Las herramientas de codificación de IA han simplificado enormemente la creación de aplicaciones web, y ahora solo se necesitan unos minutos para configurarlas. Esta facilidad ha reducido las barreras para el desarrollo de aplicaciones, lo que está generando una nueva serie de problemas. ¿Qué sucede cuando estas aplicaciones creadas con IA se lanzan sin ningún tipo de control? Los secretos se filtran por toda la red.
Un informe de WIRED destaca un grave problema de seguridad en torno a las aplicaciones denominadas " vibe-coded ", que se crean utilizando plataformas de desarrollo de IA como Lovable , Replit, Base44 y Netlify.
Por qué esto es un problema más grave de lo que piensas.
El investigador de seguridad Dor Zvi y su equipo en RedAccess analizaron miles de estas aplicaciones y encontraron más de 5000 con escasa o nula seguridad o autenticación. La mayoría de estas aplicaciones eran accesibles prácticamente para cualquiera que encontrara la URL correcta. Algunas presentaban barreras mínimas, permitiendo a los visitantes iniciar sesión con cualquier dirección de correo electrónico. Casi la mitad de estas aplicaciones expuestas parecían contener datos confidenciales, como información médica, registros financieros, presentaciones corporativas, documentos estratégicos y registros de chatbots de atención al cliente, según Zvi.
Según los informes, la investigación también reveló asignaciones de trabajo hospitalarias con información personal identificable, datos de compra de publicidad, estrategias de presentación de mercado, información de ventas e incluso conversaciones con clientes con sus nombres y datos de contacto. Varias de estas aplicaciones seguían activas, aunque WIRED no pudo verificar si todos los datos revisados eran reales o confidenciales.
Cómo la codificación basada en vibraciones se ha vuelto peligrosa en TI
Esta historia no se limita a un solo grupo de aplicaciones de IA mal desarrolladas. Estas herramientas permiten que personas sin experiencia en ingeniería de software o seguridad creen y publiquen aplicaciones rápidamente, a menudo fuera de los procesos de aprobación habituales de TI. Así, un miembro del equipo de marketing, un operario o un fundador puede crear una herramienta para uso interno, conectarla a datos reales y, accidentalmente, dejarla accesible a internet.
Zvi lo comparó con la antigua oleada de vulnerabilidades en los buckets de Amazon S3, donde las configuraciones incorrectas provocaron que las empresas filtraran datos confidenciales a gran escala. El investigador de seguridad Joel Margolis explicó a WIRED que las herramientas de codificación de IA solo hacen lo que se les pide. Por lo tanto, si un usuario no solicita seguridad explícitamente, es posible que la aplicación no sea segura por defecto.
¿Qué dijeron las empresas?
El director ejecutivo de Replit, Amjad Masad, escribió en X que algunos usuarios habían publicado aplicaciones en la web abierta que deberían haber sido privadas, y agregó que es normal que las aplicaciones públicas sean accesibles en línea. Por su parte, Lovable afirmó que se toma en serio los informes de datos expuestos y de phishing, y que está investigando. Wix, la empresa matriz de Base44, declaró que su plataforma ofrece controles de seguridad y visibilidad, argumentando que el acceso público refleja las preferencias de configuración del usuario y no una vulnerabilidad de la plataforma.
Esto supone un baño de realidad para quienes consideran la programación intuitiva como un atajo hacia el éxito empresarial . Las aplicaciones generadas por IA pueden avanzar rápidamente, pero esa velocidad conlleva desventajas reales. Desde una supervisión deficiente hasta vulnerabilidades ocultas, las aplicaciones creadas con IA pueden convertirse en un grave problema una vez que el producto está en manos de los usuarios.