La trampa del «vibecoding»: por qué tu app creada con IA es probablemente un colador

El reciente revuelo con la supuesta "filtración" de Claude Code CLI (que Anthropic aclaró luego que fue un lanzamiento intencionado) ha puesto sobre la mesa un tema que me tiene obsesionado desde febrero.

Estamos en plena era del "vibecoding": esa fase en la que, si puedes imaginarlo y describirlo, puedes construirlo. Es un momento increíble para estar vivo, pero mis últimas investigaciones me dicen que estamos construyendo castillos sobre cimientos de arena.

El experimento

Para poner a prueba cuánta "magia" hay realmente en la IA, reté a 10 personas de mi entorno a crear y lanzar un proyecto guiándose exclusivamente por la inteligencia artificial. Yo no les di ni una sola pista técnica. Me limité a ser un espectador. El grupo era un reflejo perfecto del ecosistema actual:

• 2 desarrolladores sénior.
• 3 aficionados con nociones básicas de JavaScript y HTML.
• 5 principiantes absolutos que no habían visto una línea de código en su vida.

Los resultados

De los diez, nueve consiguieron publicar una plataforma totalmente funcional. Como fan de lo que la IA puede llegar a hacer, me quedé boquiabierto. Personas que hace seis meses no sabían ni escribir un "Hola Mundo" me estaban enseñando aplicaciones interactivas y funcionales.

Y entonces, intenté tumbarlas.

No soy un experto en ciberseguridad ni mucho menos. Solo soy alguien que pasó su adolescencia trasteando con la web cuando era mucho menos segura que ahora. Pero usando técnicas manuales, de esas de "script kiddie" básicas, conseguí hackear 7 de los 9 proyectos.

Así de fácil fue el "atraco"

Los fallos no eran para nada sofisticados. En la mayoría de los casos, solo tuve que:

1. Abrir las herramientas de desarrollador del navegador (F12).
2. Refrescar la página e interceptar un token de una llamada a la API.
3. Usar Postman para atacar esa misma URL.
4. Cambiar una petición POST por una GET.

Y listo. Pude extraer datos de «usuarios» (por suerte, eran datos de prueba). En un caso especialmente grave, incluso logré acceso total a su cuenta de Supabase.

¿Por qué los profesionales se libraron?

Los dos desarrolladores sénior fueron los únicos a los que no pude meterles mano (al menos con mis conocimientos). Y no fue porque su aplicación tuviera "mejor vibra", sino porque se sabían las reglas invisibles del juego. Sus proyectos ya venían con:

• Tokens con fecha de caducidad (limitados en el tiempo).
• Restricción de métodos HTTP (bloqueando un GET donde solo debe haber un POST).
• Validación en el servidor para no exponer claves sensibles en el HTML.

Conclusión

Sigo pensando que el vibecoding es uno de los cambios más disruptivos de la historia. Pero que algo funcione no significa que sea seguro.

Si estás lanzando proyectos al mundo real, y más si manejas datos de clientes, no olvides que la seguridad no es opcional. Temas como el cifrado de datos o los avisos de cookies son "aburridos", y por eso se nos olvida pedirle a la IA que se encargue de ellos.

No le pidas a la IA que lo construya. Pídele que lo proteja.

La próxima vez que estés a punto de darle al botón de publicar, prueba a preguntarle a tu asistente:

"¿Qué medidas de seguridad debo implementar si voy a manejar datos personales (PII)?"

A veces, una simple pregunta es lo único que separa una "curiosidad" de una aplicación profesional de verdad.