Un nuevo análisis de Unit 42, de Palo Alto Networks, advierte que el auge de la programación asistida por IA acelera el desarrollo de software, pero también expone a las organizaciones a mayores riesgos de ciberseguridad.
La promesa del desarrollo asistido por IA, o «codificación vibrante», es innegable. En un panorama definido por complejas arquitecturas nativas de la nube y una intensa demanda de nuevo software, este factor multiplicador de fuerza se está convirtiendo rápidamente en una práctica habitual. Sin embargo, esta velocidad conlleva un coste considerable, a menudo desatendido. Dado que los agentes de IA que generan código funcional en segundos, con frecuencia no aplican controles de seguridad críticos, lo que genera vulnerabilidades masivas, deuda técnica y escenarios de vulneración reales.
Este desafío se puede agravar por el auge de desarrolladores ciudadanos (personal sin experiencia en desarrollo) que carecen de los conocimientos necesarios para revisar o proteger el código generado. Debido a esta falta de experiencia en desarrollo, es posible que los desarrolladores no comprendan plenamente los requisitos de seguridad del ciclo de vida de las aplicaciones, lo que puede requerir formación o experiencia en seguridad de aplicaciones. Para todos los líderes, desde el CEO hasta el CISO, así como para los profesionales técnicos, comprender esta brecha es fundamental.
“Hoy basta con que un usuario escriba una instrucción simple para que en segundos aparezcan varias líneas de código funcional. Esa es la nueva realidad del desarrollo de software. Las ganancias de productividad son innegables, pero ya estamos viendo incidentes reales provocados por el uso de estas herramientas sin los controles de seguridad adecuados”, Patrick Rinski, Líder de Unit 42 para América Latina.
Cuando el código funciona, pero la seguridad queda atrás
El problema no es hipotético. ¿Qué ocurre cuando una función generada por IA obtiene los datos correctamente, pero no incluye controles básicos de autenticación o limitación de solicitudes? ¿O cuando una instrucción maliciosa logra engañar al agente de IA para extraer información sensible?
La codificación Vibe ofrece una ventaja, ya que permite a los equipos hacer más con menos. Sin embargo, tras una adopción más generalizada, la Unidad 42 ha observado que se han producido fallos catastróficos reales:
- Desarrollo de aplicaciones inseguras que conducen a una violación: una aplicación de ventas fue violada con éxito porque el agente de codificación de vibraciones no incorporó controles de seguridad clave, como los de autenticación y limitación de velocidad, en la compilación.
- Lógica de plataforma insegura que conduce a la ejecución de código: los investigadores descubrieron una falla crítica a través de la inyección indirecta de indicaciones que permitía la inyección de comandos maliciosos a través de contenido no confiable, ejecutando código arbitrario y permitiendo la exfiltración de datos confidenciales.
- Lógica de plataforma insegura que conduce a la elusión de la autenticación: una falla crítica en la lógica de autenticación de un programa popular permitió eludir los controles simplemente mostrando la identificación públicamente visible de una aplicación en una solicitud de API.
- Eliminación no autorizada de una base de datos que provoca pérdida de datos: un agente de IA, a pesar de las instrucciones explícitas de congelar los cambios de producción, eliminó toda la base de datos de producción de una aplicación comunitaria.
