Investigadores de ciberseguridad han alertado que las herramientas de programación con inteligencia artificial conocidas como “vibe coding” están exponiendo grandes volúmenes de datos sensibles en internet, incluyendo historiales médicos, información financiera y documentos internos de grandes empresas.
Según la firma israelí Red Access, se han encontrado alrededor de 380.000 aplicaciones públicas creadas con plataformas como Lovable, Base44, Replit y Netlify. De ese total, unas 5.000 contenían información corporativa sensible.
El problema central, explican los expertos, es que estas herramientas permiten a usuarios sin formación técnica desarrollar y publicar aplicaciones sin aplicar medidas básicas de seguridad. En muchos casos, las configuraciones predeterminadas dejan las aplicaciones visibles públicamente, incluso para motores de búsqueda como Google. “Estamos viendo un crecimiento masivo del uso de estas herramientas sin supervisión de seguridad”, explicó el director ejecutivo de Red Access, Dor Zvi, quien advirtió que el fenómeno se está extendiendo dentro de empresas sin conocimiento de sus departamentos de TI.
La investigación identificó múltiples casos de exposición, incluyendo sistemas internos de una empresa de transporte con información sobre rutas de barcos, una aplicación médica con datos de ensayos clínicos en el Reino Unido y conversaciones de atención al cliente de una empresa de muebles. También se detectaron filtraciones de información personal en aplicaciones de salud infantil, hospitales con datos de pacientes y horarios de personal, así como una herramienta escolar con grabaciones de clases y datos de estudiantes.
En el sector financiero, se encontró información interna de un banco brasileño expuesta públicamente.
Tras ser notificados, algunas de las aplicaciones fueron desactivadas o protegidas, pero los investigadores advierten que muchas permanecieron accesibles durante semanas.
El problema, según los expertos, se agrava por la rapidez con la que estas herramientas se están adoptando. Usuarios sin conocimientos en ciberseguridad están creando aplicaciones que luego utilizan en entornos laborales reales sin controles adecuados.
“El nivel de facilidad es tal que cualquiera puede crear y publicar algo sin pensar en seguridad”, señaló Zvi. “No es realista esperar que todos los usuarios tengan formación en protección de datos”.
Las empresas tecnológicas involucradas han defendido sus plataformas. Replit afirmó que los usuarios pueden elegir entre configuraciones públicas o privadas, mientras Base44 sostuvo que algunas aplicaciones fueron hechas públicas intencionalmente por sus creadores. Lovable indicó que está investigando los reportes y eliminando sitios de phishing identificados.
Netlify no respondió a las solicitudes de comentarios.
Además de filtraciones de datos, Red Access también detectó sitios de phishing creados con estas herramientas que imitaban marcas como Bank of America, FedEx y McDonald’s, diseñados para engañar a usuarios y robar información personal.
En conjunto, los expertos advierten que el auge del “vibe coding” está acelerando la creación de software, pero también está multiplicando los riesgos de seguridad digital a una escala sin precedentes.
