API. Deja de reinventar la rueda y lanza en días, no en meses.

Empezar gratis → Ver demo

Sin tarjeta de crédito · Setup en 5 minutos · Cancela cuando quieras

``` **Por qué funciona**: Gradiente sobrio (no rainbow), badge de novedad arriba, headline con contraste de color, subtítulo que habla de beneficios, dos CTAs con jerarquía visual (primario azul, secundario outline), y texto de confianza debajo. --- ## 2. Feature Grid — 3 columnas con iconos ```html

Todo lo que necesitas para lanzar

Cada feature está probada en producción con miles de usuarios.

🔐

Autenticación

💳

Pagos con Stripe

Suscripciones, one-time payments y webhooks configurados. Portal de cliente incluido.

📊

Dashboard

Panel de admin con gráficas, tablas con filtros, y exportación a CSV. Dark mode incluido.

📧

Emails transaccionales

Templates de email con React Email. Welcome, reset password, invoices — todo listo.

🚀

Deploy en 1 clic

Vercel, Railway o Docker. CI/CD con GitHub Actions preconfigurado. De git push a producción.

🤖

IA integrada

Streaming con OpenAI/Claude listo para usar. RAG con embeddings y vector search incluido.

``` **Tips de diseño**: Las tarjetas con `hover:border-blue-500/50` dan feedback visual sin ser agresivas. Los iconos con fondo de color roto por sección (azul, verde, morado...) crean variedad. El grid pasa a 1 columna en móvil automáticamente. --- ## 3. Pricing Table — 3 planes con plan destacado ```html

Precios simples, sin sorpresas

Empieza gratis. Escala cuando lo necesites.

Free

Para proyectos personales

0€/mes

✓ 1 proyecto
✓ 1.000 usuarios
✓ Auth básica
✗ Custom domain
✗ Soporte prioritario

Empezar gratis

Más popular

Pro

Para SaaS en producción

29€/mes

✓ Proyectos ilimitados
✓ 50.000 usuarios
✓ Auth + OAuth providers
✓ Custom domain
✓ Soporte por email

Empezar con Pro

Enterprise

Para equipos grandes

99€/mes

✓ Todo lo de Pro
✓ Usuarios ilimitados
✓ SSO / SAML
✓ SLA 99.9%
✓ Soporte prioritario 24/7

Contactar ventas

``` **Por qué funciona**: El plan central tiene `border-2 border-blue-600` + `shadow-xl` + badge "Más popular" para llamar la atención. Los checkmarks en verde y las X en gris crean un contraste visual inmediato. El CTA del plan Pro es el único con fondo lleno. --- ## 4. Testimonios — Tarjetas con avatar ```html

Lo que dicen nuestros usuarios

★★★★★

"Lancé mi SaaS en 2 semanas usando este boilerplate. Lo que más me gustó es que los pagos con Stripe ya estaban configurados — eso solo me habría llevado 3 días."

María López

Fundadora de TaskFlow

★★★★★

"El código está limpio y bien documentado. No es un boilerplate de esos que necesitas 2 días para entender la estructura. Lo abrí y ya sabía dónde estaba todo."

David Ruiz

Senior Dev en Acme Corp

★★★★★

"El soporte es de 10. Tuve un problema con los webhooks de Stripe y me respondieron en 2 horas con una solución que funcionó a la primera."

Ana Castillo

Freelance fullstack

``` **Tip**: Los avatares con gradientes (en vez de imágenes) se ven modernos y no necesitas fotos reales. Si tienes fotos, usa ``. --- ## 5. CTA Final — Fondo con gradiente ```html

¿Listo para lanzar tu próximo proyecto?

Únete a +2.000 desarrolladores que ya están construyendo más rápido.

Empezar gratis → Ver documentación

``` --- ## 6. Stats Counter — Números que impresionan ```html

2.5K+

Desarrolladores

450+

Apps en producción

99.9%

Uptime

4.9/5

Valoración

``` --- ## 7. FAQ Accordion (solo CSS, sin JavaScript) ```html

Preguntas frecuentes

¿Necesito saber TypeScript? +

Pasé Mi Web de React a Astro: Estos Son los Resultados de Rendimiento (Lighthouse)

contacto@francobosg.netlify.app (Fran Cobos) — Mon, 20 Apr 2026 00:00:00 GMT

Tenía una web personal hecha con Next.js 14 (App Router, React Server Components, el stack más moderno del momento). Funcionaba bien, se veía bien. Pero cada vez que abría Lighthouse, los números me daban vergüenza: ``` Performance: 62 Accessibility: 89 Best Practices: 95 SEO: 91 ``` 62 en Performance para un blog con 15 páginas. Un blog. Sin base de datos en tiempo real, sin interactividad compleja, sin nada que justifique esa puntuación. El problema era claro: **estaba enviando 187KB de JavaScript al navegador para una web que era básicamente texto e imágenes.** ## Los números: antes (React) vs después (Astro) | Métrica | React/Next.js | Astro | Mejora | |---------|--------------|-------|--------| | **Lighthouse Performance** | 62 | 98 | +58% | | **JavaScript enviado** | 187 KB | 12 KB | -93.6% | | **First Contentful Paint** | 2.1s | 0.6s | -71% | | **Largest Contentful Paint** | 3.8s | 1.1s | -71% | | **Time to Interactive** | 4.2s | 0.8s | -81% | | **Cumulative Layout Shift** | 0.12 | 0.01 | -92% | | **Total Blocking Time** | 890ms | 40ms | -95% | | **Tamaño HTML (home)** | 42 KB | 18 KB | -57% | No es que Astro sea mágico. Es que React estaba enviando el framework completo, el runtime de React, el runtime de Next.js, los chunks de páginas pre-cargadas, y el JavaScript de hidratación... para una web que no necesitaba nada de eso. ## ¿Por qué mi web React era lenta? Abrí el Network tab y analicé el JavaScript: ``` react-dom.production.min.js: 42 KB next/dist/chunks/framework: 38 KB next/dist/chunks/main: 28 KB next/dist/chunks/pages/_app: 15 KB next/dist/chunks/webpack: 8 KB Página actual + componentes: 56 KB ───────────────────────────────────── Total: 187 KB ``` De esos 187 KB, **130 KB eran el framework** (React + Next.js runtime). Solo 56 KB eran mi código real. Y la mayor parte de mi código eran componentes que renderizaban HTML estático — no tenían estado, no tenían efectos, no tenían interactividad. React necesita ese runtime para la hidratación: recorre todo el DOM, adjunta los event listeners, y sincroniza el HTML del servidor con el virtual DOM del cliente. Para un blog, eso es como usar un camión de 18 ruedas para ir a comprar el pan. ## Cómo hice la migración (paso a paso) ### Paso 1: Crear el proyecto Astro ```bash npm create astro@latest blog-astro # Elegí: Empty, TypeScript Strict, Install dependencies ``` ### Paso 2: Instalar las integraciones necesarias ```bash npx astro add tailwind npx astro add mdx # Si usas MDX, si es .md puro no hace falta npx astro add sitemap ``` ### Paso 3: Convertir páginas de JSX a .astro El cambio más grande fue la sintaxis. Astro usa `.astro` files que mezclan frontmatter (lógica del servidor) con HTML: ```tsx // ❌ Antes (Next.js) — page.tsx import { getAllPosts } from '@/lib/posts'; import { PostCard } from '@/components/PostCard'; export default async function BlogPage() { const posts = await getAllPosts(); return (

Blog

{posts.map(post => ( ))}

); } ``` ```astro --- // ✅ Después (Astro) — index.astro import { getCollection } from 'astro:content'; import BlogLayout from '../layouts/BlogLayout.astro'; import PostCard from '../components/PostCard.astro'; const posts = await getCollection('posts'); const sortedPosts = posts.sort((a, b) => new Date(b.data.date).getTime() - new Date(a.data.date).getTime() ); ---

Blog

{sortedPosts.map(post => ( ))}

``` Los cambios principales: - `className` → `class` - La lógica va en el frontmatter (`---`) - No hay `export default function` — el HTML va directamente - `key` no es necesario en `.astro` (no hay virtual DOM) - Content Collections reemplazan el fetch de markdown manual ### Paso 4: Convertir componentes Componentes sin interactividad → `.astro`: ```astro --- // components/PostCard.astro const { post } = Astro.props; const url = `/blog/${post.id.replace(/\.md$/, '')}/`; ---