La seguridad en la era de la inteligencia artificial, desafío urgente para el desarrollo web

La inteligencia artificial es ya un gran aliado en el área de la programación web, lo que supone un gran paso para facilitar el acceso a ella a cualquier persona. Se puede asegurar que las herramientas generalistas, tipo como Copilot o ChatGPT, de escritura de código como Lovable o Cursor, y asistentes de programación como Claude Code, han democratizado la programación, reduciendo tiempos de desarrollo hasta en un 45%. Según cálculos del sector, el 41% de todo el código que se genere en 2025 procederá de esta fuente.

Esta aceleración en el desarrollo de nuevo software tiene un impacto positivo directo sobre la productividad de los equipos y departamentos TI de cualquier organización, pero también entraña riesgos para la seguridad, al abrir puertas a nuevas vulnerabilidades y malas prácticas.

Los expertos alertan de que casi el 45% del código generado por inteligencia artificial contiene fallos de seguridad, y 3 de cada 4 organizaciones reconocen haber sufrido brechas vinculadas a un código inseguro, generado por esta vía.

Con motivo del Día Mundial del Programador, Factum ha señalado los principales retos de seguridad en la programación web actual, con la inteligencia artificial como denominador común:

-    Vibe coding sin testing adecuado. La excesiva dependencia de la inteligencia artificial para generar código, sin realizar pruebas rigurosas, ha llevado a que lenguajes como Java presenten vulnerabilidades en más del 70% del código generado. 

-    Ataques a la cadena de suministro. Los ciberdelincuentes explotan las dependencias de terceros, introduciendo librerías maliciosas o manipulando versiones. Sin una monitorización constante, una sola dependencia comprometida puede afectar a miles de proyectos.

-    Monitorización insuficiente. El uso masivo de paquetes externos sin auditoría continua facilita la introducción de malware.

-    LLMs conectados a bases de datos internas. La integración de IA con datos corporativos expone a sufrir fugas de información, mediante técnicas como ataques de inyección de prompt, capaces de manipular modelos para extraer información sensible.

-    Filtración de datos confidenciales en el código. Miles de claves API y contraseñas activas han aparecido en datasets públicos, utilizados para entrenar a la inteligencia artificial. Solo en 2024, se encontraron casi 12.000 credenciales expuestas en datos usados por LLMs en los datos de entrenamiento de DeepSeek, tal y como apunta una reciente investigación de Truffle Security. 

-    Falta de seguridad desde el diseño. El 68% de los desarrolladores afirma que dedica más tiempo a la corrección de fallos que a prevenirlos desde el inicio. Estas tareas encarecen y complican la respuesta a incidentes. La aplicación de metodologías de security by design resulta clave para mitigar riesgos, antes de que se conviertan en incidentes costosos.

Los expertos de Factum señalan la importancia de equilibrar la innovación con la seguridad. La adopción de la inteligencia artificial en el desarrollo web debe ir acompañada de auditorías, pruebas rigurosas y una cultura de ciberseguridad desde la primera línea de código. “La velocidad nunca debe estar reñida con la seguridad. La verdadera innovación pasa por crear soluciones sólidas, seguras y sostenibles en el tiempo”, apunta Luis Uribe, ingeniero de seguridad ofensiva de la compañía.