Marcos tiene un SaaS de logística que factura $40,000 al mes. No sabe programar — construyó el producto entero usando Cursor en modo agente. Le iba bien. Hasta el martes pasado, cuando abrió su dashboard de Stripe y vio $8,400 en cargos que él no había autorizado, ejecutados en cuatro horas.
Pasó las tres semanas siguientes auditando, rotando credenciales, llamando a clientes para explicarles por qué iban a ver un reembolso seguido de un nuevo cargo, y explicándole a su socio por qué la empresa estuvo a punto de morir.
La causa no fue un hacker. Fue una conversación con su IA que Marcos tuvo dos meses antes y que nunca pensó que importaba.
Si en los últimos seis meses usaste Cursor, Lovable, Bolt, v0, ChatGPT, Claude Desktop, Replit Agent o cualquier otra herramienta donde le pediste a una IA que construya o ejecute algo por vos — y en algún momento pegaste una API key, una contraseña, un token, un connection string, o un código de acceso en esa conversación — esto te toca a vos. Esta es la historia de Marcos y otras dos que estamos viendo repetirse semana tras semana, y la regla simple que te las evita.
Historia 1: La API key que era "de prueba"
Marcos estaba integrando Stripe en su producto. Le pidió a Cursor: "ayudame a configurar los pagos, acá está mi clave de Stripe". Pegó la clave en el chat. Cursor hizo el trabajo. Funcionó.
Lo que Marcos no sabía: Stripe tiene dos tipos de claves. Una "de prueba" (que empieza con sk_test_) y una "de producción real" (que empieza con sk_live_). Marcos pegó la de producción real, porque era la que tenía a mano en su dashboard abierto. Cursor no le dijo nada — no es trabajo de Cursor adivinar.
La conversación con Cursor quedó guardada. La conversación tiene la clave. La conversación está accesible a Cursor (la empresa), sus servicios de infraestructura, sus equipos de soporte, sus sistemas de detección de abuso, y cualquier integración que Marcos haya activado.
Dos meses después, alguien dentro de ese conjunto enorme de actores autorizados usó la clave para ejecutar cargos reales contra la cuenta de Marcos. No sabemos si fue malicia, accidente, o un sistema automatizado que confundió la prueba con producción. No importa. La clave nunca debió haber estado ahí.
El costo total para Marcos: $8,400 en cargos directos, $14,000 en refunds, comisiones bancarias, asesoría legal, y tres semanas de no poder vender nada nuevo mientras auditaba todo.
Principio: Si la clave puede mover dinero real, no debe vivir en una conversación con tu IA. Ni una vez. Ni "solo para probar".
Historia 2: La consultora que perdió un cliente
Lucía es consultora de tecnología. Trabaja con cinco clientes simultáneos. Usa Claude Desktop conectado a sus herramientas locales para acelerar las tareas: revisar configuraciones, debuggear despliegues, mover datos entre ambientes.
Uno de sus clientes — una startup SaaS de mediana escala — le había compartido las credenciales de su cuenta de cloud para una tarea específica. Lucía las guardó en un archivo local de configuración, como guarda todas las credenciales de todos sus clientes. Las usaba escribiendo "Claude, revisá el deployment del cliente Z" — y Claude leía ese archivo para encontrar los datos que necesitaba.
Pasaron seis meses. Una mañana, el CTO del cliente recibió una alerta de su proveedor de cloud: facturación inesperada de $31,000 en una semana. Investigación: alguien estaba minando criptomonedas usando las credenciales de la cuenta. ¿Cómo escaparon? La forma exacta nunca se confirmó, pero el equipo de seguridad del cliente concluyó que la fuga venía del lado del proveedor externo: Lucía.
El cliente la despidió esa semana. Pidió revisión legal del contrato de confidencialidad. La noticia circuló en el círculo profesional. Lucía perdió a dos clientes más en los siguientes tres meses por reputación. No recuperó el primero.
Lo doloroso: Lucía no hizo nada técnicamente "malo". Guardar credenciales en archivos locales fue una práctica aceptable durante toda su carrera. El cambio fue Claude — una herramienta nueva, increíblemente productiva, con un detalle que ella no consideró: cada lectura de archivo que la IA hace se persiste, se viaja, y se vuelve accesible a un conjunto de actores que Lucía no controla.
Principio: Las credenciales de tus clientes son de tus clientes. Si tu IA puede leerlas, asumí que ya las leyó, y diseñá tu trabajo para que eso no importe.
Historia 3: El descuento que costó $40,000
El CEO de una empresa de servicios con 8 empleados configuró un sistema que parecía mágico. Conectó su Claude (a través de Zapier) con su Gmail, su Stripe, su Notion, y su Mailchimp. La idea: que la IA actúe como su asistente ejecutivo, ejecutando tareas operativas mientras él se enfoca en venta.
Un viernes a la tarde, ya con la cabeza en el fin de semana, le tipeó: "mandales un mail de agradecimiento a nuestros top 50 clientes esta semana, con un descuento chico de bienvenida al programa de fidelidad nuevo".
La IA interpretó "descuento chico" como 50%. Generó un código de cupón en Stripe por 50% off. Lo mandó a 50 clientes. Treinta lo usaron en las siguientes 18 horas. Cuando el CEO se dio cuenta el lunes a la mañana, el daño estaba hecho: $40,000 en margen perdido en un fin de semana.
El problema no fue que la IA fuera "mala". El problema fue que la IA tenía permiso para mover dinero (vía Stripe), tenía permiso para hablar en nombre del CEO (vía Gmail), y tenía suficiente contexto histórico (vía Notion) para sentir que sabía lo que hacía. Tres herramientas potentes conectadas, sin un humano revisando entre paso y paso.
Y lo peor del caso: las credenciales para que la IA hiciera todo eso vivían en una conversación de configuración inicial que el CEO había tenido seis meses antes. Cuando la empresa intentó cortar el acceso después del incidente, descubrieron que rotarlas requería tocar cinco sistemas distintos, porque la misma clave se había reutilizado.
Principio: Una IA con acceso a varias herramientas amplifica su error en cada combinación. Antes de darle permisos amplios, asegurate de poder cortarle el agua rápido — y de que la rotación de una credencial no requiera tocar diez sistemas.
Por qué esto está pasando ahora (y no antes)
Durante años, los CEOs y consultores no técnicos no teníamos cómo construir un producto sin contratar un equipo de programadores. Hoy podemos. Cursor, Lovable, Bolt, v0, Replit Agent y los modos agente de ChatGPT y Claude convirtieron a cualquiera con visión de producto en alguien capaz de tener un MVP funcionando en un fin de semana.
Esa misma fluidez que hace mágica a la herramienta — pegar lo que sea en el chat y ver resultados al toque — es exactamente la que crea el problema. La IA aprende a usar lo que le das. Si le das una clave de pagos, la usa. Si le das acceso a tu email, lo usa. Si le das un connection string a tu base de datos, lo usa.
Y todo lo que le das se guarda. No porque la empresa de IA sea malvada — al contrario, las empresas serias (OpenAI, Anthropic, Google) tienen políticas estrictas sobre no usar tu data para entrenar modelos. El problema no es ese. El problema es que la conversación misma — la transcripción — existe. Vive en servidores. Se respalda. Se replica. Es accesible a equipos de soporte, de moderación, de detección de abuso, de cumplimiento legal. Cada uno con autorización legítima, ninguno conocido por vos.
La analogía más cercana es esta: imaginá que contratás un asistente con memoria fotográfica perfecta. Le confiás las llaves del auto, tu tarjeta de crédito, y el código de la caja fuerte. El asistente nunca te traicionaría a propósito. Pero el asistente le tiene que reportar todo lo que vio al servicio de niñeras que lo contrató — eso es parte del contrato. Y el servicio de niñeras tiene archivos accesibles a varias personas, todas autorizadas, ninguna que vos conozcas. Cuando el accidente pasa, no vas a saber quién lo cometió. Solo vas a ver el cargo en tu tarjeta.
Principio: La conversación con tu IA es un canal abierto a más actores de los que vos podés enumerar. Tratá su contenido como tratarías un mail que se va a publicar en LinkedIn.
La regla simple que evita las tres historias
No tenés que volverte experto en ciberseguridad. La regla operativa es una sola, y la podés aplicar desde mañana sin pedirle ayuda a nadie técnico:
Nunca pegues en una conversación con IA un secreto que te dolería rotar.
Si rotarlo significa más de quince minutos de trabajo, más de un sistema tocado, una llamada al banco, una explicación a un cliente, o cualquier nivel de "uf, qué bajón" — ese secreto no entra al chat. Ni para "probar". Ni "una sola vez". Ni "después lo borro de la conversación" (no podés — la conversación está guardada en sus servidores, no en tu pantalla).
Y para los secretos que SÍ podés rotar fácil (un password de un servicio descartable, un token de prueba) — fijate dos veces que es el de prueba antes de pegarlo. Marcos creyó que la clave era de prueba. Era de producción.
Principio: El test es la incomodidad de la rotación. Si la rotación duele, el secreto no debe pasar por la IA.
¿Qué hacés esta semana?
Cinco acciones concretas, ordenadas por urgencia. Ninguna requiere conocimiento técnico — todas las podés hacer vos o pedirle a alguien que las haga.
- Hacé el inventario. Sentate diez minutos y listá las APIs y servicios que usaste en los últimos seis meses donde le diste credenciales a una IA. Stripe, OpenAI, Anthropic, Google, GitHub, Notion, Mailchimp, tu base de datos, tu cloud, tu plataforma de email transaccional. No tiene que ser exhaustivo. Lo que se te ocurra ahora.
- Rotalos. Sí, todos los de la lista. Sé que es un fastidio. Cada plataforma tiene un botón de "regenerar clave" o "rotar token". Es trabajo aburrido de una tarde. Es infinitamente más barato que la tarde de Marcos.
- Activá límites de gasto. En cada servicio que cobra (OpenAI, Anthropic, Stripe, AWS, Google Cloud), configurá límites duros. Si el límite se alcanza, el servicio se detiene. Es tu seguro contra el cargo de $50,000 que aparece un sábado.
- Reducí el alcance de tu IA. Si tu agente tiene acceso a múltiples herramientas que mueven dinero o mandan comunicaciones — Stripe + Gmail + Mailchimp todos al mismo tiempo — separá los accesos. Una IA para tareas de marketing, otra para tareas operativas, ninguna con permiso de hacer dos cosas catastróficas a la vez. Pequeña fricción para vos, mucho menos daño cuando la IA se confunde.
- Movetelos a un manager. Si llegaste hasta acá y estás pensando "ok, ¿pero dónde GUARDO las credenciales si no es en el chat?" — la respuesta es un gestor de secretos. Es el equivalente, para credenciales de servicios, de lo que es 1Password o LastPass para tus contraseñas personales. Las guardás una vez ahí, le das a tu IA un permiso al gestor, y la IA puede usar los servicios sin nunca ver la clave real.
Principio: No necesitás aprender ciberseguridad. Necesitás cambiar dónde viven cinco cosas. Una tarde, una vez.
Una opción que existe (si llegaste hasta acá pensando "esto es demasiado")
Si tu reacción a este artículo es "no tengo tiempo de pensar en esto, yo quiero construir mi producto", es una reacción completamente válida. La mayoría de los fundadores no técnicos llega a esa conclusión la primera vez que ven el costo de migrar.
Existen herramientas diseñadas exactamente para este problema. Algunas son veteranas en el espacio empresarial (HashiCorp Vault, AWS Secrets Manager, Google Secret Manager) — buenas y robustas, pero pensadas para equipos técnicos. Otras son más nuevas y específicamente diseñadas para el caso de los agentes de IA: ahí cada agente tiene su propia "tarjeta de acceso", podés ver quién accedió a qué credencial y cuándo, y la rotación es un cambio en un solo lugar.
En Ganemo construimos Secrevo precisamente para fundadores y equipos que están usando agentes de IA pero no quieren convertirse en expertos de seguridad para mantenerlos a salvo. Guardás las credenciales una vez. Le das a tu agente una llave del vault — no las credenciales. El agente usa los servicios. Vos ves un log de cada acceso. Cuando algo se siente raro, cortás el acceso del agente con un click — no necesitás rotar diez credenciales en diez sistemas distintos. Es una opción entre varias, y vale para los equipos que prefieren no construir esta capa desde cero.
Sea cual sea la herramienta que uses — incluso un cuaderno físico con las credenciales escritas y un proceso manual — el principio que define si tu negocio está protegido es uno solo. Si tu IA puede ver la clave, esa clave eventualmente va a viajar a un lugar que vos no controlás. Marcos lo descubrió con $8,400. Lucía con un cliente y dos contratos. El CEO con $40,000. Vos podés descubrirlo sin pagar el costo, simplemente cambiando dónde viven las credenciales antes de la próxima conversación con tu IA.
$50K perdidos por compartir credenciales con tu IA