Por qué Supabase ha captado a PwC, McDonald's y Johnson & Johnson (y qué tiene que ver con el RGPD)

Supabase es, en esencia, una base de datos. Y esa definición, aunque técnicamente correcta, es también la que más frecuentemente lleva a subestimar lo que realmente está ocurriendo con esta plataforma.

En octubre de 2025 alcanzó una valoración de 5.000 millones de dólares. Empresas como PwC, McDonald's o Johnson & Johnson la utilizan en producción.[1] Cada día se crean miles de nuevas bases de datos sobre su infraestructura.[9] Y con más de 99.000 estrellas en GitHub, se ha convertido en uno de los proyectos más relevantes del ecosistema open-source.[5]

Pero lo verdaderamente relevante no es su crecimiento.
Es por qué está ocurriendo.

Para una empresa mediana española —que no es PwC ni McDonald's—, Supabase representa algo poco habitual: la combinación de tres características que rara vez se encuentran juntas en una base de datos tradicional.

Es open-source, lo que significa que el código es auditable y portable.
Es autoalojable, lo que permite mantener los datos dentro de la propia infraestructura.
Y ofrece un nivel de funcionalidad comparable al de soluciones enterprise que multiplican su coste.

A esto se suman certificaciones como SOC 2 Type II o HIPAA, que explican por qué está siendo adoptada en sectores regulados.

Este artículo no trata sobre una base de datos más.
Trata sobre por qué plataformas como Supabase están redefiniendo la infraestructura de datos —y qué implica eso para cuestiones como el RGPD o la soberanía del dato en automatización.

Qué es Supabase y qué no es

Supabase es un Backend-as-a-Service construido sobre PostgreSQL.

En la práctica, esto significa que agrupa en una sola plataforma varios componentes que normalmente estarían separados: una base de datos PostgreSQL completa con acceso SQL estándar, una API REST generada automáticamente a partir del esquema (PostgREST), un sistema de autenticación y autorización basado en JWT y Row-Level Security, almacenamiento de ficheros con control de permisos, funciones serverless (Edge Functions en Deno) y suscripciones en tiempo real a los cambios en la base de datos.[3]

Pero entender qué es Supabase también requiere entender qué no es.

No es un ERP.
No es un CRM.
No es una herramienta de automatización de workflows.
Y tampoco es una herramienta de reporting.

Supabase es la capa de datos sobre la que todas esas herramientas operan. Es el lugar donde los datos viven, se consultan y se modifican. En el stack tecnológico de una empresa mediana, ocupa el nivel más bajo y más crítico: la base operativa sobre la que se construye todo lo demás.

Esa posición explica gran parte de su relevancia.

PostgreSQL —la tecnología sobre la que se apoya— es la base de datos más utilizada por desarrolladores a nivel global, con un 55,6% de adopción en 2025 según el Stack Overflow Developer Survey.[4] Supabase no parte de cero: hereda más de treinta años de evolución, estabilidad y un ecosistema de extensiones difícil de igualar en el mundo relacional.

Entre ellas destaca pgvector, que permite realizar búsquedas vectoriales y habilita casos de uso ligados a inteligencia artificial directamente sobre la base de datos, sin necesidad de infraestructuras adicionales.

Supabase no intenta reemplazar las aplicaciones de negocio.
Hace algo más fundamental: redefine la capa sobre la que esas aplicaciones se construyen.

Por qué empresas como PwC o Johnson & Johnson usan una base de datos open-source

La explicación no es solo el coste, aunque el coste importa.
Es, sobre todo, la combinación de control técnico y garantías enterprise que Supabase ofrece a un nivel de acceso que las alternativas tradicionales no igualan.

El primer factor es el control sobre los datos.

Supabase puede desplegarse en la infraestructura propia de la empresa —on-premise, en un entorno privado en AWS, Azure o GCP— bajo licencia Apache 2.0 para su core.[6] Esto significa que la organización decide dónde viven los datos y quién tiene acceso a ellos.

En sectores altamente regulados, como el farmacéutico, esto no es un detalle técnico: es una condición operativa. Para una compañía como Johnson & Johnson, la posibilidad de mantener los datos dentro de su propia infraestructura, sin depender de terceros para su almacenamiento, tiene un valor difícil de replicar con soluciones propietarias sin contratos específicos.

Este punto conecta directamente con el RGPD.

Una base de datos autoalojada en infraestructura europea permite cumplir con los requisitos de residencia de datos sin necesidad de mecanismos adicionales como cláusulas contractuales o decisiones de adecuación.[7] Los datos no se transfieren fuera de la UE porque, simplemente, no salen. El problema legal se simplifica desde el diseño técnico.

El segundo factor es el acceso a capacidades enterprise sin el coste tradicional asociado.

El plan Enterprise de Supabase incluye certificaciones y garantías como SOC 2 Type II, HIPAA (con BAA), SLA del 99,99%, entornos VPC dedicados, residencia de datos en región europea y audit logs.[6] Además, desde finales de 2025 está disponible en AWS Marketplace, lo que permite a muchas empresas imputar su coste a compromisos de gasto ya existentes en AWS.[10]

La diferencia aparece en el modelo económico.

Supabase parte de niveles de entrada accesibles —desde 25 dólares al mes en el plan Pro— y escala hacia planes enterprise personalizados. En contraste, soluciones como Oracle Database Enterprise Edition o Microsoft SQL Server Enterprise han operado históricamente con costes de licencia de decenas de miles de euros anuales, antes incluso de considerar infraestructura y soporte.

Lo que cambia no es solo el precio.
Es el punto de acceso a capacidades que antes estaban reservadas a organizaciones con presupuestos muy elevados.

Supabase no elimina la complejidad de la infraestructura de datos.
Pero sí reduce, de forma significativa, la barrera de entrada para construirla con estándares enterprise.

Rendimiento frente a alternativas y qué significa en la práctica

Supabase se compara habitualmente con Firebase, el backend gestionado de Google. En benchmarks independientes, reporta hasta 4 veces más rendimiento en lecturas y 3,1 veces en escrituras.[8]

Más allá del número, lo relevante es el tipo de carga de trabajo.

Aplicaciones con lógica relacional —dashboards operativos, herramientas internas o sistemas de reporting— funcionan de forma más eficiente sobre PostgreSQL que sobre bases de datos NoSQL. Consultas con joins, agregaciones y estructuras complejas no solo son más naturales en este modelo, sino también más rápidas y mantenibles.

Para una empresa mediana española, esto tiene una implicación directa.

La mayoría no necesita —ni puede justificar— una base de datos enterprise de los fabricantes tradicionales. Su volumen de datos y su presupuesto no lo requieren. Por eso, históricamente, han operado con MySQL, SQLite o PostgreSQL gestionado directamente, asumiendo la complejidad de administración que eso conlleva.

Supabase cambia ese equilibrio.

Ofrece PostgreSQL gestionado, sin necesidad de operar la base de datos, con funcionalidades que antes estaban asociadas a entornos enterprise. Un plan de entrada de bajo coste cubre la mayoría de casos de uso de herramientas internas, mientras que los planes superiores permiten cumplir requisitos de compliance en sectores regulados.

En industrias como sanidad, seguros o banca, donde la residencia del dato y las certificaciones son críticas, esta combinación —self-hosting opcional, SOC 2 Type II, HIPAA y residencia en la UE— convierte a Supabase en una alternativa viable donde antes solo existían soluciones de alto coste.

Supabase no es la base de datos para todas las empresas.
Pero sí es una opción especialmente adecuada para aquellas que necesitan PostgreSQL con capacidades modernas —autenticación, permisos granulares, tiempo real o APIs automáticas— sin asumir el coste ni la rigidez de las soluciones tradicionales.

Por qué forma parte del stack de herramientas para herramientas internas

Cuando se combina con otras piezas del stack moderno, el papel de Supabase se entiende mejor.

Una herramienta interna construida con WeWeb como frontend y Supabase como base de datos introduce dos características poco habituales en arquitecturas tradicionales: el frontend es exportable (WeWeb permite obtener el código completo en Vue/Nuxt) y los datos están en PostgreSQL estándar, sin dependencia de formatos propietarios.

Esto tiene una consecuencia directa: no hay vendor lock-in en la capa de datos.

La empresa puede cambiar el frontend sin migrar la base de datos.
Puede mover la base de datos a otro entorno PostgreSQL sin transformación.
La portabilidad es bidireccional.

Si a esto se añade una capa de automatización como n8n en entorno self-hosted, el resultado es una arquitectura donde todos los componentes pueden ejecutarse en infraestructura propia, en territorio europeo, sin dependencia irreversible de proveedores externos.

Este punto no es menor.

Deloitte estima que el 45% de los incidentes de ciberseguridad relevantes están relacionados con proveedores que tienen acceso a los sistemas.[11] Reducir esa dependencia no es solo una decisión técnica, sino una estrategia de riesgo.

Supabase no es solo una base de datos más.
Es una pieza clave en una arquitectura donde el control del dato vuelve a estar en manos de la empresa.

Referencias

[1] Supabase / BBN Times. (2025, octubre). Supabase Soars to $5B: The Open-Source Giant is Redefining AI Development.
https://www.bbntimes.com/technology/supabase-soars-to-5b-the-open-source-giant-is-redefining-ai-development

— Supabase alcanzó una valoración de $5.000M en su Serie E (octubre de 2025, co-liderada por Accel y Peak XV con participación de Figma Ventures). Clientes enterprise: PwC, McDonald's, Johnson & Johnson, GitHub Next. Más de 4 millones de desarrolladores y 100.000+ clientes.

[2] Sacra Research. (2025). Supabase Revenue, Valuation & Funding.
https://sacra.com/c/supabase/

— ARR estimado de $70M en 2025 (+250% YoY desde $30M en 2024). Modelo SaaS:
Free (50K MAUs, 500MB), Pro ($25/mes, 100K MAUs, 8GB), Team ($599/mes, compliance enterprise). Disponible en AWS Marketplace desde diciembre de 2025.

[3] TechCrunch. (2024, septiembre). Supabase, a Postgres-centric developer platform, raises $80M Series C.
https://techcrunch.com/2024/09/25/supabase-a-postgres-centric-developer-platform-raises-80m-series-c/

— Declaración del CEO Paul Copplestone sobre la adopción: facilidad de uso + PostgreSQL como ventaja competitiva.

[4] Stack Overflow. (2025). Developer Survey 2025.
https://survey.stackoverflow.co/

— PostgreSQL es la base de datos más utilizada (55,6% de adopción). Séptimo año consecutivo liderando.

[5] Supabase. (2026). GitHub Repository.
https://github.com/supabase/supabase

— Más de 99.000 estrellas, 11.800+ forks, 35.000+ commits y 1.700+ contribuidores. Uno de los repositorios más relevantes del ecosistema open-source.

[6] Supabase. (2026). Enterprise.
https://supabase.com/enterprise

— Incluye: SLA 99,99%, SOC 2 Type II, HIPAA (Enterprise), VPC dedicado, data residency en UE, audit logs, soporte 24/7. Disponible en AWS y Google Cloud Marketplace.

[7] Reglamento (UE) 2016/679 (RGPD), artículos 44–49.
— El self-hosting de Supabase (licencia Apache 2.0) permite mantener datos en infraestructura propia o en región UE, evitando transferencias internacionales y simplificando el cumplimiento.

[8] Medium / Takafumi Endo. (2025, abril). Why Supabase Became the Go-To Open-Source Alternative to Firebase.
https://medium.com/@takafumi.endo/why-supabase-became-the-go-to-open-source-alternative-to-firebase

— Benchmarks indican hasta 4x en lecturas y 3,1x en escrituras frente a Firebase en cargas relacionales.

[9] Supabase / Programming Helper Tech. (2026). Supabase 2026: The Open Source Firebase Alternative Reaching 99K GitHub Stars and $5B Valuation.
https://www.programming-helper.com/tech/supabase-2026-open-source-firebase-alternative-postgres-backend

— 2.500 nuevas bases de datos creadas diariamente. El 30% de nuevos registros proviene de herramientas de IA (vibe coding).

[10] Supabase. (2025). AWS Marketplace Announcement.
https://supabase.com/blog/supabase-aws-marketplace

— Disponible en AWS Marketplace desde diciembre de 2025. Permite usar compromisos de gasto AWS para su adquisición.

[11] Deloitte. (2023). Global Future of Cyber Survey.
https://www.deloitte.com/global/en/services/risk-advisory/research/future-of-cyber.html

— El 45% de los incidentes de ciberseguridad relevantes se atribuye a terceros con acceso a sistemas.