Un clic y tus claves de acceso al descubierto: qué hallaron en los archivos de los formateadores JSON en línea más populares

La empresa Beyondmemory examinó alrededor de 200 000 documentos que los usuarios guardaron a través de una familia de servicios para formatear JSON y código, incluidos jsonformatter.org y codebeautify.org. Estos servicios permiten poner el texto en un formato legible, guardar el resultado mediante un enlace y luego mostrar los fragmentos guardados en la lista pública «Enlaces recientes».

Según los datos de Beyondmemory, los investigadores recopilaron el material durante aproximadamente siete años y finalizaron el trabajo en mayo de 2026. Los especialistas encontraron no solo datos personales, sino también claves de acceso, tokens, cadenas de conexión a bases de datos, registros internos y fragmentos de flujos de trabajo con asistentes basados en inteligencia artificial.

El problema principal no resultó ser un hackeo. Los datos se hacían públicos porque los desarrolladores mismos pegaban fragmentos de trabajo en un servicio externo, y el servicio guardaba esas inserciones y mostraba enlaces a ellas en una lista abierta. Para obtener los datos no se requerían contraseña, cuenta ni eludir ninguna protección.

En el corpus, Beyondmemory encontró al menos 1078 documentos que con alta probabilidad contenían credenciales, identificadores o secretos activos. Otros 2167 documentos recibieron una valoración de riesgo media. Entre los hallazgos había claves de Amazon Web Services, Google Cloud, SendGrid, Stripe, cadenas de conexión a MongoDB, tokens de sesión, claves privadas y datos de clientes.

Los especialistas dedicaron una sección del informe a Turquía. La búsqueda inicial produjo 2087 documentos en turco, 800 materiales con indicios de datos personales, 262 documentos con números TCKN que pasaron la verificación de control, 40 IBAN turcos y 18 019 números de teléfono en formato turco. Tras una revisión manual se descartaron algunas coincidencias como falsos positivos, pero los casos restantes mostraron fugas reales.

En las inserciones públicas se hallaron datos de ciudadanos, información bancaria, registros de seguros, facturas electrónicas y tablas de clientes. En un caso, en un enlace público aparecieron nombre, apellido, identificador nacional, datos del vehículo y datos de tarjetas bancarias. En otro caso el servicio almacenaba la lista de clientes de una empresa de hosting, incluidos nombres, teléfonos, correo electrónico y claves para la autenticación de dos factores.

Beyondmemory enfatiza que Turquía no parece singularmente más vulnerable que otros países. El problema es más amplio: los desarrolladores en todo el mundo se han acostumbrado a ver el formateador en línea como una pestaña más del navegador, aunque el texto pegado se envía a un servidor ajeno y puede conservarse en una lista pública.

Una nueva capa de riesgo está relacionada con asistentes basados en inteligencia artificial. En el corpus encontraron cientos de documentos semejantes a instrucciones del sistema, fragmentos de bases de conocimiento y consultas que los desarrolladores preparaban para depurar con ayuda de la IA. En 98 documentos detectaron claves para servicios de inteligencia artificial, incluyendo Google AI, OpenAI y otras plataformas.

Mientras preparaban el informe, Beyondmemory también encontró una vulnerabilidad de cross-site scripting persistente en jsonformatter.org. Debido al error, la inserción guardada podía contener código que se ejecutaba en el navegador del visitante al abrir la página. Según la compañía, la vulnerabilidad se comunicó al operador del servicio el 3 de junio de 2026.

Los especialistas consideran que las empresas deben prohibir el acceso de las estaciones de trabajo a servicios públicos de inserción y formateo, formatear JSON en herramientas locales y controlar por separado los flujos de trabajo con asistentes de IA. Para los sectores regulados, esa inserción de datos en un servicio externo debe considerarse tratamiento de datos personales y no una nimiedad técnica inofensiva.