Por qué el vibe coding y las extensiones de VS Code crean nuevos riesgos para el negocio y el desarrollo

La IA ya está cambiando la distribución de roles en las empresas: un empleado sin formación técnica profunda puede montar un script, conectar una extensión en VS Code y resolver rápidamente una tarea local. El problema es que junto con la velocidad llegan nuevos riesgos al negocio—desde fugas de datos y código vulnerable hasta automatización en la sombra, que los equipos de TI descubren demasiado tarde.

Por Qué Ha Crecido el Riesgo

El vibe-coding reduce la barrera de entrada: una persona describe una tarea en lenguaje natural y el modelo ofrece fragmentos de código listos, configs de infraestructura y comandos para deploy. Para el negocio, parece una aceleración porque las tareas se cierran sin esperar en fila a desarrolladores y administradores. Pero la velocidad aquí es engañosa: el empleado puede no entender exactamente qué generó la IA, qué permisos necesita el script, dónde van los datos y cómo la extensión del IDE procesa el contenido del proyecto.

Un problema separado es el ecosistema de extensiones de VS Code. La instalación toma minutos, pero las consecuencias pueden extenderse durante meses. Un plugin obtiene acceso a archivos, tokens, terminal o solicitudes de red, mientras que la verificación suele limitarse al número de estrellas en el marketplace. Si hay protección débil, telemetría agresiva o simplemente código de mala calidad, la empresa obtiene un nuevo punto de entrada para fugas, errores y cambios no autorizados en los flujos de trabajo. A menudo estas soluciones terminan en el trabajo diario sin aprobación formal y control de versiones.

Dónde el Negocio Pierde

El riesgo principal es la aparición de TI sombra. Los empleados comienzan a automatizar procesos por su cuenta: escriben bots, integran APIs, crean paneles internos, modifican scripts CI o ejecutan procesamiento de datos de clientes sin revisión arquitectónica. Mientras todo funciona, parece una victoria de eficiencia. Pero en el momento de un incidente, se descubre que nadie sabe dónde está el código, quién lo mantiene, qué secretos contiene y qué se romperá si el autor se va o simplemente deja de usarlo.

• Fuga de claves y documentos internos a través de plugins de IA y APIs externas
• Código vulnerable en producción sin revisión y pruebas adecuadas
• Automatizaciones que eluden modelos de roles, logs de auditoría y políticas de seguridad
• Aumento de costos debido a integraciones rotas, queries SQL incorretas y tiempos de inactividad
• Riesgos legales si los datos de clientes van a servicios terceros sin aprobación

La ilusión de competencia es especialmente peligrosa. La IA a menudo produce un resultado plausible que parece una solución de nivel senior, aunque puede contener bibliotecas desactualizadas, patrones inseguros y suposiciones incorrectas sobre el entorno. Para una tarea pequeña resulta en horas extra; para una gran empresa puede ser un incidente en producción, violación de cumplimiento o pérdidas financieras directas. Los errores se descubren no en el editor, sino después de ejecutarse en datos y clientes reales.

Cómo Reducir el Daño

Es imposible prohibir la IA completamente, así que el enfoque práctico es introducir controles. Las empresas necesitan una lista clara de herramientas aprobadas, reglas de manipulación de datos y un modelo básico de responsabilidad: quién puede instalar extensiones, qué repositorios pueden enviarse a modelos externos, dónde almacenar tokens y qué escenarios requieren participación obligatoria de TI o equipo de seguridad. El vibe-coding es más seguro cuando se integra en el proceso en lugar de vivir como un área gris separada dentro de los equipos.

En la práctica, esto significa varios pasos obligatorios: cuentas corporativas separadas para servicios de IA, listas blancas de extensiones, aislamiento de secretos a través de vault o variables de entorno, revisión obligatoria de todo código que vaya más allá de la experimentación local, y logging de automatizaciones. También es útil separar prototipado de producción: un empleado puede montar rápidamente una solución con IA, pero implementarla en el pipeline de producción debe hacerlo gente que entienda arquitectura, seguridad y costo de mantenimiento.

Si una empresa ya está usando herramientas de IA a escala, vale la pena hacer una auditoría: qué plugins tienen instalados los empleados, qué modelos externos están conectados, quién está enviando archivos de proyecto dónde, qué scripts se ejecutan desde el IDE y cuántos procesos de negocio dependen de código sin dueño. Una auditoría así suele mostrar rápidamente que el problema no es la IA misma, sino la falta de reglas, observabilidad y disciplina de ingeniería. Cuanto antes se haga este inventario, más barato es corregir las consecuencias.

Qué Significa Esto

La IA hace el desarrollo más accesible, pero al mismo tiempo borra los límites de responsabilidad. En el negocio, ganan no aquellos que simplemente permitieron el vibe-coding, sino aquellos que rápidamente impusieron control sobre él: herramientas claras, revisión de código, protección de datos y propietarios para cada automatización.