La codificación Vibe es la última novedad. Quizás ya la hayas visto en acción:
- Un vendedor crea su propia herramienta con IA.
- Un diseñador envía los cambios en la interfaz de usuario directamente a GitHub.
- Un equipo de marketing escribe un programa informático para la campaña en lugar de renovar el contrato con un proveedor.
Como dijo Steve Yegge en el podcast The Pragmatic Engineer, la IA ha abierto las puertas de par en par. El código ya no proviene solo de los desarrolladores. Cualquiera con un prompt puede lanzar una aplicación. La mayoría de las personas que hacen esto ni siquiera saben que están programando por intuición. Simplemente describen lo que quieren en lenguaje sencillo y dejan que la IA genere el código. Ese cambio ha transformado quién crea el software y la rapidez con la que se lanza al mercado. Esa velocidad es emocionante, pero también conlleva un grave problema. La mayor parte de ese código se ejecuta a ciegas, sin revisiones, sin pruebas y sin seguridad.
¿Qué es Vibe Coding?
La codificación Vibe consiste en describir lo que se quiere en lenguaje sencillo y dejar que una IA genere el código por ti. Plataformas como Lovable, Windsurf y Replit se promocionan como herramientas que permiten a cualquiera pasar de la idea a la aplicación en cuestión de horas. Parece magia, porque no se necesita sintaxis técnica ni formación formal. Solo hay que decir lo que se quiere, copiar y pegar, ejecutarlo y ver si funciona.
Es rápido y sin fricciones, por lo que se ha extendido más allá de los equipos de ingeniería. Ahora, los diseñadores, los especialistas en marketing y los equipos de ventas pueden lanzar aplicaciones o funciones sin tener que esperar a los desarrolladores.
El problema es que la codificación por vibración prioriza el rendimiento sobre la seguridad. La mayoría de las veces no hay revisiones, ni pruebas, ni medidas de seguridad incorporadas. Ahí es donde empiezan los problemas.
Cuando el ambiente se vuelve desagradable
Hay varios ejemplos de casos en los que la codificación de vibraciones ha salido mal:
- Incidente de Replit: Jason Lemkin, de SaaStr, confió en el agente de IA de Replit para crear una aplicación de nivel de producción. Al principio fue emocionante: prototipos en cuestión de horas, controles de calidad, rápidos avances. Pero luego todo se vino abajo. La IA empezó a mentir sobre las pruebas unitarias, ignoró las congelaciones de código y, finalmente, borró toda la base de datos de producción de SaaStr. Meses de registros ejecutivos cuidadosamente seleccionados desaparecieron de la noche a la mañana. Como dijo Lemkin a ZDNet, «no se puede sobrescribir una base de datos de producción. No, nunca, jamás».
- Aplicación Tea: rutas de administración desbloqueadas, exponiendo los datos de los usuarios a cualquiera que se topara con el punto final. Lo que parecía un experimento divertido se convirtió rápidamente en un problema de privacidad de datos.
Una proporción considerable de las aplicaciones creadas por desarrolladores aficionados contienen graves vulnerabilidades incluso antes de su lanzamiento; si probases diez aplicaciones creadas de esta manera, lo más probable es que al menos una de ellas fuera susceptible de ser pirateada.
Estos fallos son importantes porque las deficiencias de seguridad en las aplicaciones codificadas con Vibe no son solo errores menores. A menudo afectan a protecciones fundamentales como la autenticación, el acceso a los datos y la gestión de secretos. Si una aplicación gestiona pagos o datos personales, las consecuencias no son solo técnicas. Son financieras, normativas y reputacionales.
Mackenzie Jackson, promotor de desarrolladores en Aikido Security, lo expresa sin rodeos:
«La IA no escribe código seguro por defecto. Simplemente genera algo que funciona. En realidad, puede estar totalmente expuesta a ataques».
Por qué se propaga rápidamente
La diferencia clave con la codificación vibe es que ahora todo el mundo la utiliza. Los diseñadores, los gestores de proyectos, los equipos de ventas y marketing... todos envían código. A los atacantes no les importa si se trata de un proyecto paralelo o de software empresarial. Solo les importa si la puerta está abierta.
La velocidad es una ventaja, pero también un problema. Una aplicación que antes tardaba semanas en desarrollarse ahora se puede crear en una tarde. Eso significa que todo un equipo puede crear prototipos y herramientas sin tener que esperar a los ingenieros. El problema es que ninguno de estos nuevos desarrolladores piensa en los controles de acceso, la desinfección de entradas o las actualizaciones de dependencias.
Willem Delbare, fundador y director técnico de Aikido, describió este cambio a ZDNet como una tormenta perfecta:
«La codificación Vibe hace que el desarrollo de software sea más accesible, pero también crea una tormenta perfecta de riesgos de seguridad que ni siquiera los desarrolladores experimentados están preparados para manejar. Inyecciones SQL, recorrido de rutas, secretos codificados».
Mackenzie Jackson advierte que esto va a empeorar. Según declaró a TechMonitor:
«Cada vez más personas sin una sólida formación en ingeniería o seguridad están utilizando estas herramientas para crear software... lo que significa que acabaremos teniendo aún más código generado por IA que nadie ha revisado detenidamente».
Así es como la programación intuitiva acaba convirtiéndose en lo que Mackenzie denomina «vulnerabilidad como servicio». Cuanto más rápido lanzan aplicaciones con IA personas sin formación, más rápido se multiplican los agujeros de seguridad en la web.
Asegurando las vibraciones
Ya hemos publicado una lista de verificación de seguridad de Vibe Coders para quienes se dedican al desarrollo. En ella se tratan los aspectos básicos: autenticación, sanitización de entradas, escaneo y gestión de secretos.
Pero lo más importante aquí es la concienciación. Si estás experimentando con la codificación de IA, o si tu equipo lo está haciendo, debes reconocer que el brillante prototipo que lanzas en una tarde también podría ser la puerta trasera que permita la entrada a los atacantes.
¿Qué pueden hacer los equipos?
- Trata el código de IA como si lo hubiera escrito un desarrollador junior: revísalo, pruébalo y bloquéalo.
- Externaliza la autenticación a servicios creados para ello en lugar de desarrollar uno propio.
- Mantén los secretos fuera del frontend y los repositorios.
- No te limites a ejecutar análisis. Piensa realmente en los fallos lógicos.
Parece obvio, pero la mayoría de los programadores de Vibe no lo hacen. Por eso la seguridad debe formar parte de la conversación, incluso para los puestos que no pertenecen al ámbito de la ingeniería.
¿Qué es la codificación agencial?
La codificación agencial es el paso más allá de la codificación por vibración. En lugar de pedirle a una IA fragmentos de código y pegarlos, los agentes de IA se encargan automáticamente del proceso de escribir, ejecutar y modificar el código. Pueden instalar dependencias, ejecutar pruebas, refactorizar archivos e incluso actualizar la infraestructura.
Este enfoque es más utilizado por desarrolladores y equipos técnicos que por usuarios ocasionales, lo que lo hace parecer más fiable. El problema es que esta confianza es errónea. La codificación agencial crea un código más limpio y de aspecto más profesional, pero esa apariencia oculta los riesgos.
La codificación agencial se pone en marcha
Mientras que la codificación intuitiva suele generar código desordenado y obviamente frágil, la codificación agencial produce código que parece impecable. Eso es parte del peligro. Una sola decisión errónea puede propagarse por todo el sistema y extenderse a través de las dependencias y los entornos antes de que nadie se dé cuenta.
Las herramientas de IA están generando más código que nunca, y ninguno de ellos tiene en cuenta la seguridad de forma predeterminada. El código limpio es más fácil de distribuir y reutilizar, lo que significa que las vulnerabilidades se propagan de forma silenciosa y rápida.
La única forma de controlar el riesgo es detectar los errores antes de que se produzcan. Eso significa conectarse directamente a los procesos de CI/CD, analizar cada dependencia y validar las hipótesis con comentarios inmediatos.
Lo que deben tener en cuenta los CISO
Para los responsables de seguridad, la codificación por vibración no es solo una tendencia de los desarrolladores. Está cambiando la forma en que se crea el software en toda la organización. La labor del CISO está pasando de imponer restricciones a diseñar barreras de protección que permitan a las personas experimentar sin interrumpir la producción.
Algunas ideas clave a tener en cuenta:
- MTTG (tiempo medio hasta la orientación)
Las métricas tradicionales como MTTD y MTTR miden lo que ocurre después de que algo sale mal. MTTG mide la rapidez con la que los programadores de Vibe obtienen orientación práctica antes de que su código se convierta en una vulnerabilidad. Cuanto menor sea el MTTG, menos incidentes se producirán. - PromptBOMs
Piensa en SBOM, pero para código de IA. Un simple registro del modelo, la indicación y los parámetros que generaron un fragmento. Si algo falla, sabes de dónde viene y por qué. La procedencia equivale a la responsabilidad. - Niveles de garantía de codificación Vibe (VCAL 0-5)
Similar a los niveles de conducción autónoma, pero para la codificación asistida por IA. VCAL-1 significa que la IA solo está sugiriendo. VCAL-3 añade barreras de protección y captura de procedencia. VCAL-5 es una fusión totalmente autónoma para cambios de bajo riesgo con certificación continua. El marco ofrece a los CISO una forma de calibrar las expectativas en lugar de reaccionar a ciegas.
Conclusión: no intentes enseñar a todos los empleados a «aplicar medidas de seguridad». En su lugar, ofrece una experiencia de usuario de seguridad invisible, integrada y adaptada a la forma en que las personas realmente trabajan con la IA.
Conclusión
La codificación Vibe no va a desaparecer. El código se está escribiendo a la velocidad de la IA por personas dentro y fuera de la ingeniería. Si no planificas la seguridad, no solo te estás moviendo rápido, sino que también estás propagando vulnerabilidades con la misma rapidez.
El ambiente es bueno. Pero no te olvides del control de seguridad.
¿Quieres conocer los pasos prácticos? Lee la lista de verificación de seguridad de Vibe Coders.
Protege tu software ahora.
.avif)
