Xataka – El ‘vibe coding’ prometía democratizar el software. Su primer regalo son 5.000 apps con datos sensibles en abierto
Una investigación de la firma RedAccess ha encontrado más de 5.000 aplicaciones creadas con herramientas de vibe coding que prácticamente carecen de autenticación. Cualquiera que tropiece con su URL puede entrar. De esas 5.000, 2.000 parecían contener datos privados una vez inspeccionadas.
El hallazgo cubre apps generadas con Lovable, Replit, Base44 y Netlify, cuatro de las plataformas que más han popularizado eso de describir un programa con palabras y dejar que un LLM lo escriba.
Por qué es importante. La promesa del vibe coding es que cualquiera, sin saber programar, pueda construir software. La trampa es que ese mismo «cualquiera» tampoco sabe qué preguntas hay que hacerle a una aplicación antes de soltarla en Internet.
El resultado es una nueva categoría de fugas no provocadas por empleados descuidados ni atacantes avanzados, sino por gente que ha levantado una herramienta interna en una tarde sin pasar por nadie del equipo de seguridad.
En detalle. Los investigadores han localizado estas aplicaciones haciendo búsquedas normales en Google y Bing, combinando los dominios de cada plataforma con términos genéricos. Nada de hacking: es más bien algo parecido a hacer ingeniería inversa de un buscador.
Lo que aparecía detrás de esas URLs incluía cuadrantes hospitalarios con datos de médicos, presentaciones de estrategia de empresas, registros completos de conversaciones de chatbots con clientes (con nombres y teléfonos) y libros de carga de empresas de transporte. En algunos casos, el acceso permitía incluso conseguir privilegios de administrador y expulsar al resto.
Entre líneas. Las plataformas implicadas han respondido con el argumento predecible: la culpa es del usuario. Replit recuerda que sus apps pueden marcarse como privadas con un clic. Base44 sostiene que sus controles de acceso son robustos y que desactivarlos es una decisión consciente. Lovable apunta que su rol es dar herramientas, no configurarlas por nadie.
Es un argumento válido y, sobre todo, cómodo. También es el mismo que esgrimió Amazon con los buckets S3 mal configurados que filtraban datos de Verizon o de la WWE: el ajuste estaba ahí, pero el usuario no lo encontró.
El contexto. El vibe coding lleva a un nuevo nivel un viejo problema. Cada vez que una capa de abstracción ha democratizado un oficio (como las hojas de cálculo, los wrappers de IA o las plantillas web), el grupo recién llegado ha llegado sin el bagaje de buenas prácticas que tenía el anterior.
Lo que cambia ahora es la velocidad. Alguien de un departamento no técnico puede crear una herramienta en dos ratos y subirla a producción sin que pase por IT.
Sí, pero. Los modelos de IA que generan el código no son agentes neutrales. Hacen lo que se les pide, ni más ni menos. Si nadie les dice «protege esto de X forma e implementa Y», no lo harán. La seguridad por defecto sigue sin ser un comportamiento aprendido en la mayoría de estas herramientas, y eso es una decisión de diseño de las plataformas, no del usuario final.
La consecuencia es previsible. Va a haber muchas más filtraciones como las que ha cazado RedAccess antes de que la industria interiorice que un botón de «publicar» no debería convivir con una configuración de privacidad oculta tres menús más abajo.
Imagen destacada | Xataka
–
La noticia
El ‘vibe coding’ prometía democratizar el software. Su primer regalo son 5.000 apps con datos sensibles en abierto
fue publicada originalmente en
Xataka
por
Javier Lacort
.