Tecnología

Un escaneo a 380.000 apps hechas con IA encontró miles sin ningún tipo de protección

Un escaneo a 380.000 apps hechas con IA encontró miles sin ningún tipo de protección
Susan Hill
mayo 8, 2026 at 6:46 pm

El pitch del vibe-coding desde 2023 ha sido siempre el mismo — cualquiera puede construir una app. Un nuevo escaneo de RedAccess entrega el primer recibo real. De alrededor de 380.000 aplicaciones web construidas con herramientas de codificación con IA y desplegadas a través de servicios como Netlify, unas 5.000 no tenían autenticación de ningún tipo. Cerca del 40 por ciento de esas apps desprotegidas guardaban datos sensibles — información de usuarios, registros de conversaciones, datos de pago, credenciales internas. Los números cayeron esta semana en WIRED, Axios y Security Boulevard, y describen una categoría de fallo que la industria llevaba dos años acumulando en silencio.

Los generadores nombrados son las plataformas que cualquier no-desarrollador ya conoce. Lovable, Replit, Base44 y el ecosistema más amplio de herramientas “construye desde un prompt” han vendido siempre la misma promesa implícita — la IA no solo reemplaza tipear código, también reemplaza al ingeniero que tendría que estar mirando. Elegís un prompt, ves aparecer la app, la enviás a producción por Netlify o Vercel, compartís el link. Lo que el escaneo de RedAccess documenta es lo que estuvo entrando en producción sin que nadie en ese loop preguntara si la app necesitaba puerta con cerradura.

Las vulnerabilidades no son sutiles. Las apps desprotegidas no exigían un atacante hábil — exigían un navegador. Muchas se desplegaban con claves de Supabase o Firebase incrustadas directamente en el bundle del cliente, lo que significa que cualquier interesado puede leer la base de datos. Algunas permitían incluso acceso de escritura sobre esa misma base, así que un desconocido puede editar los registros de tus usuarios. Unas pocas exponían endpoints de administración. La categoría del fallo no es un zero-day ni un caso límite mal configurado. Es la ausencia completa de la capa de seguridad.

Una falla de inicio de sesión dejó 70 millones de webs de cPanel abiertas para cualquiera

Conviene un escepticismo. La tentación de culpar a las herramientas es grande y solo parcialmente correcta. Un programador junior construyendo la misma app desde cero sin supervisión enviaría algo parecido. La diferencia es el volumen. Las herramientas de vibe-coding bajan el piso lo suficiente como para que el número total de apps desplegadas por gente que no puede razonar de forma autónoma sobre autenticación se haya disparado. Las herramientas técnicamente pueden ofrecer scaffolding de auth, pero el flujo por defecto no lo obliga, y los usuarios que más se benefician de estas herramientas son justamente los que peor equipados están para notar cuando falta. Lovable dijo que está trabajando en activar el scaffolding de auth por defecto. Replit señaló sus configuraciones de seguridad ya existentes y reconoció que los usuarios pueden desactivarlas. Base44 no comentó públicamente. Las plataformas reaccionan — la pregunta es si la reacción avanza más rápido que la curva de despliegue.

La lectura estructural cuesta tragarla. La industria viene vendiendo durante dos años la eliminación de la revisión profesional del pipeline de despliegue como un beneficio, no como un costo. Los datos de RedAccess son lo que esa eliminación parece a escala. Las apps funcionan para el usuario que las construyó y funcionan también para cualquiera que encuentre la URL. Los próximos dos años probablemente sean una acumulación lenta de incidentes así, hasta que las plataformas exijan autenticación a nivel de framework por defecto, o hasta que los reguladores los obliguen. Pueden ocurrir los dos. El régimen de responsabilidad por producto de la Unión Europea ya se está releyendo para cubrir software generado por IA, y los fiscales generales estatales en EE. UU. empezaron a circular.

Lo que pueden hacer hoy los usuarios de estas plataformas es acotado. RedAccess publicó guías para las cuatro herramientas nombradas — verificar que la app exija login antes de cualquier acceso a datos, auditar las claves enviadas en el bundle del cliente, y asumir que cualquier URL compartida ya está siendo escaneada por alguien. Las plataformas prometieron mejoras. El escaneo que produjo esta historia tomó unos pocos días. El siguiente ya está en preparación.

Más como esto

Instagram prueba una etiqueta de ‘creador IA’ y deja la decisión a los creadores

Instagram prueba una etiqueta de ‘creador IA’ y deja la decisión a los creadores

iOS 26.5 cifra por primera vez los mensajes entre iPhone y Android

iOS 26.5 cifra por primera vez los mensajes entre iPhone y Android

El nuevo modelo de voz de OpenAI piensa dentro del mismo bucle de audio, y el silencio que delataba a la IA desaparece

El nuevo modelo de voz de OpenAI piensa dentro del mismo bucle de audio, y el silencio que delataba a la IA desaparece

ChatGPT ya vive dentro de Excel y Google Sheets, y te edita las fórmulas mientras lo mirás

ChatGPT ya vive dentro de Excel y Google Sheets, y te edita las fórmulas mientras lo mirás

El Fitbit Air sin pantalla de Google llega a 99 dólares y le baja el volumen al smartwatch

El Fitbit Air sin pantalla de Google llega a 99 dólares y le baja el volumen al smartwatch

Motorola dice que su Razr Ultra de 1.499 dólares se cargó para todo el día en 8 minutos

Motorola dice que su Razr Ultra de 1.499 dólares se cargó para todo el día en 8 minutos

Debate

Hay 0 comentarios.