Construir software con IA es más fácil que nunca. Responder a un ataque, no. Esa es la diferencia que casi nadie ve hasta que la necesita.

El día que nos pusieron a prueba

Hoy por la tarde, alguien intentó destruir una de las plataformas que operamos. No fue un ataque de película. Fue algo mucho más común — y por eso vale la pena contarlo.

La persona se registró en la app con un correo desechable, como cualquier usuario. Después aprovechó una regla de permisos mal configurada para darse a sí misma rol de administrador. Con ese acceso, empezó a borrar datos.

Lo importante no es que pasó. Le pasa a todos. Lo importante es lo que vino después.

El método, sin tecnicismos

En las aplicaciones modernas, la base de datos está expuesta directamente como API. Es rápido y práctico. Pero significa que la única barrera entre un usuario y la información son las reglas de seguridad a nivel de datos.

Cuando una de esas reglas deja un hueco, el atacante no rompe nada. Usa la misma puerta y la misma llave pública que usa tu aplicación todos los días. Por eso estas fallas son tan silenciosas: todo se ve normal hasta que deja de serlo.

Es, además, el tipo exacto de hueco que se cuela cuando construyes a toda velocidad y nadie revisa la capa de seguridad.

La pregunta incómoda del "vibe coding"

Hoy puedes describir una idea, y una IA te entrega una app funcional en horas. Es genuinamente poderoso y llegó para quedarse. Nosotros lo usamos todos los días.

Pero hay una trampa. Construir rápido te da algo que funciona. No te da, por defecto, algo que resiste. Y son dos cosas distintas.

La pregunta real para quien lanza productos con IA no es si su seguridad es perfecta. No lo es la de nadie. La pregunta es: cuando algo falle a las 8 de la noche, ¿vas a poder responder?

¿Tienes respaldos que de verdad sirvan para restaurar?
¿Sabes leer los registros para entender qué tocaron y cuándo?
¿Puedes recuperar lo perdido sin borrar lo que entró ese mismo día?
¿Tienes a alguien que sepa hacerlo bajo presión?

Construir con IA y responder a un incidente son músculos diferentes. El primero está de moda. El segundo es el que te salva.

Qué hizo la diferencia

En cuestión de minutos cerramos el acceso del atacante. Reconstruimos la línea de tiempo con los registros para saber exactamente qué había tocado. Recuperamos la información desde respaldo y reinyectamos la actividad del día para no perder ni una operación.

El resultado: la plataforma quedó 100% operativa y sin pérdida de datos. Después cerramos el hueco que lo permitió y reforzamos el resto del sistema para que no vuelva a pasar por la misma vía.

La lección

Construir rápido es una ventaja enorme. Pero "de idea a producción" incluye los días malos, no solo el lanzamiento.

Si estás construyendo con IA — y deberías — asegúrate de tener también el otro músculo: el de responder. Porque tarde o temprano, alguien va a tocar la puerta.

En Avanzia construimos rápido y operamos lo que construimos. Si quieres una revisión de seguridad de tu app o saber qué tan lista está para un incidente, hablemos.