Vibe coding y seguridad: lo que nadie te dice
El 45% del código generado por IA tiene vulnerabilidades. Si haces vibe coding seguridad no es opcional: estos son los riesgos reales antes del deploy.
Rod
Founder & Developer
El flujo de vibe coding es real: describes lo que quieres, la IA lo escribe, tú lo revisas a medias y haces deploy. Rápido, efectivo, adictivo. El problema es que el 45% de ese código tiene al menos una vulnerabilidad de seguridad — y la IA no te lo avisa.
Eso viene del reporte State of Software Security 2025 de Veracode. En diciembre de 2025, investigadores de Tenzai encontraron un promedio de 69 vulnerabilidades al testear 5 herramientas de vibe coding. No son casos raros. Es el promedio.
¿Qué pasa cuando aceptas el código de la IA sin revisarlo?
La IA escribe código que funciona. Eso es lo que optimiza: que el output pase tus pruebas, que la app corra, que el endpoint responda. No tiene un modelo de amenazas. No sabe quién va a atacar tu app ni cómo.
Cuando le pides a Cursor que genere una ruta de pagos, la genera. Si no le dijiste explícitamente "verifica que el usuario esté autenticado antes de procesar", no lo hace. No porque sea descuidada — sino porque eso no era parte del problema que resolvió.
El resultado es código que se ve limpio, que funciona en local, y que tiene huecos de seguridad que alguien más va a encontrar antes que tú.
Vibe coding seguridad: los tres huecos que la IA deja sin resolver
Después de escanear cientos de repos construidos con herramientas de IA, estos tres patrones aparecen una y otra vez. El código generado por IA también tiene estas fallas aunque uses el mejor modelo disponible.
Secretos en el código
La IA inlinea tu API key porque tú se la diste en el prompt o porque vio ese patrón mil veces en código de entrenamiento. El resultado:
// MAL: tu key de Stripe visible en el código fuente
const stripe = new Stripe("sk_live_xxxxxxxxxxxxxxxx");
// BIEN: leerla desde variables de entorno
const stripe = new Stripe(process.env.STRIPE_SECRET_KEY);Un repo público con una key expuesta tarda minutos en ser scrapeado. Hay casos documentados de facturas de $50,000 en un día. Si ya hiciste commit de un secreto, rótalo ahora mismo — cambiar el .env no borra el historial de Git. También verifica si tu archivo .env es accesible públicamente desde tu URL de producción.
Dependencias con CVEs
La IA instala las versiones que conoce de su entrenamiento. Ese entrenamiento tiene una fecha de corte. Las vulnerabilidades descubiertas después no las conoce. Tu package.json puede verse impecable y tener tres CVEs activos en node_modules.
Rutas sin autenticación
Broken Access Control es el #1 del OWASP Top 10. La IA genera el endpoint que pediste — si no especificaste "revisa quién está haciendo la petición", no lo hace. Tu tabla de usuarios queda expuesta a cualquiera que conozca la URL.
Cómo revisarlo antes de que alguien más lo encuentre
No necesitas saber de seguridad para revisar tu app. Conectas tu GitHub, seleccionas el repo, y lanzas el escaneo. En menos de 60 segundos tienes un security score y cada hallazgo explicado en español: qué es, por qué importa, cómo arreglarlo.
Si tu app maneja cuentas de usuario, pagos o datos reales, ese escaneo no es opcional.
El plan gratuito incluye 3 escaneos al mes. Sin tarjeta de crédito.
Vibe coding está bien. Deploy sin revisar, no.
Preguntas frecuentes
¿El código que genera Cursor o Bolt es seguro?
Puede funcionar perfectamente y tener vulnerabilidades al mismo tiempo. Las herramientas de vibe coding optimizan para código que funciona, no para código seguro. Veracode 2025 encontró que el 45% del código generado por IA tiene al menos una vulnerabilidad.
¿Cuáles son los riesgos de seguridad más comunes en el vibe coding?
Secretos y API keys en el código, dependencias con CVEs conocidos, y rutas de API sin verificar quién hace la petición. Las tres están en el OWASP Top 10. Si quieres entender bien cada una, revisa nuestra guía de ciberseguridad para programadores principiantes.
¿Cómo sé si mi app hecha con IA tiene vulnerabilidades?
Conecta tu repo de GitHub a un scanner automatizado. Data Hogo corre el análisis en menos de 60 segundos y devuelve un score con cada hallazgo explicado en español. El plan gratuito incluye 3 escaneos al mes, sin tarjeta de crédito.
¿Debo dejar de usar vibe coding por estos riesgos?
No. Vibe coding es efectivo para construir rápido. Lo que sí deberías hacer es agregar un escaneo de seguridad antes de hacer deploy — especialmente si tu app maneja cuentas de usuario, pagos o datos reales.