Empresas envían código IA con vulnerabilidades a sabiendas

¿Qué ha ocurrido?

Un informe de la firma de seguridad de aplicaciones Checkmarx, basado en una encuesta a 2.350 CISOs, responsables de seguridad de aplicaciones y desarrolladores de 14 países, revela que las empresas están desplegando código generado por inteligencia artificial a un ritmo acelerado, a pesar de ser conscientes de las vulnerabilidades que introduce. Según el estudio, casi la mitad del código en producción hoy es generado por IA, y el 70% de los desarrolladores reportó que la IA creó vulnerabilidades en 2025. Alarmantemente, el 30% de los encuestados admitió que envían código comprometido con la esperanza de que la vulnerabilidad no sea descubierta. Este comportamiento no es nuevo en la industria: durante la crisis de Log4j en 2021, muchas empresas también optaron por parches parciales o ignoraron vulnerabilidades críticas por presión de entrega. Sin embargo, la escala actual es inédita: la IA generativa acelera la producción de código defectuoso, y la combinación con herramientas de ataque automatizadas crea un escenario de riesgo exponencial.

¿Por qué es importante?

Este fenómeno representa un cambio radical en el panorama de la ciberseguridad. Herramientas como Mythos de Anthropic pueden encontrar y explotar vulnerabilidades en minutos, mientras que los equipos de seguridad humanos tardan meses. El informe de Checkmarx señala que los modelos tipo Mythos “colapsan la ventana entre que existe una vulnerabilidad y que haya un exploit funcional, de meses a minutos”. La combinación de código inseguro generado por IA y la capacidad de ataque también potenciada por IA crea una ventana de exposición peligrosamente estrecha. El informe indica que las empresas que dependen más de la IA (81-100% de su código) envían código vulnerable 3,4 veces más que aquellas que la usan de forma conservadora (20% o menos). Además, el 93% de las organizaciones sufrió al menos una brecha de seguridad directamente relacionada con aplicaciones desarrolladas internamente. Para ponerlo en contexto, en 2023 el 82% de las brechas involucraron aplicaciones web según Verizon, pero ahora la IA amplifica tanto la generación como la explotación de fallos.

Consecuencias para empresas y usuarios

La normalización del riesgo tiene implicaciones profundas. Los equipos de desarrollo están presionados para entregar rápido, y la seguridad se convierte en un añadido posterior. El informe indica que solo el 18% del tiempo los desarrolladores aseguran el código de forma continua, a pesar de tener herramientas de seguridad. Como resultado, más de un tercio de las organizaciones deja la mitad de sus vulnerabilidades conocidas sin parchear durante 90 días o más. Esto recuerda al fenómeno de la “fatiga de parches” observado tras el ataque de WannaCry en 2017, donde muchas organizaciones no aplicaron actualizaciones críticas. Pero ahora el volumen es mayor: según Checkmarx, la mayoría de las empresas reportan que al menos la mitad de su base de código está compuesta por componentes de código abierto, lo que añade riesgos de la cadena de suministro. Para los usuarios finales, esto significa un aumento en el riesgo de filtraciones de datos, ransomware y otros incidentes. Para las empresas, las consecuencias incluyen daños reputacionales, multas regulatorias (como las del GDPR, que pueden alcanzar el 4% de los ingresos globales) y costos de remediación que, según IBM, promediaron 4.88 millones de dólares por brecha en 2024.

¿Qué deben saber los lectores?

El cuello de botella no es la detección, sino la decisión humana de enviar código inseguro. Los líderes de seguridad deben implementar políticas de 'seguridad por diseño', integrar herramientas de análisis estático y dinámico en el pipeline de CI/CD, y fomentar una cultura donde la velocidad no prime sobre la seguridad. Los desarrolladores, por su parte, necesitan formación continua y herramientas que les proporcionen retroalimentación temprana y accionable. La industria debe avanzar hacia modelos de IA que incluyan garantías de seguridad desde su entrenamiento, como propone el enfoque de “AI red teaming” que ya aplican empresas como Microsoft y Google. Además, los reguladores están empezando a actuar: la Ley de IA de la UE exige evaluaciones de riesgo para sistemas de IA de alto impacto, y la directiva NIS2 en ciberseguridad refuerza la responsabilidad de las empresas.

"Los desarrolladores están configurados para fallar", señala el informe de Checkmarx. "Enfrentan una presión significativa para entregar y se ven obligados a elegir cantidad y velocidad sobre seguridad".

La era de la IA agéntica exige un replanteamiento urgente de las prácticas de desarrollo de software. Ignorar el problema no es una opción sostenible. Como advierte el informe, las empresas que confían en herramientas de seguridad tradicionales “no pueden sobrevivir a esta realidad”. La ventana para actuar se está cerrando: según Gartner, para 2027 el 60% de las aplicaciones incluirán código generado por IA, y los atacantes ya están aprovechando la misma tecnología para automatizar sus ataques. La pregunta no es si habrá una brecha, sino cuándo y qué tan grave será.