El IDE gratuito que te cuesta más de lo que crees
Imagina esto: estás trabajando en el sistema core de pagos de un banco. Tu IDE, de forma silenciosa y en segundo plano, está abriendo 500 conexiones a servidores en otro país, enviando 26 MB de datos que incluyen rutas completas de tus archivos, tiempos exactos de tu actividad, identificadores únicos de tu hardware — y todo esto justo cuando creías haberlo desactivado.
No es una película de espionaje. Es lo que documentaron investigadores independientes sobre Trae IDE, el nuevo IDE con IA de ByteDance (la empresa detrás de TikTok), en julio de 2025.
Este artículo no es un ataque a Trae ni a ByteDance. Es una llamada de atención al ecosistema de desarrollo de software sobre algo que debería ser innegociable: la privacidad del código de nuestros clientes.
¿Qué es Trae y por qué se volvió tan popular tan rápido?
Trae es un IDE basado en VS Code, desarrollado por ByteDance, que se lanzó ofreciendo algo que ningún competidor directo daba: acceso gratuito a modelos premium como Claude 3.7 Sonnet y GPT-4o, sin pagar suscripción.
Cursor cobra $20/mes para acceso a modelos de calidad. Trae lo daba gratis.
El resultado fue una adopción masiva, especialmente entre desarrolladores independientes y estudiantes. Y aquí está el problema clásico: cuando un producto es gratuito, la pregunta obligatoria es ¿cuál es el modelo de negocio real?
El escándalo que la comunidad no debería olvidar
Julio 2025 — Lo que los datos revelaron
Un investigador independiente realizó un análisis técnico detallado de Trae y lo que encontró fue alarmante:
Consumo de recursos fuera de lo normal: Trae lanzaba 33 procesos paralelos y consumía 5.7 GB de RAM cargando el mismo codebase que VSCode manejaba con apenas 9 procesos y 0.9 GB. Una diferencia de casi 6x en recursos para hacer el mismo trabajo.
La telemetría que se intensificaba al apagarla: El hallazgo más perturbador fue que al deshabilitar la telemetría desde los ajustes del IDE, el comportamiento no mejoraba — empeoraba. El sistema registró 500 conexiones de red en apenas 7 minutos, enviando 26 MB de datos. Cada paquete individual llegaba a los 53,606 bytes.
¿Qué contenían esos paquetes? Los payloads interceptados revelaban dos capas distintas de recolección:
- Capa 1: Identificadores persistentes de hardware e información del perfil de usuario
- Capa 2: Tiempos exactos de actividad, rutas completas del sistema de archivos, métricas detalladas de comportamiento incluyendo movimiento del mouse y estados de foco de ventana
Esto no es telemetría de diagnóstico. Esto es vigilancia comportamental granular.
La respuesta que hizo más ruido que la solución
Cuando el investigador reportó sus hallazgos en el servidor oficial de Discord de Trae, fue silenciado por 7 días. La razón: la palabra "tokens" estaba en una lista negra del bot de moderación del servidor.
La elección de silenciar una discusión técnica legítima sobre seguridad, en lugar de responder abiertamente, fue para muchos en la comunidad más reveladora que los propios datos técnicos.
La respuesta de ByteDance — ¿Suficiente?
Julio - Agosto 2025: Reconocimiento y parches parciales
ByteDance respondió reconociendo el problema, aunque con matices importantes. Explicaron que el toggle de telemetría en los settings solo controlaba la recolección a través del framework base de VS Code, pero que extensiones de terceros no respetaban ese control. Lanzaron actualizaciones de texto en la UI para ser más explícitos sobre la presencia de telemetría.
El investigador original actualizó su reporte reconociendo el avance, pero también confirmó que seguía pendiente una solución más profunda: un Privacy Mode dedicado, prometido para agosto.
Agosto - Septiembre 2025: Llega Privacy Mode
Trae lanzó Privacy Mode, disponible para todos los usuarios incluyendo el plan gratuito. Con él activado, la telemetría de analytics y mejora de producto se deshabilita.
Trae comunicó oficialmente: "Privacy Mode está completamente soportado en Trae IDE para usuarios Free y Pro. Tus conversaciones se mantienen privadas cuando lo necesitas."
Suena bien. Pero hay que leer la letra chica.
Lo que Privacy Mode no resuelve — La letra chica que importa
Los Términos de Servicio hablan por sí solos
Los ToS actualizados de Trae indican que pueden usar el contenido del usuario para "proveer, mantener, desarrollar y mejorar sus Servicios… entrenar sus modelos… y mantener los Servicios seguros."
La aclaración de Trae es que el código en texto plano se elimina después de procesarse — pero los embeddings y la metadata se retienen. Un embedding es una representación matemática del código que puede contener su semántica, su estructura, sus patrones. No es el código literalmente, pero sí una huella profunda de él.
Lo que la Política de Privacidad no dice
La Política de Privacidad actualizada el 21 de agosto de 2025 no enumera los endpoints específicos de telemetría que siguen activos, ni ofrece una matriz clara de qué se puede desactivar y qué no. La opacidad sigue siendo parte del diseño.
La comparación que lo dice todo
Microsoft, en su política para GitHub Copilot, se compromete públicamente a que los datos de código de usuario no se usan para entrenar modelos base. Es un compromiso claro, auditado y vinculante.
ByteDance no ha hecho un compromiso público equivalente para Trae. No porque sea imposible hacerlo — sino porque no lo han hecho.
Los tiempos de retención
Los datos personales se retienen 5 años después de terminar el servicio. Los datos no personales se retienen indefinidamente.
El escenario que todo equipo debería imaginar
Eres un desarrollador trabajando para un banco. Tu cliente te ha dado acceso al repositorio que contiene la lógica de procesamiento de transacciones, los algoritmos de detección de fraude, las integraciones con sistemas de pagos internacionales. Código que vale millones. Código que, si se filtrara, podría comprometer la seguridad financiera de miles de personas.
Abres Trae. Activas el modo agente SOLO, que planea y ejecuta tareas de forma autónoma navegando tu codebase. SOLO lee múltiples archivos, genera contexto, hace llamadas a la API.
Todo ese contexto — las rutas de archivos, la estructura del proyecto, los patrones del código, potencialmente fragmentos completos de lógica de negocio — viaja a servidores de ByteDance para ser procesado.
Privacy Mode activado. Pero embeddings retenidos. Metadata retenida. Datos no personales retenidos indefinidamente.
¿Cuántos contratos de confidencialidad acabas de violar sin saberlo?
El estado real en Febrero 2026
| Aspecto | Estado |
|---|---|
| Privacy Mode disponible | ✅ Sí, para Free y Pro |
| Telemetría completamente desactivable | ⚠️ Parcialmente — telemetría básica permanece |
| Uso del código para entrenar modelos | ⚠️ Los ToS lo permiten (código plano se borra, embeddings se retienen) |
| Compromiso público explícito de no entrenar con tu código | ❌ No existe de ByteDance |
| Datos personales retenidos | ⚠️ 5 años post-servicio |
| Datos no personales retenidos | ⚠️ Indefinidamente |
Resumen honesto: ByteDance movió el nivel de riesgo de inaceptable a manejable con condiciones. Eso no es lo mismo que resolverlo.
¿Qué debería exigir la comunidad de desarrollo?
La presión colectiva funciona. Las empresas cambian sus políticas cuando el costo reputacional supera el beneficio de mantenerlas. Esto es lo que deberíamos exigir como estándar mínimo a cualquier IDE con IA:
1. Compromiso público y vinculante de no entrenar con código de usuario, con auditoría independiente anual, igual o más sólido que el de Microsoft para Copilot.
2. Un Privacy Mode que sea verdaderamente total, no parcial. Si está activado, cero telemetría, sin excepciones para "monitoreo de funcionalidad".
3. Publicación de los endpoints activos de telemetría con documentación clara de qué datos viajan a cada uno y bajo qué condiciones.
4. Términos de retención de embeddings y metadata que sean razonables, limitados y auditables — no "indefinidamente".
5. Transparencia ante reportes de seguridad, no silenciamiento. Un servidor de Discord que banea la discusión de "tokens" cuando un investigador reporta un hallazgo legítimo es una señal de alerta enorme.
La regla práctica más importante
Antes de usar cualquier IDE con IA en un proyecto de cliente, hazte esta pregunta:
¿Si este código apareciera mañana en un repositorio público o en el dataset de entrenamiento de un modelo de IA, habría consecuencias legales, reputacionales o de seguridad para mi cliente o para mí?
Si la respuesta es sí, ese IDE no debería tener acceso a ese codebase. Sin importar cuánto cueste la alternativa. Sin importar qué tan bueno sea el Privacy Mode. Sin importar las promesas del marketing.
La confidencialidad del código de un cliente no es un feature opcional. Es una obligación profesional y, en muchos sectores, legal.
Conclusión — La privacidad del código no debería ser un privilegio de pago
Trae ofrece algo genuinamente atractivo: modelos de IA de calidad sin costo. Eso es valioso, especialmente para desarrolladores que están aprendiendo o en proyectos personales sin código sensible.
Pero el sector del desarrollo de software necesita establecer una norma clara: ningún IDE debería tener acceso ambiguo al código de clientes, independientemente de su precio. La transparencia y los compromisos verificables no deberían ser características premium.
Compartir este tipo de análisis, hacer preguntas difíciles en público, y exigir respuestas claras de las empresas es la única forma en que la industria avanza hacia estándares más honestos.
Si usas Trae para proyectos personales o de aprendizaje, adelante — es una herramienta poderosa. Pero si tienes código de clientes en tu máquina, esta es tu alerta.
¿Trabajas con clientes en sectores regulados como banca, salud o fintech? Comparte este artículo con tu equipo. Las decisiones sobre herramientas de desarrollo son decisiones de seguridad.
Publicado: Febrero 2026 | Categoría: Seguridad, Herramientas de Desarrollo, IA
Audiencia: Desarrolladores freelance, equipos de software, CTOs, equipos de seguridad
Tags: #Seguridad #DesarrolloDeSoftware #TraeIDE #ByteDance #PrivacidadDelCódigo #IAParaDevs #CursorVsTrae #DataPrivacy
Top comments (0)