diff --git a/api/app.js b/api/app.js
index 7e8a69b..ff5fd6d 100644
--- a/api/app.js
+++ b/api/app.js
@@ -12,31 +12,43 @@ const egosearch    = require('./routes/egosearch');
 
 const app = express();
 
-app.set('trust proxy', 1); // confía en nginx para obtener la IP real del cliente
+// trust proxy: loopback para que req.ip use X-Forwarded-For correctamente,
+// pero el keyGenerator de rate-limit usa X-Real-IP (imposible de spoofear por clientes)
+// porque Nginx lo establece desde $remote_addr (dirección TCP real).
+app.set('trust proxy', 'loopback');
 app.disable('x-powered-by');
 app.use(helmet());
 app.use(express.json({ limit: '10kb' }));
 
-// Rate limiting general
+/* Extrae la IP real desde X-Real-IP (puesto por Nginx con $remote_addr).
+   No puede ser manipulado por el cliente — Nginx sobreescribe este header. */
+function realIp(req) {
+  return req.headers['x-real-ip'] || req.ip || '0.0.0.0';
+}
+
+// Rate limiting general — usa IP real (anti-bypass X-Forwarded-For)
 app.use(rateLimit({
   windowMs: 15 * 60 * 1000,
   max: 100,
   standardHeaders: true,
   legacyHeaders: false,
+  keyGenerator: realIp,
 }));
 
 // Rate limiting específico para envío de emails (más estricto)
 const emailLimit = rateLimit({
   windowMs: 60 * 60 * 1000, // 1 hora
   max: 10,
-  message: { error: 'Demasiadas solicitudes de envío. Espera antes de reintentar.' }
+  message: { error: 'Demasiadas solicitudes de envío. Espera antes de reintentar.' },
+  keyGenerator: realIp,
 });
 
 // ── Rate limits específicos ───────────────────────────────────────
 const searchLimit = rateLimit({
   windowMs: 60 * 1000, // 1 minuto
   max: 8,
-  message: { error: 'Demasiadas búsquedas. Espera un momento.' }
+  message: { error: 'Demasiadas búsquedas. Espera un momento.' },
+  keyGenerator: realIp,
 });
 
 // ── Rutas ────────────────────────────────────────────────────────