¿Programas con ayuda de la IA? Enhorabuena: la IA ahora escribe troyanos mejor que los hackers
«Vibe-coding», el nuevo quebradero de cabeza para líderes de equipo y expertos en seguridad
En la programación ha surgido un nuevo hábito que rápidamente se está convirtiendo en un problema para toda la industria. El llamado vibe coding —la práctica en la que los desarrolladores crean soluciones de software con ayuda de IA generativa, adaptando fragmentos listos en lugar de escribirlos manualmente— se está generalizando. Este enfoque promete ahorrar tiempo y recursos, pero a cambio genera nuevas amenazas de seguridad que ya empiezan a afectar productos y servicios reales.
Antes, los programadores aceleraban el desarrollo gracias a bibliotecas y componentes listos de código abierto. Esto permitió centrarse en la lógica y las interfaces, pero provocó un aumento de vulnerabilidades, ya que no todas las bibliotecas se mantienen ni se verifican adecuadamente. Con la aparición de la generación con IA, la situación cambió solo en lo superficial: en lugar de importar un paquete de terceros, ahora basta con escribir una solicitud para que el modelo cree un bloque de código para la tarea. Sin embargo, el riesgo de fondo permanece: el desarrollador recibe un resultado sin entender siempre de dónde provienen las líneas sobre las que luego se construirá su producto.
Según datos de Checkmarx, hacia finales de 2024 alrededor del 60 % del código empresarial ya se había creado con ayuda de IA. Al mismo tiempo, solo el 18 % de las empresas contaba con una lista aprobada de herramientas para ese trabajo. Los investigadores señalan que, como resultado, se difuminan las fronteras de responsabilidad: no queda claro quién es el autor de una solución concreta, si ese código ha pasado una auditoría o si cumple con las normas de seguridad. A diferencia de repositorios como GitHub, donde es posible rastrear los commits, las líneas generadas por modelos de IA no tienen historial de procedencia ni autoría.
El problema se agrava por otro factor: el entrenamiento de la IA con proyectos antiguos o vulnerables. Si el modelo absorbe código con errores conocidos, reproducirá los mismos defectos en proyectos nuevos. Esto crea un ciclo cerrado en el que una misma vulnerabilidad pasa de generación en generación de algoritmos. Además, distintos miembros del equipo que usan el mismo modelo obtienen variantes ligeramente diferentes de soluciones, lo que dificulta la verificación y el mantenimiento posteriores de los sistemas.
Los especialistas señalan que la opacidad y la fragmentación del código generado con IA erosionan los mecanismos tradicionales de control que existían en el ecosistema de código abierto. Allí la responsabilidad se repartía entre los participantes, y el código pasaba por discusión pública y revisión. En el caso de la IA, esos filtros prácticamente no existen: la mayor parte de las soluciones generadas llega al producto sin una validación completa. Como consecuencia, aumenta la probabilidad de errores ocultos que suelen escapar a las herramientas de análisis estándar.
Otra cara del vibe coding es la falsa sensación de accesibilidad. Para pequeñas empresas y organizaciones sin fines de lucro que carecen de recursos para el desarrollo profesional, las herramientas generativas son una vía tentadora para obtener rápidamente la aplicación necesaria. Pero la facilidad de uso se vuelve una amenaza: esos productos con frecuencia se publican con interfaces expuestas y sin protección, un manejo incorrecto de datos y ausencia de autenticación. Y si una gran empresa puede soportar las consecuencias de un incidente, una vulnerabilidad en una aplicación para un proyecto social puede tener consecuencias catastróficas.
Los expertos en seguridad advierten que, al terminar el «período de gracia» para la IA, la auditoría del código se planteará con la misma urgencia que en su momento ocurrió con el código abierto. Los desarrolladores deben tener esto en cuenta desde ahora, estableciendo procesos de revisión e implementando la verificación obligatoria de los resultados de generación. Al fin y al cabo, cada nueva capa de automatización no elimina la responsabilidad humana: solo añade imprevisibilidad.