La adopción de código generado por inteligencia artificial se ha disparado en los últimos meses, pero la seguridad no está siguiendo el mismo ritmo. Según el Artifact Management Report 2026 de Cloudsmith, el 93% de las organizaciones ya utiliza código producido por IA, más del doble que el año anterior. Sin embargo, este crecimiento acelerado está acompañado de prácticas de validación insuficientes que podrían derivar en vulnerabilidades críticas y sanciones regulatorias.
Uno de los datos más preocupantes es que un 31% de las empresas dedica 10 horas o menos al mes a auditar, validar o asegurar el código generado por IA. Incluso un 5% admite que no realiza auditorías en absoluto. A pesar de que los modelos de IA se han convertido en un tipo de artefacto central en los flujos de desarrollo, solo el 12% de las organizaciones los gestiona con los mismos estándares de seguridad que aplican a binarios tradicionales o librerías del sistema.
Esta falta de control contrasta con la percepción de riesgo: únicamente el 17% de los encuestados se siente “muy confiado” en que la IA no está introduciendo nuevas vulnerabilidades en su base de código. Como señala Glenn Weinstein, CEO de Cloudsmith, el sector vive un punto de inflexión: hemos pasado de preguntarnos “cómo puede la IA ayudarme a escribir mejor código” a “cómo puedo ayudar a la IA a escribir mejor código”. Pero este salto también amplía la superficie de ataque y multiplica las dependencias abiertas.
Impacto regulatorio: el CRA exige trazabilidad inmediata
El informe advierte que estas prácticas laxas pueden tener consecuencias legales. El Cyber Resilience Act (CRA) de la Unión Europea obliga a las organizaciones a presentar un informe detallado con datos de procedencia, versiones y certificaciones de seguridad en un plazo de 48 horas tras detectar una brecha. Más de la mitad de las empresas reconoce que necesitaría un esfuerzo manual significativo para generar este informe, y un 74% admite que tendría dificultades para cumplir si mañana recibiera una auditoría sorpresa.
Solo una cuarta parte de los equipos genera y verifica automáticamente SBOMs (Software Bills of Materials) en cada build. El resto lo hace de forma manual, reactiva o únicamente cuando un auditor lo solicita, lo que incrementa el riesgo de incumplimiento.
Amenazas crecientes en la cadena de suministro software
El ecosistema de desarrollo vive un aumento notable de ataques dirigidos a la cadena de suministro. Incidentes recientes como el compromiso de Axios npm o campañas como Shai Hulud 2.0 y SANDWORM_MODE han puesto en evidencia la fragilidad de los repositorios upstream. Un 44% de las organizaciones afirma haber sufrido incidentes derivados de dependencias de terceros, y el mismo porcentaje dedica más de 50 horas mensuales a investigar posibles problemas de seguridad relacionados.
A pesar de ello, el 83% sigue utilizando sistemas de gestión de artefactos obsoletos por miedo a que la actualización sea “dolorosa” o arriesgada. En un entorno donde la automatización y el desarrollo agentic aceleran la producción de software, Weinstein insiste en que los guardarraíles automáticos serán esenciales para generar código más seguro y eficiente.
La adopción masiva de IA en el desarrollo es imparable, pero la seguridad no puede quedarse atrás. La trazabilidad, la automatización de auditorías y la modernización de los sistemas de gestión de artefactos serán claves para evitar vulnerabilidades, cumplir con la regulación y proteger la cadena de suministro software.