Por qué Otto pide acceso a tu Gmail (y qué hace, exactamente)

Cuando una app te pide "conectar tu Gmail" siempre genera una pausa — porque debería. Es tu email, donde vive todo: tus emails de banco, conversaciones con la familia, contratos de trabajo, recuperaciones de contraseñas. Si una app pudiera leer todo eso, sería una invasión enorme.

Pero las apps modernas no funcionan así. El estándar es OAuth 2.0, el mismo protocolo que usás cuando "iniciás sesión con Google" en Notion, Calendly, Slack o cualquier app moderna. Es un sistema diseñado para darte control granular: vos elegís exactamente qué permitís y qué no, sin compartir nunca tu contraseña con la app.

Otto sigue exactamente ese protocolo. Acá te explico el detalle de qué pide, qué hace, qué NO puede hacer, y cómo cortarlo cuando quieras.

Qué es OAuth y por qué no es "darle tu Gmail"

Cuando una web te pide tu usuario y contraseña directamente, eso se llama "credenciales compartidas" y es peligroso — la app guarda tu password, podría hacer cualquier cosa con él, y si la app se hackea, tu password queda expuesto.

OAuth funciona distinto. Cuando hacés click en "Conectar con Google":

1. Te redirige a Google (no a Otto)
2. Google te muestra qué permisos pide Otto — específicos, listados
3. Vos aceptás esos permisos en el sitio de Google, no de Otto
4. Google le da a Otto un "token de acceso" — una llave temporal con ese scope específico
5. Otto nunca ve tu contraseña — solo el token, que es revocable

Si en algún momento querés cortar, le decís a Google "revocar acceso a Otto" y el token se invalida instantáneamente. Otto no puede negarse a perder el acceso porque la autoridad está en Google, no en Otto.

Qué scope específico pide Otto

El "scope" es el conjunto de permisos. Otto pide solo dos scopes:

1. https://www.googleapis.com/auth/gmail.readonly — leer (no modificar) tus correos. Es el scope más restringido que sirve para detectar suscripciones.

2. https://www.googleapis.com/auth/gmail.send — enviar emails en tu nombre (solo cuando vos aprobás cada uno). Necesario para las features de cancelación, negociación y reembolso.

Importante: Otto NO pide:

• gmail.modify (modificar/borrar emails)
• gmail.compose (componer drafts automáticos)
• gmail.metadata total (acceso completo a metadatos)
• gmail.labels (gestionar labels)
• Acceso a Google Drive, Calendar, Contacts, Photos, o cualquier otro servicio Google

Si solo querés que Otto detecte tus suscripciones sin tener la capacidad de enviar nada, podés usar Otto sin aprobar el segundo scope (gmail.send). El scan funciona con solo gmail.readonly.

Qué emails procesa Otto (y cuáles ignora)

Tener el scope gmail.readonly técnicamente le da a Otto acceso a la lectura de toda tu casilla. La clave es qué hace Otto con eso.

Otto procesa solo emails transaccionales de servicios. La detección funciona por patrones:

Filtros de remitente (Otto procesa solo emails que vengan de):

• no-reply@, noreply@, no.reply@ — el patrón estándar de remitente automático
• billing@, invoices@, receipts@, bills@ — específicos de cobros
• support@ solo en combinación con asunto que mencione cobro o suscripción
• Dominios reconocidos como SaaS o servicios (Stripe, PayPal, DLocal, etc.)

Filtros de contenido:

• Contiene monto en formato $X o USD X o R$ X etc.
• Contiene palabras clave: "suscripción", "renewal", "factura", "receipt", "recurrente"
• Contiene fechas que sugieren ciclo de facturación (cada 30 días, mensual, etc.)

Si un email no pasa estos filtros — no se procesa. Tu email del trabajo discutiendo un proyecto, una conversación con tu pareja, una conexión inesperada de LinkedIn, una recuperación de password — todos quedan fuera del scan.

Cómo lo verificás: en tu cuenta Otto, sección "Privacidad", podés ver exactamente qué emails se procesaron (los IDs, los remitentes, las fechas — no el contenido). Si encontrás un email personal procesado por error, lo marcás y queda excluido para futuros scans.

Qué Otto NO puede hacer (técnica y por diseño)

Algunas cosas son imposibles porque Otto no tiene el scope:

• No puede borrar emails — gmail.modify no está pedido
• No puede mover emails a otra carpeta o label — mismo motivo
• No puede acceder a tus contactos — scope distinto, no pedido
• No puede acceder a Google Drive — scope distinto, no pedido
• No puede ver tu Calendar — scope distinto, no pedido
• No puede leer attachments — sí podría con gmail.readonly pero Otto no procesa attachments por diseño
• No puede ver tu historial completo más allá de los últimos 24 meses — Otto solo lee emails dentro de esa ventana

Otras cosas son posibles técnicamente pero Otto no las hace por diseño:

• No envía emails sin tu aprobación explícita — cada email que Otto va a enviar te lo muestra en preview, vos aprobás o rechazás
• No procesa emails marcados como "Personal" o de remitentes en tu lista blanca — vos podés excluir cualquier dominio
• No comparte tus datos con terceros — Otto guarda tus datos solo para vos; nadie más los ve

Cómo verifica Google que Otto sigue cumpliendo (CASA assessment)

Google audita las apps que piden scope sensitivo como gmail.readonly mediante CASA — Cloud Application Security Assessment. Es un proceso anual donde un auditor externo revisa:

• Que la app maneje los tokens correctamente (almacenamiento encriptado, revocación automática en X días si no se usa)
• Que tenga políticas de privacidad explícitas y verificables
• Que el código no exfiltre datos a terceros
• Que el scope realmente sea el mínimo necesario para la función declarada

Otto está actualmente en proceso CASA de Tier 2 (el nivel requerido para los scopes que pide). Hasta que pase, Otto opera bajo "Modo Managed" via Composio — un proveedor verificado por Google que pasa CASA por nosotros y nos provee los tokens. El efecto en términos de tu seguridad es el mismo o mejor: ahora hay dos capas (Google + Composio + Otto) en lugar de una.

Cómo revocar el acceso de Otto en cualquier momento

Desde Otto: Configuración → Conexiones → Gmail → "Desconectar". Otto invalida el token inmediatamente y borra los datos almacenados dentro de 30 días.

Desde Google directamente (la opción más segura si no confías en que la app honre el "desconectar"):

1. Entrá a myaccount.google.com/permissions
2. Buscá "Otto" en la lista de apps con acceso
3. Click en "Otto" → "Quitar acceso"
4. Google invalida el token instantáneamente — Otto ya no puede leer ni un email más

Es importante saber que podés cortar el acceso desde Google sin avisarle a Otto. La autoridad sobre tus datos está siempre en tus manos.

Comparado con otras apps que piden Gmail access

Para perspectiva, otras apps comparables piden scopes más amplios:

• Slack (cuando importás contactos): https://www.googleapis.com/auth/contacts.readonly + a veces gmail.metadata para detectar contactos por email
• Mailchimp: gmail.readonly + gmail.modify para etiquetar suscriptores
• HubSpot: gmail.readonly + gmail.send + gmail.modify para sincronización completa
• Calendly: calendar + contacts.readonly
• Superhuman: scopes mucho más amplios — gmail.modify, gmail.send, acceso completo

Otto pide menos que cualquiera de esas. La razón: las features de Otto solo necesitan leer transaccionales (detectar) y enviar con tu aprobación (acciones) — no necesita modificar tu casilla.

El método con Otto

Si te quedaron dudas y querés probar antes de aprobar permisos completos, hacés lo siguiente: en accounts.google.com, creá una segunda cuenta de prueba ("test_otto@gmail.com"), conectá esa a Otto, mirá qué encuentra durante un mes, y después decidís si querés conectar tu cuenta principal. La gran mayoría usa Otto con su cuenta principal después de ver el flow, pero es totalmente válido empezar con sandbox.

Probar Otto gratis → — escanear es gratis, no necesitás tarjeta, y podés desconectar en cualquier momento.

Preguntas frecuentes

¿Otto guarda mis emails en sus servidores?

Otto guarda metadatos extraídos de los emails (proveedor, monto, fecha del próximo cobro, frecuencia) — NO el contenido completo del email. Si dejás de usar Otto, los metadatos se borran dentro de 30 días. Los emails originales nunca salieron de Gmail.

¿Qué pasa si Otto se hackea?

Si Otto fuera comprometido, los tokens OAuth almacenados podrían ser usados temporalmente por atacantes. Por eso Otto:

1. Encripta los tokens en reposo con clave por usuario
2. Avisa a Google inmediatamente ante cualquier evento de seguridad — Google revoca tokens en bloque
3. Tiene un kill-switch que invalida todos los tokens en menos de 60 segundos si detectamos compromiso

Si esto pasara, vos te enterarías por email de Google (no de Otto, que está comprometido) avisándote de la revocación.

¿Es legal en Argentina/México/Brasil que Otto procese mis emails?

Sí, dentro del marco de OAuth y consentimiento explícito. La Ley de Protección de Datos Personales argentina (Ley 25.326), la LGPD brasileña, y la equivalente mexicana requieren consentimiento informado — que es exactamente lo que Otto te pide cuando conectás. Vos podés revocar el consentimiento en cualquier momento y los datos se borran.

¿Otto vende mis datos a alguien?

No. Otto no vende, no licencia, ni comparte con terceros tus datos. El modelo de negocio de Otto es el plan Pro pagado por el usuario directamente — no monetización de datos.

¿Puedo usar Otto sin permitir gmail.send (solo lectura)?

Sí. El scope de envío es opcional. Si solo querés detectar suscripciones y dashboard, alcanza con gmail.readonly. Las features de cancelación, negociación y reembolso requieren gmail.send pero son opt-in — vos elegís activarlas o no.

Si querés ver qué encuentra Otto antes de tomar decisiones de cancelación, escaneá tus mails gratis — el scan tarda 30 segundos y podés desconectar en cualquier momento. Para entender qué hacer con las suscripciones que aparezcan, mirá la guía de discovery y la guía de cancelación por email.