REPORTE DE SEGURIDAD LOVABLE — FEB 2026: 18.000 USUARIOS EXPUESTOS, 170+ BASES DE DATOS COMPROMETIDAS

18.697

Registros de usuarios expuestos en una sola app

170+

Bases de datos completamente expuestas entre 1.645 escaneadas

90%

De las apps auditadas comparten las mismas 5 vulnerabilidades

52/100

Score medio de seguridad en 200+ sitios

¿Tu app Lovable es vulnerable?

Introduce la URL de tu app Lovable en producción para verificar las vulnerabilidades descritas en este reporte

La filtración de la App Destacada: 18.000+ usuarios expuestos

El mayor incidente de seguridad de Lovable en febrero de 2026 vino de un investigador que probó una app EdTech destacada por la propia Lovable — uno de los casos de éxito en el sitio de Lovable, con 100K+ visualizaciones y usuarios reales de UC Berkeley, UC Davis e instituciones de Europa, África y Asia.

En unas horas, el investigador encontró 16 vulnerabilidades de seguridad, 6 de ellas críticas. La lógica de autenticación estaba literalmente invertida — bloqueaba usuarios logueados y dejaba pasar anónimos. El post fue cross-posteado en r/hacking (1.200+ upvotes), r/cybersecurity (1.080+ upvotes), r/ClaudeAI (1.000+ upvotes) y r/lovable.

Lo que quedó expuesto

• 18.697 registros de usuarios (nombres, emails, roles) — sin requerir autenticación
• Eliminación de cuenta vía una sola llamada a la API — sin autenticación
• Notas de estudiantes modificables por cualquiera — sin autenticación
• Capacidad de envío masivo de emails — sin autenticación
• Datos organizacionales enterprise de 14 instituciones

El investigador reportó los hallazgos a Lovable. Al inicio, el ticket de soporte fue cerrado. Tras los posts en Reddit ganando tracción, el equipo de seguridad de Lovable contactó, recibió el reporte completo y empezó a investigar. El desarrollador que construyó la app reconoció los problemas y corrigió las vulnerabilidades más críticas.

Fuente: r/hacking, r/cybersecurity, r/ClaudeAI, r/lovable — febrero de 2026. Combinados, 3.400+ upvotes.

Carta abierta: “No puedes vibecodear ignorando la seguridad de los usuarios”

Un desarrollador con más de 20 años de experiencia publicó una carta abierta en r/lovable (620+ upvotes, 127 comentarios) alertando a la comunidad de vibe coding sobre problemas sistémicos de seguridad. El post fue cross-posteado en r/vibecoding (695+ upvotes, 210 comentarios) y r/SideProject (180+ upvotes).

El desarrollador había estado probando apps vibe coded compartidas en Reddit y encontró patrones profundamente preocupantes:

• Endpoints públicos de Supabase exponiendo listas completas de usuarios — bases de datos consultables por cualquiera con un navegador
• Auto-upgrade a premium — los usuarios podían cambiar is_paid, is_subscribed o darse 99.999 créditos
• Manipulación de datos — endpoints PUT/PATCH abiertos, permitiendo borrar o modificar datos de otros usuarios
• Sin herramienta especial — solo navegador, DevTools y un par de clics

Fuente: r/lovable, r/vibecoding, r/SideProject — 1.500+ upvotes combinados.

Investigación siguiente: “Es peor de lo que pensaba”

El mismo desarrollador volvió tras probar apps del propio sitio launched.lovable.dev de Lovable. Los hallazgos fueron consistentes: muchas de las apps destacadas sufrían exactamente de las mismas vulnerabilidades.

Hallazgo clave: “No encontré problemas en apps Bolt, Replit o basadas en Cursor/Cline” — las vulnerabilidades estaban concentradas en aplicaciones Lovable + Supabase, específicamente en políticas de RLS mal configuradas.

El desarrollador contactó a Lovable directamente para preguntar qué pasos se están tomando para evitar que desarrolladores lancen apps inseguras sin querer a través de la plataforma.

Fuente: r/lovable — 124 upvotes, 58 comentarios.

170+ bases de datos expuestas: la escala del problema

Un post separado en r/vibecoding (85 upvotes, 44 comentarios) reveló el resultado de un escaneo a gran escala: en mayo de 2025, investigadores de seguridad escanearon 1.645 apps construidas con Lovable. Más de 170 tenían bases de datos totalmente expuestas, sin RLS activo. Los datos expuestos incluyeron direcciones de domicilio, datos financieros, claves de API y registros de pago. Una filtración afectó a 13.000 usuarios.

La confusión central: Autenticación vs Autorización

El post explicaba la causa raíz que confunde a la mayoría de los desarrolladores de Lovable:

• Autenticación = probar quién eres (login)
• Autorización = a qué puedes acceder (RLS)

Por default, Supabase expone todas las tablas vía API. La anon_key es pública — está en tu código frontend. Lo ÚNICO que impide acceso no autorizado es Row Level Security. Si RLS no está activo, tu BD es una API pública.

Fuente: r/vibecoding — 85 upvotes, 44 comentarios.

200+ sitios vibe coded escaneados: media 52/100

Un desarrollador web escaneó más de 200 sitios construidos con Cursor, Bolt, Lovable, v0 y otras herramientas de IA. El score medio de seguridad fue 52 de 100. Los patrones eran siempre los mismos:

• Claves de API y secretos hardcodeados en el código fuente
• Ningún header de seguridad (CSP, HSTS, X-Frame-Options)
• Cookies sin flags Secure o HttpOnly
• Versiones de servidor e info de debug expuestas en producción
• Dependencias con vulnerabilidades conocidas que nunca reciben update

Como el desarrollador lo resumió: “La IA hace lo que le pides. Solo que nunca piensa en lo que no pediste.”

Fuente: r/VibeCodeDevs — 161 upvotes, 68 comentarios.

50 apps auditadas manualmente: los mismos 5 errores

Un investigador de seguridad que auditó manualmente 50 apps construidas con Cursor, Lovable, Bolt y v0 publicó sus hallazgos en r/lovable (32 upvotes, 13 comentarios). Los mismos problemas aparecieron en prácticamente toda app:

1. Claves de API hardcodeadas

Claves de API de OpenAI, Stripe, Firebase directo en archivos JavaScript visibles en DevTools. Los atacantes pueden robar claves y acumular miles de dólares en cobros.

2. Políticas de RLS ausentes

Tablas de Supabase con RLS deshabilitado, dejando todos los datos de usuario consultables por cualquiera con la anon_key pública.

3. Validación de entrada ausente

Sin validación de request en el servidor, permitiendo manipulación directa de datos vía llamadas de API.

4. Autenticación rota

Lógica de autenticación que “funciona” en demo, pero permite acceso no autorizado en producción. Middleware de check removido durante refactoring.

5. Filtración de datos en la consola

Objetos completos de datos, IDs de usuario, respuestas de API internas vertidos en la consola del navegador en cada carga de página.

Bonus: Bypass de premium

Los usuarios podían promoverse al plan de pago modificando el estado del frontend o líneas en Supabase — sin verificación de pago en el servidor.

Fuentes: r/lovable, r/vibecoding, r/VibeCodeDevs, r/replit, r/boltnewbuilders.

Respuesta de la comunidad y herramientas

La comunidad de Reddit respondió a la crisis de seguridad de Lovable con varias iniciativas:

• Mega-prompts de seguridad: usuarios de r/lovable compartieron prompts para que Lovable aplique controles OWASP ASVS, validación de entrada, protección CSRF y rate limiting durante la generación de código (85 upvotes)
• Patrones RLS de Supabase: varios posts compartiendo plantillas copiables de políticas RLS específicas para apps Lovable + Supabase
• Scanners de seguridad: varios desarrolladores construyeron herramientas de escaneo específicamente para apps Lovable / vibe coded, incluyendo herramientas que auto-generan prompts de corrección
• Bug bounties: un desarrollador Lovable ofreció $1.500 por vulnerabilidad encontrada en la app en producción (r/lovable, 204 upvotes)
• Servicios de auditoría: un mercado creciente de auditores humanos ofreciendo revisión de seguridad específicamente para apps vibe coded

Impacto real: 47 vulnerabilidades antes de auditoría PCI

Una startup fintech publicó en r/vibeward haber encontrado 47 vulnerabilidades de seguridad en código generado por IA solo 3 semanas antes de la auditoría de compliance PCI-DSS. De estas, 12 eran bloqueadores críticos PCI y 23 eran de alta severidad. El equipo usó GitHub Copilot extensivamente, y el código escrito en los 6 meses previos contenía la mayoría de los problemas.

El patrón es claro: el código generado por IA sale rápido, pero se salta lo básico de seguridad. El consenso de la comunidad r/vibecoding (195 upvotes, 139 comentarios) es que “si estás lanzando productos vibe coded con cualquier tipo de backend al público, sin humanos reales auditando la seguridad, estás siendo tremendamente irresponsable”.

Qué deberían hacer los desarrolladores de Lovable ahora

Basado en los hallazgos de la comunidad, esta es la checklist mínima de seguridad para cualquier app Lovable antes de pasar a producción:

1. 1. Habilita RLS en cada tabla. Ve a Supabase Authentication → Policies. Si ves “RLS disabled” en alguna tabla con datos de usuario, estás expuesto ahora.
2. 2. Escribe políticas explícitas para SELECT, INSERT, UPDATE, DELETE. RLS habilitado sin políticas bloquea a todos, incluida la propia app. Añade políticas que revisen auth.uid() = user_id.
3. 3. Elimina todos los secretos hardcodeados del código frontend. Mueve claves de API a variables de entorno y proxia llamadas sensibles vía funciones server-side.
4. 4. Nunca uses la service_role key en el código frontend. Ignora todo el RLS. Cualquiera puede extraerla del bundle JavaScript.
5. 5. Añade verificación de pago en el servidor. No confíes en el estado del frontend para status premium / de pago. Verifica con tu proveedor de pago en el backend.
6. 6. Elimina console.log. Objetos completos de datos en la consola del navegador son visibles para todo usuario.
7. 7. Ejecuta un escaneo de seguridad antes de cada deploy. El escaneo automatizado detecta problemas que la revisión manual deja pasar.

Recursos relacionados

Scanner de Seguridad Lovable

Ejecuta un escaneo de seguridad completo en tu app Lovable.

¿Lovable es seguro?

Análisis de seguridad detallado de la plataforma Lovable.

Cómo proteger Lovable

Guía paso a paso de seguridad para apps Lovable.

Este reporte fue compilado a partir de discusiones públicas en Reddit. Todos los datos citados vienen de posts de la comunidad con sus contadores originales de upvotes. VibeEval no tiene vínculo con Lovable ni con Supabase. ¿Preguntas? Contacta a nuestro equipo.