· nervico-team · desarrollo-software  · 5 min read

Vibe coding: por que dejar que la IA vibre con tu codigo es una bomba de relojeria

El 45% del codigo generado por IA tiene vulnerabilidades de seguridad. cURL cierra su bug bounty por spam de IA. Ghostty prohibe contribuciones de IA. El vibe coding es una herramienta increible en manos de ingenieros senior y un desastre en manos de nadie.

El 45% del codigo generado por IA tiene vulnerabilidades de seguridad. cURL cierra su bug bounty por spam de IA. Ghostty prohibe contribuciones de IA. El vibe coding es una herramienta increible en manos de ingenieros senior y un desastre en manos de nadie.

Vibe coding suena bien: le describes a una IA lo que quieres y ella escribe el codigo. No lees el codigo, no lo revisas, simplemente “vibes.” El termino lo acuno Andrej Karpathy, cofundador de OpenAI, y desde entonces ha explotado en popularidad. Segun Stack Overflow, el 84% de los developers ya usa o planea usar herramientas de IA para programar.

El problema es que nadie habla de lo que pasa cuando esas “vibes” llegan a produccion.

Los datos pintan un cuadro preocupante: el 45% del codigo generado por IA contiene vulnerabilidades de seguridad. Las contribuciones de IA a proyectos open source son tan malas que los mantenedores estan cerrando puertas. Y una nueva generacion de “desarrolladores” puede construir productos funcionales pero no puede debuggearlos cuando fallan.

Los numeros que nadie quiere ver

El informe de Veracode sobre seguridad de codigo GenAI analizo 80 tareas de programacion en mas de 100 modelos de lenguaje, en Java, JavaScript, Python y C#. Los resultados:

  • 45% del codigo generado tenia vulnerabilidades de seguridad
  • En Java, la tasa de fallo superaba el 72%
  • El 86% de las muestras eran vulnerables a Cross-Site Scripting
  • El 88% eran vulnerables a inyeccion de logs
  • La seguridad no mejoraba con modelos mas grandes o mas recientes

Esto ultimo es clave: no es un problema que se resuelve con la proxima version del modelo. Los LLMs mejoran escribiendo codigo funcional pero no codigo seguro. Es una limitacion arquitectonica, no temporal.

El analisis de CodeRabbit sobre 470 pull requests en GitHub confirma el patron: el codigo co-escrito con IA tenia 1,7 veces mas issues “criticos y mayores” que el humano. Los problemas de legibilidad eran 3 veces mas frecuentes. Los problemas de rendimiento (I/O excesivo), 8 veces mas comunes.

Y luego esta Lovable, la startup sueca de vibe coding. Un investigador escaneo 1.645 aplicaciones creadas con Lovable y encontro que 170 permitían a cualquier persona acceder a informacion personal de los usuarios: nombres, emails, datos financieros y claves API. Escape.tech amplio el analisis a 5.600 aplicaciones vibe-coded y encontro mas de 2.000 vulnerabilidades y 175 instancias de datos personales expuestos.

La rebelion del open source

Los mantenedores de proyectos open source estan haciendo algo sin precedentes: cerrando puertas a las contribuciones externas por culpa de la IA.

Daniel Stenberg, creador de cURL (la herramienta que usan practicamente todos los servidores del planeta), cerro su programa de bug bounty despues de seis anos. El motivo: una “explosion de reportes de IA basura.” En anos anteriores, mas del 15% de los reportes eran vulnerabilidades reales. En 2025, la tasa cayo por debajo del 5%. “Ni uno de cada veinte era real,” escribio Stenberg. Los reportes de IA no solo eran inútiles, sino que consumian un tiempo y energia enormes para desmentirlos. “Los reportes de basura de IA erosionan nuestras ganas de vivir.”

Mitchell Hashimoto, creador de Ghostty, fue mas directo. Primero exigio que todas las contribuciones declararan si habian usado IA. Despues, adopto una politica de tolerancia cero: las contribuciones drive-by se cierran inmediatamente, los reincidentes se banean permanentemente. Su frase: “Esto no es una postura anti-IA. Es una postura anti-idiotas.”

La ironia: Hashimoto y su equipo usan IA a diario para escribir Ghostty. El problema no es la herramienta, es quien la usa y como.

Steve Ruiz, creador de tldraw, cerro directamente todas las pull requests externas. “En un mundo de asistentes de IA para programar, el codigo de contribuyentes externos es realmente valioso? Si escribir el codigo es la parte facil, por que querria que otra persona lo escribiera?”

RedMonk bautizo esta tendencia como el “AI Slopageddon”. Stack Overflow vio una caida del 25% en actividad a los seis meses de ChatGPT. El trafico de documentacion de Tailwind CSS cayo un 40% y sus ingresos un 80%.

La IA necesita supervision senior, no menos supervision

La investigacion presentada en ICSE 2026 (la conferencia academica mas importante de ingenieria de software) analizo 518 testimonios de practicantes de vibe coding. Su conclusion: “El vibe coding reduce barreras y acelera el prototipado, pero a costa de fiabilidad y mantenibilidad.” Los investigadores identificaron una nueva clase de desarrolladores vulnerables: personas que pueden construir un producto funcional pero que son incapaces de debuggearlo cuando falla.

CAST Software analizo 10.000 millones de lineas de codigo y detecto un incremento de 4x en “code cloning”: la IA copia y pega bloques similares en lugar de crear logica reutilizable. El resultado es lo que llaman la “capa de slop” (basura): codigo que funciona pero que nadie entiende por que, y que nadie puede arreglar cuando se rompe.

Solo el 3% de los developers confian plenamente en el codigo generado por IA. El 71% rechaza fusionarlo sin revision manual. El 45% dice que debuggear codigo de IA lleva mas tiempo que escribirlo desde cero.

La conclusion es clara: la IA como herramienta de generacion de codigo es extraordinaria. Pero sin un ingeniero senior que revise, entienda y valide lo que genera, es una fabrica de deuda tecnica y vulnerabilidades de seguridad.

Como usamos IA en NERVICO

El vibe coding es como darle un bisturi a alguien sin formacion medica. La herramienta es excelente. El problema es quien la usa.

En NERVICO usamos IA como multiplicador de ingenieros senior, no como reemplazo de criterio humano. Concretamente:

Lo que la IA hace por nosotros:

  • Acelera la generacion de codigo boilerplate y patrones repetitivos
  • Asiste en el descubrimiento de dependencias y documentacion de sistemas
  • Sugiere implementaciones que un senior revisa, modifica y valida
  • Ejecuta tareas de testing y analisis estatico

Lo que la IA no hace por nosotros:

  • No toma decisiones de arquitectura
  • No escribe codigo que va a produccion sin revision humana
  • No reemplaza el criterio sobre seguridad, rendimiento y mantenibilidad
  • No sustituye el conocimiento del dominio del negocio

La diferencia entre vibe coding y ingenieria asistida por IA es la misma que entre darle un piano a un nino y darselo a un musico profesional. Ambos producen sonido. Solo uno produce musica.

Si tu empresa esta evaluando como integrar IA en su proceso de desarrollo sin sacrificar calidad ni seguridad, nuestra auditoria tecnica gratuita puede ayudarte a encontrar el equilibrio correcto.

Share:
Back to Blog

Related Posts

View All Posts »