¡Atención, mi gente! Lo que prometía ser la octava maravilla del mundo digital, el famoso ‘Vibe Coding’, ahora mismo está metido en un lío tremendo. Asegún una investigación de la firma RedAccess, se han encontrado más de 5,000 aplicaciones creadas bajo esta metodología con un detalle que pone los pelos de punta: ¡datos sensibles en abierto! Imagínate tú, cualquiera que dé con la URL, puede entrar sin pedir permiso, como Pedro por su casa. De esas, un buen ‘reguero’, unas 2,000, contenían información privada que no debería ver la luz del sol ni de cerca. El ‘Vibe Coding’ es una corriente que busca democratizar el desarrollo de software, permitiendo que personas sin conocimientos de programación puedan crear aplicaciones usando lenguaje natural para que una inteligencia artificial (LLM) escriba el código. Es una vaina chula, pero tiene su lado oscuro, al parecer.
Este hallazgo no es poca cosa, mis hijos. Las apps afectadas se generaron con plataformas que se han vuelto muy populares para esto del ‘Vibe Coding’, como Lovable, Replit, Base44 y Netlify. Son herramientas que prometen que casi cualquiera puede levantar una aplicación en dos ‘patás’, sin el estrés de aprender lenguajes de programación complejos. Lo más ‘jevi’ del asunto es que no se necesitó ningún tipo de ‘tigueraje’ cibernético o ‘hacking’ avanzado para descubrir estas vulnerabilidades. Los investigadores simplemente usaron búsquedas normales en Google y Bing, combinando los dominios de las plataformas con términos genéricos. Es decir, fue como buscar una aguja en un pajar, pero la aguja estaba brillando, y de lo más bien.
La importancia de esta situación es clave. La promesa del ‘Vibe Coding’ era empoderar a cualquiera para construir software, quitándole el monopolio a los programadores. Pero aquí es donde la puerca tuerce el rabo: ese mismo ‘cualquiera’ que no sabe programar, tampoco sabe cuáles son las preguntas de seguridad esenciales que hay que hacerle a una aplicación antes de lanzarla al ciberespacio. El resultado es una nueva categoría de fugas de datos que no vienen de empleados descuidados ni de ataques sofisticados de hackers, sino de gente que, con las mejores intenciones del mundo, levantó una herramienta interna de una vez, sin pasar por los controles de seguridad que haría un equipo de IT experimentado.
Los ejemplos de lo que se encontró detrás de esas URLs son para pensarlo dos veces. Había desde cuadrantes hospitalarios con información de médicos, hasta presentaciones de estrategia de empresas que son ‘top secret’. También se descubrieron registros completos de conversaciones de chatbots con clientes, ¡con nombres y teléfonos y todo! Y para colmo, libros de carga de empresas de transporte. En algunos casos, el acceso que se tenía era tan profundo que permitía incluso conseguir privilegios de administrador, lo que significa que el intruso podía hasta expulsar al dueño de la aplicación. ¡Una verdadera locura!
Cuando se les preguntó a las plataformas implicadas sobre esta ‘vaina’, la respuesta fue la predecible: la culpa es del usuario. Asegún Replit, sus apps se pueden marcar como privadas con un solo clic. Base44, por su lado, argumenta que sus controles de acceso son robustos y que desactivarlos es una decisión consciente del usuario. Lovable se escuda diciendo que su rol es dar herramientas, no configurarlas. Es un argumento válido y hasta cómodo para ellos, pero ya lo habíamos visto antes con Amazon y los ‘buckets’ S3 mal configurados que filtraron datos de empresas como Verizon. Siempre es lo mismo: la opción estaba ahí, pero el usuario no la vio, o no supo cómo usarla.
El ‘Vibe Coding’ está llevando un problema viejo a otro nivel. Cada vez que una nueva capa de abstracción ha democratizado un oficio —pensemos en las hojas de cálculo, los ‘wrappers’ de IA o las plantillas web—, los recién llegados siempre llegan sin el bagaje de buenas prácticas que tenía la generación anterior. Lo que cambia ahora es la velocidad con la que se puede crear y publicar una aplicación. Alguien de un departamento que no es técnico puede crear una herramienta ‘de una vez’ y subirla a producción sin que pase por el ojo clínico del departamento de tecnología. ¡Es un coro a la velocidad de la luz!
Ahora bien, no todo es culpa del usuario. Los modelos de inteligencia artificial que generan el código no son agentes neutrales; ellos hacen exactamente lo que se les pide, ni más ni menos. Si nadie les indica ‘protege esto de esta forma e implementa tal seguridad’, simplemente no lo harán. La seguridad por defecto no es un comportamiento aprendido en la mayoría de estas herramientas. Y eso, mi gente, es una decisión de diseño de las plataformas, no del usuario final. Si una plataforma no te pone la seguridad primero y bien visible, está dejando la puerta abierta para que pase lo que está pasando.
La consecuencia, tristemente, es previsible. Van a seguir apareciendo un viaje de filtraciones como las que ha cazado RedAccess hasta que la industria interiorice que un simple botón de ‘publicar’ no debería coexistir con una configuración de privacidad escondida tres menús más abajo. Es hora de ponerle ‘coco’ a la seguridad desde el diseño, no como un ‘añadido’ de último minuto. ¡A buen entendedor, pocas palabras! No es que el ‘Vibe Coding’ sea una vaina mala, pero hay que hacerlo con más cuidado, porque la data de la gente es sagrada.
Si te ha gustado este artículo, ¡compártelo con tus amigos, o déjanos un comentario!
Ingeniero de Sistemas especializado en Inteligencia Artificial y Automatización de Procesos. Con una trayectoria enfocada en la convergencia entre tecnología de vanguardia y comunicación digital, Ramón lidera la implementación de modelos generativos aplicados al periodismo dominicano. Su trabajo garantiza que la información que llega a la diáspora no solo mantenga nuestra identidad “del patio”, sino que cumpla con los más altos estándares de veracidad y optimización técnica de la web moderna (2026).
