La IA ha facilitado el despliegue de software en días en lugar de meses. Esa velocidad es un regalo, pero también cambia dónde reside la seguridad y con qué rapidez puede entrar el riesgo en su aplicación. En esta Masterclass de Aikido, Bill Harmer (CISO, Supabase) e Igor Andriushchenko (CISO, Lovable) compartieron lo que se necesita para mantener la velocidad sin perder el control. Este resumen captura las partes que todo desarrollador debería aplicar ahora mismo.
Integre la seguridad desde el principio
Lovable le ayuda a pasar de la idea a la interfaz rápidamente. Supabase le proporciona la base de backend y base de datos. Bill comenzó con un recordatorio que importa más que cualquier elección de herramienta: la seguridad es una decisión de diseño, no un parche de última hora.
“La seguridad se entrega por diseño, no se añade a posteriori.” - Bill Harmer, CISO Supabase
Cuando los cimientos son seguros, todo lo que se construye sobre ellos permanece más tranquilo. Mantenga la lógica sensible y el acceso a los datos en el backend, apóyese en configuraciones seguras por defecto en lugar de implementar su propia autenticación, y evite enviar soluciones rápidas al navegador solo para desbloquear una compilación.
Utilice lo que le ofrecen las plataformas
Los equipos a menudo reconstruyen controles que ya existen en su stack. Supabase y Lovable se entregan con barandillas de seguridad (guardrails) que ahorran meses de trabajo si simplemente los activa y los usa según lo previsto.
“Construimos Supabase para que los equipos hereden controles de nivel empresarial desde el primer día.” - Bill Harmer, CISO Supabase
La autenticación, los permisos, las políticas de almacenamiento y el cifrado ya están ahí. La tarea es configurarlos y respetarlos, no reemplazarlos por algo más arriesgado.
No omita la seguridad a nivel de fila (Row Level Security)
La seguridad a nivel de fila (RLS) es simple, potente y con demasiada frecuencia ignorada. Decide exactamente qué filas puede ver o cambiar un usuario. Sin ella, el radio de impacto es toda la tabla.
“Si no hace nada más, habilite la seguridad a nivel de fila (Row Level Security) y configúrela.” - Bill Harmer, CISO Supabase
Lovable habilita RLS por defecto, pero aún necesita escribir y probar las políticas. Trate RLS como un cinturón de seguridad. Solo se da cuenta de que falta cuando ya es demasiado tarde.
La seguridad le ralentiza un poco, y eso está bien
Añadir comprobaciones puede romper algo. Eso es normal. El punto de Igor no era evitar la fricción, sino tratarla como una señal de que está haciendo el trabajo correcto.
“La seguridad no es gratuita. La recompensa es la tranquilidad y menos incidentes.” - Igor Andriushchenko, CISO Lovable
Si una regla bloquea una ruta, corrige la ruta en lugar de eliminar la regla. Invertir horas ahora ahorra días de limpieza posterior. La verdadera velocidad es desplegar con confianza.
Pensar en capas
No existe una única característica que proteja una aplicación. Una buena seguridad se basa en una pila de pequeños controles que se refuerzan mutuamente para detectar omisiones.
«Piensa en capas. Cada capa debe fallar de forma segura (fail closed).» - Igor Andriushchenko, CISO de Lovable
Utiliza MFA y acceso basado en roles. Desplaza la lógica sensible a las funciones edge. Aplica RLS en la base de datos. Escanea en busca de secretos y vulnerabilidades antes de la fusión. Monitoriza el tráfico en tiempo de ejecución y establece límites de tasa. Cada capa reduce el impacto cuando algo se escapa.
Los desarrolladores se están convirtiendo en constructores
La IA ha transformado el oficio. El valor reside menos en la codificación y más en la configuración de sistemas que soporten los cambios.
«Contrata a constructores. Personas que resuelven problemas con sistemas. La herramienta es secundaria.» - Igor Andriushchenko, CISO de Lovable
Los constructores entienden los límites, el flujo de datos y los puntos de fallo. Saben qué pertenece al navegador, qué permanece en el edge y qué debe aplicar la base de datos. Esa mentalidad evita que los riesgos sutiles se conviertan en incidentes públicos.
Establece límites para la IA
Los grandes modelos de lenguaje están diseñados para ejecutar código. Si una restricción parece ser la causa de un fallo, el modelo intentará eliminarla. Eso puede ser una comprobación de seguridad.
«La IA eliminará las restricciones para ejecutar código a menos que le indiques lo contrario.» - Igor Andriushchenko, CISO de Lovable
Establece reglas antes de generar. Mantén los secretos fuera del navegador. Deja que las funciones edge gestionen la lógica sensible. Deja que la base de datos aplique RLS. Pide a la IA que te ayude a construir, no que decida qué es seguro.
Despliega con los fundamentos cubiertos
El último recordatorio de Bill fue confiar en las configuraciones seguras por defecto y verificar los fundamentos antes del lanzamiento.
«Las configuraciones seguras por defecto lo hacen todo más fácil.» - Bill Harmer, CISO de Supabase
Activa y prueba RLS. Habilita MFA. Mantén los secretos fuera de los repositorios. Añade límites de tasa y protección contra bots para los endpoints públicos. Separa los entornos de staging y producción. Revisa los registros y las alertas. Automatiza los escaneos en CI. Estos pasos son sencillos y son los que evitan titulares.
La conclusión
Ser rápido no tiene por qué significar ser frágil. Lovable te permite construir rápidamente. Supabase te proporciona una base segura. Aikido lo une todo al encontrar y solucionar riesgos en tu código, nube y tiempo de ejecución, para que puedas seguir desplegando sin dudar de lo que pudiste haber pasado por alto.
Si quieres una lista práctica que puedas implementar hoy mismo, empieza con la Lista de Verificación de Seguridad para Vibe Coder.
Mira la grabación completa de la Masterclass para escucharlo directamente de los CISOs.
