Programación

Empresas usan IA para programar más rápido

Jim Cueva | @jcmagazine

La promesa del desarrollo asistido por IA, o codificación de vibraciones (Vibe Coding), es innegable. En un panorama definido por complejas arquitecturas nativas de la nube y una intensa demanda de nuevo software, este factor multiplicador de fuerza se está convirtiendo rápidamente en una práctica habitual. Sin embargo, esta velocidad conlleva un coste considerable, a menudo desatendido. Dado que los agentes de IA que generan código funcional en segundos, con frecuencia no aplican controles de seguridad críticos, lo que genera vulnerabilidades masivas, deuda técnica y escenarios de vulneración reales.

Este desafío se puede agravar por el auge de desarrolladores ciudadanos (personal sin experiencia en desarrollo) que carecen de los conocimientos necesarios para revisar o proteger el código generado. Debido a esta falta de experiencia en desarrollo, es posible que los desarrolladores no comprendan plenamente los requisitos de seguridad del ciclo de vida de las aplicaciones, lo que puede requerir formación o experiencia en seguridad de aplicaciones. Para todos los líderes, desde el CEO hasta el CISO, así como para los profesionales técnicos, comprender esta brecha es fundamental.

"Hoy basta con que un usuario escriba una instrucción simple para que en segundos aparezcan varias líneas de código funcional. Esa es la nueva realidad del desarrollo de software. Las ganancias de productividad son innegables, pero ya estamos viendo incidentes reales provocados por el uso de estas herramientas sin los controles de seguridad adecuados", afirmó Patrick Rinski, líder de Unit 42 para Latinoamérica.

Vibe Coding: Programar más rápido no significa más seguro

El problema no es hipotético. ¿Qué ocurre cuando la función generada por IA obtiene los datos correctamente, pero no incluye controles esenciales de autenticación y limitación de velocidad? ¿Qué ocurre cuando un mensaje malicioso engaña al agente de IA para que extraiga datos confidenciales?

A medida que las organizaciones adoptan rápidamente estas herramientas, se amplía la brecha entre productividad y seguridad. Los escenarios críticos o de riesgo ya no son hipotéticos; son incidentes reales documentados. Unit 42 ha observado que se han producido fallos catastróficos reales:

Desarrollo de aplicaciones inseguras que conducen a una violación: una aplicación de ventas fue violada con éxito porque el agente de codificación de vibraciones no incorporó controles de seguridad clave, como los de autenticación y limitación de velocidad, en la compilación.

Lógica de plataforma insegura que conduce a la ejecución de código: los investigadores descubrieron una falla crítica a través de la inyección indirecta de indicaciones que permitía la inyección de comandos maliciosos a través de contenido no confiable, ejecutando código arbitrario y permitiendo la exfiltración de datos confidenciales.

Lógica de plataforma insegura que conduce a la elusión de la autenticación: una falla crítica en la lógica de autenticación de un programa popular permitió eludir los controles simplemente mostrando la identificación públicamente visible de una aplicación en una solicitud de API.

Eliminación no autorizada de una base de datos que provoca pérdida de datos: un agente de IA, a pesar de las instrucciones explícitas de congelar los cambios de producción, eliminó toda la base de datos de producción de una aplicación comunitaria.

"La creciente demanda de software, el uso intensivo de tecnologías en la nube y la adopción generalizada de modelos DevOps (una forma de integrar desarrollo y operaciones para entregar software más rápido) están llevando a muchas organizaciones a priorizar la velocidad sobre la seguridad. La programación asistida por IA puede ser un gran habilitador, pero sin una estrategia clara de control de riesgos, también puede convertirse en un acelerador de incidentes graves", agregó Rinski.

Por qué ocurren las fallas en Vibe Coding

Estos incidentes no son anomalías, sino el resultado de limitaciones estructurales en la forma en que operan los modelos de IA. El análisis de Unit 42 identifica que la mayoría de las organizaciones evaluadas permiten a sus empleados usar herramientas de codificación de vibraciones debido a la ausencia de bloqueos físicos (por ejemplo, herramientas de bloqueo en el firewall). Sin embargo, muy pocas de estas organizaciones han realizado una evaluación formal de riesgos. Estas son las causas más recurrentes de las fallas en Vibe Coding:

Prioridad a la funcionalidad por encima de la seguridad: Los modelos están optimizados para entregar respuestas rápidas y funcionales, no para evaluar riesgos de seguridad por defecto.

Falta de contexto operativo: Los agentes de IA no distinguen adecuadamente entre entornos de desarrollo y de producción, a diferencia de un desarrollador humano.

Riesgos en la cadena de suministro: Los modelos pueden generar referencias a bibliotecas o paquetes inexistentes, lo que crea dependencias imposibles de resolver.

Exceso de confianza en el código generado: El hecho de que el código funcione genera una falsa sensación de seguridad, especialmente entre usuarios sin formación técnica, lo que reduce la aplicación de controles tradicionales, como las revisiones de código y la gestión de cambios.

Abordar el riesgo a través del marco SHIELD

El creciente panorama de amenazas puede parecer inmanejable, pero la solución es volver a los principios básicos de los controles de seguridad. El marco SHIELD es una guía para reducir riesgos de seguridad cuando se usa IA para programar (vibe coding).

S: Separación de funciones (Separation of Duties): evitar que los agentes tengan privilegios mezclados que alcancen la producción. Restringir su uso a desarrollo y pruebas.

H: Humano en el circuito (Human in the Loop): exigir revisión obligatoria de código por personal calificado y aprobación de Pull Request (PR) antes del merge, especialmente cuando participan no desarrolladores.

I: Validación de entradas y salidas (Input/Output Validation): separación de instrucciones confiables y datos no confiables (sanitizar prompts con guardrails) y aplicar SAST antes de integrar cambios.

E: Modelos auxiliares centrados en seguridad (Expert Security Models): usar herramientas independientes para SAST, escaneo de secretos, verificación de controles y detección de secretos hardcodeados, previo al despliegue.

L: Agencia mínima (Least Agency): otorgar a los agentes sólo los permisos indispensables, restringir acceso a archivos sensibles y poner límites a comandos destructivos.

D: Controles técnicos defensivos (Defensive Technical Controls): aplicar Software Composition Analysis (SCA) antes de consumir componentes y deshabilitar la auto‑ejecución para asegurar siempre la intervención humana en el despliegue.

El objetivo principal es no dejar todo en manos de la inteligencia artificial y mantener controles básicos. Unit 42 trabaja con sus clientes para implementar el marco SHIELD para la codificación de vibraciones, reincorporando controles de seguridad correctamente diseñados al proceso de codificación.

Jim Cueva | @jcmagazine

Artículos relacionados

Inteligencia Artificial

9 de cada 10 vendedores apuestan por agentes de IA

09/02/2026
Pareja Finanzas

Decisiones financieras clave para emprendedores al inicio del año

09/02/2026
Compra Segura Perú

San Valentín impulsa los pagos digitales

09/02/2026
Handshake

H&CO adquiere la empresa peruana Sypsoft

09/02/2026
© Creado por Jim Cueva | Todos los derechos reservados
Back to top button