Una destacada plataforma de codificación presenta preocupantes fallos de seguridad.
Una vulnerabilidad en Base44 podría haber permitido el acceso a los datos privados de otros usuarios.
Investigadores han descubierto una vulnerabilidad de seguridad en la plataforma de "vibe coding" de Base44, que permitía a actores malintencionados acceder a datos que deberían ser privados. Esta vulnerabilidad fue identificada a principios de julio de 2025 por expertos en ciberseguridad de Wiz Research, quienes señalaron que los puntos finales de la API expuestos en la plataforma de Base44 facilitaban la creación de cuentas verificadas en aplicaciones privadas utilizando únicamente el app_id, un código que es visible públicamente.
En condiciones normales, los sistemas de autenticación requieren credenciales robustas y métodos de verificación de identidad; sin embargo, la configuración de Base44 aparentemente permitía a cualquier persona eludir esas medidas de seguridad con sólo ese código. Para ilustrarlo, se podría comparar con ingresar a un edificio de oficinas cerrado y gritar “Vengo por el app_id 12345”, y las puertas se abrirían sin más preguntas.
Los atacantes podían fácilmente recopilar un app_id de archivos públicos y utilizarlo para “registrarse” a través de rutas API no seguras, accediendo a aplicaciones que manejan información sensible de empleados y comunicaciones empresariales. Esta vulnerabilidad podría haber afectado aplicaciones empresariales relacionadas con recursos humanos y datos de identificación personal (PII), así como chatbots internos, bases de conocimiento y herramientas de automatización usadas para operaciones diarias.
Tras el descubrimiento de la falla, Wiz contactó a Wix, la empresa propietaria de Base44, que logró solucionarla en menos de 24 horas. Wix también informó que no encontró signos de abuso por parte de actores maliciosos. Los investigadores identificaron aplicaciones vulnerables y se comunicaron directamente con algunas de las empresas afectadas.
El término "vibe coding" se refiere a una técnica relativamente nueva que utiliza inteligencia artificial generativa y un lenguaje natural para facilitar la codificación, evitando así la escritura de código real. Un desarrollador puede discutir sus ideas y necesidades con la IA, que a su vez proporciona el código correspondiente. Aunque este método ha ganado popularidad recientemente, incidentes como este destacan que no está exento de riesgos, ya que la infraestructura compartida siempre presenta el peligro de fugas de información.
