¿Qué es la codificación Base64 y por qué se llama 'Base64'?

Base64 es un esquema de codificación binario-a-texto que representa datos binarios usando 64 caracteres ASCII imprimibles: A-Z (26), a-z (26), 0-9 (10), más '+' y '/' (2), sumando 64. El carácter '=' se usa como relleno. Se llama Base64 porque hay 64 valores posibles para cada carácter codificado, y cada carácter codifica exactamente 6 bits de los datos originales (2^6 = 64).

¿La codificación Base64 cifra mis datos?

No. Base64 es un esquema de codificación, no un algoritmo de cifrado. La codificación es reversible sin ninguna clave — cualquiera que tenga una cadena Base64 puede decodificarla al instante usando cualquier decodificador Base64. Si necesitas proteger datos del acceso no autorizado, debes usar cifrado (como AES-256) antes o en lugar de la codificación. Base64 solo es útil para hacer que los datos binarios sean seguros para su transmisión en protocolos basados en texto — no proporciona confidencialidad en absoluto.

¿Cuánto más grande es la salida Base64 en comparación con los datos originales?

La codificación Base64 aumenta el tamaño de los datos en aproximadamente un 33%. Cada 3 bytes de entrada se convierten en 4 caracteres Base64, más se añaden caracteres de relleno ('=') para que la longitud de salida sea un múltiplo de 4. Por ejemplo, 3 bytes se convierten en 4 caracteres, 6 bytes se convierten en 8 caracteres y 1 MB se convierte en aproximadamente 1,37 MB después de la codificación. Esta sobrecarga es la principal compensación al decidir si usar Base64.

¿Cuál es la diferencia entre Base64 estándar y Base64 URL-safe?

El Base64 estándar usa '+' y '/' como los caracteres 62 y 63. Estos caracteres tienen significados especiales en las URLs: '+' se decodifica como un espacio en las cadenas de consulta y '/' es un separador de ruta. El Base64 URL-safe (también llamado Base64url) reemplaza '+' con '-' y '/' con '_', haciendo que la cadena codificada sea segura para incluir en URLs y nombres de archivos sin codificación de porcentaje adicional. Los caracteres de relleno ('=') también se omiten a menudo en la codificación URL-safe. Los tokens JWT, por ejemplo, usan Base64url sin relleno.

¿Debo usar Base64 para almacenar contraseñas?

Absolutamente no. Base64 es trivialmente reversible — cualquier cadena Base64 se puede decodificar a su valor original en milisegundos. Almacenar contraseñas codificadas en Base64 es equivalente a almacenarlas en texto plano. Las contraseñas deben ser hasheadas con una función de hasheo de contraseñas adecuada como bcrypt, scrypt o Argon2, que están diseñadas para ser computacionalmente costosas e irreversibles. Base64 no tiene ningún papel en el almacenamiento de contraseñas.

¿Cuándo NO debo usar la codificación Base64?

Evita Base64 cuando: (1) Necesitas seguridad — Base64 no es cifrado. (2) Estás incrustando archivos grandes como imágenes en HTML/CSS — la sobrecarga del 33% de tamaño y la incapacidad de cachear el recurso por separado perjudica el rendimiento. (3) Estás almacenando datos binarios grandes en una base de datos — almacena binarios en una columna binaria dedicada o en almacenamiento de objetos como S3, no como cadenas Base64. (4) Necesitas procesamiento rápido — la codificación y decodificación Base64 añade sobrecarga de CPU para payloads grandes. Usa Base64 solo cuando genuinamente necesites representar datos binarios como texto ASCII en un protocolo o formato que no puede manejar binario bruto.

Entendiendo la Codificación Base64 — Guía Completa para Desarrolladores

10 de mayo de 2026 Toova

La codificación Base64 aparece en casi todas las áreas del desarrollo web — tokens JWT, URIs de datos, adjuntos de email, payloads de API, firmas criptográficas y archivos de configuración. A pesar de ser omnipresente, se malentiende con frecuencia: los desarrolladores a veces la confunden con el cifrado, o la usan en situaciones donde empeora las cosas. Esta guía explica exactamente cómo funciona Base64, cuándo usarla, cuándo evitarla, y cómo usarla correctamente en JavaScript.

Qué Es (y No Es) la Codificación Base64

Base64 es un esquema de codificación binario-a-texto. Su único trabajo es convertir datos binarios arbitrarios en una cadena de caracteres ASCII imprimibles. No comprime datos, no cifra datos y no valida datos. Es puramente una transformación de representación — tomando bytes que podrían incluir bytes nulos, caracteres de control o valores que romperían los protocolos basados en texto, y convirtiéndolos a un conjunto de caracteres seguro.

El nombre viene de los 64 caracteres imprimibles usados como alfabeto de codificación: A–Z (26 caracteres), a–z (26 caracteres), 0–9 (10 caracteres), más + y / (2 caracteres). El carácter = se usa para el relleno. Como hay 64 valores posibles por posición de carácter y 2^6 = 64, cada carácter Base64 codifica exactamente 6 bits de los datos originales.

Cómo Funciona Base64 — "Hello" Paso a Paso

La mejor forma de entender Base64 es rastrear un ejemplo concreto. Codifiquemos la cadena Hello.

Paso 1: Convertir a bytes

Cada carácter en Hello se mapea a su código ASCII, que luego se expresa en binario (8 bits por byte):

H  e  l  l  o
72 65 6C 6C 6F   (ASCII / hex)
01001000 01100101 01101100 01101100 01101111   (binario)

Paso 2: Agrupar en trozos de 6 bits

Concatena todos los bits: 0100100001100101011011000110110001101111 (40 bits). Base64 procesa 3 bytes (24 bits) a la vez y los mapea a 4 caracteres Base64 (4 × 6 = 24 bits). Agrupa los 40 bits en trozos de 6 bits, rellenando el último grupo con ceros para completarlo:

010010 000110 010101 101100 011011 000110 1111
18     6      21     44     27     6      (último grupo rellenado a 6 bits: 111100 = 60)

Paso 3: Mapear al alfabeto Base64

Cada valor de 6 bits se mapea a un carácter en el alfabeto Base64 (A=0, B=1, ... Z=25, a=26, ... z=51, 0=52, ... 9=61, +=62, /=63). Como 5 bytes no es múltiplo de 3, se añade un carácter de relleno =:

Índice: 18  6   21  44  27  6   60
Char:   S   G   V   s   b   G   8
Resultado: SGVsbG8=   (= es relleno)

Resultado

"Hello" → "SGVsbG8="

Puedes verificar esto al instante con el codificador/decodificador Base64 de Toova — pega Hello, haz clic en Codificar y obtienes SGVsbG8=. Haz clic en Decodificar para invertirlo.

La Sobrecarga de Tamaño del 33%

La codificación Base64 siempre aumenta el tamaño de los datos en aproximadamente un 33%. La matemática es sencilla: 3 bytes de entrada (24 bits) producen 4 caracteres Base64 (24 bits codificados en 4 grupos de 6 bits). Eso es una proporción de 4/3, o un 33,3% de sobrecarga. Añade los caracteres de relleno y la sobrecarga real es de entre el 33% y el 36%, dependiendo de la longitud de la entrada.

Esto importa significativamente para el rendimiento. Una imagen de 1 MB incrustada como URI de datos Base64 en HTML se convierte en aproximadamente 1,37 MB. Una API que codifica todos los payloads binarios en Base64 envía un 33% más de datos de lo necesario. Para valores pequeños como tokens cortos o checksums, la sobrecarga es insignificante. Para archivos grandes, es un coste real.

La Variante URL-Safe

El Base64 estándar usa + y / como los dos últimos caracteres del alfabeto. Ambos son problemáticos en las URLs:

+ se decodifica como un carácter de espacio en las cadenas de consulta
/ es un separador de ruta en las URLs

El Base64 URL-safe (también llamado Base64url, definido en RFC 4648 Sección 5) reemplaza + con - y / con _. El relleno (=) suele omitirse en contextos URL-safe porque también puede ser malinterpretado por algunos parsers de URL.

Los tokens JWT usan Base64url sin relleno. Cuando decodificas manualmente un encabezado o payload JWT, debes manejar tanto la sustitución de caracteres como el relleno faltante. Aquí se explica cómo hacerlo en JavaScript:

// Base64 URL-safe (reemplaza + con - y / con _)
function toBase64Url(base64) {
  return base64.replace(/\+/g, '-').replace(/\//g, '_').replace(/=/g, '');
}

function fromBase64Url(base64url) {
  const padded = base64url.padEnd(
    base64url.length + (4 - base64url.length % 4) % 4,
    '='
  );
  return atob(padded.replace(/-/g, '+').replace(/_/g, '/'));
}

El codificador/decodificador Base64 de Toova soporta tanto las variantes estándar como URL-safe con un solo interruptor.

Base64 en JavaScript

Navegador: btoa() y atob()

Los navegadores proporcionan dos funciones integradas: btoa() (binario a ASCII, es decir, codificar) y atob() (ASCII a binario, es decir, decodificar). A pesar del confuso orden de nombres, han estado disponibles en los navegadores durante más de una década.

// Navegador — atob / btoa (solo cadenas, seguro con ASCII)
const encoded = btoa("Hello");
console.log(encoded); // "SGVsbG8="

const decoded = atob("SGVsbG8=");
console.log(decoded); // "Hello"

Limitación importante: btoa() solo acepta cadenas con caracteres en el rango Latin-1 (puntos de código 0–255). Si pasas una cadena con caracteres Unicode como emojis o caracteres CJK, lanza una DOMException. Para codificar datos binarios arbitrarios, conviértelos primero a un Uint8Array:

// Navegador — codificar binario arbitrario (Uint8Array)
const bytes = new Uint8Array([72, 101, 108, 108, 111]);
const encoded = btoa(String.fromCharCode(...bytes));
console.log(encoded); // "SGVsbG8="

Para codificar cadenas arbitrarias que pueden contener caracteres Unicode, el enfoque moderno recomendado es usar TextEncoder para obtener un Uint8Array primero, luego codificarlo como se muestra arriba.

Node.js: Buffer

Node.js proporciona la clase Buffer, que maneja datos binarios correctamente y soporta múltiples codificaciones incluyendo Base64 y Base64url:

// Node.js — Buffer (maneja binario de forma segura)
const encoded = Buffer.from('Hello').toString('base64');
console.log(encoded); // "SGVsbG8="

const decoded = Buffer.from('SGVsbG8=', 'base64').toString('utf8');
console.log(decoded); // "Hello"

// Variante URL-safe en Node.js
const urlSafe = Buffer.from('Hello').toString('base64url');
console.log(urlSafe); // "SGVsbG8" (sin relleno)

La opción de codificación base64url (disponible desde Node.js 16) maneja la sustitución de caracteres y la eliminación del relleno automáticamente, lo que la hace mucho más fácil que hacer la transformación manualmente.

Para entornos de navegador que necesitan manejar archivos binarios grandes, el método FileReader.readAsDataURL codifica el archivo como una URI de datos Base64 sin cargar todo en memoria de una vez.

Cuándo Usar Base64

Incrustar datos binarios en protocolos solo de texto

El caso de uso original de Base64 era codificar adjuntos de email binarios en SMTP, un protocolo que solo soporta texto ASCII de 7 bits. El mismo principio aplica a cualquier lugar donde necesites incluir datos binarios en un formato que no puede manejar bytes brutos: payloads de API JSON, documentos XML, atributos HTML, valores CSS, cabeceras HTTP.

URIs de datos para activos pequeños

CSS y HTML te permiten incrustar imágenes, fuentes y SVGs como URIs de datos Base64. Esto elimina un viaje de ida y vuelta HTTP para activos pequeños como iconos y elimina el flash de contenido sin estilo para imágenes críticas por encima del pliegue.

<!-- Icono SVG en línea como URI de datos Base64 -->
<img src="data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0c..." alt="icono" />

<!-- Fondo CSS en línea -->
.icon {
  background-image: url("data:image/png;base64,iVBORw0KGgo...");
}

La compensación: las URIs de datos Base64 no pueden cachearse por separado del archivo HTML/CSS que las contiene. Si la imagen nunca cambia pero el HTML circundante sí, el navegador vuelve a descargar los datos de la imagen en cada recarga de página. Usa URIs de datos solo para activos pequeños (idealmente menos de 4 KB) donde la eliminación de un viaje de ida y vuelta supera la penalización de caché.

Codificar datos binarios para JSON o parámetros de URL

JSON es un formato de texto — no puede representar bytes binarios brutos directamente. Cuando una API necesita transmitir datos binarios (miniaturas de imágenes, firmas criptográficas, datos comprimidos), Base64 es la forma estándar de incluirlos en un payload JSON. De forma similar, si necesitas pasar datos binarios en un parámetro de consulta de URL, la codificación Base64url asegura que los datos sobrevivan a la codificación de porcentaje sin corrupción.

JWT y otros formatos de token

Los tokens JWT usan Base64url para codificar sus secciones de encabezado y payload. Esto convierte el token en una cadena imprimible y URL-safe que puede pasarse en cabeceras HTTP, cookies o parámetros de URL. La codificación no es por seguridad (el payload es legible por cualquiera que tenga el token) — es puramente para la transmisión segura.

Cuándo NO Usar Base64

Seguridad o confidencialidad

Base64 no proporciona ninguna seguridad. Es trivialmente reversible en milisegundos. No lo uses para "ofuscar" contraseñas, claves de API o valores de configuración sensibles. Cualquier desarrollador que vea una cadena Base64 la decodificará inmediatamente. Si necesitas confidencialidad, usa cifrado.

Almacenamiento de contraseñas

Almacenar contraseñas codificadas en Base64 es lo mismo que almacenarlas en texto plano — la codificación es instantáneamente reversible. Las contraseñas deben hashearse con una función de hasheo de contraseñas adecuada como bcrypt, Argon2 o scrypt.

Archivos binarios grandes

Codificar un archivo de 10 MB como Base64 produce una cadena de 13,7 MB. Si la almacenas en una columna de base de datos, la buscas o la transmites a través de una API, pagas la sobrecarga del 33% cada vez. Para datos binarios grandes, usa almacenamiento binario dedicado: columnas BLOB/BYTEA de base de datos, almacenamiento de objetos como S3 o GCS, o transmite el binario directamente.

Situaciones donde puedes usar binario directamente

Si tu protocolo o formato soporta binario bruto — por ejemplo, un WebSocket con tipo de mensaje binario, una subida HTTP multipart/form-data, o un formato de archivo binario — usa binario directamente. Base64 solo es necesario cuando el medio de transporte genuinamente no puede manejar bytes brutos.

Errores Comunes

Confundir la codificación con el cifrado

Este es el error más común. Base64 es visible. No es un mecanismo de seguridad. Los comentarios de código como "la contraseña se almacena codificada en Base64 por seguridad" indican un malentendido grave que debería detectarse en la revisión de código.

Usar btoa() con cadenas Unicode

Llamar a btoa() en una cadena que contiene caracteres con puntos de código superiores a 255 lanza una DOMException: Failed to execute 'btoa': The string to be encoded contains characters outside of the Latin1 range. Convierte siempre a Uint8Array a través de TextEncoder antes de codificar cadenas que puedan contener caracteres Unicode.

Olvidar el relleno al decodificar

Las cadenas Base64 deben tener longitudes que sean múltiplos de 4. Si una cadena Base64 se generó sin relleno (común en la codificación URL-safe), debes añadir de vuelta el número correcto de caracteres = antes de decodificar. Una cadena Base64 de longitud n necesita (4 - n % 4) % 4 caracteres de relleno. Olvidar esto provoca errores de decodificación que pueden ser difíciles de diagnosticar.

Doble codificación

Una cadena Base64 es en sí misma ASCII válido, por lo que btoa(btoa(data)) funciona sin errores pero produce una salida doblemente codificada. Al pasar valores Base64 a través de múltiples capas de serialización (JSON dentro de JSON, por ejemplo), es fácil codificar los mismos datos dos veces. Siempre decodifica el mismo número exacto de veces que codificaste.

Referencia Rápida: Base64 en la Práctica

Para codificar y decodificar en el navegador sin escribir código, el codificador/decodificador Base64 de Toova se ejecuta completamente en tu navegador — sin viaje de ida y vuelta al servidor. Soporta las variantes estándar y URL-safe, subida de archivos para codificar archivos binarios y salida tanto en texto como en hex para los datos decodificados.

Si trabajas con contenido codificado dentro de URLs, el codificador/decodificador de URL maneja la codificación de porcentaje por separado de Base64. Para entidades HTML, el convertidor de entidades HTML maneja el escape de caracteres en contextos HTML. Estos son esquemas de codificación distintos — cada uno tiene un caso de uso específico.

La referencia canónica para Base64 es el RFC 4648, que define el Base64 estándar (Sección 4), Base64url (Sección 5) y Base32 (Secciones 6–7). Para las APIs de navegador btoa() y atob(), la documentación de MDN para btoa() cubre la compatibilidad de navegadores y la limitación de Unicode en detalle.

Resumen

La codificación Base64 convierte datos binarios a ASCII imprimible usando un alfabeto de 64 caracteres. Aumenta el tamaño de los datos en un 33%, es completamente reversible y no proporciona ninguna seguridad. Úsala cuando necesites incrustar datos binarios en un formato basado en texto — payloads JSON, URIs de datos HTML, tokens JWT, adjuntos de email, parámetros de URL. Evítala cuando necesites seguridad, cuando el transporte soporta binario directamente, o cuando la sobrecarga del 33% importa a escala.

Entender qué es Base64 — y qué no es — previene los errores más comunes: usarla por seguridad, aplicarla a archivos grandes innecesariamente y confundirla con otros esquemas de codificación como la codificación de URL o las entidades HTML. Cada esquema de codificación resuelve un problema específico. Base64 resuelve exactamente uno: hacer que los datos binarios sean seguros para canales solo de texto.

¿Listo para codificar o decodificar? Prueba el codificador/decodificador Base64 de Toova — pega texto o suelta un archivo, cambia entre estándar y URL-safe, y copia el resultado. Sin cuenta, sin servidor, sin límites.