Lovable, la app millonaria de 'vibe coding', expuso chats de IA, código fuente y credenciales de miles de usuarios: esto te afecta si la usaste en México

Si usaste Lovable para lanzar tu app, tu startup o cualquier proyecto antes de noviembre de 2025, necesitas leer esto ahorita.

Hoy 20 de abril, el investigador de seguridad @weezerOSINT publicó lo que muchos en la comunidad de infosec ya sospechaban: Lovable, la plataforma de “vibe coding” valuada en $6,600 millones de dólares, tiene una falla crítica que permite a cualquiera, con solo crearse una cuenta gratuita, acceder a los proyectos de otros usuarios. Sin exploit. Sin conocimientos técnicos avanzados. Literalmente cualquier wey.

Chats de IA completos. Código fuente. Credenciales de base de datos. Todo al aire.

¿Qué es Lovable y por qué importa?

Para quienes no están en el tema: Lovable es una de las plataformas de “vibe coding” más populares del mundo, junto con Bolt.new y Cursor. La promesa es que cualquier persona, sin saber programar, puede describir su idea en lenguaje natural y la IA genera una app funcional en minutos. La usaron miles de emprendedores en México y LATAM exactamente para eso: lanzar MVPs, herramientas internas, plataformas educativas, apps de cliente.

La empresa levantó $330 millones en su Serie B este año y declaró $200 millones de ARR. Uno de los startups de IA más calientes del planeta.

Y resultó que su seguridad vale lo que una cuenta gratuita.

La vulnerabilidad: BOLA, la falla que no necesita hackers

La vulnerabilidad documentada con el CVE CVE-2025-48757 es de tipo BOLA (Broken Object-Level Authorization), una de las categorías más comunes en código generado por IA, según el reporte de Escape.tech sobre la seguridad del vibe coding.

¿Qué significa en la práctica? Que el sistema checa si tienes cuenta, pero no checa si tienes permiso de ver los datos de otra persona. La IA de Lovable generó backends en Supabase sin configurar correctamente las políticas de Row-Level Security (RLS): las reglas que dicen “este usuario solo puede ver SUS datos, no los de todos”. El resultado: un atacante puede simplemente reemplazar un parámetro en la URL con select=* y descargarse toda la base de datos.

Hay más: en algunos casos el código generado tenía la lógica de autenticación al revés. Literalmente bloqueaba a usuarios autenticados y dejaba pasar a los no autenticados. El investigador Matt Palmer lo describió como “un error de lógica inversa que cualquier revisor humano cacharía en segundos”.

¿Qué quedó expuesto?

La lista es larga y es fea:

• Chats completos de IA entre el usuario y la plataforma
• Código fuente de las apps generadas
• Credenciales de base de datos (Supabase, API keys)
• Claves de APIs externas: Google Maps, Gemini, tokens de eBay
• Parámetros de pagos de Stripe (sí, se podía inyectar pagos)
• Correos electrónicos, teléfonos, domicilios de usuarios finales
• En algunos casos: expedientes médicos e IBANs

De los 1,645 apps escaneadas en Lovable, aproximadamente 1 de cada 10 estaba filtrando datos activamente. En total: 170+ aplicaciones comprometidas en 303 endpoints vulnerables.

Y eso es solo lo que un escaneo pasivo encontró. Sin intentar nada destructivo.

Empleados de NVIDIA, Microsoft, Uber y Spotify

El investigador @eusouomatt confirmó que entre los afectados hay empleados de Uber, NVIDIA, Microsoft y Spotify con proyectos potencialmente expuestos. No es que estas empresas usaran Lovable corporativamente, sino que sus trabajadores lo usaron para proyectos personales o prototipados rápido, y esos proyectos tenían datos reales adentro.

Además, The Register documentó un caso específico: una plataforma EdTech que Lovable estaba usando como caso de éxito en su marketing exponía 18,697 registros de usuarios, incluyendo estudiantes y maestros de UC Berkeley y UC Davis. Con datos de menores de edad.

El contexto más amplio: el vibe coding tiene un problema sistémico de seguridad

Esto no es un accidente aislado. Escape.tech auditó 5,600 apps de vibe coding en plataformas como Lovable, Bolt.new, Base44 y Create.xyz, y encontró:

• 2,038 vulnerabilidades altamente críticas
• 400+ secretos expuestos (API keys, access tokens)
• 175 instancias de PII filtrada, incluyendo registros médicos e IBANs

El patrón es siempre el mismo: Firebase mal configurado, RLS de Supabase ausente, claves hardcodeadas en el JavaScript que cualquiera puede leer desde el navegador. La IA genera código que parece seguro pero que en runtime no aplica las reglas correctas.

Como dice el XDA Developers en su análisis: “Un servidor que devuelve todos los datos y confía en que el cliente los filtre no implementó autorización, sino una sugerencia muy amable.”

Si te interesa entender por qué las herramientas de IA para programar tienen este patrón de problemas, en nuestro análisis de Claude Code vs Cursor vs Copilot vs Windsurf cubrimos las diferencias de enfoque entre plataformas que tienen control real del entorno y las que solo generan código sin auditoría.

La respuesta de Lovable: “es culpa tuya”

Aquí es donde la historia se pone piola de verdad. La vulnerabilidad fue reportada originalmente el 21 de marzo de 2025 por Matt Palmer. Lovable inicialmente negó que el problema existiera. Después de semanas sin respuesta, otro investigador publicó un exploit público el 14 de abril de 2025.

La respuesta de Lovable fue lanzar “Lovable 2.0” el 24 de abril con un “escáner de seguridad”. El problema: ese escáner solo revisaba si RLS estaba activado, no si estaba bien configurado. O sea, ponía palomita aunque la configuración tuviera hoyos del tamaño de un camión.

El CVE fue publicado el 29 de mayo de 2025, después de 69 días de no arreglar el problema.

Y la postura oficial del CISO de Lovable ante The Register fue, a grandes rasgos: “Le avisamos a los usuarios que podían tener vulnerabilidades. Si no las corrigieron, es su decisión.”

Lovable también disputó formalmente la validez del CVE argumentando que “los clientes de la plataforma aceptan la responsabilidad de proteger los datos de su aplicación.”

Una empresa valuada en $6,600 millones de dólares culpando a los no-desarrolladores que usaron su producto exactamente porque no saben de seguridad.

¿Qué pasa con los mexicanos que usaron Lovable?

La neta es que México y LATAM son mercados enormes para el vibe coding. Miles de emprendedores mexicanos lanzaron apps con Lovable: tiendas, plataformas de membresías, herramientas para negocios, CRMs básicos. Sin saber programar, sin saber que su backend de Supabase quedó sin RLS.

Si tú o alguien que conoces lanzó un proyecto en Lovable antes de noviembre de 2025, hay que asumir que los datos de ese proyecto estuvieron expuestos. Eso incluye:

• Los datos de tus clientes o usuarios finales
• Tus credenciales de Supabase
• Tus API keys de servicios conectados

Qué hacer ahorita:

1. Entra a tu proyecto de Lovable y revisa las políticas RLS de Supabase en la sección de autenticación
2. Rota todas tus API keys y credenciales como si ya estuvieran comprometidas (porque puede que lo estén)
3. Si tenías datos de clientes, evalúa notificarles. En México, la Ley Federal de Protección de Datos Personales te puede obligar a hacerlo
4. Considera mover tu backend a una solución donde tengas control directo de la seguridad. Si buscas privacidad real y no quieres depender de terceros, tenemos una guía para correr IA local sin pagar suscripciones que puede darte contexto sobre cuándo conviene quedarte local.

La pregunta que nadie quiere responder

El vibe coding democratizó el desarrollo. Eso es real y tiene valor. Pero también masificó el despliegue de código sin las bases de seguridad mínimas, en manos de personas que no tienen forma de evaluarlo.

Y cuando falla, como pasó hoy, no es el desarrollador senior el que paga: son los usuarios finales de esas apps, que dieron su correo, su teléfono o su tarjeta a una plataforma hecha en 20 minutos con una IA que no configuró el acceso correctamente.

Vale la pena recordar que este patrón no es exclusivo de Lovable. Como ya vimos con el escándalo de Google leyendo datos de usuarios para su Personal Intelligence, la industria entera está empujando hacia más acceso a tus datos con menos transparencia sobre los riesgos.

La pregunta para los emprendedores mexicanos que usan estas herramientas es sencilla: ¿ya revisaste si los datos de tus clientes están seguros, o asumiste que la plataforma se encargaba?

Porque hoy quedó muy claro que no se encargaba.

Fuentes

• The Register: AI-built app on Lovable exposed 18K users (febrero 2026)
• XDA Developers: Keep finding vibe-coded apps leak user data
• Escape.tech: The State of Security of Vibe Coded Apps
• Superblocks: Lovable Vulnerability Explained - How 170+ Apps Were Exposed
• Matt Palmer: Statement on CVE-2025-48757
• Polymarket en X: divulgación de la brecha (20 de abril 2026)