La adopción masiva de herramientas de IA para generar código está transformando el desarrollo de software, pero también está creando un nuevo y preocupante frente de riesgo para las empresas. El auge del código generado por IA está introduciendo vulnerabilidades difíciles de detectar y brechas, impulsando a los equipos de seguridad a replantear sus prioridades y a reforzar sus procesos. Esta tendencia, descrita en un reciente informe de Black Duck, revela un fenómeno inquietante: la ilusión de corrección.
La ilusión de corrección: el nuevo enemigo silencioso
El código producido por modelos de lenguaje suele verse impecable: bien estructurado, limpio y aparentemente listo para producción. Sin embargo, esa apariencia profesional oculta un problema creciente. Según Black Duck, los equipos han incrementado un 12% sus esfuerzos para clasificar riesgos y decidir dónde puede —y dónde no debe— usarse código generado por IA .
El CEO de Black Duck, Jason Schmitt, lo resume con claridad: el peligro no está en los errores obvios, sino en el código que parece perfecto pero introduce fallos críticos. La confianza excesiva de los desarrolladores en estas herramientas está generando un caldo de cultivo para vulnerabilidades que pasan desapercibidas hasta que ya es demasiado tarde.
Regulación y transparencia: el auge del SBOM
La presión regulatoria está acelerando la inversión en seguridad. El uso de Software Bill of Materials (SBOM) ha crecido casi un 30%, impulsado por normativas como el Cyber Resilience Act (CRA) de la Unión Europea y nuevas exigencias del gobierno de Estados Unidos .
Los SBOM permiten a las organizaciones conocer exactamente qué componentes forman parte de su software, independientemente de si fueron escritos por humanos, IA o terceros. Esta transparencia se está convirtiendo en un pilar esencial para gestionar riesgos en un entorno donde el código generado automáticamente es cada vez más común.
Además, la verificación automatizada de infraestructuras ha aumentado más del 50%, y los procesos de divulgación responsable de vulnerabilidades han crecido más del 40%. La industria se está moviendo hacia una cultura de seguridad más proactiva y menos reactiva.
Más allá del código propio: la explosión del desarrollo asistido por IA
Las empresas ya no solo deben vigilar su código interno. El desarrollo asistido por IA y la integración de componentes de terceros están obligando a ampliar la visibilidad y el control. Según el informe, los equipos están estandarizando sus tech stacks y reforzando la supervisión de dependencias externas.
La formación en seguridad también está evolucionando. Los cursos largos están siendo reemplazados por guías contextuales y bajo demanda, integradas directamente en los flujos de trabajo de los desarrolladores. Este enfoque “just-in-time” permite corregir errores en el momento exacto en que se producen, reduciendo la fricción y aumentando la eficacia.
Las herramientas de colaboración abierta han crecido un 29%, facilitando el acceso inmediato a recomendaciones de seguridad y promoviendo una cultura de comunicación más fluida entre equipos.
El código generado por IA ya es mainstream… y también un riesgo real
Un estudio de Aikido revela que el 24% del código en producción a nivel global ya está escrito por herramientas de IA, una cifra que sigue aumentando a medida que empresas de Europa y Estados Unidos adoptan estas tecnologías a gran escala. La productividad aumenta, sí, pero también lo hacen los riesgos:
- 1 de cada 5 brechas de seguridad está causada por código generado por IA.
- 69% de los líderes de seguridad y desarrolladores han encontrado vulnerabilidades graves en este tipo de código.
- Casi la mitad de los desarrolladores no revisa el código generado por IA, según un estudio de Sonar, porque consideran que lleva más tiempo que revisar el código de un compañero humano .
Este último dato es especialmente alarmante: la confianza ciega en la IA está creando un entorno donde los fallos pasan inadvertidos y se despliegan en producción sin una revisión adecuada.
Un cambio de paradigma en la seguridad del software
La industria está entrando en una nueva fase donde la seguridad ya no puede depender únicamente de la experiencia humana ni de procesos tradicionales. La combinación de código generado por IA, presión regulatoria, ecosistemas de software cada vez más complejos y una velocidad de desarrollo enorme está obligando a las empresas a adoptar estrategias más robustas, automatizadas y transparentes.
Los SBOM, la verificación automatizada, la formación contextual y la supervisión de dependencias externas ya no son buenas prácticas opcionales: son requisitos indispensables para sobrevivir en un entorno donde la IA acelera tanto la innovación como los riesgos.
¿Qué deben hacer las empresas ahora?
Para mitigar los riesgos asociados al código generado por IA, las organizaciones deberían priorizar:
- Revisión obligatoria del código generado por IA, sin excepciones.
- Integración de herramientas de análisis estático y dinámico adaptadas a patrones de errores comunes en IA.
- Implementación de SBOM en todos los proyectos, internos y externos.
- Automatización de pruebas de seguridad en pipelines CI/CD.
- Formación continua y contextual para desarrolladores.
- Políticas claras sobre cuándo y cómo puede usarse código generado por IA.
La clave está en combinar la velocidad que aporta la IA con la prudencia y el criterio humano.
El código generado por IA está redefiniendo el desarrollo de software, pero también está creando un nuevo vector de riesgo y brechas de seguridad que las empresas no pueden ignorar. La ilusión de corrección, la confianza excesiva y la falta de revisión están provocando vulnerabilidades que ya se traducen en brechas reales.
La industria se encuentra en un punto de inflexión: o se adoptan prácticas de seguridad modernas y automatizadas, o el crecimiento del desarrollo asistido por IA se convertirá en una amenaza mayor que sus beneficios.