Cuando el Diccionario Collins anunció su ‘Palabra del año’ 2025, muchos se sorprendieron al ver que Vibe Coding ocupaba el primer lugar.
El término describe el uso de herramientas de inteligencia artificial para crear software mediante indicaciones en lugar de la codificación tradicional, una práctica que se ha vuelto más accesible a medida que se utilizan modelos de lenguaje de gran tamaño.
Director sénior de la Oficina de tecnología de campo de CyberArk.
El auge de la codificación por vibración es una verdadera promesa. Puede abrir la programación a un público más amplio, desarrollar conocimientos técnicos y eliminar el trabajo repetitivo. Pero también conlleva riesgos importantes, especialmente para los usuarios que no comprenden completamente el código que se genera en su nombre.
El principal problema es simple. La ejecución de código no confiable o impredecible puede exponer los sistemas a graves amenazas de seguridad, ya sea a través de vulnerabilidades sutiles introducidas sin que el usuario se dé cuenta o mediante la ejecución accidental de código malicioso.
Riesgo de código obsoleto
Los codificadores tradicionales, especialmente en un contexto empresarial, no sólo tienen un amplio conocimiento del desarrollo de software sino también de los sistemas específicos para los que desarrollan el código.
Realmente entienden el código que están escribiendo y exactamente lo que hace en una máquina. Este proceso tradicional incluye pruebas rigurosas, revisión de código y pruebas de seguridad antes de cualquier implementación práctica.
Si bien los ahorros de tiempo y costos de la codificación Vibe pueden ser atractivos, a menudo conllevan el costo de la eficiencia y la supervisión que ofrece la codificación tradicional. El código generado por IA, por ejemplo, suele ser genérico, incluso cuando se genera a partir de indicaciones extensas.
El LLM carece del contexto de políticas y protocolos de ciberseguridad, gestión de identidad y protección de datos específicos de la empresa y puede violarlos sin darse cuenta.
En algunos casos, el código no profesional puede exponer credenciales confidenciales o abrir vulnerabilidades en un sistema sin siquiera darse cuenta.
De hecho, según un estudio reciente de la Universidad de Cornell, entre el 25% y el 30% de los 733 fragmentos de código generados por un popular LLM contenían fallas de seguridad graves, incluidas 43 vulnerabilidades comunes (CWE) diferentes que los atacantes podrían explotar fácilmente.
Ataques a la cadena de suministro y código ‘veneno’
Aunque es posible que el código generado por LLM no siempre contenga vulnerabilidades o componentes maliciosos, no es automáticamente seguro. Muchos modelos de IA se entrenan en repositorios de códigos públicos y, sin saberlo, pueden extraer funciones externas de esa fuente.
Los atacantes lo saben bien. Al apuntar a repositorios de acceso público que el LLM u otras herramientas de inteligencia artificial probablemente eliminen, pueden comprometer una gran cantidad de fragmentos de código generados por inteligencia artificial a la vez. Incluso los proyectos que parecen seguros pueden verse afectados si sus bibliotecas de códigos derivan de fuentes manipuladas o alteradas.
Si un modelo de IA genera sin querer un código “tóxico”, se puede replicar en miles de proyectos en cuestión de segundos.
Dependiendo de qué tan ampliamente se implemente el código, el daño puede ser sustancial, desde recopilar datos confidenciales hasta implementar malware como herramientas de acceso remoto o ransomware, o incluso permanecer inactivo en el sistema hasta que un atacante lo active.
¿Puede la codificación Vibe ser segura alguna vez?
Vibe Coding ofrece beneficios obvios, como un desarrollo y una implementación más rápidos, pero las empresas aún deben abordarlo con el mismo nivel de precaución que aplicarían a cualquier tecnología nueva.
Por ejemplo, la supervisión humana sigue siendo esencial y las salas de juntas, los equipos de cumplimiento y los líderes de TI deben revisar minuciosamente todo el código generado por IA sin excepción. El código producido por la IA debe probarse con el mismo rigor que el código escrito por humanos, independientemente de cuán completo o preciso pueda parecer el mensaje.
La seguridad de los datos es otra consideración importante. Introducir información confidencial o patentada en las herramientas de IA, especialmente las públicas, aumenta significativamente el riesgo de exposición.
Para mitigar esto, los equipos deben confiar en LLM privados y aislados capacitados con datos internos confiables siempre que sea posible. Las bibliotecas de códigos también deben obtenerse internamente o, cuando se requieran alternativas externas, de repositorios oficiales monitoreados activamente para detectar cambios no autorizados.
El control de acceso proporciona una capa adicional de seguridad. Al código generado por IA solo se le deben conceder los permisos que necesita para funcionar, y las empresas deben adoptar prácticas modernas de gestión de identidades basadas en principios de confianza cero.
Esto incluye la verificación explícita de cada identidad y la eliminación de los derechos de acceso cuando ya no sean necesarios. Al limitar los permisos de esta manera, incluso si se implementa código malicioso, la capacidad de moverse por el sistema o acceder a datos confidenciales se limita significativamente.
La codificación Vibe llegó para quedarse
Lo ames o lo odies, la codificación de vibraciones llegó para quedarse. Esto puede acelerar el desarrollo, hacer que la codificación sea más accesible para equipos no técnicos y proporcionar ahorros significativos en tiempo y costos. No sorprende que muchas empresas quieran aprovechar esto.
Pero si no se tiene cuidado, la codificación por vibración puede aumentar la exposición a riesgos cibernéticos. Las organizaciones deben equilibrar la experimentación con una supervisión estricta, políticas y revisiones exhaustivas, comprendiendo dónde la codificación por vibración agrega valor y dónde los riesgos superan las recompensas.
La IA puede escribir código a una velocidad vertiginosa, pero solo los humanos pueden verificar que la salida sea segura. En algunas situaciones, la codificación tradicional o la intervención de expertos seguirán siendo la opción inteligente. La codificación Vibe puede ofrecer comodidad, pero no siempre vale la pena correr el riesgo.
Hemos presentado el mejor software de cifrado.
Este artículo se creó como parte del canal Expert Insights de TechRadarPro, donde destacamos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
