El ‘vibe coding’ ya está en tu empresa y tu CISO se está arrancando los pelos

Este artículo está basado en el reportaje original de BleepingComputer: “Vibe coders are gonna vibe code: How CISOs are tackling code sprawl”, en el que Tines analiza cómo los responsables de seguridad están intentando —con desigual fortuna— gestionar la explosión de código generado con IA fuera de los canales oficiales.

Cuando todo el mundo programa pero nadie es programador

Había una vez un tiempo en que para desplegar código en producción necesitabas pasar por el departamento de IT, justificar tu petición ante tres comités y esperar entre dos y seis semanas. Era burocrático, lento y desesperante. Pero tenía una ventaja silenciosa: alguien, en algún punto del proceso, miraba lo que se estaba haciendo.

Eso era antes. Ahora vivimos en la era del vibe coding: esa práctica cada vez más extendida de abrir ChatGPT, Claude, Copilot o cualquier otro oráculo con interfaz de chat y pedirle que te construya una automatización, un agente, una app interna o un script que conecte tres herramientas SaaS entre sí. Sin tests. Sin revisión. Sin documentación. Con vibes.

Y lo peor —o lo más fascinante, según cómo se mire— es que funciona. El código sale. Las automatizaciones corren. Los procesos se agilizan. El empleado de marketing que nunca tocó una línea de Python en su vida acaba de construir un pipeline que extrae datos de HubSpot, los transforma y los vuelca en un Google Sheet cada noche. Magia. Horror. Las dos cosas a la vez.

El Shadow IT se ha tomado un suplemento de creatina

El concepto de shadow IT —esas herramientas y procesos tecnológicos que los empleados adoptan sin pasar por el filtro de la empresa— lleva décadas atormentando a los departamentos de seguridad. Pero lo que teníamos antes era, comparativamente, adorable. Un Dropbox no autorizado aquí, un Slack en un departamento allá. Cosas identificables, contenibles.

Lo que está pasando ahora es de otra naturaleza. El vibe coding no solo introduce herramientas externas: introduce código activo, lógica de negocio ejecutable y conexiones a sistemas críticos, todo ello generado por personas que no entienden necesariamente las implicaciones de lo que están desplegando. No es que instalen una app sin permiso. Es que están construyendo infraestructura paralela con bloques de Lego que nadie ha auditado.

Imagina que en tu edificio, además del arquitecto oficial, cada inquilino empieza a levantar tabiques, cambiar instalaciones eléctricas y abrir ventanas nuevas siguiendo planos generados por una IA que no conoce el edificio. El resultado puede mantenerse en pie durante meses. Hasta que no.

Los CISOs entre la espada y el lugar de trabajo moderno

Aquí es donde la cosa se pone filosóficamente interesante. Los Chief Information Security Officers —esa figura que lleva décadas siendo el “departamento del no”— se encuentran ahora en una posición casi imposible.

Por un lado, tienen la obligación de mantener la seguridad, el compliance y la gobernanza del entorno tecnológico. Por otro, saben perfectamente que si intentan prohibir el uso de IA generativa para construir herramientas internas, van a perder. No porque no tengan autoridad, sino porque la productividad que ofrece el vibe coding es demasiado tentadora para que los empleados renuncien a ella. La gente encontrará la forma. Siempre lo hace.

La respuesta que están articulando los CISOs más lúcidos no es la prohibición, sino algo mucho más complejo: crear marcos de gobernanza que sean lo suficientemente ágiles como para no matar la innovación y lo suficientemente robustos como para no dejar la puerta trasera abierta. Es como intentar diseñar una valla que sea a la vez impenetrable y hospitalaria. Un oxímoron con certificación ISO.

El vibe coding no es el problema. El problema es el vacío de gobernanza que lo rodea. Y ese vacío no lo ha creado la IA: lo hemos creado nosotros ignorando durante demasiado tiempo que la democratización tecnológica iba a llegar aquí también.

El código que nadie recuerda haber escrito

Hay otro ángulo que merece atención y que los análisis puramente técnicos suelen pasar por alto: el problema de la propiedad y la memoria organizacional.

El código tradicional, aunque malo, suele tener autor. Tiene un commit, un ticket, una conversación en Jira. El código generado por IA en el laptop de alguien, desplegado en un servidor de terceros, conectado a una API corporativa con credenciales hardcodeadas… ese código es un fantasma. Existe, opera, consume recursos y potencialmente exfiltra datos. Pero cuando el empleado que lo creó se va a otra empresa —o simplemente se olvida de que lo creó—, ese código sigue ahí, corriendo en silencio, como esa aplicación que nadie sabe para qué sirve pero nadie se atreve a apagar.

El code sprawl —la proliferación descontrolada de código— no es solo un problema de seguridad. Es un problema de deuda técnica invisible, de superficies de ataque que se expanden de forma orgánica e indetectable. Es la entropía organizacional convertida en vulnerabilidad.

Tres movimientos que los CISOs están aprendiendo a hacer

Según el análisis de Tines, los responsables de seguridad que están navegando mejor este momento comparten algunos patrones de comportamiento que vale la pena subrayar:

Primero, visibilidad antes que control. Antes de intentar regular algo, hay que saber qué existe. Esto implica inversión en herramientas de descubrimiento de activos, monitorización de tráfico de red y auditorías de integraciones SaaS. No puedes gobernar lo que no ves.

Segundo, habilitar canales seguros para la creatividad. En lugar de decir “no uses IA para construir herramientas”, los CISOs más avanzados están creando sandbox environments, plataformas internas de low-code con guardarraíles de seguridad integrados y procesos de revisión exprés para automatizaciones internas. La clave es hacer que el camino seguro sea también el camino más cómodo.

Tercero, educar en lugar de intimidar. La cultura de seguridad no se construye con políticas de uso que nadie lee y todos firman. Se construye ayudando a los empleados a entender qué riesgos concretos introduce su script de automatización favorito. No es “esto está prohibido”. Es “esto es lo que puede salir mal y así puedes evitarlo”.

El momento en que la democratización tecnológica encontró su factura

Durante años celebramos —con razón— la democratización de la tecnología. Que cualquier persona pudiera crear, publicar, automatizar, sin necesidad de ser ingeniero. Era liberador. Era disruptivo en el buen sentido de la palabra.

El vibe coding es la culminación lógica de ese movimiento. Y como toda culminación, trae consigo una factura. La pregunta no es si pagarla —eso ya no tiene marcha atrás— sino cómo distribuir el coste de forma inteligente entre velocidad, innovación y seguridad.

Los CISOs que entiendan que su rol ya no es ser el guardián del castillo sino el arquitecto de una ciudad que crece de forma orgánica —con normas urbanísticas claras pero sin muros que impidan el crecimiento— serán los que consigan sobrevivir a este momento. Los demás seguirán arrancándose los pelos ante dashboards llenos de código que nadie recuerda haber escrito.

Y mientras tanto, en algún departamento de tu empresa, alguien le está pidiendo a Claude que le construya “algo pequeñito” que conecte el CRM con el sistema de facturación. Con buenas vibras, eso sí.