(KIOSKO) -> Descárgate la revista online de Byte TI y accede a todo el contenido
Comunidad de Byte TI

Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú.

Únete a la Comunidad Byte TI
Palo Alto riesgos de seguridad certificación

Palo Alto Networks alerta del riesgo de seguridad asociado a herramientas vibe coding basadas en IA

Por /

A lo largo de los últimos años, la codificación asistida por inteligencia artificial, conocida como vibe coding, se ha consolidado como una práctica ampliamente adoptada en el desarrollo de software y procesos de seguridad. Según el informe State of Cloud Security Report 2025 de Palo Alto Networks, el 99% de las organizaciones ya utilizan agentes de IA en sus procesos de desarrollo. Sin embargo, el último informe de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, alerta de que esta nueva forma de programar puede generar riesgos de seguridad significativos si se adopta sin controles adecuados y sin una correcta evaluación de los riesgos asociados.

Estas herramientas permiten a profesionales de la programación y el desarrollo, y también a los Citizen Developers o perfiles sin conocimientos técnicos avanzados en revisión de código o seguridad, generar grandes volúmenes de código funcional en poco tiempo. No obstante, el código generado puede contener vulnerabilidades ocultas, malas prácticas de seguridad o dependencias inseguras que introducen riesgos adicionales, los cuales pasan desapercibidos durante las pruebas iniciales y solo se detectan cuando ya están en producción, amplificando los riesgos operativos y reputacionales.

Del desarrollo asistido al riesgo automatizado

De acuerdo con Unit 42, el principal problema no reside en la tecnología en sí, sino en la falsa sensación de seguridad que puede generar, ocultando fallos difíciles de detectar en fases tempranas y subestimando los riesgos reales. El vibe coding o código creado por IA suele “parecer correcto” y cumplir su función, pero no está diseñado de forma nativa para cumplir estándares de secure coding, lo que incrementa los riesgos de seguridad desde el origen.

¿Cómo han mejorado las empresas el proceso de compra con AWS Marketplace?
Descúbrelo en este webinar bajo demanda de AWS

Introduciendo cambios relevantes en la forma en que surgen las vulnerabilidades, muchos fallos de seguridad se originan directamente en la fase de desarrollo, cuando el código se genera de forma automática a gran velocidad, aumentando los riesgos de integrar en el proceso diferentes fallos como:

• Desarrollo inseguro de aplicaciones que provoca una brecha de seguridad y eleva los riesgos de exposición de datos.

• Lógica insegura de la plataforma que conduce a la ejecución de código no autorizado, incrementando los riesgos operativos.

• Lógica insegura de la plataforma que permite eludir la autenticación, generando riesgos críticos de acceso indebido.

¿Juegas al Golf? ¡Únete a la comunidad de Golf y Tecnología de Byte TI! Disfrutarás de Partidos Exclusivos, Torneos, Networking y mucho más.

• Eliminación indebida de una base de datos que provoca pérdida de datos y graves riesgos para la continuidad del negocio.

Además, estas herramientas pueden convertirse en un nuevo objetivo para los ciberdelincuentes, que buscan explotar los riesgos asociados a su uso mediante técnicas como la inyección de instrucciones en los programadores o el uso de fragmentos de código procedentes de fuentes externas que alojan software malicioso, ampliando aún más los riesgos de ataque.

Asegurar la “vida del código”: una prioridad estratégica

Para hacer frente a este escenario, Unit 42 ha presentado el marco SHIELD, diseñado para reintroducir principios de diseño seguro en la codificación asistida por inteligencia artificial y reducir los riesgos derivados de su adopción. Este marco proporciona a las organizaciones una guía práctica para equilibrar la productividad del vibe coding con una gestión eficaz de los riesgos, evitando que la innovación se traduzca en una mayor superficie de ataque:

• S – Separation of Duties: las plataformas de vibe coding pueden otorgar privilegios excesivos, aumentando los riesgos. Evita funciones incompatibles y limita a los agentes de IA a entornos de desarrollo y prueba.

• H – Human in the Loop: exige una revisión humana obligatoria y aprobación de PR para cualquier código crítico, mitigando riesgos clave.

• I – Input/Output Validation: separa instrucciones confiables de datos no confiables y aplica validaciones de seguridad (SAST) antes de fusionar el código para reducir riesgos.

• E – Enforce Security-Focused Helper Models: utiliza agentes especializados para validar la seguridad, escanear secretos y verificar controles antes del despliegue, controlando los riesgos.

• L – Least Agency: aplica el principio de mínimo privilegio, restringiendo accesos y comandos destructivos para limitar riesgos.

• D – Defensive Technical Controls: implementa SCA y desactiva la autoejecución para reforzar la supervisión y minimizar riesgos en el despliegue.

El marco SHIELD proporciona a las organizaciones una guía práctica para equilibrar la productividad del vibe coding con una gestión eficaz de los riesgos

Aunque el vibe coding representa una evolución natural en el desarrollo de software, Palo Alto Networks advierte de que muchas organizaciones están relegando principios de seguridad consolidados, como el del “privilegio mínimo”, en favor de la rapidez y la funcionalidad, asumiendo riesgos innecesarios.

Por ello, esta práctica no debería adoptarse sin una revisión profunda de los enfoques de seguridad y de los riesgos asociados, ya que la protección no puede limitarse a las fases finales del ciclo de vida de la aplicación, sino integrarse desde el diseño y la generación inicial del código, garantizando un desarrollo seguro, fiable y con riesgos controlados.

Entradas relacionadas

Deja un comentario

Scroll al inicio