Permisos de Twitch, OAuth y seguridad al conectar aplicaciones

Qué es OAuth y cómo funciona con Twitch

OAuth es un protocolo estándar que permite a una aplicación acceder a datos de otra plataforma —en este caso Twitch— sin que tengas que compartir tu contraseña. En lugar de eso, Twitch genera un token de acceso temporal que la aplicación usa para hacer consultas en tu nombre.

El flujo funciona así:

1. Haces clic en "Iniciar sesión con Twitch" en la aplicación.
2. Twitch te muestra una pantalla oficial (en el dominio de Twitch, no de la app) con la lista de permisos que solicita la aplicación.
3. Si aceptas, Twitch envía a la aplicación un token de acceso. La aplicación usa ese token para las consultas que ha solicitado.
4. En ningún momento la aplicación ve tu contraseña. No tiene acceso a ella.

Qué son los scopes y por qué hay que leerlos

Los "scopes" son los permisos concretos que solicita la aplicación. Cada scope permite hacer cosas muy específicas. Twitch tiene una lista pública y documentada de todos los scopes disponibles y lo que permite hacer cada uno.

Una aplicación solo puede hacer lo que sus scopes autorizados le permiten. Si tiene permiso para leer tus subs, puede leer tus subs. Si no tiene permiso para gestionar tus anuncios, no puede hacerlo, aunque quisiera.

Scopes que usa SorteoSub y por qué

SorteoSub solicita los siguientes permisos cuando inicias sesión:

Qué no puede hacer SorteoSub con estos permisos

Los scopes anteriores son exclusivamente de lectura. Con ellos, la herramienta puede ver información, pero no puede modificar nada de tu cuenta ni de tu canal. Concretamente, estos scopes no permiten:

• Publicar nada en tu chat ni en tu nombre
• Banear o suspender usuarios de tu canal
• Cambiar la configuración de tu cuenta o del canal
• Acceder a tus datos de pago o tus ingresos de Twitch
• Revocar suscripciones ni modificarlas
• Iniciar streams ni usar tu cuenta para retransmitir

Cómo revisar y revocar conexiones de apps en Twitch

Twitch te permite en cualquier momento ver qué aplicaciones tienen acceso a tu cuenta y con qué permisos. El proceso es sencillo:

1. Ve a Configuración de Twitch → Conexiones (o accede directamente desde el menú de tu perfil).
2. En la sección "Otras conexiones" o "Aplicaciones conectadas" verás la lista de todas las apps que has autorizado.
3. Cada app muestra los permisos que tiene activos.
4. Puedes desconectar cualquier app en cualquier momento. Esto revoca el token de acceso inmediatamente.

Es buena práctica revisar esta lista de vez en cuando, especialmente si has probado muchas herramientas a lo largo del tiempo. Las apps que ya no usas no deberían seguir con acceso activo.

Cómo evaluar si una app es de confianza

Antes de conectar cualquier herramienta de Twitch a tu cuenta, hay preguntas que conviene hacerse:

¿La página de autorización es la de Twitch?

La pantalla donde introduces tu contraseña siempre tiene que estar en un dominio oficial de Twitch. Si la aplicación te redirige a su propio sitio y te pide la contraseña de Twitch ahí, es una señal de alarma grave. Eso se llama phishing.

¿Los permisos pedidos son razonables para lo que ofrece la app?

Una herramienta de sorteos no necesita permiso para gestionar clips, modificar tu canal o acceder a datos de pago. Si una app te pide permisos que no tienen relación con su función declarada, eso es una señal de advertencia.

¿La app tiene página web propia, política de privacidad y datos de contacto?

No garantiza nada por sí solo, pero es un indicador básico de que hay alguien responsable detrás. Las herramientas sin ningún tipo de información sobre quién las mantiene son más difíciles de evaluar.

¿Alguien de la comunidad la ha usado y puede contarlo?

El criterio más práctico: si otros streamers conocidos la usan sin problemas, es una señal positiva. Desconfía de herramientas completamente desconocidas que aparecen de la nada pidiendo muchos permisos.

¿Qué pasa con el token si dejo de usar la herramienta?

Los tokens de OAuth pueden tener fecha de expiración (si son de corta duración) o mantenerse activos mientras no se revocan (si son de larga duración). Cerrar sesión en una aplicación no siempre revoca el token en Twitch.

La única forma de asegurarte de que una app ya no tiene acceso a tu cuenta es revocar la conexión desde la configuración de Twitch, como se explicó antes. Si en algún momento sospechas que una app ha actuado de forma inapropiada, también puedes cambiar tu contraseña de Twitch, que invalida todos los tokens activos de tu cuenta.

Preguntas frecuentes sobre permisos y seguridad

¿SorteoSub puede banear a usuarios de mi canal?

No. Los permisos que solicita SorteoSub son exclusivamente de lectura. No tiene permiso para gestionar moderación, baneos ni ninguna acción de escritura en tu canal.

¿SorteoSub guarda mi lista de suscriptores?

La lista de subs se carga desde la API de Twitch en el momento en que ejecutas el sorteo. No se almacena permanentemente ni se comparte con terceros. Si tienes dudas específicas sobre el tratamiento de datos, consulta la política de privacidad.

¿Puedo usar SorteoSub solo para ver mi lista de subs sin hacer un sorteo?

La herramienta está diseñada para la función de sorteo, no como visor de subs. Aunque técnicamente la lista se carga antes del sorteo, el flujo de la aplicación está orientado a ejecutar el sorteo a continuación.

¿Qué hago si veo actividad sospechosa en mi cuenta de Twitch?

Primero, cambia tu contraseña desde la configuración de Twitch. Eso invalida todos los tokens activos. Luego revisa la sección de "Conexiones" y desconecta todas las apps que no reconoces o que ya no usas. Si hay actividad que no reconoces en tu canal, contacta con el soporte oficial de Twitch.