Si en los últimos meses has oído hablar de Lovable, la plataforma que permite crear aplicaciones web completas simplemente describiendo lo que quieres en lenguaje natural, seguramente también habrás visto que su nombre está apareciendo en los titulares de ciberseguridad por razones muy distintas a las de su éxito comercial.
¿Qué es Lovable?
Lovable es una de las plataformas más populares del fenómeno conocido como vibe coding, término acuñado por el investigador de IA Andrej Karpathy en febrero de 2025 y elegido Palabra del Año 2025 por el diccionario Collins. La idea es simple: cualquier persona, sin necesidad de saber programar, puede describir una aplicación y la IA la construye automáticamente. La plataforma cuenta con ocho millones de usuarios y una valoración de 6.600 millones de dólares.
Pero detrás de esa facilidad de uso se ha descubierto un problema de seguridad estructural que ha dejado expuestos datos muy sensibles de miles de proyectos.
El incidente más reciente: 48 días de vulnerabilidad sin parchear
El 20 de abril de 2026, un investigador de seguridad conocido en X como @weezerOSINT publicó los detalles de una vulnerabilidad crítica en la API de Lovable. La falla, conocida como Broken Object Level Authorization (BOLA), permitía a cualquier persona con una cuenta gratuita acceder al perfil de otro usuario, sus proyectos públicos, el código fuente y las credenciales de base de datos en apenas cinco llamadas a la API.
Lo más alarmante no fue solo la vulnerabilidad en sí, sino el tiempo que llevaba abierta: el investigador había reportado el fallo al programa de bug bounty de Lovable el 3 de marzo. La empresa parcheó el problema para los proyectos nuevos, pero nunca lo arregló para los ya existentes, marcó un informe de seguimiento como duplicado y lo cerró. En el momento de la divulgación pública, la vulnerabilidad llevaba 48 días abierta.
Este fallo afectaba a todos los proyectos creados antes de noviembre de 2025, exponiendo información confidencial que incluye código fuente, credenciales de bases de datos y registros de interacción de clientes.
La popular herramienta de «vibe coding» valorada en 6.600 millones de dólares ha protagonizado tres incidentes de seguridad documentados que han dejado al descubierto código fuente, credenciales de bases de datos e información personal de miles de usuarios.
Datos reales de personas reales
El alcance de lo expuesto no era menor. El investigador accedió al código fuente de un panel de administración perteneciente a una ONG danesa, extrajo las credenciales de la base de datos y consultó los registros. Obtuvo nombres reales, empresas reales y perfiles de LinkedIn, incluyendo ponentes de Accenture Dinamarca y Copenhagen Business School. No eran datos de prueba, sino información de personas reales que no tenían ni idea de que su información estaba expuesta.
También se vieron afectados empleados de empresas como Nvidia, Microsoft, Uber y Spotify con cuentas de Lovable vinculadas a proyectos comprometidos.
La respuesta de Lovable: negar, culpar a otros y pedir perdón a medias
La reacción inicial de la empresa ante la divulgación fue, cuanto menos, llamativa. Lovable publicó en X que «no había sufrido una filtración de datos» y calificó los datos expuestos como «comportamiento intencionado». Después culpó a su propia documentación, alegando que el significado de «público» era poco claro. Más tarde señaló a su socio de bug bounty HackerOne, afirmando que los informes se cerraron sin escalada porque HackerOne consideró que ver los chats de proyectos públicos era el comportamiento esperado. Horas después, emitió una disculpa parcial reconociendo que señalar problemas de documentación no era suficiente.
La web Cybernews tituló su cobertura del caso de forma bastante descriptiva: «Lovable tiene un ataque de ego negando la vulnerabilidad y luego culpa a otros de ella».
No es el primer incidente: un patrón preocupante
Este no ha sido un problema aislado. En febrero de 2026, el emprendedor tecnológico Taimur Khan encontró 16 vulnerabilidades, seis de ellas críticas, en una sola aplicación alojada en Lovable con más de 100.000 visitas. La más grave era una lógica de autenticación invertida que daba acceso total a usuarios anónimos mientras bloqueaba a los autenticados. La aplicación, una herramienta de EdTech con IA, exponía 18.697 registros de usuarios, incluyendo 4.538 cuentas de estudiantes de instituciones como UC Berkeley y UC Davis, con menores probablemente entre los afectados. Khan reportó sus hallazgos a través del canal de soporte de Lovable. Su ticket fue cerrado sin respuesta.
Aún antes, investigadores detectaron en mayo de 2025 que numerosas aplicaciones creadas con Lovable carecían de políticas de seguridad a nivel de fila (RLS) efectivas, lo que permitía a cualquier usuario, incluso sin estar autenticado, consultar, modificar o inyectar datos directamente en las bases de datos. Aproximadamente el 70% de las aplicaciones de Lovable tenían la seguridad a nivel de fila completamente desactivada.
El problema de fondo: el vibe coding y la seguridad no van de la mano (aún)
Lovable no es una excepción especialmente insegura: es representativamente insegura. La plataforma genera aplicaciones completas usando React, Tailwind y Supabase en respuesta a instrucciones en lenguaje natural, un proceso que permite a cualquier persona describir una aplicación y tenerla construida por una IA sin escribir ni revisar código.
Los datos de seguridad en toda esta categoría de herramientas son consistentes y preocupantes: entre el 40 y el 62% del código generado por IA contiene vulnerabilidades de seguridad, dependiendo del estudio. Gartner prevé que el 60% de todo el nuevo código será generado por IA a finales de este año.
El problema no es que Lovable sea una mala empresa. El problema es que el modelo de negocio del vibe coding premia la velocidad y la facilidad de uso, y la seguridad queda en un segundo plano, especialmente cuando el usuario final no tiene formación técnica para detectar los riesgos.
¿Qué deberías hacer si usas Lovable?
Si has creado proyectos en Lovable antes de noviembre de 2025, conviene que revises la configuración de privacidad de tus proyectos y compruebes si contienen credenciales o datos sensibles que pudieran haber quedado expuestos. Algunas recomendaciones básicas:
- Revisa la visibilidad de tus proyectos: asegúrate de que están configurados como privados.
- Cambia las credenciales de base de datos que puedas haber incluido en el código generado.
- No almacenes datos sensibles en aplicaciones creadas con herramientas de vibe coding sin haber hecho una auditoría de seguridad.
- Consulta con un profesional si tu aplicación maneja datos de terceros o información personal.
