Skip to main content
Las infracciones pueden resultar en la suspensión de la app, la revocación del acceso a la API o el baneo permanente de la cuenta. Revisa siempre las políticas oficiales antes de construir.

Acuerdo para desarrolladores

Términos legales vinculantes para el acceso a la API

Política para desarrolladores

Reglas para construir en X

Reglas de automatización

Reglas específicas para bots

Casos de uso restringidos

Actividades prohibidas

Verificación rápida: ¿está permitida mi app?

Antes de construir, hazte estas preguntas. Si respondes “no” a alguna de ellas, es probable que tu app infrinja las políticas de X.

¿Iniciado por el usuario?

Para las interacciones, ¿el usuario lo solicitó explícitamente?

¿Transparente?

¿El propósito y el comportamiento de tu app son claros para los usuarios? (Las cuentas automatizadas deben estar etiquetadas).

¿Opt-out sencillo?

¿Pueden los usuarios darse de baja fácilmente de cualquier interacción en curso?

¿Valor real?

¿Ofrece valor real más allá de la autopromoción?

¿Solo API oficial?

¿Estás usando únicamente la API oficial (sin scraping ni automatización del navegador)?

¿Dentro de los límites?

¿Estás dentro de los límites de tasa y respetando las políticas de uso?
En caso de duda, pregúntate: “¿Estaría un usuario contento con esta experiencia?” Si no, reconsidera tu enfoque.

Escenarios comunes: ¿permitido o no?

Ejemplos reales para ayudarte a entender qué está permitido. Estas reglas aplican a todas las apps, ya sea que estés construyendo un bot, una app móvil, una integración web, una extensión de navegador, un panel de analítica o cualquier otra herramienta que use la X API.
Escenario¿Permitido?Por qué
Cuenta automatizada publica contenido programado (noticias, clima, citas)Informativo, sin menciones no solicitadas
La app publica actualizaciones de un feed RSS en nombre del usuarioDifusión útil
Servicio de alertas publica notificaciones de terremotos o desastresValor de seguridad pública
App deportiva publica actualizaciones de partidos en la timeline del usuarioInformativo
La app publica precios de acciones o criptomonedas según un calendarioInformativo, sin manipulación
La app publica contenido idéntico en varias cuentasSpam / manipulación de la plataforma
La app publica en temas tendencia para ganar visibilidadManipulación de tendencias
Varias cuentas de alertas específicas por ciudad (p. ej., @WeatherNYC, @WeatherLA)Permitido: contenido no duplicado, específico de ubicación

Actividades prohibidas

Estas actividades causarán la suspensión o el baneo permanente de tu app. No hay excepciones.
CategoríaEjemplos
Spam y manipulaciónContenido idéntico en varias cuentas, interacción falsa, manipulación de tendencias, publicación masiva
Contacto no solicitadoRespuestas automáticas a usuarios al azar, DMs masivos, @menciones no invitadas
Bots engañososSuplantar a humanos, ocultar la identidad de bot, enlaces/redirecciones engañosos
Venta de interaccionesApps que venden likes, follows, retweets o vistas
Abuso de límites de tasaSuperar los límites, diseñar apps que fomenten el uso excesivo
Automatización fuera de la APIScripts en navegador, scraping, cualquier automatización fuera de la API oficial
Granjas de cuentasVarias cuentas para el mismo propósito duplicado
VigilanciaPerfilado, rastreo o monitoreo de usuarios sin consentimiento
Entrenamiento no autorizado de IAUsar datos de X para entrenar modelos de ML (excepto Grok)
Derivación de datos sensiblesInferir atributos de salud, políticos, religiosos u otros sensibles
Redistribución excesivaCompartir más de 1.5M de Post IDs por período de 30 días

Reglas de automatización

Esta sección se aplica específicamente a cuentas automatizadas (bots) que publican, responden o interactúan en nombre de los usuarios. Si estás creando un panel de analítica, una herramienta de investigación u otra app no automatizada, estos requisitos de etiquetado no aplican a ti, pero las restricciones técnicas sí.

Requisitos para cuentas automatizadas

Todas las cuentas automatizadas que utilicen la X API deben cumplir con estos requisitos:
1

Habilitar la etiqueta de perfil 'Automatizada'

Esta etiqueta aparece bajo el nombre/handle del bot en su perfil. Habilítala en la configuración de tu app para garantizar transparencia.
2

Divulgar en la bio

Indica claramente que se trata de un bot y quién lo opera. Ejemplo: “Bot de @tuempresa” o “Cuenta automatizada gestionada por Example Inc.”
3

Vincular a una cuenta gestionada por una persona

Por motivos de responsabilidad y contacto, tu bot debe estar asociado con una cuenta gestionada por una persona.
4

Atender las solicitudes de opt-out inmediatamente

Si un usuario dice “detener”, detente. Implementa detección de palabras clave para frases comunes de opt-out.
5

Usar únicamente la X API oficial

Nada de scraping, automatización del navegador o métodos no oficiales. Las infracciones causan suspensión permanente.
6

Mantenerse dentro de los límites de tasa

No intentes eludir ni abusar de los límites de tasa. Diseña tu app para manejar los límites de forma adecuada.

Acciones automatizadas: ¿qué está permitido?

Acción¿Permitido?Reglas
Publicar tweetsSin @menciones no solicitadas. Sin publicaciones cruzadas idénticas.
Responder a usuariosSolo si el usuario interactuó primero. Máx. 1 respuesta por interacción.
Enviar DMsSolo después de que el usuario te envíe un DM. Opt-out fácil obligatorio.
Dar like a postsDebe ser iniciado directamente por el usuario. Auto-liking, liking masivo y venta de likes están prohibidos.
RepublicarOK con fines informativos/de entretenimiento. Sin spam masivo.
Quote tweetMismas reglas que repost: sin spam ni manipulación.
Seguir/Dejar de seguirSin seguimientos masivos, agresivos ni automatizados.
Agregar a listasSin adiciones masivas ni indiscriminadas.
MarcadoresApto para uso personal/automatizado.
Buscar/LeerUso estándar dentro de los límites de tasa.

Zonas grises explicadas

Muchos desarrolladores tienen dudas sobre casos límite. Aquí hay orientación sobre las zonas grises más comunes.
Permitido si:
  • El usuario lo solicita explícitamente (p. ej., envía DM pidiendo una recomendación)
  • Divulgas claramente la relación de afiliación/patrocinio
  • Los enlaces no son engañosos (sin redirecciones engañosas)
No permitido si:
  • Respondes automáticamente a posts al azar con enlaces de afiliados
  • Envías DMs a usuarios que no lo pidieron
  • Ocultas la relación comercial
  • Requiere aprobación previa de X antes del despliegue
  • Aún debe cumplir todas las reglas (sin menciones no solicitadas, debidamente etiquetadas)
  • Contacta a X mediante el formulario de soporte de políticas antes de lanzar
  • Incluso con aprobación, no puede suplantar a humanos
Desplegar respuestas generadas por IA sin aprobación es una infracción, incluso si el contenido es útil.
No permitido como DMs automatizados: cuenta como contacto no solicitado, aunque te hayan seguido.Alternativas:
  • Tweet fijado dando la bienvenida a los nuevos seguidores
  • Bio con información introductoria y enlaces
  • Auto-respuesta solo si te envían DM primero
Permitido si:
  • Cada cuenta sirve a propósitos no duplicados (p. ej., @EarthquakeJP, @EarthquakeCA)
  • El contenido es significativamente distinto (específico por ubicación, idioma)
  • No se usa para eludir límites o amplificar el mismo mensaje
No permitido si:
  • Publicas contenido idéntico/similar en varias cuentas
  • Se crearon para evadir suspensiones o límites de tasa
Permitido si:
  • El usuario inicia (te menciona, te envía DM o se da de alta explícitamente)
  • Existe un mecanismo claro de opt-out
  • Las respuestas son útiles, no promocionales
  • Incluye un enlace a la política de privacidad en los DMs
No permitido si:
  • Contactas a usuarios que se quejaron públicamente (no solicitado)
  • Las respuestas son principalmente promocionales
Procede con precaución:
  • Exigir follows/retweets como entrada puede considerarse manipulación de interacción
  • Debe cumplir con las directrices de concursos de X
  • No uses varias cuentas para amplificar
  • Asegúrate de que los premios sean reales y se entreguen
Considera métodos de entrada que no requieran acciones de interacción, como responder con una frase específica.

Requisitos de manejo y visualización de datos

Estos requisitos son legalmente vinculantes según el Acuerdo para Desarrolladores. El incumplimiento puede resultar en la terminación y en acciones legales.

Eliminación de contenido

Debes eliminar el contenido de X de tus sistemas cuando se solicite:
DesencadenantePlazo
X solicita la eliminación24 horas
El usuario solicita la eliminación24 horas
El contenido es suspendido/eliminado en X24 horas
Tu acceso a la API es terminado10 días hábiles (debes eliminar todos los datos de X)
Usa Compliance Firehose para recibir eventos de eliminación en tiempo real y cumplir con las normas automáticamente.

Matching fuera de X

El matching fuera de X consiste en asociar datos de X (nombre de usuario, ID de usuario, posts) con identificadores fuera de la plataforma (tu base de datos de clientes, listas de correo, IDs de dispositivos, etc.).
Permitido con consentimiento explícito (opt-in):
  • El usuario acepta explícitamente vincular su cuenta de X con tu servicio
  • Divulgación clara de qué datos se harán coincidir y por qué
Sin consentimiento, solo puedes hacer matching de:
  • Información que el usuario te proporcionó directamente
  • Datos de X disponibles públicamente (posts, bio, nombre para mostrar, nombre de usuario)
  • Recursos públicos como directorios profesionales
Nunca hagas matching si sorprendería al usuario.

Datos sensibles

No puedes derivar, inferir ni almacenar información sobre usuarios de X en estas categorías:
CategoríaEjemplos
SaludCondiciones médicas, embarazo, discapacidades
Estado financieroSituación financiera negativa, problemas de crédito
PolíticoAfiliación a partidos, creencias políticas, voto
Racial/ÉtnicoOrigen, etnia
Religioso/FilosóficoCreencias, afiliaciones
Vida sexual/Orientación sexualCualquier inferencia sobre la sexualidad
SindicalAfiliación o pertenencia
PenalActividad delictiva presunta o real
Excepción: El análisis agregado sin almacenar identificadores personales (sin IDs de usuario, nombres de usuario o datos vinculables) puede permitirse con fines de investigación, sujeto a las leyes aplicables.

Visualización de contenido de X

RequisitoDetalles
AtribuciónUsa la marca X correctamente. Sigue las Directrices de marca.
Sin alteracionesModifica solo para el formato de visualización (redimensionar). No edites el contenido, elimines marcas de tiempo ni quites metadatos.
Sin iframesNo muestres el contenido de X en iframes. Usa los embeds oficiales o renderiza directamente.
Respeta las eliminacionesElimina el contenido en un plazo de 24 horas si se elimina en X.

Restricciones técnicas

Estos límites aplican a todos los desarrolladores. Superarlos puede dar lugar a limitaciones de tasa o a la suspensión.
RestricciónLímite
Redistribución de Post IDsMáx. 1.5M de Post IDs por período de 30 días a una sola entidad
Redistribución de contenido hidratadoMáx. 50,000 Posts o Usuarios hidratados por destinatario por día
Límites de tasaVarían según endpoint y nivel — consulta los documentos de la API
Entrenamiento IA/MLProhibido (excepto para Grok)
Acceso fuera de la APIProhibido: scraping y automatización del navegador = baneo permanente
Benchmarking competitivoProhibido: no se puede medir el rendimiento de X frente a competidores
Múltiples apps para el mismo caso de usoProhibido: no crees apps duplicadas para eludir límites

Casos de uso especiales

Caso de usoRequisito
Uso gubernamentalRequiere nivel Enterprise
Uso comercialRequiere el nivel pagado apropiado; el nivel gratuito es solo no comercial
Investigación académicaPuede tener distintos límites de redistribución; contacta a X para más detalles
Investigación bajo la Ley de Servicios Digitales de la UEExisten disposiciones específicas de investigación no comercial

Seguridad y cumplimiento

Tus obligaciones como desarrollador:
  • Usa prácticas de seguridad estándar de la industria para proteger los datos de X
  • Nunca compartas tus credenciales o tokens de la API
  • Almacena las credenciales de forma segura (variables de entorno, gestores de secretos, no en el código)
  • Implementa autenticación adecuada en tus apps
Si sufres una brecha de seguridad que involucre datos de X:
  • Notifica a X inmediatamente
  • Toma medidas para mitigar la brecha
  • Coopera con la investigación de X
  • Trata como confidencial cualquier información no pública de X
  • No divulgues límites de tasa de la API, datos internos de X ni funciones no públicas
  • No uses información confidencial con fines competitivos
  • X puede auditar tu cumplimiento hasta una vez por año
  • Debes proporcionar acceso y documentación razonables
  • Mantén registros de cómo usas los datos de X

Resumen: lo que debes y no debes hacer

Para cuentas automatizadas:
  • Habilita la etiqueta de perfil “Automatizada”
  • Divulga al operador en la bio
  • Espera a que los usuarios inicien la interacción
  • Proporciona un opt-out sencillo
  • Obtén aprobación para respuestas generadas por IA
Para todas las apps:
  • Usa únicamente la X API oficial
  • Respeta los límites de tasa y de redistribución
  • Elimina contenido en un plazo de 24 horas cuando se solicite
  • Obtén consentimiento opt-in para el matching fuera de X
  • Usa la atribución adecuada al mostrar contenido de X
  • Asegura tus credenciales y notifica a X las brechas
  • Mantén registros del uso de los datos de X