Los sitios creados por plataformas de AI contienen datos confidenciales expuestos — estudio de RedAccess

Las plataformas de creación de sitios web impulsadas por IA — Lovable, Base44, Replit, Netlify — prometen convertir a cualquiera en un desarrollador en cuestión de segundos. Pero el análisis de RedAccess, especialista en ciberseguridad, reveló un problema masivo: miles de sitios web desplegados tienen contraseñas, claves de API y otros datos confidenciales abiertamente accesibles.

Escala de las filtraciones: miles de sitios comprometidos

La plataforma Lovable por sí sola aloja más de 20.000 sitios web públicos. Cuando investigadores de RedAccess analizaron una porción significativa de proyectos, surgió un problema sistemático y grave: los usuarios frecuentemente introducen información confidencial en los prompts, que luego termina en el código generado. A menudo no se dan cuenta de que los datos dejados en ejemplos, comentarios o incluso pegados accidentalmente desde el portapapeles serán visibles para cualquiera que abra el código fuente del sitio. El problema se ve agravado por el hecho de que las plataformas específicamente publican los sitios a través de URLs públicas, y el código fuente a menudo es directamente accesible a través de la herramienta de visualización de código fuente del navegador.

RedAccess encontró expuestos abiertamente:

• Contraseñas y tokens de API en el código fuente
• Claves para servicios en la nube (AWS, Google Cloud, Azure)
• Direcciones de correo electrónico y números de teléfono móvil de empleados
• Enlaces a paneles administrativos internos y servicios
• Volcados de bases de datos con información personal de clientes
• Inicios de sesión SSH y contraseñas para acceso remoto a servidores

Las plataformas trasladan la responsabilidad a los usuarios

Los desarrolladores de Lovable, Base44, Replit y Netlify adoptan una posición unificada: proporcionan herramientas, y los usuarios son responsables del contenido que introducen en ellas. Desde un punto de vista formal, esto es justo — así como un fabricante de cuchillos no es responsable de que alguien se corte con un cuchillo. Pero los expertos en seguridad señalan una distinción crítica: estas plataformas están explícitamente diseñadas y comercializadas para personas sin experiencia en programación.

Cuando un sistema está orientado a principiantes que por definición no saben qué es una clave de API y por qué no debe dejarse en el código, el desarrollador debe agregar un aviso muy destacado o incorporar un escaneo automático e bloqueo de datos sensibles antes de la publicación.

"Las plataformas están diseñadas para personas que no conocen los fundamentos de la seguridad de la información.

Cuando se crea un sistema para ellas, el creador tiene responsabilidad de la protección básica", afirma la investigación de RedAccess.

Qué significa esto para la industria

Los generadores de código de IA están literalmente remodelando el panorama del desarrollo web: son órdenes de magnitud más baratos y rápidos que contratar a un desarrollador experimentado. Pero crean una nueva categoría de problemas de seguridad que la generación anterior de desarrolladores simplemente no anticipó. Para empresas que utilizan tales servicios, el consejo es simple: si utiliza Lovable, Replit o plataformas similares, revise el código generado antes de implementar en producción. Nunca transmita contraseñas reales, claves de API o acceso a datos confidenciales a sistemas de IA. Utilice valores ficticios fijos en su lugar.

Para las plataformas mismas, esta es una ventana de oportunidad. La primera empresa que agregue escaneo de código automático integrado para filtraciones de datos y bloqueo de despliegue cuando se detecte información sensible obtendrá una enorme ventaja competitiva en forma de confianza de clientes corporativos y gubernamentales. Y RedAccess solo será una historia — sobre cuando la industria aún era descuidada.