Por qué en ValkymIA controlamos la infraestructura. Y tú también deberías hacerlo

TL;DR: En un solo fin de semana de abril de 2026, Vercel confirmó una brecha de seguridad y Lovable, la plataforma de vibe coding más popular, dejó expuestos código fuente, credenciales de base de datos y conversaciones completas con IA de miles de usuarios. Lo que llevamos diciendo desde que fundamos ValkymIA se confirmó en 48 horas: si construyes tu negocio sobre capas que no controlas, tus datos y los de tus clientes quedan en manos de terceros.

El patrón que se repite

Heroku en 2022: tokens de OAuth comprometidos. Okta en 2023: acceso no autorizado a su sistema de soporte. CircleCI en 2023: secretos de clientes expuestos. Codecov en 2021: script de CI manipulado durante meses.

Y en un solo fin de semana de abril de 2026, dos golpes simultáneos.

Vercel: hackeados, pero con la respuesta correcta

El 19 de abril, Vercel confirmó una brecha en la que atacantes accedieron a sistemas internos a través de Context.ai, una herramienta de IA de terceros. En BreachForums ya se venden tokens de GitHub, NPM, credenciales y código fuente por $2M USD.

Hay que reconocer algo: Vercel respondió de forma ejemplar. Boletín público el mismo día. Notificación directa a usuarios afectados. Expertos externos de respuesta a incidentes. Notificación a autoridades. Recomendaciones claras. Así se maneja una brecha cuando tienes procesos y responsabilidad.

Lovable: negligencia sistémica a escala de $6.6 mil millones

Lo de Lovable es lo opuesto.

El 20 de abril, el investigador @weezerOSINT demostró que cualquier persona con una cuenta gratuita de Lovable puede acceder a los proyectos de otros usuarios creados antes de noviembre 2025. No fue un hack sofisticado, fueron 5 llamadas a una API sin autorización. Una falla BOLA (Broken Object Level Authorization), la vulnerabilidad #1 en el OWASP API Security Top 10.

Lo que quedó expuesto:

• Código fuente completo de proyectos activos, incluyendo apps de organizaciones reales.
• Credenciales de Supabase incrustadas en el código generado.
• Bases de datos de producción con datos reales: nombres, empresas, Stripe customer IDs.
• Historiales completos de chat con la IA, prompts, esquemas de DB, lógica de negocio, API keys que los usuarios pegaron para que la IA les ayudara.

El timeline es lo más grave:

1. Bug existente desde antes de noviembre 2025.
2. 3 de marzo de 2026: Reportado en HackerOne.
3. Lovable lo marca como "duplicado" y solo parchea proyectos nuevos.
4. 48 días después: Los proyectos anteriores siguen completamente abiertos.
5. Respuesta oficial: "Solo eran proyectos públicos, los chats eran visibles por diseño".

Y ni siquiera es la primera vez. En febrero de 2026, otro investigador encontró 16 vulnerabilidades en una sola app de Lovable que filtró datos de 18,000 usuarios. En 2025, CVE-2025-48757 ya había documentado fallas de seguridad en apps generadas por la plataforma.

Protegieron a los usuarios nuevos. Abandonaron a los que ya habían confiado en ellos.

El problema no es la plataforma. Es el modelo

Existe una corriente popular que dice que montar una startup en 2026 cuesta 32€/mes: Vercel gratis para el frontend, Supabase gratis para el backend, Clerk gratis para auth, MongoDB gratis para datos. "Se acabaron las excusas."

Como propuesta para validar una idea un fin de semana, tiene sentido. Nadie necesita infraestructura propia para un prototipo.

El problema es cuando esa arquitectura de prototipo se convierte en la arquitectura de producción. Cuando empiezas a manejar datos reales de clientes reales. Cuando tu PyME procesa pagos, almacena información personal o gestiona documentos sensibles.

Como lo planteó Simon Høiberg once días antes de las brechas:

En algún momento tienes que preguntarte: ¿qué es lo que realmente poseo?

Lo que significa "controlar" tu infraestructura

Controlar no significa necesariamente tener servidores físicos (aunque nosotros sí los tenemos). Significa poder responder estas preguntas:

¿Dónde están mis datos? No "en la nube", ¿en qué región, en qué servidor, bajo qué jurisdicción legal?

¿Quién tiene acceso? No solo tu equipo. ¿Qué empleados del proveedor pueden ver tus variables de entorno? ¿Tus bases de datos? ¿Tus conversaciones con la IA que generó tu código?

¿Qué pasa si el proveedor falla? ¿Puedes migrar en días? ¿O tu aplicación está tan acoplada que una migración equivale a reescribir desde cero?

¿Quién responde legalmente? En México, la LFPDPPP es clara: el responsable de los datos eres tú, no tu proveedor. Si Lovable expone las credenciales de tu base de datos y alguien accede a los datos de tus clientes mexicanos, el aviso de privacidad lleva el nombre de tu empresa.

Cómo lo hacemos en ValkymIA

Nuestra infraestructura no es un accidente. Es una decisión arquitectónica documentada con ADRs, runbooks y scripts de automatización.

Capa de cómputo. Servidor bare-metal con Proxmox como hypervisor. Cada servicio en su propia VM o contenedor LXC, aislado. Workloads de IA en hardware dedicado con GPU.

Capa de red. OPNsense con redundancia dual WAN. VLANs para segmentar tráfico. WireGuard para acceso remoto. No hay un punto de entrada sin autenticación.

Capa de edge. Cloudflare para DNS, tunnels encriptados, Workers y Access zero-trust. Los dominios, nuestros y de nuestros clientes, bajo control directo.

Capa de respaldo. Instancias satélite en Linode como reverse proxy y gateway de VPN. Failover sin intervención manual.

¿Es más trabajo que una suscripción? Sí. ¿Sabemos exactamente dónde vive cada byte de datos de nuestros clientes? También.

El riesgo real del vibe coding sin criterio

El vibe coding no es inherentemente malo. Es una herramienta poderosa cuando la usa alguien con criterio técnico.

El riesgo aparece cuando se combina con infraestructura que tampoco se entiende. Lovable es el caso de estudio perfecto:

1. La plataforma genera código con credenciales de Supabase embebidas en el código fuente
2. El usuario no revisa el código porque "la IA se encargó"
3. La plataforma tiene una falla de autorización básica durante meses
4. Las credenciales quedan visibles para cualquiera con una cuenta gratuita
5. Las conversaciones con la IA, donde el usuario pegó sus API keys, esquemas de DB y lógica de negocio, también quedan expuestas

Es una caja negra sobre otra caja negra. Y cuando algo falla, no si, cuando, no tienes visibilidad para diagnosticar ni para responder.

Para las PyMEs que atendemos, esto no es un riesgo teórico. Un leak de datos de clientes puede significar demandas, pérdida de confianza y, para muchas empresas pequeñas, el fin del negocio.

Lo que recomendamos. Y cómo podemos ayudar

No le pedimos a cada PyME que monte un servidor Proxmox. Pero sí insistimos en principios básicos:

Saber dónde viven los datos. Si tu proveedor no puede decirte en qué región están tus datos, es una señal de alerta.

Tener un plan de migración. ¿Puedes salir de tu plataforma actual en una semana? Si la respuesta es no, el costo real es mucho mayor que el precio mensual.

Separar lo que es crítico. Auth, pagos y datos sensibles merecen un nivel de control diferente que un CDN para imágenes.

Rotar credenciales regularmente. No esperes a que un investigador en X demuestre que llevan 48 días expuestas.

Entender lo que despliegas. Si no puedes explicar qué credenciales tiene tu código, dónde se conecta y qué datos expone, no está listo para producción.

Si no sabes por dónde empezar, para eso estamos

En ValkymIA no solo construimos sistemas de IA y automatización para PyMEs, los construimos sobre infraestructura que controlamos y que nuestros clientes entienden.

Con nuestro servicio Faber, desarrollamos software a medida donde cada proyecto incluye:

• Arquitectura documentada: Sabes exactamente qué se desplegó, dónde, y por qué, sin credenciales embebidas en código fuente ni cajas negras.
• Propiedad del código: Todo lo que desarrollamos es tuyo. Sin lock-in, sin dependencia perpetua de plataformas que pueden cambiar términos o ser comprometidas.
• Infraestructura auditable: Tus datos viven donde tú decides, no donde le convenga a un tercero.
• Plan de continuidad: Si mañana decides cambiar de proveedor o de equipo, puedes hacerlo sin reescribir desde cero.

Lo que pasó este fin de semana con Vercel y Lovable no es una anomalía. Es el resultado predecible de un modelo donde velocidad y conveniencia se priorizan sobre seguridad y propiedad. Si tu negocio maneja datos de clientes y hoy no puedes responder con certeza dónde están almacenados o quién puede acceder a ellos, ese es exactamente el tipo de problema que resolvemos.

Agenda una consulta inicial gratuita →

En 60 minutos evaluamos tu situación actual, identificamos riesgos, y te decimos honestamente si necesitas nuestra ayuda o si hay pasos que puedes tomar por tu cuenta.

Fuentes y Referencias

Brecha de Vercel (19 de abril de 2026)

• Vercel April 2026 Security Incident — Boletín Oficial
• Vercel confirms breach — BleepingComputer
• Vercel confirms security incident — CyberInsider
• Vercel Breach Exposes AI Tool Supply Chain Risk — StartupFortune
• @theo — Breakdown de la brecha

Brecha de Lovable (20 de abril de 2026)

• Lovable denies data leak, cites 'intentional behavior' — The Register
• Lovable AI App Builder Exposes Thousands of Projects — CybersecurityNews
• Lovable Left Thousands of Projects Exposed for 48 Days — Cyber Kendra
• Lovable AI Platform Vulnerability — CyberWebSpider
• @weezerOSINT — Hilo original

Historial de vulnerabilidades en Lovable

• AI-built app on Lovable exposed 18K users (feb 2026) — The Register
• CVE-2025-48757 — Row-Level Security flaw

Brechas históricas en plataformas de desarrollo

• Heroku — April 2022 Incident Review
• CircleCI — January 2023 Incident Report

Contexto

• @SimonHoiberg — "What do I actually own here?"
• @josesilesdata — Stack de startup por 32€/mes

ValkymIA es una consultoría de IA que ayuda a PyMEs mexicanas a implementar sistemas inteligentes —RAG, automatización, flujos agénticos— sobre infraestructura que controlan. Porque tus datos son tu responsabilidad, no la de un tercero.