¿Programas con ayuda de la IA? Enhorabuena: la IA ahora escribe troyanos mejor que los hackers
«Vibe-coding», el nuevo quebradero de cabeza para líderes de equipo y expertos en seguridad
En la programación ha surgido un nuevo hábito, que rápidamente se está convirtiendo en un problema para toda la industria. El llamado vibe-coding —la práctica en la que los desarrolladores crean soluciones de software con ayuda de IA generativa, adaptando fragmentos listos en lugar de escribirlos manualmente— se está generalizando. Este enfoque promete ahorrar tiempo y recursos, pero a cambio genera nuevas amenazas de seguridad que ya empiezan a afectar a productos y servicios reales.
Antes los programadores aceleraban el desarrollo gracias a bibliotecas y componentes listos con código abierto. Esto permitió centrarse en la lógica y las interfaces, pero provocó un aumento de vulnerabilidades, ya que no todas las bibliotecas se mantienen o verifican adecuadamente. Con la aparición de la generación por IA la situación cambió solo en lo superficial: en lugar de importar un paquete de terceros, ahora basta con escribir una petición para que el modelo cree un bloque de código para la tarea. Sin embargo, el riesgo interno permanece: el desarrollador recibe un resultado sin entender siempre de dónde provienen las líneas sobre las que luego se construirá su producto.
Según datos de Checkmarx, hacia finales de 2024 alrededor del 60% del código empresarial ya se había creado con ayuda de IA. Al mismo tiempo, solo el 18% de las empresas contaba con una lista aprobada de herramientas para ese trabajo. Los investigadores señalan que como resultado se difuminan las fronteras de responsabilidad: no queda claro quién es el autor de una solución concreta, si ese código pasó auditoría o si cumple con las normas de seguridad. A diferencia de repositorios como GitHub, donde es posible rastrear los commits, las líneas generadas por redes neuronales no tienen historial de procedencia ni de autoría.
El problema se agrava por otro factor: el entrenamiento de la IA con proyectos antiguos o vulnerables. Si el modelo absorbe código con errores conocidos, reproduce los mismos defectos en proyectos nuevos. Esto crea un ciclo cerrado, cuando una misma vulnerabilidad pasa de generación en generación de algoritmos. Además, distintos miembros del equipo que usan el mismo modelo obtienen variantes ligeramente diferentes de soluciones, lo que dificulta la verificación y el mantenimiento posteriores de los sistemas.
Los especialistas han señalado que la opacidad y la fragmentación del código generado por IA destruyen los mecanismos tradicionales de control que existían en el ecosistema de código abierto. Allí la responsabilidad se repartía entre los participantes, el código pasaba por discusión pública y revisión. En el caso de la IA esos filtros prácticamente no existen: la mayor parte de las soluciones generadas llega al producto sin una validación completa. Como resultado, crece la probabilidad de errores ocultos que no es posible detectar con las herramientas de análisis estándares.
Otra cara del vibe-coding es la ilusión de accesibilidad. Para pequeñas empresas y organizaciones sin fines de lucro que carecen de recursos para el desarrollo profesional, las herramientas generativas son una forma tentadora de obtener rápidamente la aplicación necesaria. Pero la facilidad de uso se vuelve una amenaza: esos productos con frecuencia se publican con interfaces sin protección, un manejo incorrecto de datos y falta de autenticación. Y si una gran empresa puede soportar las consecuencias de un incidente, una vulnerabilidad en una aplicación para un proyecto social puede tener consecuencias catastróficas.
Los expertos en seguridad advierten que, al terminar el «periodo de gracia» para la IA, la cuestión de auditar el código se planteará con la misma urgencia que en su momento ocurrió con el código abierto. Los desarrolladores deben tener esto en cuenta desde ahora, estableciendo procesos de revisión e implantando la verificación obligatoria de los resultados de generación. Al fin y al cabo, cada nueva capa de automatización no elimina la responsabilidad humana: solo añade imprevisibilidad.