El futuro del desarrollo web llegó antes de lo esperado. Pero la seguridad no viajó en el mismo vuelo.
El vibe coding y la seguridad son dos conceptos que hoy van de la mano, aunque la mayoría de los tutoriales prefieren no hablar de eso. Hace un par de años, lanzar un sitio web requería semanas de trabajo, un equipo técnico, presupuesto considerable y bastante paciencia. Hoy, con un prompt bien escrito y una herramienta de inteligencia artificial, cualquier persona puede tener una aplicación funcionando en horas.
Eso es el vibe coding en su forma más simple: describís lo que querés construir, la IA genera el código, vos lo revisás (o no), y lo publicás. Velocidad pura. Fricción mínima. Resultados visibles.
Yo trabajo con estas herramientas. Las uso a diario. Y precisamente por eso necesito hablar de algo que la industria está dejando para después: la seguridad del código que estamos generando sin leer.
¿Qué es el vibe coding y por qué importa la seguridad desde el inicio?
El término lo acuñó Andrej Karpathy, investigador de IA y cofundador de OpenAI, para describir un modo de programar donde el desarrollador deja de escribir línea por línea y empieza a dirigir: describe el resultado, itera con el modelo, acepta el output que «parece funcionar» y avanza.
Herramientas como Cursor, Lovable, Bolt, Replit y Claude Code popularizaron este flujo en 2025. Hoy, el 92,6% de los desarrolladores usa un asistente de IA al menos una vez al mes, y alrededor del 75% lo usa semanalmente. El atractivo es claro: Anthropic observó que la IA puede acelerar ciertas tareas hasta un 80%.
El problema con el vibe coding no es la velocidad. El problema es que la IA escribe código que corre, no código que es seguro. Y cuando hablamos de vibe coding y seguridad, la diferencia entre ambas cosas puede costarle datos reales a tus usuarios.
El código funciona. Los datos de tus clientes, no tan seguros.
Cuando una herramienta de IA genera una aplicación en minutos, hay algo que no está haciendo: pensar en quién debería tener acceso a qué, cómo viajan los datos sensibles, o qué pasa si alguien intenta explotar un endpoint.
Los números sobre vibe coding y seguridad son difíciles de ignorar:
- El 53% de los equipos que publicaron código generado por IA descubrieron problemas de seguridad que pasaron la revisión inicial.
- En un análisis de más de 5.600 aplicaciones construidas con vibe coding, se encontraron más de 2.000 vulnerabilidades, más de 400 secretos expuestos y 175 instancias de datos personales accesibles públicamente.
- El reporte de Veracode 2025 encontró que el 45% del código generado por IA introduce vulnerabilidades de seguridad, y que muchos modelos eligen métodos inseguros casi la mitad de las veces.
Y no son casos hipotéticos. Los desarrolladores de Moltbook construyeron su plataforma a través de vibe coding y, en el proceso de construir rápido y tomar atajos, pasaron por alto vulnerabilidades que los agentes introdujeron. Una base de datos mal configurada expuso 1,5 millones de claves de API y 35.000 direcciones de email directamente a la internet pública.
Vibe coding y seguridad: las 5 vulnerabilidades más comunes
Estos son los problemas de vibe coding y seguridad que aparecen una y otra vez en proyectos reales, y que ningún tutorial de YouTube te va a mencionar.
1. Credenciales hardcodeadas
La IA escribe lo que le pedís. Si le pedís conectarse a una base de datos, va a poner las credenciales donde le sea más conveniente: dentro del mismo archivo de código. Las credenciales hardcodeadas, la autorización faltante y el almacenamiento expuesto públicamente pueden llegar a producción sin que nadie haya leído el código.
2. Control de acceso roto
El modelo sabe cómo mostrar datos. No sabe si vos deberías poder verlos. Los problemas de autenticación débil, autorización rota y manejo inseguro de datos sensibles aparecen constantemente en código generado por IA.
3. Dependencias sin validar
Cuando la IA importa librerías para resolver un problema, no está evaluando si esa librería tiene vulnerabilidades conocidas. El código generado introduce paquetes, frameworks y librerías de forma automática. Sin validación, los equipos pueden heredar dependencias vulnerables o directamente maliciosas.
4. El modelo no entiende tu arquitectura
La IA frecuentemente desconoce el contexto completo del proyecto, especialmente en arquitecturas complejas. Un agente puede corregir un bug en un archivo y generar cambios que rompen la seguridad en archivos relacionados, simplemente porque no ve la conexión.
5. Las herramientas mismas son un riesgo
Una vulnerabilidad en el agente Claude Code (CVE-2025-55284) permitía exfiltrar datos de la computadora del desarrollador a través de solicitudes DNS. La inyección maliciosa podía estar embebida en cualquier código analizado por el agente. En términos de vibe coding y seguridad, las herramientas que usás para construir también pueden ser el vector de ataque.
Cómo hacer vibe coding con seguridad: recomendaciones prácticas
La velocidad del vibe coding no es el problema. El problema es asumir que el output es production-ready sin revisarlo. Estas son las prácticas de vibe coding seguro que aplico y recomiendo:
Revisá el código como si fuera de un tercero. Aunque lo generó una IA con tus instrucciones, tratalo con el mismo escepticismo que tendrías ante código externo. Verificá la lógica de autenticación, la encriptación y el manejo de errores antes de publicar.
Nunca guardes credenciales en el código. Usá variables de entorno (.env) para claves de API, tokens y credenciales de base de datos. Nunca subas esos archivos a tu repositorio. Agregá .env a tu .gitignore desde el primer commit.
Revisá las dependencias antes de instalarlas. Antes de aceptar que la IA importe una librería, chequeá que esté activamente mantenida y sin vulnerabilidades conocidas. Herramientas como npm audit o pip-audit ayudan a automatizar esto.
Activá scanners de seguridad en tu flujo de trabajo. Herramientas como GitGuardian o TruffleHog detectan automáticamente secretos expuestos antes de que lleguen al repositorio remoto. Integrarse a tu pipeline de CI/CD toma menos de una hora y puede evitarte una crisis.
Hacé de la seguridad parte del prompt, no del afterthought. En lugar de pedirle a la IA que «arregle el error», preguntale: ¿cuáles son los riesgos de seguridad de este enfoque y cómo los vas a evitar? Las técnicas de prompting que incluyen razonamiento sobre implicaciones de seguridad antes de escribir código reducen significativamente los outputs inseguros.
Te dejo 5 Prompts para mejorar la seguridad de tu proyecto
Estos prompts están diseñados para que la IA piense en seguridad antes de generar código, no después.
Para auditar código existente:
Revisá este código como si fuera un auditor de seguridad externo.
Identificá: credenciales hardcodeadas, endpoints sin autenticación,
inputs sin validar, librerías vulnerables y cualquier dato sensible
expuesto. Listá cada problema con su nivel de riesgo (alto/medio/bajo)
y proponé la corrección específica.
Para generar código seguro desde el inicio:
Antes de escribir el código, analizá los riesgos de seguridad de
este enfoque: [describí tu funcionalidad]. Luego implementalo aplicando
autenticación adecuada, validación de inputs, manejo seguro de errores
y sin credenciales hardcodeadas. Explicá brevemente cada decisión
de seguridad que tomaste.
Para revisar dependencias:
Listá todas las librerías y paquetes que este proyecto importa.
Para cada una: indicá la versión, si está activamente mantenida,
si tiene vulnerabilidades conocidas (CVEs) y si existe una alternativa
más segura. Ordená por nivel de riesgo.
Para verificar control de acceso:
Analizá todos los endpoints y funciones de esta aplicación.
Para cada uno indicá: ¿quién puede acceder?, ¿hay validación
de permisos?, ¿qué datos devuelve?, ¿podría un usuario no autorizado
acceder a datos de otro usuario? Señalá cualquier brecha de autorización.
Para testear antes de publicar:
Actuá como un pentester. Intentá encontrar formas de:
1. Acceder a datos sin autenticación
2. Elevar privilegios como usuario regular
3. Inyectar código o comandos maliciosos
4. Exponer información sensible a través de mensajes de error
Describí cada vector de ataque potencial y cómo protegerse.
El vibe coding no va a desaparecer. La seguridad tampoco debería.
La democratización del desarrollo web es genuinamente buena. Que alguien sin experiencia técnica pueda construir una herramienta que resuelve un problema real es una oportunidad que no había existido antes.
Pero el vibe coding sin seguridad es como abrir un negocio sin ponerle llave a la puerta trasera. El problema no aparece el día que abrís, aparece el día que alguien la encuentra.
El vibe coding hecho bien no es solo promptear y publicar. Es promptear, revisar, cuestionar, y recién entonces publicar. Velocidad y seguridad no son opuestos — son las dos caras de construir algo que dure.
¿Estás construyendo algo con IA y querés asegurarte de que esté bien hecho desde el principio? En Bentabares trabajamos con desarrollo a medida y flujos que combinan velocidad con criterio técnico.