El 29 de julio de 2025, Wiz Research reveló una importante falla de seguridad en Base44, la plataforma de codificación de vibraciones de rápido crecimiento propiedad de Wix.
La vulnerabilidad permitía a los atacantes eludir la autenticación y acceder a aplicaciones y datos privados simplemente usando un app_id público. Wiz la calificó de "sorprendentemente fácil de explotar".
El problema se solucionó en 24 horas, sin evidencia de abuso en el mundo real.
Lo que dice Wiz
Wiz describió la vulnerabilidad en Base44 como crítica, fácil de explotar y de gran impacto. Enfatizó que la falla permitía el acceso no autorizado a aplicaciones privadas usando únicamente un identificador público: sin contraseña ni secretos.
En sus propias palabras:
Esta vulnerabilidad que descubrimos fue sorprendentemente fácil de explotar: permitía a cualquiera registrarse en una aplicación con tan solo un app_id no secreto. No se requería contraseña, secreto ni verificación alguna.
“Informamos del problema a Wix y, en 24 horas, se implementó una solución”.
Wiz elogió a Wix por su rápida respuesta y el manejo responsable de la divulgación.
Lo que eso significa (en palabras humanas)
Los investigadores de Wiz encontraron una vulnerabilidad grave en Base44 que permitía a los atacantes acceder fácilmente a las aplicaciones de los usuarios, ya que todos usaban la misma clave sin cifrar. Esta clave estaba expuesta en las URL de las aplicaciones, lo que permitía a cualquiera:
Utilice la clave para registrar y verificar una cuenta
Crearse como administrador en la aplicación de cualquier usuario
Omitir todas las protecciones de contraseña y SSO
Sin hackeos. Sin contraseñas. Una sola clave desbloqueaba miles de aplicaciones.
Wiz lo describió como una evasión de autenticación y afirmó que el problema era "sorprendentemente fácil de explotar" en toda la plataforma. Alertaron a Base44 (propiedad de Wix) y la solución se implementó en menos de 24 horas. Wiz también confirmó que hasta el momento no se ha detectado ningún daño a los clientes.
En resumen:
El problema estaba del lado de Base44: era una falla de diseño de seguridad a nivel de plataforma.
Base44 utilizó la misma clave estática y no cifrada para todas las aplicaciones de clientes creadas en la plataforma.
Esa clave permitía acceso a nivel de administrador y no estaba protegida adecuadamente.
Así que no. Los usuarios individuales o desarrolladores que usaron Base44 no hicieron nada malo.
Pero como la clave se compartía en toda la plataforma, cualquiera que supiera cómo explotarla podía obtener control administrativo sobre cualquier aplicación creada con Base44, sin necesidad de apuntar a un usuario o cuenta específicos.
Esto lo convierte en una vulnerabilidad a nivel masivo, cuyo origen está en cómo se diseñó el sistema y no en cómo se utilizó.
¿Qué necesitas hacer para mantenerte seguro? Básicamente, nada.
A partir de julio de 2025, no se requiere ninguna acción por parte de los usuarios de Base44: han solucionado el problema en toda la plataforma.
Dicho esto, esto es lo que recomendamos hacer para estar más seguro:
📝 Revise su panel de análisis de Base44: busque visitas o registros de usuarios inusuales en aplicaciones privadas que creó antes del 9 de julio de 2025
🔍 Supervise los registros y patrones de acceso; por ejemplo, busque nuevas cuentas de administrador o registros que no pasaron por su equipo. wiz.io
🚨 Habilite el monitoreo o las alertas de la plataforma: si tiene Wiz u otra herramienta de seguridad en la nube, úsela para detectar registros o accesos inesperados a la aplicación Base44.
✅ Resumen
Estado de la corrección: Completado. Base44/Wix implementó el parche en 24 horas, sin necesidad de intervención del usuario.
Qué más puede hacer: Revise los análisis y registros anteriores al 9 de julio para detectar actividad extraña.
Por qué es importante: incluso si no sucedió nada, debe medir la exposición a través de registros de auditoría y crear una mejor visibilidad la próxima vez.
Prompt It Up - Manteniéndolo al día
¿Le preocupa que sus herramientas favoritas puedan quedar expuestas y usted ni siquiera lo sepa?
A continuación se muestra un mensaje que le ayudará a analizar las noticias como un profesional:
“Muéstrame las últimas vulnerabilidades de seguridad o informes de infracciones relacionados con [insertar nombre de la plataforma aquí], provenientes de blogs, empresas de investigación o noticias de seguridad de los últimos 30 días”. 
Úselo en:
Gemini (ideal para sitios web en vivo y blogs de proveedores)
Perplejidad (para un resumen rápido de seguridad)
ChatGPT (si la navegación está habilitada)
O busque manualmente en Wiz, BleepingComputer y blogs de proveedores.
📍Porque cuando se trata de vulnerabilidades de la plataforma, tu panel de control no te lo dirá.
Pero una publicación en un blog podría serlo.
Perspectiva del equipo Frozen Light
Esta historia no trata sobre una codificación de vibraciones que salió mal.
Se trata de la arquitectura de la plataforma y del coste de avanzar rápidamente sin controles suficientes.
La vulnerabilidad de Base44 no fue causada por la forma en que los usuarios creaban aplicaciones.
No se trataba de indicaciones, bloqueos o “vibraciones”.
Se trataba de cómo se construyó la plataforma en sí.
Una clave de administrador compartida, codificada y sin cifrar brindó acceso para crear superusuarios en todas las aplicaciones de la plataforma.
Esa no es una característica mal utilizada: es una exposición a nivel de infraestructura.
Esto podría haber sucedido en cualquier plataforma (de código bajo, de código completo, basada en vibraciones o heredada) si la seguridad no hubiera existido desde el primer día.
Y ese es el mensaje más profundo aquí.
En todo caso, esta historia demuestra que la velocidad del crecimiento puede superar a la seguridad, especialmente cuando las empresas emergentes compiten en mercados en auge como el de la creación de aplicaciones en solitario o el de herramientas de creación que priorizan la inteligencia artificial.
La moraleja no es “no usar plataformas de vibración”.
Es importante saber qué hay debajo del capó antes de empezar a construir sobre ello.
¿Qué pasa si estás escalando como una empresa unipersonal con IA y plataformas sin código?
Este es tu recordatorio: la confianza se gana, no se promociona.
