Una investigación de RedAccess encontró 5.000 aplicaciones generadas con herramientas de “vibe coding” accesibles públicamente y 2.000 de ellas contenían datos privados al inspeccionarlas (RedAccess, 08/05/2026). Esta es la conclusión central: la facilidad para crear software está dejando al descubierto información sensible porque la seguridad no es parte del flujo por defecto.
¿Qué está fallando en la práctica?
Vibe coding entrega una interfaz narrativa para que un modelo genere código y lo despliegue en unos minutos. El problema no es la IA: es el diseño de producto de las plataformas. RedAccess documenta que las cuatro plataformas más usadas en estos experimentos —Lovable, Replit, Base44 y Netlify— permitían publicar sin que la autenticación fuera visible en el camino de publicación (RedAccess, 08/05/2026). Además, la literatura sobre seguridad apunta a que el factor humano sigue siendo crítico: según el Verizon Data Breach Investigations Report 2022, 82% de los incidentes analizados involucraron elementos humanos, un indicador de que errores de configuración y decisiones operativas siguen siendo la causa dominante (Verizon DBIR, 2022). La combinación de velocidad, falta de prácticas y botones de publicar fáciles crea una nueva categoría de fuga que no depende de atacantes sofisticados.
¿Cómo impacta esto en el mercado argentino?
Para las pymes y equipos pequeños de Argentina esto es un doble problema: están ahorrando tiempo con herramientas low-code, pero ponen en riesgo información comercial y de clientes. Gartner ya proyectó que el low-code/no-code llegaría a representar 65% de la actividad de desarrollo de aplicaciones para 2024 (Gartner, 2021); en la práctica eso significa que muchas soluciones internas en empresas locales vendrán de personas que no pasan por procesos de seguridad. El resultado probable es más incidentes de exposición de datos y mayores costos reputacionales: empresas pequeñas suelen tener menos recursos legales y técnicos para gestionar filtraciones. Si no se actúa, la democratización del software puede traducirse en mayores pasivos digitales para quienes menos recursos tienen.
Qué deberían hacer las plataformas y los reguladores ahora
La respuesta no puede ser “la culpa es del usuario”. Cuando un modelo genera y publica código en segundos, el diseño de la interfaz determina prácticas seguras. Pedimos tres medidas concretas: primero, seguridad por defecto: publicar debería requerir explícitamente habilitar acceso público, no ocultarlo en menús; segundo, auditorías independientes periódicas sobre controles de acceso y logs de auditoría para plataformas que permitan despliegues públicos; tercero, reglas claras de responsabilidad contractual entre plataforma y cliente acerca de datos sensibles. Esto encaja con la postura que hemos sostenido sobre IA: exigimos auditorías independientes y máxima transparencia en despliegues con impacto en infraestructuras críticas (posiciones públicas del 07-08/05/2026). No es regulación por regulación: es asegurarse de que un botón de publicar no sea una puerta abierta.
Qué pueden hacer hoy las pymes y equipos chicos
Hay pasos prácticos que una pyme puede aplicar hoy sin cambiar su stack entero. Primero, revisar y listar URLs públicas generadas por herramientas externas; segundo, forzar autenticación y revisar roles administrativos; tercero, habilitar registros de acceso y retención de logs para poder trazar exposiciones. Como cálculo rápido: antes de pagar por una consultoría, probar un checklist de 10 minutos para cada app nueva —si reduce el riesgo de exposición aunque sea 10%, ya puede justificar la inversión en una revisión técnica. No hay soluciones mágicas: la prioridad es incorporar una validación mínima antes de publicar y exigir a las plataformas que hagan de la seguridad la opción por defecto.
Cierre: qué pedimos y por qué importa
La democratización del desarrollo es una buena noticia para la productividad, pero no puede ser excusa para externalizar el riesgo. RedAccess documentó 5.000 apps expuestas y 2.000 con datos privados (RedAccess, 08/05/2026); es una señal clara de que la industria todavía no interiorizó la responsabilidad. Exigimos que las plataformas implementen seguridad por defecto, que se sometan a auditorías independientes y que reguladores y cámaras empresarias promuevan listas mínimas de verificación para pymes. Si no, estaremos convirtiendo una herramienta que promete ahorrar tiempo en una fuente de pasivos digitales para las empresas más vulnerables.
