La Inteligencia Artificial Generativa (IAG) ha cruzado un umbral: ya no es solo una herramienta de apoyo, sino un agente de cambio disruptivo. En el ámbito tecnológico y de ciberseguridad, esta transición la podemos resumir mediante dos conceptos contrapuestos: Vibe Coding y su sombra, Vibe Hacking.
Para cualquier gestor, entender esta dualidad no es solo una cuestión técnica; es una prioridad estratégica. La IAG trae consigo una dualidad: la facilidad para construir y la facilidad para destruir. Pero, desde la perspectiva de negocio, debemos fijarnos mucho más en los costes ocultos que en la mera velocidad.
1. Vibe Coding: El atajo peligroso
El Vibe Coding es, esencialmente, la promesa de que cualquiera puede crear un software simplemente dándole órdenes a la IAG (un prompt o instrucción). Es como pedirle a un arquitecto virtual: «Hazme la casa de mis sueños».
La IAG —gracias a sus Grandes Modelos de Lenguaje (LLMs), el motor que «entiende» nuestras órdenes (aunque prefiero interpreta, bajo un modelo probabilístico)— puede escribir código en un suspiro. Pero esa velocidad tiene un precio que tu negocio es seguro que pagará más adelante.
Vamos a utilizar una analogía para entender el concepto: la Construcción Rápida.
Le pides una casa luminosa, moderna, hecha ya. Pero luego estás ante preguntas incómodas:
- ¿Se caerá con el viento? (Falta de robustez y capacidad de crecer).
- ¿Está bien aislada del frío/calor? (Falta de calidad).
- ¿Tiene cerraduras seguras? (Falta de seguridad).
La tabla de «oportunidad» del Vibe Coding se puede transformar fácilmente en un riesgo empresarial. ¿Qué significa esto para tu negocio?
| Característica (La Promesa) | Implicación Crítica (El Riesgo) |
| Baja Barrera de Entrada | La velocidad genera Deuda Técnica: atajos hoy que habrá que pagar luego. Arreglar el código incompleto costará más que haberlo hecho bien desde el principio. |
| Innovación Rápida | Se enfoca en hacer que funcione, ignorando los requisitos no funcionales (NFRs): la seguridad, el rendimiento o qué tan fácil será darle mantenimiento. |
Como conclusión directa podemos fijar el mayor defecto del Vibe Coding: entregar un borrador funcional, no un producto listo para producción. Se olvidan los cimientos, la seguridad y el mantenimiento a largo plazo.
2. El desastre de la implementación (¿por qué fallan los proyectos?)
Mi crítica, o más bien mi alerta, se centra en que lo que se ignora no es mínimo: son los pasos críticos para que el software funcione de verdad en el mundo real. Hay tres fallos típicos que se producen en proyectos sin un enfoque técnico adecuado:
- Fallas al crecer (Escalabilidad): El código Vibe puede ir bien con 10 usuarios, pero con 10.000 se vuelve lento o, simplemente, se cae. Las estructuras no fueron diseñadas para soportar carga; los cimientos no soportan el peso.
- Inseguridad estructural: El código generado a menudo no tiene los «candados» de seguridad integrados. Se genera una vulnerabilidad fácil de explotar (una «puerta abierta» digital) porque no se ha tenido en cuenta la seguridad en el diseño: vulnerabilidades, fuga de datos,…
- Mantenimiento Costoso: Si el código es confuso y tiene poca documentación, arreglar un error futuro o hacer una mejora se vuelve un proceso lento y caro.
Esto se agrava porque el código Vibe no se integra fácilmente en:
- Los procesos automáticos (CI/CD1): Los sistemas que automáticamente prueban y pasan el código a producción.
- La infraestructura de soporte (IaC2): Usar código para construir el entorno donde vive el programa.
En esta situación lo que va a pasar, es que el gestor hereda el caos: la productividad no solo se mide en velocidad, sino también en coste futuro, riesgo de caída y capacidad de mejora.
3. Vibe Hacking: la amenaza externa simplificada
Aquí está la otra cara de la misma moneda. Si puedes usar IAG para generar código rápido, un atacante puede usarla para generar ataques rápidos. Y los dos efectos se combinan: código débil + ataque sofisticado = desastre.
El Vibe Hacking es la otra cara de la moneda: usar la facilidad de la IAG para automatizar el cibercrimen. El punto crítico es que las debilidades generadas por el Vibe Coding son el blanco perfecto para estos ataques automatizados.
Tácticas Clave del Vibe Hacking (Alerta Empresarial):
- Armas digitales a la carta: Tenemos que ser conscientes de que si nosotros usamos la IAG para construir software, del otro lado habrá un atacante que también usará la IA, pero para crear código malicioso, y también de una forma rápida y sin necesidad de grandes equipos de hackers.
- Infiltración inteligente: Con herramientas que usan IAG, se puede analizar las redes de una empresa para encontrar los puntos de acceso más débiles, sugiriendo la mejor ruta para robar información.
- Extorsión personalizada: La IAG no solo pide rescate, sino que redacta mensajes que tocan las fibras emocionales o de pánico de la víctima (lo que conocemos como phishing sofisticado), aumentando las posibilidades de éxito.
Es importante entender que el riesgo no es solo que nuestro propio desarrollo sea débil. Es que ese desarrollo débil se convierte en blanco para técnicas de ataque potenciadas por IAG.
4. Estrategias de mitigación: blindar tu inversión
No se trata de demonizar la IA, se trata de usarla con cabeza. Las capas de defensa que puedes y debes emplear con tu equipo de soporte o desarrollo externo, deben ser tres: revisar el código, cerrar las puertas de acceso y educar al equipo.
| Revisión Obligatoria y Estricta del Código: | «Confía, pero verifica»: Todo código generado por IA debe pasar por revisiones humanas y por herramientas de chequeo de código (SAST-Static Application Security Testing [Pruebas de Seguridad de Aplicaciones Estáticas]). Estas herramientas buscan errores y fallos de seguridad antes de que el código se ponga en funcionamiento. Chequeo de Piezas de Otros (SCA-Software Composition Analysis [Análisis de Composición de Software]): Es vital usar herramientas (SCA) para asegurarnos de que ninguna de las «piezas prestadas» (códigos de terceros) usadas en el código Vibe esté comprometida. |
| Control de Acceso (Zero Trust): | Implementar la filosofía Zero Trust (confianza cero): asumimos que cualquiera dentro o fuera de la red puede suponer un riesgo, ser nuestro enemigo. Esto se logra con reglas de acceso muy estrictas que limitan lo que cada usuario o programa puede ver y hacer. |
| Gobernanza y Educación: | Establecer Políticas Claras sobre cuándo y cómo usar la IA. El Vibe Coding debe ser relegado solo a ideas y borradores, nunca a componentes críticos o sensibles de la empresa. Capacitar al personal para que reconozca los nuevos niveles de sofisticación en el phishing generado por IA. |
5. Claves para el Gestor
Tanto si eres un lector técnico, como si no lo eres, pero especialmente para este último grupo (los no tecnológos), tienes que tener en cuenta que el éxito no se mide en rapidez, sino en lo sólido, seguro y adaptable que es el resultado.
Si hoy “ahorra” en tiempo, puede que mañana pagues con errores, paradas, reputación dañada o soporte caro.
Tu rol de gestor es preguntar:
- ¿Este código/solución generada con IA estará preparada para 10 veces más usuarios?
- ¿Tiene auditoría de seguridad?
- ¿Hay formación al equipo sobre la herramienta?
- ¿Existe integración con los procesos de mantenimiento continuo?
- ¿Existe una política clara sobre el uso de la IA en el desarrollo?
La IAG es una herramienta poderosa. Pero en manos sin control, ese poder se vuelve un arma de doble filo. El Vibe Coding ofrece velocidad, pero no garantías, y si tu organización no interpreta los riesgos, aparece el Vibe Hacking y te va a golpear donde más duele.
No se trata de parar la innovación. Se trata de introducirla con rigor, con gobernanza y con visión de negocio. Porque al final, un proyecto no es exitoso porque se entregó primero: lo es porque funciona bien, se mantiene, se adapta y no se convierte en un agujero negro de costes.
- CI/CD significa Continuous Integration (Integración Continua) y Continuous Delivery/Deployment (Entrega/Despliegue Continuo). Es una práctica fundamental en el desarrollo moderno de software que busca automatizar y acelerar el ciclo de vida de las aplicaciones, desde que se escribe el código hasta que llega a producción. ↩︎
- IaC significa Infrastructure as Code (Infraestructura como Código). Es una práctica en la que la infraestructura tecnológica (servidores, redes, bases de datos, balanceadores, etc.) se define y gestiona mediante archivos de código, en lugar de configurarla manualmente. Esto convierte la infraestructura en algo reproducible, versionable y automatizable, igual que el software. ↩︎
La velocidad a la que se mueve todo lo relacionado con la IA es tremenda. En este articulo me centraba en lo crucial que es entender la importancia de VibeHacking pero este tipo de ataque, aunque sofisticado, es la fase inicial de una evolución mucho más preocupante.
El reciente informe de Anthropic, «Disrupting the first reported AI-orchestrated cyber espionage campaign» , documenta un caso que marca una escalada significativa respecto a los hallazgos de vibe hacking de junio de 2025.
La diferencia clave está en la autonomía:
* Vibe Hacking: Los operadores humanos «permanecían muy involucrados dirigiendo las operaciones».
* GTG-1002 (nuevo caso): Se ejecutó el «primer caso documentado de un ciberataque ejecutado en gran medida sin intervención humana a escala». La I.A. (Claude Code) realizó de forma autónoma entre el 80% y el 90% del trabajo táctico , desde el descubrimiento de vulnerabilidades hasta la exfiltración de datos, incluso contra objetivos de alto valor como corporaciones tecnológicas y agencias gubernamentales.
Esto demuestra que las barreras para realizar ciberataques sofisticados se han reducido sustancialmente.
Articulo: https://www.anthropic.com/news/disrupting-AI-espionage
Paper: https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf