Una investigación reciente de Veracode, publicada el 30 de julio de 2025 en su informe GenAI Code Security Report, revela que apenas el 55 % del código generado por inteligencia artificial logra estar libre de vulnerabilidades conocidas, lo que significa que el 45 % de las tareas de codificación realizadas mediante IA generan vulnerabilidad en código generado por IA. Este estudio se basó en un análisis de más de 100 modelos de IA —desde grandes modelos de lenguaje general hasta asistentes especializados en generación de código— evaluados mediante 80 tareas reales de programación.

Veracode encontró que aunque los modelos de IA registran niveles suficientes para prevenir vulnerabilidades como inyección SQL o debilidades criptográficas —con tasas de éxito superiores al 80 %— fallan estrepitosamente en mitigar amenazas como cross-site scripting (XSS) e inyección de logs, con índices de fallo del 86 % y aproximadamente 88 %, respectivamente. Estos tipos de vulnerabilidades son especialmente preocupantes porque los modelos suelen priorizar la funcionalidad sobre la seguridad, sin un análisis profundo del flujo de datos o validación rigurosa de entrada respondiente a los CWE de OWASP Top 10.

Vulnerabilidades en Código Generado por IA

El estudio también destaca que el lenguaje Java fue el que presentó el peor desempeño, con sólo un 28.5 % de los fragmentos generados considerados seguros, lo cual resalta una brecha importante cuando se genera código en entornos empresariales más sensibles. Otros lenguajes como Python, JavaScript y C# mostraron también tasas de fallo elevadas (38 %, 43 % y 45 % respectivamente), evidenciando que ninguna plataforma está exenta de riesgos a la hora de trabajar con IA generativa.

W3PDS | Programadores de Software

A pesar de estos fallos, la adopción de herramientas de IA por parte de desarrolladores está en auge: hasta un 84 % de los profesionales de software emplean IA para acelerar tareas de codificación, y empresas como Google y Microsoft ya generan entre un 20 % y 30 % de su base de código mediante IA, con predicciones de que esta proporción crecerá hasta 2030. Sin embargo, existe una desconfianza notable: el 75.3 % de los desarrolladores manifiestan que no confían plenamente en los resultados producidos por IA, y el 61.7 % expresa preocupación sobre su seguridad.

Supervisión Humana es La Clave

Veracode subraya que depender exclusivamente de la generación automática de código sin controles adecuados incrementa el riesgo de incidentes cibernéticos, desde brechas de datos hasta explotación de lógicas vulnerables que podrían comprometer sistemas críticos. En respuesta, la empresa recomienda combinar la automatización con supervisión humana y herramientas de seguridad integradas. Su solución “Veracode Fix” puede reducir las vulnerabilidades introducidas por IA en más de un 60 % cuando se utiliza junto a revisión manual por expertos, integrándose directamente en IDE, CLI o pipelines CI/CD para automatizar parches seguros.

Además, Veracode insiste en la necesidad de planes estructurados de remediación que prioricen fallas críticas según su severidad y facilidad de explotación, herramientas como Triage Flaws y Fix First Analyzer ayudan a enfocar los esfuerzos en los elementos que representan mayor riesgo, lo cual acelera la corrección de vulnerabilidades críticas en las primeras etapas del ciclo de desarrollo.

Noticias recientes también llaman la atención hacia otra dimensión de la ciberseguridad: herramientas de IA ofensiva, como los agentes de RunSybil, están siendo entrenadas para identificar vulnerabilidades que escapan a los escáneres convencionales. En un caso real, estos agentes detectaron grietas de seguridad en un sitio de comercio electrónico complejo tras simular ataques de forma autónoma e iterativa, lo que refuerza la urgencia de defenderse con herramientas igualmente inteligentes y permanentes.

En Resumen

La generación de código sin filtros de seguridad introduce vulnerabilidades con alta frecuencia, especialmente en lenguajes como Java y en ataques sofisticados como XSS o inyección de registros. Las soluciones más efectivas pasan por una combinación de escaneo automatizado, revisión experta y uso de herramientas de remediación responsable por diseño, que disminuyen de forma notable el riesgo sin sacrificar productividad. Si te interesa profundizar en cómo implementar estas prácticas, cómo funcionan herramientas como Veracode Fix, o explorar estudios complementarios sobre seguridad de código generado por IA, puedo ayudarte con eso también.