La IA convirtió la programación en una ruleta rusa: dispara rápido, pero ¿qué hay en la bala?

En el mundo de la programación, no solo está cambiando la forma en que se escribe el código, sino también la idea de en quién se puede confiar. Según el nuevo informe Cloudsmith Artifact Management Report 2025, la inteligencia artificial ya genera al menos la mitad del código fuente en algunas organizaciones — y una parte significativa de estos fragmentos llega directamente a producción sin ningún control humano.

Entre quienes usan asistentes basados en IA, el 42% afirmó que la IA genera al menos la mitad de su código laboral. De ellos, uno de cada seis reconoció que la mayor parte de sus programas los escribe la IA, y el 3,6% incluso delegó completamente sus tareas a las máquinas.

El informe no proporciona una estimación exacta de cuántos desarrolladores utilizan estas herramientas. Sin embargo, los datos indirectos de GitHub del año pasado permiten hacerse una idea de la magnitud: más del 97% de los programadores encuestados en EE. UU., Brasil, Alemania e India usaron asistentes de IA al menos una vez. En EE. UU., el apoyo empresarial a estas soluciones alcanza el 88%, y en Alemania, cerca del 59%.

A primera vista, las cifras son prometedoras: la generación de código por IA acelera el trabajo, elimina tareas repetitivas y permite centrarse en la arquitectura y la lógica. Sin embargo, Cloudsmith advierte: la productividad no es lo único que traen consigo las redes neuronales. Los modelos generativos no siempre distinguen entre bibliotecas auténticas y ficticias, y en algunos casos incluso sugieren paquetes directamente maliciosos. Y ahí radica una nueva dimensión de amenazas.

Los profesionales, según se ha comprobado, son muy conscientes de estos riesgos. En la encuesta, el 79,2% de los participantes expresó que la IA aumentará la cantidad de malware en el entorno open source, incluidas amenazas como typosquatting (abuso de errores tipográficos en nombres de paquetes) y dependency confusion (sustitución maliciosa de dependencias). Casi un tercio cree que el riesgo aumentará significativamente. Solo el 13% considera que la IA puede reducir las ciberamenazas en el futuro.

Un dato especialmente alarmante es que un tercio de los encuestados no revisa el código generado por la IA antes de hacer el deploy, permitiendo que grandes volúmenes de contenido no verificado lleguen a producción. Aunque dos tercios aseguran que la revisión manual es obligatoria para ellos, sigue siendo una incógnita si esa práctica se mantendrá firme a medida que aumente el volumen de autogeneración.

Cloudsmith subraya: la IA no solo aporta ventajas, sino que amplifica problemas antiguos como el control de integridad de los artefactos, la gestión de dependencias y la construcción de SBOMs (Software Bill of Materials) fiables. Es más, el sistema de confianza en el código empieza a desmoronarse. Mientras la IA se convierte en un actor pleno dentro de la cadena de suministro de software, las herramientas y políticas de seguridad simplemente no están al día.

En un contexto de crecimiento vertiginoso en el volumen de código y uso masivo de generación automática, confiar únicamente en revisiones humanas se convierte en una estrategia condenada al fracaso. La inspección manual ya no puede con la magnitud de los cambios, y la complejidad creciente de los sistemas deja poco margen para la fe ciega en el “quizás no pase nada”. Es un punto de inflexión: o se replantean los principios de confianza en el código fuente, o se observa cómo la IA reescribe caóticamente las reglas de seguridad.

La tesis principal del informe es clara: la revisión del contenido generado por IA ya no puede ser opcional. El audit debe convertirse en una práctica obligatoria, con detección automática de fragmentos sospechosos y bloqueo de compilaciones vulnerables antes de su salida a producción. En plena digitalización global, estas medidas ya no parecen exageradas.