La industria del desarrollo de software gracias a la IA se encuentra en el epicentro de una transformación estructural que ha alterado de manera irreversible las nociones fundamentales de integridad, calidad y, sobre todo, seguridad y privacidad. Durante décadas, la arquitectura de sistemas se basó en un rigor determinista donde cada línea de código era una instrucción explícita redactada por un humano con una intención específica y auditable.
Sin embargo, el surgimiento y la adopción masiva de la Inteligencia Artificial Generativa han dado paso a un paradigma conocido como «vibe-coding», una metodología donde la intención prevalece sobre la sintaxis y donde la generación probabilística de código ha reemplazado a la artesanía técnica. Esta evolución representa una alteración en la jerarquía de prioridades corporativas, instalando una creencia tácita en los consejos de administración y en los equipos de ingeniería: en la carrera por la velocidad exponencial, la seguridad digital ha pasado de ser un requisito innegociable a un componente percibido como opcional o secundario.
Y la evidencia sugiere que este fenómeno está creando una crisis de deuda técnica y de seguridad de proporciones sistémicas. Mientras que la productividad parece escalar con el uso de agentes autónomos, la superficie de ataque se expande en una proporción similar, impulsada por una ceguera de contexto y una confianza ciega en modelos probabilísticos que priorizan el funcionamiento inmediato sobre la resiliencia a largo plazo.
Por ello, los incidentes recientes en plataformas de alta visibilidad, como el fallo de Microsoft 365 Copilot y el colapso financiero parcial en el protocolo Moonwell, no son eventos aislados, sino síntomas de una patología más profunda en la forma en que se construye y se protege el ecosistema digital moderno.
PETER STEINBERGER, EL LUTHIER DE LA IA, LLEGA A OPENAI PARA CERRAR LA VENTANA DEL CHAT
El paradigma del vibe-coding y la desintermediación técnica
El término vibe-coding, popularizado por Andrej Karpathy, describe un estado en el que el desarrollador «se entrega a las vibraciones» de la IA, olvidando por completo la existencia del código subyacente para centrarse en la dirección de la intención.
En este ecosistema, el lenguaje natural se ha convertido en el nuevo lenguaje de programación universal. Esta democratización ha permitido que individuos sin formación técnica profunda construyan aplicaciones completas en tiempos récord, desplazando la ingeniería de software tradicional hacia un rol de «curaduría de resultados».
Esta desintermediación tiene implicaciones económicas profundas. La capacidad de los agentes de IA para replicar interfaces de usuario, tableros de control y lógicas de negocio complejas casi instantáneamente ha comenzado a erosionar la ventaja competitiva de las empresas de Software como Servicio (SaaS) tradicionales. El fenómeno, denominado el «SaaSpocalipsis», refleja cómo las organizaciones prefieren construir sus propias herramientas internas mediante vibe-coding en lugar de pagar suscripciones costosas por licencias de usuario o «asientos».
Sin embargo, esta rapidez tiene un coste oculto: la eliminación de los procesos rigurosos de diseño arquitectónico y la omisión de las pruebas de seguridad que suelen acompañar al desarrollo manual.
La erosión de la calidad y el sesgo de funcionalidad sobre seguridad
Un estudio de Veracode 2025 GenAI Code Security Report ofrece una visión preocupante sobre la calidad del código producido por IA. Tras analizar más de cien modelos de lenguaje extensos en ochenta tareas de codificación distintas, la investigación determinó que el 45% del código generado contiene fallos de seguridad críticos.
Lo más alarmante no es solo la cifra, sino el hecho de que, mientras la IA ha mejorado drásticamente su capacidad para producir código que compila correctamente (alcanzando tasas de éxito del 90%), su capacidad para garantizar la seguridad se ha mantenido estancada.
Esta divergencia entre la funcionalidad sintáctica y la integridad de seguridad se debe a que las IA son esencialmente motores de predicción entrenados en repositorios públicos que contienen décadas de malas prácticas, algoritmos obsoletos y patrones vulnerables. Cuando un modelo de IA se enfrenta a la elección entre un método seguro, pero complejo y uno inseguro, pero funcionalmente directo, elige la opción insegura casi el 50% de las veces para asegurar que la aplicación del usuario «funcione» de inmediato.
LA SOBERANÍA DE LA IA TERMINA DONDE EMPIEZA EL CABLE DE LA LUZ
Vulnerabilidades por lenguajes y patrones críticos
Pero el riesgo de seguridad introducido por la IA no se distribuye de manera equitativa entre los lenguajes de programación. El informe de Veracode destaca que los lenguajes con una larga historia de repositorios públicos, como Java, presentan las tasas de fallo más elevadas debido a la contaminación de los datos de entrenamiento con código antiguo y vulnerable.
Las vulnerabilidades más comunes generadas por estas herramientas incluyen fallos lógicos que son imperceptibles para los escáneres estáticos tradicionales. Por ejemplo, la IA falla en asegurar el código contra Cross-Site Scripting (XSS) en un asombroso 86% de los casos y no logra sanitizar registros contra ataques de Log Injection en el 88% de las ocasiones.
Estos errores nacen de la «ceguera de contexto arquitectónico», es decir, la IA sabe escribir una función, pero no comprende si esa función se ejecutará en un entorno que maneja datos médicos sensibles o en una simple lista de tareas personal.
El error de Microsoft 365 Copilot
Pero para entender de mejor manera esto, es bueno ver algunos casos de como la IA ha creado un completo caos. En ese sentido, uno de los incidentes más significativos fue la vulnerabilidad técnica en Microsoft 365 Copilot, rastreada bajo el identificador CW1226324. Este fallo de seguridad permitió que el asistente de IA eludiera las políticas de Prevención de Pérdida de Datos (DLP) en las que confían las corporaciones para proteger su información más sensible.
Detectado por primera vez el 21 de enero de 2026, el error permitía a Copilot leer y resumir correos electrónicos marcados con etiquetas de confidencialidad que deberían haber restringido el acceso a cualquier herramienta automatizada. El problema se localizó en la función de chat de la «pestaña de trabajo» (work tab), que procesaba de manera incorrecta los mensajes almacenados en las carpetas de Elementos Enviados y Borradores de los usuarios.
MICROSOFT PAGA $9.700 MILLONES A IREN POR ACCESO A GPUS NVIDIA
Este incidente generó una ola de preocupación en sectores altamente regulados. El Servicio Nacional de Salud del Reino Unido (NHS) registró el incidente, subrayando el impacto real en usuarios del sector público que manejan datos ciudadanos confidenciales.
Microsoft respondió implementando una actualización de configuración a nivel mundial a principios de febrero, pero la brecha de confianza ya se había abierto, y es solo un caso, de los muchos que han afectado a Microsoft recientemente.
La crisis de los oráculos en Moonwell
Por supuesto, el caso de Microsoft es un ejemplo de lo que pasa en el mundo empresarial, pero estos eventos ya alcanzan también el mundo crypto. Nuestro caso nos lleva al protocolo Moonwell, el cual sufrió una pérdida de activos digitales valorada en 1,78 millones de dólares debido a un error de configuración en su oráculo de precios para el activo cbETH. El incidente ocurrió tras la ejecución de la propuesta de gobernanza MIP-X43, que habilitó contratos de envoltura (wrapper) de Chainlink OEV en las redes Base y Optimism.
El error técnico fue una omisión en la lógica de derivación de precios: el oráculo reportó únicamente la tasa de intercambio bruta de cbETH/ETH en lugar de multiplicarla por el precio de ETH/USD para obtener el valor real en dólares. Esto provocó que el sistema registrara un precio de 1,12 $ para el token cbETH, cuando su valor de mercado real era de aproximadamente 2.200 $.
Lo que hace que el caso de Moonwell sea paradigmático de la era actual es el origen del fallo. Auditores de seguridad detectaron que los commits relacionados con la configuración del oráculo en la propuesta MIP-X43 provenían del modelo Claude Opus 4.6 de Anthropic. El desarrollador responsable utilizó IA para la generación del código Solidity, pero la falta de pruebas de integración, fue lo que permitió que una vulnerabilidad lógica elemental llegara a producción.
MENOS NUBE, MÁS PRIVACIDAD: CINCO HERRAMIENTAS PARA TENER IA LOCAL EN 2026
Este «error de vibe-coding» fue aprovechado instantáneamente por bots de liquidación. Al ver el precio desplomarse artificialmente a 1,12, los bots atacaron las posiciones de garantía, permitiéndoles incautar 1 cbETH pagando una deuda insignificante de apenas $1 dólar. El protocolo quedó con una deuda incobrable masiva distribuida entre diversos activos digitales.
Activista y bloguero de tecnología, software libre y blockchain.
Fuente: https://observatorioblockchain.com/ciberseguridad/el-45-del-codigo-generado-por-ia-tiene-fallos-criticos/?utm_source=rss&utm_medium=rss&utm_campaign=el-45-del-codigo-generado-por-ia-tiene-fallos-criticos
«Las opiniones vertidas por los colaboradores son de su exclusiva responsabilidad y no constituyen una recomendación de inversión por parte de este medio.»
