Un escaneo a 380.000 apps hechas con IA encuentra miles sin ningún tipo de autenticación

El argumento del vibe-coding desde 2023 ha sido siempre el mismo — cualquiera puede construir una app. Un nuevo escaneo de RedAccess entrega el primer recibo real. De alrededor de 380.000 aplicaciones web construidas con herramientas de codificación con IA y desplegadas a través de servicios como Netlify, unas 5.000 no tenían autenticación de ningún tipo. Cerca del 40 por ciento de esas apps desprotegidas guardaban datos sensibles — información de usuarios, registros de conversaciones, datos de pago, credenciales internas. Los números aterrizaron esta semana en WIRED, Axios y Security Boulevard y describen una categoría de fallo que la industria lleva dos años acumulando en silencio.

Los generadores nombrados son las plataformas que cualquier no-desarrollador ya conoce. Lovable, Replit, Base44 y el ecosistema más amplio de herramientas «construye desde un prompt» han vendido siempre la misma promesa implícita — la IA no solo reemplaza la mecanografía del código, también reemplaza al ingeniero que tendría que estar mirando. Eliges un prompt, ves aparecer la app, la lanzas a producción por Netlify o Vercel, compartes el enlace. Lo que el escaneo de RedAccess documenta es lo que ha estado saliendo a producción sin que nadie en ese ciclo preguntara si la app necesita una cerradura.

Las vulnerabilidades no son sutiles. Las apps desprotegidas no exigían un atacante hábil — bastaba un navegador. Muchas se desplegaban con claves de Supabase o Firebase incrustadas directamente en el bundle del cliente, lo que significa que cualquier interesado puede leer la base de datos. Algunas permitían incluso acceso de escritura sobre esa misma base, así que un desconocido puede editar los registros de tus usuarios. Unas pocas exponían endpoints de administración. La categoría del fallo no es un zero-day ni un caso límite mal configurado. Es la ausencia completa de la capa de seguridad.

También te puede interesar«The Precinct» Presenta su Esperado Tráiler: Una Inmersiva Experiencia de Juego en Averno City

Conviene un escepticismo, porque la tentación de culpar a las herramientas es grande y solo parcialmente correcta. Un programador junior construyendo la misma app desde cero sin supervisión enviaría algo parecido. La diferencia es el volumen. Las herramientas de vibe-coding bajan el piso lo suficiente como para que el número total de apps desplegadas por gente que no puede razonar de forma autónoma sobre autenticación se haya disparado. Las herramientas técnicamente pueden ofrecer scaffolding de auth, pero el flujo por defecto no lo obliga, y los usuarios que más se benefician de estas herramientas son precisamente los que peor equipados están para notar cuando falta. Lovable ha dicho que está trabajando en activar el scaffolding de auth por defecto. Replit ha señalado sus configuraciones de seguridad ya existentes y ha reconocido que los usuarios pueden desactivarlas. Base44 no ha comentado públicamente. Las plataformas reaccionan — la pregunta es si la reacción avanza más rápido que la curva de despliegue.

La lectura estructural cuesta tragarla. La industria lleva dos años vendiendo la eliminación de la revisión profesional del pipeline de despliegue como un beneficio, no como un coste. Los datos de RedAccess son lo que esa eliminación parece a escala. Las apps funcionan para el usuario que las ha construido y funcionan también para cualquiera que encuentre la URL. Los próximos dos años probablemente serán una acumulación lenta de incidentes así, hasta que las plataformas exijan autenticación a nivel de framework por defecto, o hasta que los reguladores las obliguen. Pueden ocurrir las dos cosas. El régimen de responsabilidad por producto de la Unión Europea ya se está releyendo para cubrir software generado por IA, y los fiscales generales estatales en Estados Unidos han empezado a circular.

Lo que pueden hacer hoy los usuarios de estas plataformas es acotado. RedAccess ha publicado guías para las cuatro herramientas nombradas — verificar que la app exija login antes de cualquier acceso a datos, auditar las claves enviadas en el bundle del cliente, y asumir que cualquier URL compartida ya está siendo escaneada por alguien. Las plataformas han prometido mejoras. El escaneo que ha producido esta historia tomó unos pocos días. El siguiente ya está en preparación.

Más como esto

Bocetos de los escenarios del videojuego Wolfenstein II

El futuro de… (2022). Serie Documental en Netflix. Estreno

Cisco y la española VRMADA crean la primera experiencia de certificación de TI mediante realidad virtual

Torchlight: Infinite inicia su temporada 12 justo después de alcanzar el mayor pico de jugadores de su historia

La automatización y la inteligencia artificial explicada para ‘dummies’

Ciberataque global y Wanna Cry y Ransomware y Ciberseguridad