# Aplicaciones Web impulsadas por IA: ¿Una pesadilla de seguridad? A medida que la IA continúa permeando la programación moderna, han surgido preocupaciones sobre la introducción de errores hackeables a través de herramientas de codificación automatizadas. Sin embargo, una investigación reciente revela un problema más alarmante: las herramientas de desarrollo de aplicaciones web impulsadas por IA permiten la creación de aplicaciones prácticamente sin seguridad, lo que podría exponer datos corporativos y personales sensibles. El investigador de seguridad Dor Zvi y su equipo en **RedAccess** analizaron miles de aplicaciones web creadas con herramientas de desarrollo de software de IA como **Lovable**, **Replit**, **Base44** y **Netlify**. Sus hallazgos son contundentes: más de 5.000 de estas aplicaciones carecían de seguridad o autenticación básicas. Muchas permitían el acceso sin restricciones a cualquiera que descubriera la URL web, mientras que otras tenían barreras mínimas como requerir inicio de sesión con cualquier dirección de correo electrónico. Un asombroso 40% de estas aplicaciones expuso datos sensibles, incluidos registros médicos, información financiera, documentos de estrategia corporativa y registros de conversaciones de chatbots. "El resultado final es que las organizaciones están filtrando datos privados a través de aplicaciones de 'vibe-coding'", dice Zvi. "Este es uno de los eventos más importantes en los que las personas exponen información corporativa u otra información sensible a cualquier persona en el mundo". ## Fácil descubrimiento de vulnerabilidades La búsqueda de **RedAccess** de aplicaciones web vulnerables resultó sorprendentemente sencilla. Dado que **Lovable**, **Replit**, **Base44** y **Netlify** permiten a los usuarios alojar aplicaciones en sus dominios, los investigadores utilizaron simples búsquedas en Google y Bing, combinando los dominios de las empresas de IA con palabras clave relevantes para identificar miles de aplicaciones codificadas por IA. De las 5.000 aplicaciones codificadas por IA de acceso público, casi 2.000 revelaron datos privados tras una inspección más detallada. Los ejemplos incluían asignaciones de trabajo hospitalarias con información de identificación personal, detalles de compra de publicidad de empresas, presentaciones de estrategia de lanzamiento al mercado, registros de conversaciones de chatbots de minoristas (incluidos nombres de clientes y datos de contacto), registros de carga y varios registros de ventas y financieros. En algunos casos, las aplicaciones expuestas incluso otorgaron privilegios administrativos, lo que permitió a los investigadores eliminar potencialmente a otros administradores. **Lovable** también alojó numerosos sitios de phishing que suplantaban a grandes corporaciones como **Bank of America**, **Costco**, **FedEx**, **Trader Joe’s** y **McDonald’s**, creados con la herramienta de codificación de IA. ## Respuestas y contraargumentos de las empresas Al ser contactado por WIRED, **Netlify** no respondió. **Replit**, **Lovable** y **Base44** cuestionaron los hallazgos, citando la falta de información compartida y tiempo insuficiente para responder. Sin embargo, no negaron la exposición de las aplicaciones web. El CEO de **Replit**, Amjad Masad, declaró en X: "Con la información limitada que compartieron, la afirmación principal de [RedAccess] parece ser que algunos usuarios han publicado aplicaciones en la web abierta que deberían haber sido privadas. Replit permite a los usuarios elegir si las aplicaciones son públicas o privadas. Se espera que las aplicaciones públicas sean accesibles en Internet. La configuración de privacidad se puede cambiar en cualquier momento con un solo clic". **Lovable** declaró que se toman en serio los informes de datos expuestos y sitios de phishing, y que están investigando activamente. Enfatizaron que **Lovable** proporciona herramientas para construir de forma segura, pero que la configuración de la aplicación es responsabilidad del creador. Blake Brodie, jefe de relaciones públicas de la empresa matriz de **Base44**, **Wix**, declaró que **Base44** proporciona herramientas sólidas para configurar la seguridad de las aplicaciones, incluidos controles de acceso y configuraciones de visibilidad. Deshabilitar estos controles es una acción deliberada del usuario, no una vulnerabilidad de la plataforma. **Wix** también planteó preocupaciones sobre la validez de los datos, sugiriendo que los datos expuestos podrían ser marcadores de posición o pruebas de concepto. **RedAccess** refutó las afirmaciones de que no habían proporcionado ejemplos a **Base44**, señalando que contactaron a propietarios de aplicaciones que confirmaron la exposición de datos. También compartieron comunicaciones anonimizadas de usuarios de **Base44** agradeciéndoles las alertas. ## Las implicaciones más amplias Verificar la autenticidad de los datos expuestos sigue siendo un desafío. Joel Margolis, investigador de seguridad, señala que los datos en las aplicaciones web "vibe-coded" podrían ser marcadores de posición o pruebas de concepto. Sin embargo, afirma que el problema de las aplicaciones web creadas por IA que exponen datos es muy real. Enfatiza que los equipos de marketing u otros no ingenieros que crean sitios web a menudo carecen del conocimiento de seguridad necesario. Zvi destaca que las 5.000 aplicaciones expuestas son solo las alojadas en los dominios de las herramientas de codificación de IA, con potencialmente miles más alojadas en dominios comprados por usuarios. Establece un paralelismo con la ola de exposiciones de datos causadas por cubos de almacenamiento **Amazon S3** mal configurados, donde empresas como **Verizon** y **World Wrestling Entertainment** expusieron accidentalmente datos sensibles. Si bien el error del usuario jugó un papel, muchos culparon a **Amazon** por las confusas configuraciones de seguridad. Las herramientas de codificación de aplicaciones web de IA están creando una ola similar de exposiciones de datos debido a errores del usuario y la falta de salvaguardas. De manera más fundamental, estas herramientas empoderan a personas con poca conciencia de seguridad para crear aplicaciones fuera de los procesos típicos de desarrollo de software. "Cualquier persona de su empresa en cualquier momento puede generar una aplicación, y esto no pasa por ningún ciclo de desarrollo ni ninguna verificación de seguridad", dice Zvi. "La gente puede empezar a usarla en producción sin pedirle permiso a nadie. Y lo hacen".