«Vamos, IA, escríbeme el código». Desarrolladores generan vulnerabilidades a escondidas de sus jefes

A medida que los modelos generativos penetran cada vez más en el proceso de desarrollo de software, la preocupación entre las empresas aumenta —no tanto por el rendimiento como por la seguridad. Según una encuesta de Dark Reading, solo el 25 % de los desarrolladores afirmaron haber logrado implantar la codificación por indicaciones sin problemas importantes, mientras que el resto reconoció que los riesgos son demasiado altos.

Bajo el término «codificación por indicaciones» se entiende el proceso en el que un programador da instrucciones a un modelo como Google Gemini en lenguaje natural y este genera código sin intervención humana. En términos de velocidad y conveniencia el método resulta tentador —por eso, según datos de Snyk, hoy casi todos los grandes clientes de la compañía ya utilizan herramientas de generación de código. Pero junto con el aumento de la eficiencia aparecen nuevas amenazas.

La principal amenaza es la calidad del código generado. Los algoritmos no pueden evaluar adecuadamente la seguridad de las soluciones y tienden a las «alucinaciones» —errores lógicos impredecibles. El resultado con frecuencia contiene vulnerabilidades que los desarrolladores detectan solo después del lanzamiento. Por eso la mayoría de los expertos aconseja usar los asistentes de IA como herramienta auxiliar, pero no permitir que publiquen compilaciones finales sin revisión humana.

Según la encuesta, en la que participaron alrededor de mil especialistas, solo el 24 % de los encuestados considera que la codificación por indicaciones realmente ayuda a crear aplicaciones fiables más rápido. El 41 % declaró que no implementa estas herramientas debido al nivel de amenaza demasiado alto, el 16 % está dispuesto a considerar esta práctica tras introducir cambios en los procesos y el 19 % aún no la utiliza, pero planea comenzar.

No obstante, que el 76 % haya renunciado al uso pleno no significa que las empresas eviten el tema. Muchas realizan experimentos en entornos de prueba o utilizan funciones aisladas de generación de código en modo limitado. Como señala Omdia, la proporción real de usuarios puede ser superior a las cifras oficiales, ya que parte de los desarrolladores emplea estas herramientas sin informar a la dirección —la llamada codificación en la sombra.

Esa zona gris ya se ha convertido en un problema grave. Los desarrolladores, al intentar acelerar el trabajo y eludir la burocracia de aprobaciones, conectan servicios de IA no autorizados que no pasan auditoría ni están controlados por los equipos de seguridad. En su informe «Coste de una brecha de datos 2025», IBM mostró que uno de cada cinco encuestados se enfrentó a un ataque relacionado con el uso «en la sombra» de la IA, y que el daño por ese tipo de incidentes fue en promedio 670 000 dólares mayor que en las empresas donde tales prácticas estaban ausentes.

A pesar de las conclusiones alarmantes, ya es imposible detener por completo la expansión de la codificación por indicaciones. Las herramientas basadas en modelos de lenguaje a gran escala (LLM) se están convirtiendo gradualmente en parte integral del desarrollo moderno, a veces incluso sin el conocimiento de los equipos de seguridad informática. Por eso sigue siendo clave la cuestión de la transparencia y el control.

El gobierno británico ya publicó sus propias recomendaciones para el uso seguro de asistentes de IA en el desarrollo de software para organismos estatales. En ellas se subraya la necesidad de comprender las limitaciones de las tecnologías, verificar los resultados en busca de errores, realizar revisiones de código y formar a los especialistas en el trabajo con redes neuronales. Solo con ese enfoque es posible lograr un equilibrio entre eficacia y seguridad, sin convertir la IA generativa en una fuente de nuevas vulnerabilidades.

Por ahora la industria aprende de sus errores —y cada nuevo ejemplo demuestra que la automatización sin responsabilidad siempre resulta más cara que el trabajo manual bien hecho.