X-twitter
  • Seguridad
  • 3 minutos de lectura

Palo Alto Networks alerta sobre los riesgos de seguridad asociados al uso de herramientas de vibe coding basadas en IA

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

En los últimos años, la programación asistida por inteligencia artificial, conocida como vibe coding, se ha afianzado como una práctica habitual dentro del desarrollo de software. De acuerdo con el State of Cloud Security Report 2025 de Palo Alto Networks, el 99 % de las organizaciones ya emplea agentes de IA en sus procesos de desarrollo. No obstante, el último informe de Unit 42, la unidad de inteligencia de amenazas de esta compañía líder en ciberseguridad, advierte de que este enfoque puede conllevar importantes riesgos de seguridad si no se implementa con los controles adecuados.

Estas soluciones permiten tanto a desarrolladores profesionales como a citizen developers —usuarios sin formación técnica avanzada en revisión de código o ciberseguridad— crear grandes cantidades de código operativo en muy poco tiempo. Sin embargo, el software generado puede incorporar vulnerabilidades ocultas, prácticas de seguridad deficientes o dependencias poco fiables que no se detectan en las fases iniciales de prueba y que solo salen a la luz cuando las aplicaciones ya se encuentran en producción.

Del desarrollo asistido al riesgo automatizado

De acuerdo con Unit 42, el principal problema no reside en la tecnología en sí, sino en la falsa sensación de seguridad que puede generar ocultando fallos de seguridad difíciles de detectar en fases tempranas. El vibe coding o código creado por IA suele “parecer correcto” y cumplir su función, pero no está diseñado de forma nativa para cumplir estándares de secure coding.

Introduciendo cambios relevantes en la forma en que surgen las vulnerabilidades, muchos fallos de seguridad se originan directamente en la fase de desarrollo, cuando el código se genera de forma automática a una gran velocidad, lo que aumenta la probabilidad de integrar en el proceso diferentes fallos como:

  • Desarrollo inseguro de aplicaciones que provoca una brecha de seguridad.
  • Lógica insegura de la plataforma que conduce a la ejecución de código.
  • Lógica insegura de la plataforma que permite eludir la autenticación.
  • Eliminación indebida de una base de datos que provoca pérdida de datos.

Además, estas herramientas pueden convertirse en el nuevo objetivo para los ciberdelicuentes, que buscan manipular su comportamiento mediante diferentes técnicas como la inyección de instrucciones en los programadores o el uso de fragmentos de código procedentes de fuentes externas que alojan un software malicioso.

Asegurar la “vida del código”: una prioridad estratégica

Para hacer frente a este escenario, Unit 42 ha presentado el marco SHIELD, diseñado para reintroducir principios de diseño seguro en la codificación asistida por inteligencia artificial. Este marco proporciona a las organizaciones una guía práctica para equilibrar la productividad del vibe coding con una gestión eficaz del riesgo, evitando que la innovación se traduzca en una mayor superficie de ataque:

  • S – Separation of Duties: las plataformas de vibe coding pueden otorgar privilegios excesivos. Evita funciones incompatibles y limita a los agentes de IA a entornos de desarrollo y prueba.
  • H – Human in the Loop: exige una revisión humana obligatoria y aprobación de PR para cualquier código crítico.
  • I – Input/Output Validation: separa instrucciones confiables de datos no confiables y aplica validaciones de seguridad (SAST) antes de fusionar el código.
  • E – Enforce Security-Focused Helper Models: utiliza agentes especializados para validar la seguridad, escanear secretos y verificar controles antes del despliegue.
  • L – Least Agency: aplica el principio de mínimo privilegio, restringiendo accesos y comandos destructivos.
  • D – Defensive Technical Controls: implementa SCA y desactiva la autoejecución para reforzar la supervisión y la seguridad en el despliegue.

Aunque el vibe coding representa una evolución natural en el desarrollo de software, Palo Alto Networks advierte de que muchas organizaciones están relegando principios de seguridad consolidados, como el del “privilegio mínimo”, en favor de la rapidez y la funcionalidad. Por ello, esta práctica no debería adoptarse sin una revisión profunda de los enfoques de seguridad, ya que la protección no puede limitarse a las fases finales del ciclo de vida de la aplicación, sino integrarse desde el diseño y la generación inicial del código, garantizando un desarrollo seguro y fiable.

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Angel

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Palo Alto Networks alerta sobre los riesgos de seguridad asociados al uso de herramientas de vibe coding basadas en IA

El éxodo del cloud público: por qué algunas empresas vuelven al metal (y cuándo tiene sentido)

El “culto a Kubernetes”: cuando el YAML se convierte en religión (y la herejía es pensar en simple)

Flexera acelera su apuesta por FinOps con dos compras: ProsperOps y Chaos Genius, foco en automatización “agéntica” y control de costes de IA

Las últimas novedades de tecnología y cloud

Suscríbete gratis al boletín de Revista Cloud. Cada semana la actualidad en tu buzón.

Suscripción boletín
×