Base64 es tan práctico que a veces aparece donde no hace falta. Permite insertar bytes en texto, y esa capacidad resulta tentadora para imágenes, adjuntos, documentos, tokens, mensajes y campos de base de datos. Pero cada conversión tiene coste: el tamaño crece, el streaming se complica, los errores se vuelven menos visibles y los equipos pueden confundir una representación textual con seguridad. Saber cuándo no usar Base64 es tan importante como saber decodificarlo.

No lo uses para archivos grandes dentro de JSON

Un archivo codificado en Base64 ocupa alrededor de un tercio más que su versión binaria. Si además viaja dentro de JSON, toda la carga suele tratarse como una cadena enorme. Servidor y cliente pueden terminar manteniendo varias copias en memoria: bytes originales, cadena codificada, JSON serializado y resultado decodificado.

Para archivos grandes, un upload binario, multipart form data, object storage con URL temporal o streaming directo suele ser mejor. La API puede devolver metadata en JSON y mover el contenido pesado por un canal diseñado para bytes.

No lo confundas con compresión

Base64 aumenta el tamaño antes de que actúe la compresión de transporte. Es cierto que gzip o Brotli pueden reducir parte del texto repetitivo, pero eso no convierte Base64 en una técnica de ahorro. Si el objetivo es reducir volumen, hay que comprimir los bytes originales o elegir un formato más eficiente.

En algunos casos, comprimir antes de Base64 tiene sentido para transportar un blob por texto. Aun así, el contrato debe indicar claramente el orden: comprimir, luego codificar. El receptor necesita saber ambas operaciones para reconstruir los datos.

No lo presentes como anonimización

Una dirección de correo, una credencial o un identificador interno codificado en Base64 sigue siendo el mismo dato. Cualquier observador puede decodificarlo. Usarlo en logs o URLs no reduce la sensibilidad; a veces la aumenta porque da una falsa sensación de protección y evita controles reales.

Para ocultar datos se necesita cifrado, tokenización o minimización. Para evitar exposición en logs, se necesita redacción. Base64 solo cambia la forma visual de los bytes.

No lo guardes si la plataforma admite binarios

Muchas bases de datos tienen tipos binarios, blobs o columnas especializadas. Guardar Base64 en una columna de texto puede aumentar almacenamiento e índices, impedir validaciones de tipo y forzar decodificación en cada consumidor. También puede introducir variantes con padding, saltos de línea o alfabetos distintos.

Hay excepciones: interoperabilidad con sistemas antiguos, exportaciones textuales o datos pequeños en configuraciones. Pero dentro de una aplicación moderna, el almacenamiento canónico debería representar el dato como lo que es: bytes, no una cadena decorada.

No lo uses para datos que deben buscarse como texto

Una vez que el texto se convierte a Base64, pierde su utilidad para búsquedas, análisis y reglas de negocio. Un motor de búsqueda no encontrará palabras, una base de datos no aplicará collation útil y un operador no podrá inspeccionar el contenido sin herramientas. Si el dato es semánticamente texto, conviene almacenarlo como texto con encoding claro, no como Base64.

Base64 debe aparecer cuando el canal no puede transportar bytes de forma segura, no como sustituto de un modelo de datos bien definido.

No lo uses para evitar diseñar un protocolo

A veces un equipo empaqueta estructuras complejas en un blob Base64 para “simplificar” una API. El resultado es un campo opaco que nadie puede validar parcialmente, versionar con claridad ni depurar sin herramientas especiales. La compatibilidad futura se vuelve más difícil porque el contrato real queda escondido dentro de una cadena.

Si los datos tienen estructura, un formato explícito con campos, tipos y versiones suele ser más mantenible. Base64 puede transportar una firma o un pequeño payload binario, pero no debería ocultar decisiones de dominio importantes.

No lo decodifiques de forma permisiva sin límites

Un endpoint que acepta Base64 debe limitar tamaño antes y después de decodificar. Una cadena corta no siempre produce un objeto pequeño si se combina con compresión posterior, y una cadena enorme puede agotar memoria. También conviene rechazar caracteres inesperados según la variante definida.

Los mensajes de error deben distinguir formato inválido, variante incorrecta y tamaño excedido. Esa claridad ayuda a clientes legítimos sin convertir el decoder en una superficie de abuso silenciosa.

No lo insertes en HTML sin considerar contexto

Data URLs con Base64 pueden ser útiles para imágenes pequeñas, pero también pueden aumentar HTML, impedir caching independiente y complicar políticas de seguridad. En CSS o HTML generado dinámicamente, además hay que aplicar escaping adecuado al contexto. La cadena Base64 no es automáticamente segura para cualquier lugar del documento.

Para recursos reutilizables, un archivo estático con cache headers suele rendir mejor. Incrustar solo tiene sentido cuando reduce una petición pequeña y no perjudica mantenimiento ni seguridad.

Úsalo cuando el problema sea realmente transporte textual

Base64 brilla en el borde entre bytes y sistemas textuales: certificados en archivos, blobs pequeños en JSON, tokens en cabeceras, adjuntos en formatos que lo requieren. Fuera de ese borde puede convertirse en deuda técnica. Antes de usarlo, pregunta si el canal puede transportar binario, si el tamaño importa, si el dato debe buscarse, si se necesita streaming y si alguien lo está confundiendo con protección.

La respuesta no siempre será “evitarlo”. Muchas veces Base64 es la herramienta correcta. Pero debe elegirse por una razón concreta de compatibilidad, con variante documentada, límites de tamaño y una comprensión clara de lo que no promete.