Arquitectura
Los datos del niño no van a la nube: qué significa exactamente
«Sin nube» es una frase que se gasta rápido. Aquí lo desglosamos: qué tipo de datos genera un launcher de control parental, dónde viven en Quiles, y dónde acabarían en otras herramientas.
Publicado: 16 de mayo de 2026 · Nota: Este artículo no es asesoramiento legal.
Categorías
Cuatro tipos de datos. Cuatro lugares posibles.
Un launcher de control parental como Quiles genera o gestiona cuatro grupos de información:
- Actividad de apps: qué app se abrió, cuánto tiempo, cuándo. La fuente es
UsageStatsManagerde Android, una API del sistema que el lanzador consulta con permiso. - Audit log: intentos de abrir apps bloqueadas, peticiones de más tiempo, cambios de reglas. Conviene tenerlo para que el padre o madre pueda revisar.
- Reglas: apps permitidas, horarios, límites diarios, contactos SOS, modos de pausa.
- Licencia: Quiles Familia es gratis y no necesita licencia. Solo el plan opcional Quiles Mayor (para personas mayores) genera un token que prueba la suscripción.
En Quiles
Dónde vive cada cosa.
Actividad de apps
Se calcula en el dispositivo del niño a partir de UsageStatsManager. Quiles consulta el dato; no lo almacena en un servidor. El dispositivo del padre lo recibe como un sobre cifrado a través de un relé opaco en Cloudflare, o directamente por Bluetooth si están cerca y no hay red.
Audit log
Persistido en Isar, cifrado at rest, en el móvil del niño. El padre puede compartirlo bajo demanda; el transporte cifra los sobres en origen y los descifra en el otro teléfono, nunca por el camino.
Reglas
El padre las edita en su dispositivo y se publican al móvil del niño por una conexión WSS persistente cifrada a un relé en Cloudflare, o por Bluetooth como respaldo offline. El relé ve un familyId aleatorio, el tamaño y la hora del paquete; nunca el contenido, porque va cifrado de extremo a extremo. Y descarta el sobre en unos 30 segundos tras entregarlo. Por eso nunca pasan por un servidor de Quiles que pueda leerlos.
Quiles Familia es gratis, así que no genera ningún pago: nada de la familia pasa por nuestra infraestructura. El único pago que existe es el del plan opcional Quiles Mayor, y se contrata en la App Store o Google Play, no en nuestro servidor. Cuando alguien se suscribe a Quiles Mayor (59 €/año), el Worker de Cloudflare recibe un webhook de RevenueCat con un identificador anónimo de la suscripción (sin tu nombre real), firma un JWT ed25519 con el estado de la suscripción y lo usa solo para reconocer tu derecho de uso. No almacena tu tarjeta ni tus datos fiscales: de eso se encarga Apple o Google.
El Worker
Qué ve y qué no ve el Worker de Cloudflare.
El Worker es el único componente de servidor que Quiles opera. Su mandato es estrechísimo:
- Recibe un webhook firmado de RevenueCat con el evento de suscripción a Quiles Mayor (Familia es gratis y nunca toca el Worker).
- Verifica la autenticidad del webhook antes de procesarlo.
- Toma unos pocos campos: identificador anónimo de la app (app user id), plan y estado de la suscripción. No recibe tu tarjeta ni tus datos fiscales: los gestiona la tienda.
- Firma un JWT ed25519 con esos datos para reconocer tu derecho de uso dentro de la app.
El Worker no ve actividad de apps. No ve qué apps están permitidas. No ve audit log. No ve contactos SOS. No mantiene base de datos de compradores: una vez emitido el token, no queda registro persistente en nuestra infraestructura.
Comparación
Dónde vive lo mismo en Family Link o Qustodio.
En Google Family Link, la actividad de apps, el historial de búsqueda, los logs de bloqueo y las reglas viven en la infraestructura de Google. La consola del padre es una vista web sobre datos que Google ya procesa; el dispositivo del niño es básicamente un cliente.
En Qustodio, los datos viajan a servidores propios de la empresa. El historial de URLs, las llamadas, los mensajes filtrados y los informes diarios se procesan en su backend. Es un modelo legítimo y muy capaz, pero la consecuencia es que los datos del menor sí salen del hogar y quedan sujetos a la política de retención, la jurisdicción y la economía de su proveedor.
Quiles eligió no hacer eso. La consecuencia es que ciertas funciones (informes históricos remotos, supervisión desde una web sin estar en casa) son distintas o no existen. A cambio, el modelo de amenaza se reduce a tu propio hogar.
Implicaciones
Qué cosas dejan de poder pasar.
Si los datos no están en nuestros servidores, no podemos sufrir una brecha que los exponga. No podemos venderlos a un broker. No podemos recibir un requerimiento de una autoridad extranjera para entregarlos. No podemos cambiar la política de privacidad mañana y empezar a entrenar modelos con ellos. No es una promesa, es la consecuencia de no tener la infraestructura.
Quiles tampoco puede ayudarte a recuperar una contraseña perdida. No hay backup remoto al que volver. La contrapartida del modelo es esa: el plano de control es la familia y solo la familia.
Quiles