¿Cuánto crece el tamaño del archivo?

Depende del preset. **Low**: +30-60 % (sobre todo compactar y array de strings). **Medium**: +150-300 % (añade flattening de control flow y rotación del array). **High**: **+500-1500 %** (dead code injection más self-defending). Un archivo de 5 KB en High puede crecer a 60-80 KB. **Gzip y brotli** ayudan mucho: el tamaño transferido por la red es bastante menor del que sugieren las cifras brutas.

¿Cuánto se ralentiza mi código en runtime?

También depende del preset. **Low**: prácticamente cero (1-2 % de sobrecarga). **Medium**: notable en hot paths, alrededor de **2-5x más lento** en funciones que tocan el array de strings rotado. **High**: `controlFlowFlattening` más `deadCodeInjection` pueden **ralentizar el código 10-30x**. Para la lógica UI normal (handlers de click, envíos de formulario) nadie lo notará. Para **bucles ajustados, animaciones, parsers**: no uses el preset High.

¿Funciona sobre código minificado o un bundle de webpack/Vite/Rollup?

Sí. **Ofusca después de minificar** (que sea el último paso de tu pipeline de build). La salida de `vite build`, `webpack --mode production` o `esbuild` es buena entrada: el ofuscador la toma y la enreda más. Para conseguir buenos ratios de gzip, coloca la ofuscación **antes de gzip** (que el servidor gzipee el código ya ofuscado).

¿Y los módulos ES (import/export), TypeScript, JSX?

El ofuscador acepta **ES2020+** (`import`, `export`, top-level await, optional chaining, etc.). **TypeScript** hay que compilarlo a JS primero (p. ej. `tsc`, `esbuild`): el ofuscador no lee tipos. **JSX** también: compílalo con Babel/SWC a `React.createElement` (o el nuevo `_jsx`) y ofusca el resultado.

¿Y los source maps? ¿Puedo seguir depurando en producción?

El ofuscador puede emitir un source map (`sourceMap: true`), **pero eso anula todo el sentido**: el map es literalmente un archivo que traduce los nombres ofuscados a los originales. Si lo publicas, cualquiera pulsa "Pretty print" en DevTools y obtiene código limpio. Regla: **nunca publiques source maps de código ofuscado**. Mantén el map privado dentro de Sentry/Rollbar y desofusca los stack traces en el servidor.

¿La salida se ejecuta en cualquier navegador?

Sí, la salida es JavaScript estándar. Por defecto el ofuscador apunta a **ES2015+** (Chrome 49+, Firefox 45+, Safari 10+). Si tienes que soportar IE11, pasa el código por Babel y polyfills primero y **luego** ofusca.

¿El código que pego sale de mi navegador?

**No.** Todo el proceso corre en tu navegador: el paquete `javascript-obfuscator` se carga como JS en tu máquina, toma tu código como string y devuelve el resultado. **Cero tráfico de red** más allá de la descarga inicial de la librería (una sola vez, cacheada). Puedes desconectar internet tras cargar la página y la herramienta sigue funcionando.

¿Puedo deshacer la ofuscación si pierdo el original?

No existe una **operación inversa "desofuscar al original"**: el ofuscador descarta nombres de variable y estructura. Solo puedes **embellecer** (Prettier) y renombrar variables a mano ("este _0x4857 parece un response handler"). Son **horas de trabajo**. **Guarda siempre la versión fuente** en Git: el archivo ofuscado es un artefacto de build, no la fuente de verdad.

¿Qué preset elijo para un proyecto normal?

**Medium** es el predeterminado sensato. Dificulta leer el código de forma significativa, la sobrecarga en runtime es leve y el tamaño se mantiene razonable. Usa **Low** cuando ofusques un bundle completo (digamos 500 KB) y no quieras triplicarlo. Reserva **High** para **fragmentos sensibles**: ese módulo de 50 líneas de comprobación de licencia, no el bundle entero.

Ofuscador de JavaScript - gratis

¿Por qué ofuscar JavaScript?

Cualquier cosa que envíes al navegador (código JS, endpoints de API, lógica de paywall, comprobaciones de licencia) se puede abrir en DevTools en 3 segundos y leerse como un libro. La ofuscación no es cifrado (eso es imposible por definición, el navegador igualmente tiene que ejecutar el código), pero sube el listón para que un `Ctrl+F` casual en el panel Sources no encuentre nada interesante.

Las variables pasan a llamarse cosas como `_0x4857`, los strings se mueven a una tabla cifrada de lookup, el flujo de control se "aplana" y enreda, los números se vuelven expresiones (`5` se vuelve `0x1 + 0x4`). Todo se sigue comportando igual en runtime.

Pega tu código, elige un preset (Low / Medium / High) o activa opciones individuales, copia o descarga el resultado. Todo se ejecuta en tu navegador: el código nunca sale de tu equipo. Eso importa porque normalmente ofuscas exactamente lo que no quieres compartir.

Cómo se usa

Pega código JavaScript en el panel izquierdo o pulsa "Subir archivo" para cargar `.js`, `.ts`, `.mjs` del disco.
Elige un preset: Low (maquillaje ligero), Medium (predeterminado sensato), High (revuelto máximo, runtime más lento).
Opcionalmente despliega las opciones avanzadas y activa flags individuales (p. ej. activar selfDefending, desactivar deadCodeInjection).
A la derecha ves la salida ofuscada y una comparativa de tamaño: a mayor preset, mayor el archivo.
Prueba el resultado en DevTools: debe comportarse igual que el original. Si algo se rompe, baja el preset.
Pulsa "Copiar" para pegar en tu bundler o "Descargar" para guardar como `obfuscated.js`.
Envía la versión ofuscada a producción. Mantén el código original en privado: el archivo ofuscado es el artefacto, no la fuente.

Cuándo te ayuda

Situaciones concretas donde la ofuscación compensa:

Un algoritmo cliente propietario. Por ejemplo un motor de recomendaciones a medida, un algoritmo de ordenación original, las reglas a medida de un juego de navegador.
Validación de licencia en una app SaaS. El cliente tiene el JS, pero un parche rápido ("borra este `if (!valid) return`") es más difícil cuando `valid` ya no existe como nombre.
Ocultar endpoints de API. Las URLs y claves siguen visibles (para quien tenga ganas), pero no aparecen en un grep de un segundo.
Proteger el código frente a la competencia. Una empresa pequeña que distribuye una librería SaaS alojada por clientes: la ofuscación sube el coste de clonar tu lógica.
Antitrampas para widgets. Widgets de chat, formularios de captación, snippets de analítica: la ofuscación dificulta modificarlos en vivo.
Extensiones de navegador y userscripts. Si distribuyes un userscript, la ofuscación desincentiva el "lo forqueo y lo revendo como mío".

A continuación, optimiza también tus SVG o convierte HTML a JSX. Para seguridad real del lado del cliente usa un generador de contraseñas fuertes.

Preguntas frecuentes

No. La ofuscación es más difícil de leer, no está cifrada. El código sigue teniendo que ejecutarse en el navegador, así que el motor JS debe entender cada sentencia. Alguien dispuesto a invertir un poco de trabajo (5-30 minutos con herramientas como deobfuscator.io, AST explorer, prettier) puede recuperar código legible. Esto es un resalto contra script kiddies, no una caja fuerte frente a un atacante decidido. Nunca metas secretos reales (claves de API privadas, claves de cifrado) en código ofuscado: esos van en el backend.

¿Por qué ofuscar JavaScript?

Cómo se usa

Pega código JavaScript en el panel izquierdo o pulsa "Subir archivo" para cargar `.js`, `.ts`, `.mjs` del disco.

Elige un preset: Low (maquillaje ligero), Medium (predeterminado sensato), High (revuelto máximo, runtime más lento).

Opcionalmente despliega las opciones avanzadas y activa flags individuales (p. ej. activar selfDefending, desactivar deadCodeInjection).

A la derecha ves la salida ofuscada y una comparativa de tamaño: a mayor preset, mayor el archivo.

Prueba el resultado en DevTools: debe comportarse igual que el original. Si algo se rompe, baja el preset.

Pulsa "Copiar" para pegar en tu bundler o "Descargar" para guardar como `obfuscated.js`.

Envía la versión ofuscada a producción. Mantén el código original en privado: el archivo ofuscado es el artefacto, no la fuente.

Cuándo te ayuda

Situaciones concretas donde la ofuscación compensa:

Un algoritmo cliente propietario. Por ejemplo un motor de recomendaciones a medida, un algoritmo de ordenación original, las reglas a medida de un juego de navegador.
Validación de licencia en una app SaaS. El cliente tiene el JS, pero un parche rápido ("borra este `if (!valid) return`") es más difícil cuando `valid` ya no existe como nombre.
Ocultar endpoints de API. Las URLs y claves siguen visibles (para quien tenga ganas), pero no aparecen en un grep de un segundo.
Proteger el código frente a la competencia. Una empresa pequeña que distribuye una librería SaaS alojada por clientes: la ofuscación sube el coste de clonar tu lógica.
Antitrampas para widgets. Widgets de chat, formularios de captación, snippets de analítica: la ofuscación dificulta modificarlos en vivo.
Extensiones de navegador y userscripts. Si distribuyes un userscript, la ofuscación desincentiva el "lo forqueo y lo revendo como mío".

A continuación, optimiza también tus SVG o convierte HTML a JSX. Para seguridad real del lado del cliente usa un generador de contraseñas fuertes.

Preguntas frecuentes

Ofuscador de JavaScript