La automatización sin seguridad: el caso Lovable destapa el lado oscuro de las plataformas de IA para crear aplicaciones.
Lovable, una de las plataformas más populares para crear aplicaciones asistidas por inteligencia artificial sin apenas escribir código, está bajo el foco tras descubrirse una vulnerabilidad crítica que afecta a cientos de aplicaciones y expone datos sensibles de miles de usuarios. La debilidad radica en la gestión de las políticas de Row Level Security (RLS), elemento clave para limitar el acceso a los datos según el usuario.
IA, automatización y nuevas amenazas
En los últimos años, la explosión de plataformas no-code y low-code impulsadas por inteligencia artificial ha democratizado el acceso al desarrollo de aplicaciones. Herramientas como Lovable permiten a usuarios sin experiencia técnica lanzar sitios web, tiendas online o herramientas internas en minutos, integrando IA para tareas como generación de contenido, análisis de datos o automatización de flujos de trabajo.
Sin embargo, este avance tecnológico tiene su reverso: la facilidad de uso puede esconder riesgos profundos si la seguridad no está garantizada por defecto. Lovable, que utiliza Supabase y otras soluciones externas para la gestión de bases de datos, ha delegado la configuración de las políticas de seguridad en manos del usuario final, un enfoque que ha resultado ser muy peligroso.
¿Qué ha pasado?
Investigadores de seguridad detectaron en marzo de 2025 que numerosas aplicaciones creadas con Lovable carecían de políticas RLS efectivas, lo que permitía a cualquier usuario —incluso sin estar autenticado— consultar, modificar o inyectar datos directamente en las bases de datos. El fallo fue inicialmente descubierto en Linkable, una app para generar webs a partir de perfiles de LinkedIn, pero la investigación posterior desveló que la vulnerabilidad afectaba a más del 10% de todos los proyectos públicos de la plataforma.
Entre los datos expuestos figuran:
- Claves API (Google Maps, Gemini, eBay…)
- Bases de datos completas de usuarios, incluyendo emails, transacciones y datos financieros
- Tokens de autenticación, direcciones, y detalles privados
Además, los investigadores lograron manipular estados de pago, inyectando registros fraudulentos y accediendo a recursos críticos sin ninguna protección real.
La respuesta de Lovable y el desafío para el ecosistema IA
Aunque Lovable introdujo un “escáner de seguridad” en una actualización reciente, los expertos advierten que solo comprueba la presencia superficial de políticas RLS, sin garantizar su correcta implementación ni alineación con la lógica de negocio. Esto supone un grave problema, ya que muchos desarrolladores sin experiencia pueden confiar ciegamente en la automatización, exponiendo datos personales y credenciales en entornos productivos.
La respuesta de Lovable hasta ahora ha sido limitada: reconoció la recepción del reporte, pero no ha ofrecido una solución integral ni ha alertado proactivamente a sus usuarios. El caso ha derivado en la publicación de un CVE y la recomendación a todos los desarrolladores de aplicaciones con IA de auditar la configuración de seguridad y no confiar solo en herramientas automáticas.
Un aviso para la industria
Este incidente marca un antes y un después para el sector de las plataformas de IA aplicada al desarrollo de aplicaciones. El sueño de democratizar el desarrollo tecnológico debe ir acompañado de prácticas robustas de seguridad “por defecto”, especialmente cuando la IA y la automatización pueden amplificar los riesgos y la escala de los fallos humanos.
La comunidad advierte: la inteligencia artificial puede acelerar el desarrollo, pero sin una arquitectura segura, multiplica también las oportunidades para los atacantes.
Recomendaciones:
- Auditar todas las políticas de acceso y seguridad en proyectos low-code/no-code.
- Exigir transparencia y responsabilidad a los proveedores de plataformas de IA.
- Apostar por arquitecturas con separación clara de frontend y backend.
- Educar a usuarios y empresas sobre los límites de la automatización en seguridad.
Este caso subraya que en la era de la inteligencia artificial y el desarrollo acelerado, la seguridad debe ser un pilar, no un accesorio.
Fuente: Noticias sobre seguridad
