La IA es el nuevo programador de software por excelencia… y es tan peligroso como suena

Al igual que probablemente no cultivas y mueles trigo para hacer harina para tu pan, la mayoría de los desarrolladores de software no escriben cada línea de código de un nuevo proyecto desde cero. Hacerlo sería extremadamente lento y podría crear más problemas de seguridad de los que resuelve. Así que los desarrolladores recurren a bibliotecas existentes (a menudo proyectos de código abierto) para obtener varios componentes básicos de software.

Aunque este enfoque es eficiente, puede crear exposición y falta de visibilidad en el software. Sin embargo, el auge del vibe coding se está utilizando cada vez más de forma similar, permitiendo a los desarrolladores crear rápidamente código que pueden adaptar fácilmente en lugar de escribirlo desde cero. Los investigadores de seguridad advierten, sin embargo, de que este nuevo género de código plug-and-play está complicando aún más, y haciendo más peligrosa, la seguridad de la cadena de suministro de software.

«Estamos llegando a un lugar en el que la IA está a punto de perder su período de gracia en materia de seguridad», afirma Alex Zenla, director de tecnología de la empresa de seguridad en la nube Edera. «Y la IA es su peor enemigo en términos de generación de código inseguro. Si la IA está siendo entrenada en parte con software antiguo, vulnerable o de baja calidad que está disponible ahí fuera, entonces todas las vulnerabilidades que han existido pueden volver a aparecer y ser introducidas de nuevo, por no hablar de nuevos problemas.»

Además de absorber datos de formación potencialmente inseguros, la realidad del vibe coding es que produce un borrador de código que puede no tener plenamente en cuenta todo el contexto y las consideraciones específicas en torno a un determinado producto o servicio. En otras palabras, aunque una empresa entrene un modelo local en el código fuente de un proyecto y en una descripción de objetivos en lenguaje natural, el proceso de producción sigue dependiendo de la capacidad de los revisores humanos para detectar todos y cada uno de los posibles fallos o incongruencias del código generado originalmente por la IA.

«Los grupos de ingeniería tienen que pensar en el ciclo de vida del desarrollo en la era del vibe coding«, advierte Eran Kinsbruner, investigador de la empresa de seguridad de aplicaciones Checkmarx. «Si le pides al mismo modelo LLM que escriba para tu código fuente específico, cada vez tendrá un resultado ligeramente diferente. Un desarrollador del equipo generará un resultado y el otro obtendrá otro distinto. Así que eso introduce una complicación adicional más allá del código abierto».

En una encuesta de Checkmarx a directores de seguridad de la información, gerentes de seguridad de aplicaciones y jefes de desarrollo, un tercio de los encuestados señaló que más del 60% del código de su organización fue generado por IA en 2024. Pero solo el 18% de los encuestados indicó que su organización tiene una lista de herramientas aprobadas para la vibe coding. Checkmarx encuestó a miles de profesionales y publicó los resultados en agosto, destacando también que el desarrollo de la IA está dificultando el seguimiento de la «propiedad» del código.