¿Qué significa vibecoding y por qué debería importarle a mi empresa?

Vibecoding es la práctica de construir software conversando con un asistente de IA en lenguaje natural, sin escribir código manualmente. Es relevante para tu empresa porque cualquier persona del equipo —marketing, operaciones, finanzas— puede crear aplicaciones internas en horas. El problema es que muchas de esas apps terminan publicadas en la web sin controles mínimos de seguridad, exponiendo datos de clientes, claves API o documentos confidenciales sin que la empresa lo sepa.

¿Es seguro publicar en la web una app hecha con Lovable, Replit o herramientas similares?

No por defecto. Investigaciones recientes encontraron unas 380 mil apps vibecodeadas públicamente accesibles en la web, con cerca de 5.000 filtrando datos sensibles como información médica, financiera o estrategias internas. La razón es que las plataformas suelen venir con privacidad relajada y los asistentes IA cometen errores típicos: dejan claves de base de datos en el código del navegador o no activan controles de acceso por fila. Antes de publicar una app vibecodeada conviene una revisión de seguridad básica.

¿Cuál es la diferencia entre una app web vibecodeada y una corriendo localmente como en Forger?

Una app web vibecodeada vive en un servidor en internet y cualquiera con la URL puede llegar a ella. Si tiene errores de seguridad, los datos pueden filtrarse al mundo. Una app local, como las que propone Forger AI, vive solo en el computador del usuario y los datos nunca salen de la máquina. Para procesos internos o datos sensibles, lo segundo reduce drásticamente la superficie de ataque y la fricción regulatoria, especialmente en Chile y LATAM donde la fiscalización está aumentando.

¿Qué debería hacer si mi equipo ya publicó apps internas con vibecoding?

Lo primero es inventariar: pedir al equipo que liste todas las apps creadas con Lovable, Replit, Base44 u otras herramientas similares y dónde están alojadas. Lo segundo es revisar cada una con cuatro preguntas: ¿es pública?, ¿contiene datos sensibles?, ¿quién tiene acceso?, ¿qué pasa si alguien la encuentra por casualidad? Si la respuesta a cualquiera incomoda, baja la app, evalúa migrarla a un entorno local y documenta el aprendizaje. En Eigen acompañamos este tipo de auditorías como parte del diagnóstico de madurez IA.

Los Riesgos Ocultos del Vibecoding en la Web: Por Qué tu Próxima App Hecha con IA Debería Ser Local

Qué es vibecoding y por qué explotó en empresas durante 2026

Vibecoding es la práctica de construir software conversando con un asistente de IA: le describes lo que quieres en lenguaje natural y el modelo genera la aplicación completa, sin que tú escribas una sola línea de código. Herramientas como Lovable, Replit, Base44 y Bolt empaquetaron este proceso en pocos clics, y eso democratizó algo que antes era exclusivo de equipos de tecnología.

Para empresas medianas en Chile el atractivo es evidente:

El área de marketing puede armar un mini CRM en una tarde.
Operaciones puede automatizar un proceso interno sin pedir presupuesto a TI.
Finanzas puede levantar un dashboard sin esperar al próximo sprint de desarrollo.

En Eigen vemos esta tendencia a diario en clientes que descubren que su equipo no técnico ya tiene cinco o seis apps internas funcionando —muchas veces sin que el gerente general lo sepa. Y ahí empieza el problema.

El problema oculto: 380.000 apps vibecodeadas filtrando datos en la web

En mayo de 2026, la firma de ciberseguridad RedAccess publicó un estudio que sacudió al sector: encontró 380.000 aplicaciones vibecodeadas públicamente accesibles en internet. De ellas, cerca de 5.000 filtraban datos sensibles: registros médicos, información financiera, documentos estratégicos corporativos y conversaciones internas con chatbots.

Una investigación paralela de Wiz Research, mencionada en Security Boulevard, encontró que cerca del 40% de las apps revisadas exponían información sensible —datos médicos, financieros, presentaciones internas— sin protección adecuada.

Tres datos más para dimensionar la situación:

Un assessment de más de 200 apps vibecodeadas encontró que el 91,5% contenía al menos una vulnerabilidad trazable a un error del asistente IA.
Un escaneo de Escape.tech sobre 5.600 apps desplegó 2.000 vulnerabilidades críticas y 400 secretos expuestos, incluyendo claves API y tokens de acceso.
GitGuardian documentó 28,65 millones de secretos hardcodeados en commits públicos durante 2025, un aumento del 34% interanual.

Esto no es una falla puntual: es un patrón estructural. Y afecta directamente a empresas en Chile y LATAM cuyos equipos están adoptando estas herramientas sin guía.

Por qué publicar en la web una app vibecodeada es más riesgoso de lo que parece

Para entender el riesgo en términos no técnicos, hay tres conceptos clave que conviene tener claros:

1. Las claves quedan a la vista

Las apps modernas usan claves API para conectarse a bases de datos y servicios externos. Es como la llave de la caja fuerte de tu empresa. Cuando un asistente IA genera una app web, muchas veces deja esa llave escrita en el código que se descarga al navegador del visitante. Cualquier persona con conocimientos básicos puede abrir el navegador y leerla. Con esa llave, accede a tu base de datos completa.

2. La privacidad viene apagada por defecto

Muchas plataformas de vibecoding vienen configuradas para hacer públicas las apps a menos que el usuario las marque manualmente como privadas. Una persona del equipo crea una app, la publica para mostrársela a un compañero, y la deja accesible para el mundo entero sin saberlo. Si la app tiene datos de clientes, esos datos quedan disponibles a quien encuentre la URL.

3. No hay nadie revisando

En una empresa con un equipo de tecnología, los cambios pasan por revisión: alguien verifica que la app no exponga datos, que tenga controles de acceso, que cumpla con compliance. En vibecoding, cualquier persona publica directamente, sin pasar por TI. El concepto se llama “shadow IT” y en Chile está creciendo silenciosamente en empresas medianas que adoptan IA generativa.

En Eigen ayudamos a empresas a establecer políticas simples —no burocráticas— que permiten a los equipos seguir creando apps con IA sin convertir cada una en un riesgo de filtración.

El caso Moltbook: tres días, 1,5 millones de tokens expuestos

En enero de 2026, un fundador lanzó Moltbook, una red social donde agentes IA conversaban entre sí. Toda la app fue construida con IA, sin que el fundador escribiera código. Tres días después de lanzar, investigadores de Wiz descubrieron que la app exponía:

1,5 millones de tokens de autenticación API
35.000 direcciones de correo de usuarios
Mensajes privados entre agentes

La causa fue un error común: el asistente IA dejó la clave de la base de datos en el código del navegador y no activó las protecciones mínimas que la plataforma misma ofrecía. No fue un ataque sofisticado, fue un descuido de configuración que cualquiera con un navegador pudo aprovechar.

Lección para empresas en Chile: la velocidad de creación del vibecoding no incluye velocidad de revisión de seguridad. Esa brecha es donde ocurren los incidentes.

La alternativa local-first: por qué herramientas como Forger AI cambian el cálculo

La razón por la que las apps web vibecodeadas filtran datos es que viven en internet por defecto. Si la app vive en el computador del usuario —lo que se conoce como arquitectura local-first— la mayoría de estos riesgos simplemente desaparecen.

Forger AI es uno de los ejemplos más claros de esta filosofía. Sus principios son directos:

Las apps se instalan en tu máquina, no en un servidor público.
Los datos nunca salen de tu computador hacia un servicio en la nube.
El agente IA solo puede actuar dentro de las apps de Forger, no sobre el resto del sistema.
No hay URL pública que alguien pueda escanear o atacar desde internet.

Para una empresa en Chile esto se traduce en algo concreto:

Una app local con datos de clientes no necesita revisión por la Ley 21.719 de protección de datos del mismo modo que una app publicada en internet, porque los datos no se transfieren a un tercero.
Una herramienta interna de finanzas o RR.HH. no aparece en escaneos masivos como los que hacen RedAccess o Wiz, simplemente porque no está expuesta.
Si la app tiene un error de seguridad, el daño se queda en el computador del usuario, no se expone al mundo.

En Eigen vemos al modelo local-first como una respuesta natural al exceso de exposición de la web vibecodeada. No es para todos los casos, pero para datos sensibles, herramientas internas y experimentación controlada, es la opción más seria.

Cómo decidir si tu app vibecodeada va a la web o se queda local

No todo lo vibecodeado tiene que ser local, ni todo tiene que ir a la web. La pregunta correcta es qué hay en juego si la app se filtra. En Eigen recomendamos a empresas en Chile el siguiente filtro de tres preguntas:

¿La app contiene datos personales, financieros o estratégicos? Si la respuesta es sí, default a local. Si no, la web puede ser aceptable.
¿Quiénes necesitan usarla? Si son cinco personas dentro de la empresa, local resuelve el caso sin exponerse. Si son cientos de clientes externos, requiere arquitectura web con controles serios.
¿Qué pasa si alguien externo la encuentra? Si la respuesta es “nada, es un experimento”, web está bien. Si la respuesta empieza con “podríamos perder…”, local o cero.

Este filtro toma cinco minutos y evita la mayoría de los incidentes que hoy están apareciendo en titulares.

Conclusión: el vibecoding no es el problema, la exposición por default sí

El vibecoding llegó para quedarse: la productividad que genera es real y las empresas en Chile que lo adopten bien van a tener una ventaja concreta. Pero publicar todo en la web sin pensar es la receta exacta para terminar en el próximo titular de filtración de datos. Las cifras de 2026 son contundentes: 380 mil apps expuestas, 40% filtrando datos, 91,5% con al menos una vulnerabilidad.

La alternativa local-first —ejemplificada por Forger AI y otras herramientas similares— ofrece la velocidad del vibecoding sin la exposición por default. Para empresas medianas en Chile y LATAM, es probablemente la forma más sensata de empezar.

En Eigen acompañamos a equipos chilenos a inventariar lo que ya hicieron con vibecoding, decidir qué debe quedarse local y qué puede ir a la web con controles mínimos. Si tu empresa está viendo proliferar apps internas hechas con IA y no sabe dónde está parada, conversar es siempre el primer paso correcto. También puede serte útil leer nuestro artículo sobre el auge del open source con IA y la guía de costos de implementación de IA en Chile.

Las apps vibecodeadas expuestas en la web amplifican la superficie de ataque; el enfoque local-first reduce drásticamente el riesgo de filtraciones.