Cursor entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de Cursor línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
El repositorio contiene un archivo .env con URLs de base de datos, claves de API o secretos de terceros que apuntan a servicios reales y facturables. Aunque el repositorio sea privado hoy, cualquiera que lo clone para onboarding, lo bifurque o navegue por commits antiguos se queda con un juego de claves operativo.
Una consulta lee por id pero nunca comprueba que el id pertenezca al usuario autenticado — típicamente `SELECT * FROM invoices WHERE id = ?` en lugar de `... WHERE id = ? AND user_id = ?`. Dos cuentas de prueba pueden leerse los registros mutuamente cambiando un número en la URL.
Endpoints que modifican datos — crear, actualizar, eliminar — aceptan peticiones sin comprobar nunca una sesión, un JWT ni un token de API. La UI esconde los botones detrás de una pantalla de login, así que la persona que lo construyó da por hecho que la API está protegida. No lo está: cualquiera con curl y la URL puede llamarla.
La IA sugirió un import para un paquete que o bien no existe en npm o se corresponde con un typosquat malicioso de uno real (`reqeusts`, `loadash`, `node-fetchh`). Cuando `npm install` funcionó, instaló o nada útil o el backdoor que alguien colocó al registrar el nombre — y ahora vive en el lockfile.
El backend lee el id de usuario del payload del JWT pero nunca verifica la firma contra la clave pública. Falsificar un token de administrador es un script de una línea — el sistema confía en lo que el cliente diga ser.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de Cursor en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de Cursor: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
Frecuentemente sí — Cursor deja huellas estilísticas en la forma de los commits, los patrones de completado y el tipo de sugerencias que los desarrolladores tienden a aceptar. Lo confirmamos leyendo el código, no preguntando a tu equipo.
La amplía. Los cambios en modo agente tocan varios archivos a la vez, así que prestamos atención extra al churn del lockfile, a la higiene del .env y a los diffs que cruzaron fronteras (auth + UI + base de datos) en un solo commit.
Sí. Si tu setup de Cursor usa servidores MCP que leen tu base de código o sistemas externos, auditamos qué pueden ver esos servidores y si su acceso está más acotado que el acceso completo al repositorio del desarrollador.
Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Apps Next.js desplegadas en Vercel con Supabase como base de datos por defecto, a menudo enviadas antes de cualquier revisión de backend.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
