APREX · EST. 2026
La industria del software ha estado realizando un experimento silencioso sobre sí misma, y los resultados son catastróficos. Mientras las empresas tecnológicas compiten por presumir de las ganancias de productividad impulsadas por IA, código inseguro, defectuoso e inmantenible se filtra silenciosamente en sistemas de producción de todo el mundo. No es un riesgo futuro. Está sucediendo ahora mismo.
Los números que la industria prefiere ignorar
> KEYFIGURE
>
> 61 % — proporción de código organizacional generado o asistido por IA (The Register / SmartBear, mayo de 2026)
>
> 92 % — proporción de bases de código generadas por IA con al menos una vulnerabilidad crítica (Sherlock Forensics, ene–abr 2026)
>
> 18 días — tiempo medio desde el despliegue hasta el primer intento de explotación en apps generadas por IA
>
> 10 000+ — hallazgos de seguridad mensuales en una empresa Fortune 50 tras adoptar IA, frente a ~1 000 anteriores (Apiiro, dic 2024–jun 2025)
Una encuesta de SmartBear a 273 líderes de software, publicada en mayo de 2026, revela que el 70 por ciento considera que la calidad de las aplicaciones ya se ha degradado como consecuencia directa del código generado por IA. No es ansiedad por el futuro — es un diagnóstico del presente.
Código de IA frente a código humano: lo que dicen los datos
| Categoría | Código IA vs. código humano |
|---|---|
| Defectos totales | 1,7 veces más |
| Errores de lógica y corrección | 75 % más frecuentes |
| Vulnerabilidades de seguridad | hasta 2,74 veces más altas |
| Problemas de legibilidad | 3 veces más frecuentes |
| Deficiencias en el manejo de errores | casi 2 veces más frecuentes |
| Paquetes alucinados | 20 % de todo el código IA |
| Salida incorrecta | 26,6 % de los programas |
Fuentes: CodeRabbit (470 PRs de GitHub), Veracode (100+ LLMs, 80 tareas de codificación), Sherlock Forensics 2026
Las propias herramientas son ahora objetivos de ataque
Veracode probó más de 100 modelos de lenguaje distintos en 80 tareas de codificación estandarizadas en cuatro lenguajes de programación: Java, Python, C# y JavaScript. El resultado: el 45 por ciento de todo el código generado por IA contiene vulnerabilidades de seguridad.
Java fue el peor parado, con una tasa de fallo del 72 por ciento. El 86 por ciento del código Java generado por IA no defiende contra ataques XSS (CWE-80). El 88 por ciento es vulnerable a la inyección de registros (CWE-117). Y desde enero de 2025, la tasa media de aprobación apenas ha variado — se mantiene plana en torno al 55 por ciento, pese a las afirmaciones de los proveedores sobre entrenamiento centrado en seguridad.
> HIGHLIGHT
> Los «fallos de lógica silenciosos» representan el 60 por ciento de todos los errores en el código generado por IA. Pasan las pruebas automatizadas y solo fallan en casos límite en producción, donde los usuarios reales pagan las consecuencias.
El Vibe Security Radar de Georgia Tech, lanzado en mayo de 2025, rastrea CVEs directamente atribuibles a herramientas de codificación con IA. En marzo de 2026, el radar registró 35 CVEs confirmados — un aumento de casi seis veces respecto a enero del mismo año (6 CVEs). En total, se han confirmado 74 CVEs. Claude Code fue responsable de 27 de ellos, identificables mediante firmas de commit. GitHub Copilot, Cursor, Devin y Aether suman el resto. Los investigadores estiman que el número real en repositorios públicos se sitúa entre 400 y 700 — sin incluir las bases de código empresariales.
La iteración empeora las cosas, no las mejora
Quizá el hallazgo más alarmante proviene de un estudio publicado por IEEE-ISTAS en 2025, realizado por investigadores de la Universidad de San Francisco, el Vector Institute y la Universidad de Massachusetts Boston. Probaron 400 muestras de código generado por IA en 40 rondas iterativas, pidiendo a los modelos que mejoraran su propio código.
Resultado: tras solo 5 rondas, las vulnerabilidades críticas habían aumentado un 37,6 por ciento. Después de 10 rondas, el número medio de vulnerabilidades por muestra de código había pasado de 2,1 a 6,2 — casi el triple. El patrón se mantuvo incluso cuando los investigadores instruyeron explícitamente a los modelos para que priorizaran la seguridad.
> PULLQUOTE
> «La mejora iterativa con IA no es aseguramiento de calidad. Es un multiplicador de vulnerabilidades.»
> — Estudio IEEE-ISTAS 2025, Universidad de San Francisco / Vector Institute / UMass Boston
CRONOLOGÍA: La crisis se acelera
TIMELINE
🔴 Enero de 2025 — El Vibe Security Radar de Georgia Tech registra 6 CVEs vinculados a herramientas de codificación con IA desde su lanzamiento
🟠 Febrero de 2025 — La cifra se duplica hasta 15 CVEs confirmados en un solo mes
🟡 Diciembre 2024–junio 2025 — Apiiro documenta cómo los desarrolladores asistidos por IA en una empresa Fortune 50 elevan los hallazgos mensuales de seguridad de ~1 000 a más de 10 000
🔴 Marzo de 2026 — 35 CVEs en un mes. Georgia Tech estima entre 400 y 700 en repositorios públicos en total
🚨 Enero–abril de 2026 — Sherlock Forensics analiza bases de código generadas por IA: el 92 % tiene vulnerabilidades críticas, con una media de 8,3 hallazgos explotables por app
Vibe coding: apps en producción, usuarios en peligro
Escape.tech analizó 1 400 aplicaciones «vibe-coded» — apps construidas rápidamente con supervisión humana mínima mediante IA. Los hallazgos fueron contundentes: 2 038 vulnerabilidades críticas, más de 400 secretos filtrados y 175 casos de información personal expuesta, incluyendo datos médicos y registros financieros. No eran prototipos. Estaban en producción con usuarios reales.
El informe de Sherlock Forensics de enero–abril de 2026 aporta más detalles: el 78 por ciento de las aplicaciones generadas por IA almacena secretos en texto plano o en archivos .env. El 91 por ciento carece de registro de seguridad. El 88 por ciento no aplica limitación de tasa en la autenticación. Y de media, transcurren solo 18 días desde el despliegue hasta el primer intento de explotación.
La trampa de la velocidad: más producción, más caos
Apiiro analizó datos de una empresa Fortune 50 entre diciembre de 2024 y junio de 2025. Los desarrolladores asistidos por IA produjeron 3–4 veces más commits que sus colegas sin IA. Los errores de sintaxis cayeron un 76 por ciento. Los bugs de lógica bajaron un 60 por ciento. Sonaba prometedor.
Pero bajo la superficie: los caminos de escalada de privilegios aumentaron un 322 por ciento. Los fallos de diseño crecieron un 153 por ciento. El volumen de pull requests cayó casi un tercio — no porque se hiciera menos trabajo, sino porque PRs más grandes con más problemas concentrados se agrupaban en menos ciclos de revisión.
Una encuesta de Uplevel a más de 800 desarrolladores reveló que el 96 por ciento está preocupado por la fiabilidad del código generado por IA. Aún más revelador: el 67 por ciento dedica más tiempo a depurar errores después de adoptar herramientas de IA — no menos.
GitClear analizó más de 150 millones de líneas de código y confirmó la tendencia: en bases de código intensivas en IA, la rotación de código aumenta drásticamente. El código escrito por IA se modifica o elimina con mucha más frecuencia en las dos primeras semanas que el código humano. Se copia y pega con más frecuencia y se mantiene de forma menos consistente a lo largo del tiempo.
Slopsquatting: cuando las alucinaciones se convierten en armas
Una de las consecuencias más peculiares de la generación de código con IA es un escenario de ataque bautizado como «slopsquatting». Alrededor del 20 por ciento de todo el código generado por IA hace referencia a paquetes que no existen — los modelos alucinan nombres de paquetes. Los atacantes registran ahora esos nombres inexistentes como bibliotecas maliciosas, esperando a que los desarrolladores asistidos por IA las instalen automáticamente.
Ya no es solo el código la superficie de ataque. Las propias herramientas también lo son. En 2025 se documentaron CVEs contra Amazon Q, Cursor y el procesamiento de archivos de reglas de GitHub Copilot — ataques a la cadena de suministro dirigidos directamente a las herramientas de codificación con IA de las que dependen millones de desarrolladores a diario.
CAJA DE DATOS: Lo que la industria está haciendo mal
Fallos más comunes en el código generado por IA (Sherlock Forensics, 2026):
- El 78 % almacena claves de API y contraseñas en texto plano
- El 91 % carece de registro de seguridad
- El 88 % no aplica limitación de tasa en los endpoints de inicio de sesión
- El 34 % contiene dependencias alucinadas (Node.js)
- Solo el 12 % implementa limitación de tasa en general
Stanford 2024: Los desarrolladores que usaban asistentes de IA tenían más probabilidades de introducir vulnerabilidades de seguridad — y más probabilidades de evaluar código inseguro como seguro (sesgo de autoridad).
CONCLUSIÓN
La industria ha cambiado calidad por velocidad, y la factura está llegando. El código generado por IA no es un problema futuro que se resolverá con la próxima generación de modelos. Es un problema presente ya integrado en sistemas de producción con usuarios reales. La respuesta no es dejar de usar IA. Es dejar de fingir que el código de IA es código terminado. La revisión exhaustiva, las pruebas de seguridad automatizadas y la experiencia humana no son complementos opcionales — son contramedidas obligatorias.
Verificado contra 10 fuentes primarias abiertas
Fuentes: SmartBear (273 líderes de software, mayo de 2026) vía The Register y ShiftAsia; CodeRabbit (470 PRs de GitHub); Veracode (100+ LLMs, 80 tareas); Sherlock Forensics AI Code Security Report (ene–abr 2026); IEEE-ISTAS 2025 (USF / Vector Institute / UMass Boston, 400 muestras de código, 40 iteraciones); Georgia Tech Vibe Security Radar; Análisis Fortune 50 de Apiiro (dic 2024–jun 2025); GitClear (150M+ líneas); Encuesta Uplevel (800+ desarrolladores); Escape.tech (1 400 apps vibe-coded); Stanford 2024 (estudio de sesgo de autoridad)