Los constructores de aplicaciones con AI publicaron miles de apps con filtraciones de datos

Plataformas como Lovable, Base44, Replit y Netlify utilizan IA para permitir que cualquiera, incluso sin habilidades de programación, cree aplicaciones web completamente funcionales en segundos. Pero los investigadores de Wired descubrieron una grieta en esta utopía: miles de aplicaciones que contienen datos confidenciales críticos están expuestos en internet — claves de API, contraseñas, tokens de autorización. Y nadie está haciendo nada al respecto.

Cómo Funcionan los Constructores de IA

Servicios como Lovable y Base44 están construidos sobre modelos de lenguaje grandes como GPT-4. Un desarrollador simplemente describe lo que necesita: "Crea una aplicación para rastrear gastos con integración de Stripe". En cuestión de segundos, el sistema genera un componente React completo o una aplicación Vue con frontend y lógica. Luego, el proyecto se puede publicar inmediatamente a través de Netlify con un botón o alojarlo en Replit. Esto es revolucionario para la velocidad de desarrollo. Normalmente un MVP requiere semanas o meses de trabajo. Aquí — horas, a veces minutos. No es sorpresa que cientos de miles de desarrolladores hayan comenzado a usar estos servicios.

Escala del Problema

Wired decidió verificar qué termina en acceso abierto. Los investigadores analizaron miles de aplicaciones creadas en estas plataformas y publicadas en internet abierta. El resultado fue alarmante: una parte significativa contenía claves de API, contraseñas de bases de datos y otros datos confidenciales. Estos no son casos aislados de negligencia. Este es un problema sistémico: las plataformas no tienen mecanismos para prevenir fugas. Cuando el código se genera automáticamente y se publica con un botón, el proceso de revisión de seguridad simplemente desaparece.

Qué Datos Se Filtran

• Claves de API de servicios de terceros — OpenAI, Stripe, AWS, Google Cloud, Twilio. Todas están en código JavaScript del lado del cliente, disponibles para descargar para cualquiera.
• Contraseñas de bases de datos — credenciales para MongoDB, PostgreSQL, MySQL a menudo sin encriptar y visibles en el código fuente de la aplicación.
• Tokens de autorización y cookies de sesión — con los que se pueden interceptar las cuentas de otros.
• Claves de encriptación privadas — utilizadas para proteger datos de usuarios.
• IDs internos y arquitectura — incluso si son individualmente seguros, juntos revelan la estructura de la aplicación para ataques.

Cuando los investigadores encontraron estas claves, pudieron acceder a las cuentas de usuarios y datos. Además — bots que constantemente escanean internet buscando tales fugas ya las están encontrando automáticamente.

Por Qué Sucede Esto

La razón principal es simple: la velocidad de desarrollo no deja tiempo para la seguridad. Cuando un MVP se puede crear en 10 minutos, no hay revisión de código, no hay verificación de vulnerabilidades, no hay proceso estándar. En proyectos grandes, esto habría sido detectado.

La segunda razón — las propias plataformas no hacen nada. No advierten al desarrollador que se ha encontrado una clave de API en el código. No hay depuración automática de datos sensibles.

No hay sugerencia: "Asegúrate de haber eliminado todas las contraseñas antes de publicar". Solo publicar — y listo. La tercera razón — los desarrolladores no están capacitados.

Una persona que ayer no podía codificar hoy está creando una aplicación con lógica real. Nadie le explicó las reglas básicas de seguridad.

Lo Que Esto Significa

Este es un caso clásico de democratización que no salió del todo bien. Las herramientas realmente permiten que más personas creen. Pero al mismo tiempo, el campo de errores se expande. Para empresas — si utilizas estas plataformas para aplicaciones en producción, simplemente crear código no es suficiente. Asegúrate de verificar manualmente las fugas antes de publicar. Busca claves de API en el código fuente, contraseñas en configuraciones, datos privados en registros. Para las propias plataformas — este es un momento crítico. Necesitan controles de seguridad integrados, advertencias cuando se detectan claves, tal vez incluso rechazo de publicación. De lo contrario, la reputación sufrirá.