Vulnerabilidades del vibe coding: cómo los sitios generados por AI crean brechas de seguridad para los hackers

La programación vibe ha dado a millones de personas la capacidad de crear aplicaciones sin conocimientos de programación — es suficiente describir una tarea en lenguaje natural y la IA generará código funcional. Es conveniente, rápido y a menudo produce excelentes resultados. Pero detrás de esta accesibilidad se esconde un problema que la mayoría de los principiantes simplemente no consideran: la IA escribe código funcional — pero no siempre seguro.

La Historia de un Sitio Web

Bob Starr, gerente de proyectos en la industria tecnológica, utilizó programación vibe para crear el sitio web "Boomberg" — una herramienta que mostraba visualmente cuánto dinero de impuestos estadounidenses va a las empresas de tecnología. Quedó satisfecho con el resultado y lanzó inmediatamente el proyecto al acceso público — así funciona la programación vibe: rápido, de la idea al producto, sin etapas intermedias. Solo después de varios meses, Starr descubrió un detalle alarmante: el código contenía una SQL inyección. Se trata de una vulnerabilidad clásica en la que un atacante puede leer o modificar datos en una base de datos simplemente formulando una consulta especial. La vulnerabilidad existía desde el lanzamiento — simplemente nadie la había notado.

"Fue un claro descuido por mi parte.

Un punto ciego completo al aprender una nueva tecnología. Y estoy seguro de que otros cometen el mismo error", reconoció Starr en una conversación con The Verge.

Por Qué la IA Pasa por Alto las Amenazas

Las herramientas de codificación con IA están optimizadas para una cosa: hacer que el código haga lo que se le pide. Generan resultados funcionales rápidamente — pero la seguridad a menudo pasa a un segundo plano o se ignora completamente. El problema no está en la calidad de la generación. El problema es que un usuario sin experiencia en desarrollo no sabe qué preguntas hacer. Un ingeniero experimentado, después de escribir código, siempre verificará: cómo entran los datos en las consultas a la base de datos, quién tiene acceso a las funciones administrativas, ningún secreto quedó en el repositorio. Para la mayoría de los programadores vibe, estas preguntas simplemente no surgen.

Vulnerabilidades típicas en proyectos de programación vibe:

• SQL inyecciones — el código no desinfecta la entrada del usuario antes de pasarla a la base de datos
• Claves API expuestas — los secretos terminan directamente en el código fuente
• Dependencias desactualizadas — uso de bibliotecas con vulnerabilidades conocidas
• Puntos finales desprotegidos — funciones administrativas sin verificación de autorización
• Vulnerabilidades XSS — salida de datos insegura en el navegador

La Escala No Debe Subestimarse

La programación vibe hace mucho tiempo que ha dejado su estado de nicho. Cursor, GitHub Copilot, Replit y Lovable han atraído a decenas de millones de usuarios, muchos de los cuales programan por primera vez en sus vidas. Algunos de estos proyectos son experimentos personales sin usuarios reales. Pero otros ya se están ejecutando en Internet, procesando datos reales y abiertos a cualquiera. Es importante entender: la vulnerabilidad que Starr encontró no es exótica. Las SQL inyecciones están en la lista OWASP Top 10 desde hace más de 15 años y siguen siendo uno de los problemas más comunes en las aplicaciones web. La IA las reproduce porque fue entrenada con código que las contenía.

La historia de Bob Starr es instructiva precisamente porque no estaba intentando tomar atajos — simplemente no sabía qué exactamente necesitaba verificar. Y ese es el riesgo estructural principal de la programación vibe: no la mala intención, sino la ignorancia sistémica.

Qué Significa Esto

La programación vibe reduce la barrera de entrada al desarrollo, pero no elimina la responsabilidad de lo que lanzas a internet. Si un proyecto procesa datos de usuarios o simplemente es accesible desde Internet — una auditoría de seguridad básica es obligatoria. Pedir a la misma IA que verifique el código en busca de vulnerabilidades, estudiar OWASP Top 10 o enviar el proyecto para una auditoría rápida de un especialista — ya es un buen comienzo.