Los riesgos de seguridad ocultos tras el boom de las aplicaciones creadas con IA

Fuentes: Read this before you vibe-code another app

El auge del 'vibe coding' —la creación de aplicaciones mediante instrucciones en lenguaje natural a herramientas de inteligencia artificial— está multiplicando los riesgos de seguridad, según expertos y casos recientes recogidos por The Verge. Bob Starr, project manager tecnológico, lanzó Boomberg, una web que muestra cuánto dinero público estadounidense reciben las grandes tecnológicas, y descubrió meses después una vulnerabilidad de inyección SQL que podía exponer los datos del sitio. Su caso no es aislado: el fundador de PocketOS, Jer Crane, publicó en X cómo un agente de IA borró la base de datos de producción de su empresa, y el emprendedor Joe Procopio retiró una web de demos tras recibir ataques.

El problema se agrava cuando una aplicación personal deja de ser local y pasa a almacenar datos de terceros en la nube. Gabriel Bernadett-Shapiro, investigador de SentinelOne, advierte de que el estándar de seguridad debe cambiar en cuanto la app maneja información de clientes, historiales médicos o registros financieros. Jack Cable, CEO de Corridor, recomienda evaluar el modelo de amenaza antes de publicar nada en internet.

La viralidad del problema quedó patente con Moltbook, una red social para agentes de IA creada sin escribir una línea de código por Matt Schlicht: la firma Wiz detectó su base de datos completa expuesta, con miles de correos y mensajes privados. Wired cifró en cerca de 5.000 las apps creadas con herramientas de vibe coding sin autenticación, de las que unas 2.000 filtraban datos sensibles. Las herramientas como Claude Code o Codex incluyen funciones de revisión de seguridad, pero solo si el usuario las activa explícitamente.