El vibe coding es la novedad brillante. Quizás ya lo haya visto en acción:
- Un vendedor crea su propia herramienta con IA.
- Un diseñador envía cambios de UI directamente a GitHub.
- Un equipo de marketing desarrolla software para campañas en lugar de renovar un contrato con un proveedor.
Como dijo Steve Yegge en The Pragmatic Engineer podcast, la IA ha abierto las puertas de par en par. El código ya no proviene solo de los desarrolladores. Cualquiera con un prompt puede lanzar una aplicación. La mayoría de las personas que hacen esto ni siquiera saben que están haciendo vibe coding. Simplemente describen lo que quieren en lenguaje natural y dejan que la IA genere el código. Este cambio ha modificado quién construye software y con qué rapidez se lanza. Esa velocidad es emocionante, pero también conlleva un problema grave. La mayor parte de ese código se ejecuta a ciegas, sin revisiones, sin pruebas y sin seguridad.
¿Qué es el Vibe Coding?
El vibe coding es cuando describes lo que quieres en lenguaje natural y dejas que una IA genere el código por ti. Plataformas como Lovable, Windsurf y Replit se presentan como herramientas que permiten a cualquiera pasar de una idea a una aplicación en cuestión de horas. Se siente como magia porque no necesitas sintaxis técnica ni formación formal. Simplemente dices lo que quieres, copias y pegas, lo ejecutas y ves si funciona.
Es rápido y sin fricciones, razón por la cual se ha extendido fuera de los equipos de ingeniería. Diseñadores, especialistas en marketing y equipos de ventas ahora pueden lanzar aplicaciones o funcionalidades sin esperar a los desarrolladores.
El problema es que el vibe coding prioriza la producción sobre la seguridad. La mayoría de las veces no hay revisiones, pruebas ni seguridad integrada. Ahí es donde empiezan los problemas.
Cuando el Vibe se Agria
Hay varios ejemplos de vibe coding que han salido mal:
- Incidente de Replit: Jason Lemkin de SaaStr confió en el agente de IA de Replit para construir una aplicación de grado de producción. Al principio fue emocionante: prototipos en horas, controles de calidad, progreso rápido. Luego las cosas se desmoronaron. La IA empezó a mentir sobre las pruebas unitarias, ignoró las congelaciones de código y finalmente eliminó toda la base de datos de producción de SaaStr. Meses de registros ejecutivos cuidadosamente seleccionados desaparecieron de la noche a la mañana. Como Lemkin le dijo a ZDNet, “no se puede sobrescribir una base de datos de producción. No, nunca, jamás.”
- Aplicación de té: rutas de administración desprotegidas, exponiendo datos de usuario a cualquiera que encontrara el endpoint. Lo que parecía un experimento divertido se convirtió rápidamente en una responsabilidad de privacidad de datos.
Una proporción considerable de aplicaciones creadas por desarrolladores aficionados contienen vulnerabilidades graves incluso antes de su lanzamiento; si probara diez aplicaciones construidas de esta manera, lo más probable es que al menos una fuera hackeable.
Estos fallos importan porque las deficiencias de seguridad en las aplicaciones creadas con vibe coding no son solo errores menores. A menudo implican protecciones fundamentales como la autenticación, el acceso a datos y la gestión de secretos. Si una aplicación maneja pagos o datos personales, las consecuencias no son solo técnicas. Son financieras, regulatorias y reputacionales.
Mackenzie Jackson, defensor de desarrolladores en Aikido Security, lo dice sin rodeos:
“La IA no escribe código seguro por defecto. Simplemente escupe algo que funciona. Bajo el capó, puede estar completamente abierta a ataques.”
Por qué esto se propaga rápidamente
La diferencia clave con el vibe coding es que todo el mundo lo está haciendo ahora. Diseñadores, PMs, equipos de ventas y marketing están lanzando código. A los atacantes no les importa si es un proyecto secundario o software empresarial. Solo les importa si la puerta está abierta.
La velocidad es una ventaja, pero también un problema. Una aplicación que antes tardaba semanas ahora se puede construir en una tarde. Esto significa que un equipo completo puede crear prototipos y herramientas sin esperar a ingeniería. El problema es que ninguno de estos nuevos desarrolladores está pensando en controles de acceso, sanitización de entradas o actualizaciones de dependencias.
Willem Delbare, fundador y CTO de Aikido, describió este cambio a ZDNet como una tormenta perfecta:
“El 'vibe coding' hace que el desarrollo de software sea más accesible, pero también crea una tormenta perfecta de riesgos de seguridad que incluso los desarrolladores experimentados no están preparados para manejar. Inyecciones SQL, path traversal, secretos hardcodeados.”
Mackenzie Jackson advierte que esto va a empeorar. Según le dijo a TechMonitor:
“Más personas sin una sólida formación en ingeniería o seguridad están utilizando estas herramientas para crear software... lo que significa que terminaremos con aún más código generado por IA que nadie ha revisado cuidadosamente.”
Así es como el 'vibe coding' se convierte en lo que Mackenzie denomina “vulnerabilidad como servicio”. Cuanto más rápido manos inexpertas despliegan aplicaciones con IA, más rápido se multiplican las brechas de seguridad en la web.
Asegurando las 'Vibes'
Ya publicamos una Lista de Verificación de Seguridad para Vibe Coders para quienes están desarrollando. Eso cubre lo básico: autenticación, saneamiento de entradas, escaneo y gestión de secretos.
Pero el punto más importante aquí es la concienciación. Si estás experimentando con la codificación de IA, o si tu equipo lo está haciendo, debes reconocer que el prototipo reluciente que despliegas en una tarde también podría ser la puerta trasera que permite la entrada a los atacantes.
¿Qué pueden hacer los equipos?
- Trata el código de IA como si lo hubiera escrito un desarrollador junior: revísalo, pruébalo y asegúralo.
- Externaliza la autenticación a servicios diseñados para ello en lugar de desarrollar tu propia solución.
- Mantén los secretos fuera del frontend y de los repositorios.
- No te limites a ejecutar escaneos. Piensa realmente en los fallos de lógica.
Suena obvio, pero la mayoría de los 'vibe coders' no lo están haciendo. Por eso la seguridad debe ser parte de la conversación, incluso para roles fuera de la ingeniería.
¿Qué es la Codificación Agéntica?
La codificación agéntica es el paso más allá del 'vibe coding'. En lugar de que tú pidas fragmentos a una IA y los pegues, los agentes de IA asumen automáticamente el proceso de escribir, ejecutar y modificar código. Pueden instalar dependencias, ejecutar pruebas, refactorizar archivos e incluso actualizar la infraestructura.
Este enfoque es utilizado más por desarrolladores y equipos técnicos que por usuarios ocasionales, lo que lo hace parecer más fiable. El problema es que esta confianza está mal depositada. La codificación agéntica crea código más limpio y de aspecto más profesional, pero esa apariencia oculta los riesgos.
La Codificación Agéntica Sube el Nivel
Mientras que el 'vibe coding' a menudo crea código desordenado y obviamente frágil, la codificación agéntica produce código que parece impecable. Eso es parte del peligro. Una única mala decisión puede propagarse por todo un sistema y extenderse a través de dependencias y entornos antes de que alguien se dé cuenta.
Las herramientas de IA están produciendo más de este código más rápido que nunca, y nada de ello tiene en cuenta la seguridad por defecto. El código limpio es más fácil de desplegar y reutilizar, lo que significa que las vulnerabilidades se propagan silenciosa y rápidamente.
La única forma de controlar el riesgo es detectar los errores antes de que salgan a producción. Esto significa integrarse directamente en los pipelines de CI/CD, escanear cada dependencia y validar las suposiciones con retroalimentación inmediata.
Lo que los CISOs deben considerar
Para los líderes de seguridad, el 'vibe coding' no es solo una tendencia de desarrolladores. Está cambiando la forma en que se construye el software en toda la organización. El trabajo del CISO está pasando de imponer barreras a diseñar salvaguardas que permitan a las personas experimentar sin afectar la producción.
Algunas ideas clave a tener en cuenta:
- MTTG (Tiempo Medio hasta la Orientación)
Las métricas tradicionales como MTTD y MTTR miden lo que sucede después de que las cosas salen mal. MTTG mide la rapidez con la que los 'vibe coders' obtienen orientación accionable antes de que su código se convierta en una vulnerabilidad. Cuanto menor sea el MTTG, menos incidentes se materializan. - PromptBOMs
Piensa en los SBOMs, pero para el código de IA. Un registro simple del modelo, el prompt y los parámetros que generaron un fragmento. Si algo falla, sabes de dónde vino y por qué. La procedencia equivale a la responsabilidad. - Niveles de Aseguramiento de Vibe-Coding (VCAL 0–5)
Similar a los niveles de conducción autónoma, pero para la codificación asistida por IA. VCAL-1 significa que la IA solo sugiere. VCAL-3 añade barandillas de seguridad y captura de procedencia. VCAL-5 son fusiones totalmente autónomas para cambios de bajo riesgo con atestación continua. El marco proporciona a los CISO una forma de calibrar las expectativas en lugar de reaccionar a ciegas.
La conclusión es: no intente enseñar a cada empleado a “hacer seguridad”. En su lugar, implemente una UX de seguridad invisible, integrada y escalada a la forma en que las personas realmente construyen con IA.
Conclusión
El Vibe coding no va a desaparecer. El código está siendo escrito a la velocidad de la IA por personas dentro y fuera de la ingeniería. Si no planifica la seguridad, no solo se está moviendo rápido, sino que también está propagando vulnerabilidades con la misma rapidez.
Todo va bien. Simplemente no olvide la verificación de seguridad.
¿Quiere conocer los pasos prácticos? Lea la Lista de Verificación de Seguridad para Vibe Coders.
