IA y ciberseguridad – El CISO advierte sobre la ‘plaga’ de perder habilidades por vibe coding ¿De dónde viene tu código? ¿De una IA? Entonces, debe ser perfecto, ¿verdad? Incorrecto. Un nuevo informe expone los riesgos, y el CISO del proveedor advierte sobre problemas a largo plazo.

La ciberseguridad sigue presentando un panorama complejo, donde cada nueva innovación en la nube parece abrir puertas a nuevos errores y vulnerabilidades. El viejo dicho de que una organización es tan segura como su eslabón más débil, a menudo humano, sigue siendo dolorosamente cierto. La nueva tecnología desafía nuestro comportamiento diario y pone a prueba en quién o qué podemos realmente confiar. Pero ahora, el riesgo se está infiltrando más profundo—integrado en la infraestructura central e incluso en las aplicaciones que las empresas lanzan. ¿La parte aterradora? A veces ni siquiera los propios desarrolladores pueden identificar estas debilidades, mucho menos corregirlas.\n\nEsto afecta más duramente a los Directores de Seguridad de la Información (CISOs) y sus equipos. El culpable? La Inteligencia Artificial, especialmente el auge del código generado por IA y el aumento del vibe coding—donde el código se produce rápidamente con ayuda de IA. Un informe reciente de Aikido, especialista en seguridad de nube y código, arroja luz sobre esta amenaza creciente. Su informe "Estado de la IA en Seguridad y Desarrollo" pinta un cuadro vívido de la lucha entre velocidad y seguridad a medida que la adopción de IA explota. Está claro que los equipos apresuran productos al mercado, a menudo con una mentalidad de “lanzar ahora, parchear después”, lo que solo amplía la superficie de ataque.\n\nEl estudio, basado en entrevistas con 450 profesionales en Europa y EE.UU.—incluyendo desarrolladores, líderes de seguridad e ingenieros de seguridad de aplicaciones—encontró que el 69% de las organizaciones han descubierto vulnerabilidades vinculadas al código generado por IA. Aún más alarmante, el 20% reportó incidentes de seguridad graves relacionados con esta causa. Dado que los incidentes ya son comunes—con un 27% de organizaciones afectadas gravemente en el último año—la pregunta es: ¿cuántas brechas permanecen sin detectar?\n\nLo que está en juego no podría ser mayor. Titulares recientes revelan cómo servicios públicos y grandes marcas han sido comprometidos, a veces debido a sistemas frágiles más que ataques directos—una realidad familiar para gigantes como Amazon y Microsoft. La automatización acelera las cosas pero a menudo a costa de introducir fallos difíciles de encontrar. Y eso nos lleva a aguas turbias sobre la responsabilidad. ¿Quién tiene la culpa cuando el código escrito por IA causa daño? ¿El programador que usó la herramienta, el proveedor de IA que construyó un sistema defectuoso, o el equipo de seguridad que no detectó la vulnerabilidad?\n\nLegalmente, la responsabilidad recae en los líderes senior, lo que el informe destaca mostrando que el 75% de los CISOs han tenido que manejar incidentes graves recientemente—mucho más que el número de organizaciones que admiten brechas mayores. A pesar de eso, muchos encuestados no están seguros de quién tiene realmente la culpa. Más de la mitad culpa al equipo de seguridad por no detectar exploits; casi la mitad culpa a los desarrolladores por generar código riesgoso; menos señalan a los proveedores de IA. Este enredo de culpas subraya los desafíos de gobernanza que el vibe coding introduce, creando un laberinto donde la responsabilidad es difícil de precisar.\n\nLa confianza es una gran parte del problema. ¿Estamos realmente listos para confiar en herramientas de IA para codificar a esta escala, especialmente cuando sabemos que los Modelos de Lenguaje Grande y chatbots pueden alucinar, difundir desinformación e incluso violar derechos de autor? Vibe coding no es diferente—hereda estos riesgos. Además, la proliferación de herramientas de seguridad destinadas a combatir estos problemas irónicamente causa más dolores de cabeza. El informe señala que los equipos que usan muchas herramientas separadas de distintos proveedores enfrentan más incidentes y reparaciones más largas debido a problemas de integración, como alertas duplicadas y datos inconsistentes. Los enfoques integrados de seguridad de aplicaciones y nube, en cambio, muestran tasas de incidentes más bajas.\n\nDesde una perspectiva humana, está claro que los ingenieros de seguridad siguen siendo cruciales. Un cuarto de los CISOs advierte que perder incluso a un profesional de seguridad top podría desencadenar brechas graves, retrasos en la respuesta a incidentes y desarrollo lento de productos. El factor humano sigue importando profundamente, a pesar del bombo de la IA.\n\nEn una charla exclusiva, el CISO de Aikido, Mike Wilkes, describió la situación como “democratizar la capacidad de lanzar código malo rápidamente.” Señaló que la automatización y la infraestructura como código no mejoraron la calidad del código sino que solo aceleraron el lanzamiento de software defectuoso. Ahora, con vibe coding y herramientas low-code/no-code, cualquiera puede producir código riesgoso a gran escala, al igual que la IA ha democratizado hacer arte o música mediocre. Esta “democratización de la mediocridad” plantea riesgos reales y tangibles para el futuro.