Patrick Rinski, líder de Unit 42 de Palo Alto Networks para Latinoamérica.
La inteligencia artificial (IA) está cambiando la forma en que se crea software. El llamado “vibe coding” o programación asistida por IA capaz de generar código en segundos a partir de instrucciones en lenguaje natural, se está adoptando rápidamente por su promesa de velocidad y productividad. Sin embargo, de acuerdo con la Unit 42, el equipo de investigadores de Palo Alto Networks, esta aceleración puede traer consigo riesgos graves si no se implementan controles de seguridad en el proceso de desarrollo.
¿Qué es y por qué debería importarles a las organizaciones?
El vibe coding permite que equipos de desarrollo, incluso usuarios no técnicos, generen funciones y componentes de software con prompts simples. Aunque esto ofrece beneficios en reducción de tiempos y costos, también puede omitir medidas esenciales de protección como autenticación, limitación de accesos y validación de datos. Lo que puede ocasionar vulnerabilidades que podrían ser explotadas por cibercriminales y afectar datos sensibles, operaciones y reputación. Para líderes y responsables técnicos, entender esta brecha entre productividad y seguridad es central.
Incidentes reales que ilustran el riesgo
Unit 42 ha observado que la adopción de herramientas de vibe coding ocurre con frecuencia sin bloqueos técnicos como impedir su uso y sin evaluaciones formales de riesgo. En paralelo, se han documentado fallas reales relacionadas con IA en el desarrollo:
Brecha por falta de controles básicos: Una aplicación de leads de ventas fue vulnerada porque el agente de IA no incorporó autenticación y limitación de tasa (rate limiting).
Ejecución de código por inyección indirecta de prompts: Los investigadores encontraron una falla crítica que permitió inyectar comandos desde contenido no confiable, ejecutar código arbitrario y exfiltrar datos sensibles.
Bypass de autenticación por lógica insegura: Un programa popular permitía evadir controles mostrando el ID público de la aplicación en una solicitud de API.
Eliminación de base de datos en producción: Un agente de IA, a pesar de instrucciones para congelar cambios, borró la base de datos de producción completa de una aplicación comunitaria.
Estos casos muestran que los “escenarios de pesadilla” ya no son hipotéticos, ocurren en la práctica y son consecuencia de cómo operan los modelos con ausencia de controles. Los riesgos detectados no son casualidad; responden a vacíos previsibles en la forma en que operan los modelos de IA. Estas herramientas están diseñadas para entregar código funcional rápido, no para cuestionar si ese código es seguro. El resultado es una naturaleza “insegura por defecto”, donde el uso de escaneos o agentes especializados en seguridad suele ser opcional.
Además, la IA carece de conciencia situacional, es decir, no distingue entre un entorno de desarrollo y uno de producción, ni comprende políticas internas que un desarrollador humano sí tendría presentes. A esto se suma el riesgo de la supply chain fantasma, los modelos pueden “alucinar” librerías o paquetes que no existen, creando dependencias imposibles de resolver.
Por último, la democratización del desarrollo amplifica el problema. Cada vez más usuarios sin formación en código seguro generan componentes que parecen correctos y funcionan, pero carecen de revisiones y controles tradicionales. Esa apariencia de normalidad genera una peligrosa sobreconfianza.
En la práctica, muchas organizaciones permiten el uso de herramientas de vibe coding simplemente porque no existen bloqueos técnicos para impedirlo. Sin embargo, muy pocas han realizado una evaluación formal de riesgos o monitorean lo que entra, lo que sale y los resultados de seguridad. La brecha entre productividad y protección se está ampliando, y con ella, el riesgo de incidentes que pueden comprometer datos sensibles y operaciones críticas.
Marco SHIELD para gobernar el “vibe coding”
Para cerrar esa brecha, Unit 42 propone volver a los primeros principios mediante el marco SHIELD, que incorpora controles esenciales dentro del proceso de desarrollo asistido por IA:
S — Separación de funciones (Separation of Duties): Evitar que los agentes tengan privilegios mezclados que alcancen producción. Restringir su uso a desarrollo y pruebas.
H — Humano en el circuito (Human in the Loop): Exigir revisión obligatoria de código por personal calificado y aprobación de Pull Request (PR) antes del merge, especialmente cuando participan no desarrolladores.
I — Validación de entradas y salidas (Input/Output Validation): Sanitizar prompts con guardrails (separación de instrucciones confiables y datos no confiables) y aplicar SAST antes de integrar cambios.
E — Modelos auxiliares centrados en seguridad: Usar herramientas independientes para SAST, escaneo de secretos, verificación de controles y detección de secretos hardcodeados, previo al despliegue.
L — Agencia mínima (Least Agency): Otorgar a los agentes sólo los permisos indispensables, restringir acceso a archivos sensibles y poner límites a comandos destructivos.
D — Controles técnicos defensivos (Defensive Technical Controls): Aplicar Software Composition Analysis (SCA) antes de consumir componentes y deshabilitar la auto‑ejecución para asegurar siempre la intervención humana en el despliegue.
“En América Latina, la adopción acelerada de herramientas de IA representa una gran oportunidad, pero también un riesgo si no se acompaña de controles claros. La región enfrenta retos únicos, ecosistemas digitales en expansión, talento diverso y una creciente presión por innovar. Implementar marcos como SHIELD es esencial para garantizar la evolución con seguridad. Nuestro objetivo es ayudar a las organizaciones a aprovechar lo mejor de la tecnología sin comprometer su seguridad", comentó Patrick Rinski, líder de Unit 42 para Latinoamérica.
Para equipos en México, adoptar IA en el desarrollo es una oportunidad enorme, pero requiere gobernanza, eso significa definir dónde se usa, quién revisa, qué se valida y cuándo se despliega.
Con SHIELD, esta disciplina se vuelve operable y cotidiana, dicho de otro modo, se implementa la velocidad con seguridad. El vibe coding llegó para quedarse. Si lo afinamos con controles adecuados, permitirá alcanzar una productividad extraordinaria sin heredar deuda técnica ni abrir la puerta a brechas. Esa es la ruta segura para aprovechar lo mejor de la IA en el desarrollo de software.
