La firma de ciberseguridad RedAccess ha identificado más de 5.000 aplicaciones web generadas con inteligencia artificial expuestas al público o protegidas de forma insuficiente en dominios como Lovable, Replit, Base44 y Netlify. El hallazgo revela una vulnerabilidad masiva en la infraestructura digital actual donde casi el 40 por ciento de estas herramientas exponía información sensible sin restricciones de acceso adecuadas.
Entre los datos comprometidos figuran registros médicos, información financiera, documentos estratégicos corporativos y conversaciones privadas con chatbots. La escala del incidente sitúa este suceso como uno de los mayores eventos históricos en materia de exposición involuntaria de información corporativa según Dor Zvi, investigador de RedAccess.
Datos corporativos y médicos al descubierto
Los analistas detectaron cerca de 2.000 casos concretos que contenían datos aparentemente privados. Esta cifra incluye asignaciones laborales de un hospital con información identificable de facultativos, detalles de compras publicitarias, presentaciones de estrategia de mercado y registros de carga de empresas de transporte logístico.
La falta de controles básicos permitió a los investigadores acceder a sistemas críticos. Algunas aplicaciones permitían obtener privilegios administrativos totales sobre los sistemas e incluso eliminar a otros administradores existentes. Muchas de estas plataformas carecían de autenticación robusta o solo exigían iniciar sesión con cualquier dirección de correo electrónico válida.
"Se trata de uno de los mayores eventos de la historia en materia de exposición involuntaria de información corporativa o sensible" - Dor Zvi, investigador de RedAccess
Zvi localizó además sitios de phishing activos que imitaban a entidades como Bank of America, Costco, FedEx, Trader Joe’s y McDonald’s alojados directamente en el dominio de Lovable. Estos espacios fraudulentos aprovechaban la confianza inherente a las plataformas de desarrollo rápido para capturar credenciales de usuarios desprevenidos.
Las plataformas derivan la responsabilidad al usuario
La respuesta de las compañías tecnológicas implicadas ha sido desigual. Netlify no respondió a las consultas realizadas por los medios especializados. Por su parte, Amjad Masad, director ejecutivo de Replit, indicó que la configuración de privacidad depende exclusivamente del usuario y puede modificarse con un simple clic en la interfaz.
Lovable comunicó que investiga los reportes recibidos pero enfatizó que la configuración final de seguridad recae en el creador de la aplicación. Blake Brodie, directora de relaciones públicas de Wix, matriz de Base44, sostuvo que desactivar los controles de acceso es una decisión deliberada del usuario y cuestionó la validez de los ejemplos presentados sin verificación exhaustiva.
Joel Margolis, investigador de seguridad independiente, advirtió que resulta difícil distinguir en ocasiones entre datos reales y material de prueba generado automáticamente. Confirmó no obstante que el riesgo es frecuente cuando equipos sin formación técnica pública aplicaciones sin conocimientos sólidos de ciberseguridad.
El informe compara esta situación con las filtraciones históricas provocadas por configuraciones erróneas en Amazon S3 que afectaron a grandes corporaciones como Verizon y World Wrestling Entertainment. La democratización del desarrollo de software permite ahora llevar aplicaciones a producción sin pasar por las revisiones internas de seguridad tradicionales.