Por qué usamos Supabase como nuestro backend predeterminado (y cuándo no lo hacemos)

Cada nuevo proyecto comienza con la misma pregunta: ¿qué backend? Durante el último año, nuestra respuesta predeterminada ha sido Supabase — y nos ha ahorrado a nuestros clientes cientos de horas y miles de dólares. Pero no siempre es la respuesta correcta. Aquí está nuestro marco de decisión.

Lo que Supabase te da gratis

Supabase es una alternativa de código abierto a Firebase construida sobre PostgreSQL. Listo para usar obtienes: autenticación (correo electrónico, OAuth, enlaces mágicos, teléfono), una base de datos PostgreSQL completa con API REST y GraphQL generados automáticamente desde tu esquema, suscripciones en tiempo real a través de WebSockets, almacenamiento de archivos con CDN, funciones edge para lógica sin servidor, y Row Level Security para control de acceso granular.

Para un MVP típico, esto cubre el 80-90% de tus necesidades de backend sin escribir una sola línea de código de servidor. Tu frontend se comunica directamente con Supabase a través de sus SDKs de cliente (disponibles para JavaScript, Flutter, Swift, Kotlin y Python). Autenticación, operaciones CRUD, cargas de archivos y actualizaciones en tiempo real funcionan inmediatamente.

La base PostgreSQL es el diferenciador clave respecto a Firebase. Obtienes modelado de datos relacional adecuado, consultas complejas con JOINs, búsqueda de texto completo, columnas JSON y todo el ecosistema de extensiones de PostgreSQL (PostGIS para geoespacial, pgvector para incrustaciones de IA, pg_cron para trabajos programados). Cuando tu aplicación crece, no quedas atrapado en una base de datos propietaria.

Ahorros de costos reales: un caso de estudio

Para FinFlow (nuestro caso de estudio de aplicación de finanzas personales), usar Supabase ahorró aproximadamente 3 semanas de tiempo de desarrollo en comparación con construir un backend personalizado de Node.js. La autenticación habría tomado 3-4 días. El andamiaje de API REST otros 2-3 días. Las suscripciones en tiempo real 2-3 días. La configuración de almacenamiento de archivos y CDN 1-2 días. Row Level Security habría requerido construir una capa de middleware personalizada.

En el lado del hosting, el nivel gratuito de Supabase cubre la mayoría de los MVPs cómodamente (500MB de base de datos, 1GB de almacenamiento, 50,000 usuarios activos mensuales). El plan Pro a $25/mes maneja aplicaciones de producción hasta una escala significativa. Compara eso con ejecutar tu propia instancia de PostgreSQL, servicio de autenticación, almacenamiento de archivos y servidor WebSocket — estás buscando un mínimo de $100-300/mes solo en costos de infraestructura.

Seguridad a Nivel de Fila: la función que la mayoría de equipos subutilizan

La Seguridad a Nivel de Fila (RLS) es la función estrella de Supabase y la que la mayoría de equipos ignoran o implementan incorrectamente. RLS te permite definir políticas de acceso a nivel de base de datos — los usuarios solo pueden leer o escribir filas que coincidan con su identidad. Esto significa que tu API no puede filtrar datos accidentalmente incluso si tu código frontend tiene un error.

Aplicamos una regla estricta en cada proyecto de Supabase: RLS debe estar habilitado en cada tabla desde el primer día, con políticas explícitas para cada operación. Sin excepciones. Esto añade 15-20 minutos de configuración por tabla pero elimina una clase completa de vulnerabilidades de seguridad. Hemos visto aplicaciones de competidores lanzarse con RLS deshabilitado — lo que significa que cualquier usuario autenticado podría leer datos de cualquier otro usuario. No cometas este error.

Cuándo Supabase no es la opción correcta

Supabase no es una solución universal. Recurrimos a backends personalizados en estos escenarios: lógica empresarial compleja que no se ajusta perfectamente a las políticas de base de datos (flujos de trabajo de varios pasos, patrones saga), aplicaciones que necesitan integrarse con múltiples API externas en secuencias orquestadas, sistemas que requieren event sourcing o patrones CQRS, y aplicaciones con procesamiento en segundo plano intensivo (transcodificación de video, inferencia de ML por lotes).

Para estos casos, típicamente construimos una API de Node.js con ORM Prisma, utilizando aún PostgreSQL como base de datos. La capa de datos se mantiene igual — simplemente añadimos una capa de aplicación apropiada encima. A veces usamos un enfoque híbrido: Supabase para autenticación y tiempo real, con una API personalizada para lógica empresarial compleja.

Nuestra plantilla de proyecto Supabase

Hemos construido una plantilla de proyecto Supabase interno que usamos para cada nuevo proyecto. Incluye: una configuración de autenticación estándar con correo electrónico y OAuth de Google, una migración base con tablas comunes (perfiles, configuración, registro de auditoría), políticas RLS para todas las tablas, funciones edge para manejo de webhooks de Stripe y envío de correos electrónicos, y un script de inicialización para datos de desarrollo.

Esta plantilla nos permite pasar de cero a una aplicación autenticada y funcional con seguridad adecuada en aproximadamente 30 minutos. Si estás evaluando Supabase para tu próximo proyecto y quieres ver cómo se ve una configuración de nivel de producción, ponte en contacto — estamos felices de mostrarte nuestro enfoque.