Veracode, líder mundial en gestión de los riesgos de las aplicaciones, ha presentado hoy su Informe sobre seguridad del código GenAI de 2025, en el que da a conocer los fallos de seguridad cruciales del código generado por IA. Este estudio analizó 80 tareas de codificación seleccionadas en más de 100 modelos de lenguaje de gran tamaño (LLM) y reveló que, si bien la IA genera código funcional, introduce vulnerabilidades de seguridad en el 45 % de los casos.
Este comunicado de prensa trata sobre multimedia. Ver la noticia completa aquí: https://www.businesswire.com/news/home/20250730592370/es/
Esta investigación demuestra un patrón preocupante: al darles a elegir entre un método seguro e inseguro para escribir el código, los modelos GenAI eligen la opción insegura en el 45 % de los casos. Y tal vez lo más preocupante sea que la investigación de Veracode también ha relevado una tendencia crítica, es decir, que a pesar de los avances en la capacidad de los LLM para generar código correcto a nivel sintáctico, el rendimiento de la seguridad no ha seguido el mismo ritmo, puesto que ha permanecido sin cambios a lo largo del tiempo.
“El auge del ‘vibe coding’, es decir, el método en el cual los desarrolladores recurren a la IA para generar código, por lo general, sin definir explícitamente los requisitos de seguridad, representa un cambio fundamental en la forma de desarrollar el software”, aseguró Jens Wessling, director de tecnología de Veracode. “La principal preocupación con respecto a esta tendencia es que no hace falta especificar restricciones de seguridad para obtener el código que buscan, dejando así las decisiones de codificación segura en manos de los LLM. Nuestra investigación señala que los modelos GenAI toman decisiones erróneas casi la mitad de las veces y no parece que la situación esté mejorando”.
La IA les permite a los atacantes identificar y explotar las vulnerabilidades de seguridad con más rapidez y eficacia, dado que las herramientas con IA pueden escanear los sistemas a gran escala, identificar las debilidades e incluso generar código de explotación con una mínima intervención humana. Esto debilita la barrera de entrada para los atacantes menos calificados y aumenta la velocidad y la sofisticación de los ataques, lo cual plantea una amenaza sustancial para las defensas de seguridad tradicionales. No solo aumentan las vulnerabilidades, sino que cada vez es más fácil explotarlas.
Los LLM introducen niveles peligrosos de vulnerabilidades comunes de seguridad
Con el fin de evaluar las propiedades de seguridad del código generado por LLM, Veracode ha diseñado un conjunto de 80 tareas de finalización de código que tienen un potencial conocido de vulnerabilidades de seguridad según el sistema MITRE Common Weakness Enumeration (CWE) que es una clasificación estándar de las debilidades del software que pueden convertirse en vulnerabilidades. Las tareas les solicitaron a más de 100 LLM que realizaran automáticamente un bloque de código de forma segura o insegura; luego, fueron analizados por el equipo de investigación con Veracode Static Analysis. En el 45 % de todos los casos de prueba, los LLM habían introducido vulnerabilidades clasificadas dentro de las 10 más peligrosas de OWASP (Open Web Application Security Project), es decir, los riesgos de seguridad más críticos para las aplicaciones web.
Veracode descubrió que Java es el lenguaje con más riesgos a la hora de generar código con IA: tiene una tasa de fallos de seguridad superior al 70 %. Otros lenguajes importantes, como Python, C# y JavaScript, seguían planteando riesgos significativos, con tasas de fallos de entre el 38 % y el 45 %. Esta investigación también descubrió que los LLM no lograron proteger el código contra los ataques de inyección de código (CWE-80) y la inyección de registros (CWE-117) en el 86 % y el 88 % de los casos, respectivamente.
“A pesar de los avances en el desarrollo asistido por IA, ha quedado claro que la seguridad no ha avanzado con el mismo ritmo”, subrayó Wessling. “Nuestra investigación demuestra que los modelos están mejorando en la precisión de la codificación, pero no en cuanto a la seguridad. Además, hemos descubierto que los modelos de mayor tamaño no funcionan significativamente mejor que los más reducidos, lo que sugiere que se trata de un problema sistémico y no de un problema de escalabilidad de los LLM”.
Cómo gestionar los riesgos de las aplicaciones en la era de la IA
Si bien las prácticas de desarrollo de GenAI, en particular, el desarrollo de tipo “vibe coding”, aceleran la productividad, también amplifican los riesgos. Veracode señala que las organizaciones necesitan un programa integral para gestionar los riesgos, que prevenga las vulnerabilidades antes de que lleguen a la fase de producción, al integrar los controles de calidad del código y las correcciones automatizadas directamente en el flujo de trabajo de desarrollo.
Las organizaciones aprovechan cada vez más el desarrollo con IA; por eso, Veracode recomienda tomar las siguientes medidas proactivas para garantizar la seguridad:
- Integrar las herramientas con IA, por ejemplo Veracode Fix, en los flujos de trabajo de los desarrolladores para corregir los riesgos de seguridad en tiempo real.
- Aprovechar el análisis estático (Static Analysis) para detectar los fallos de forma automática, lo antes posible, y así evitar que el código vulnerable avance en los procesos de desarrollo.
- Integrar la seguridad en los flujos de trabajo agenciales para automatizar el cumplimiento de las políticas y garantizar que los agentes de IA apliquen normas de codificación seguras
- Usar el análisis de la composición del (Software Composition Analysis, SCA) para garantizar que el código generado por IA no introduzca vulnerabilidades de dependencias de terceros y componentes de código abierto.
- Implementar directrices de corrección personalizadas con IA para que los desarrolladores puedan disponer de instrucciones de corrección precisas y formarlos para que apliquen las recomendaciones de forma eficaz.
- Implementar un Package Firewall para detectar y bloquear automáticamente los paquetes maliciosos, las vulnerabilidades y las infracciones de las políticas.
“Los asistentes de codificación con IA y los flujos de trabajo agenciales representan el futuro del desarrollo de software y seguirán evolucionando a pasos agigantados”, concluyó Wessling. “El desafío que deben afrontar todas las organizaciones es garantizar que la seguridad evolucione al mismo ritmo que estas nuevas capacidades, porque la seguridad no puede ser una cuestión secundaria si queremos evitar la acumulación de una deuda de seguridad masiva”.
El informe completo sobre seguridad del código GenAI de 2025 se puede descargar en el sitio web de Veracode.
Acerca de Veracode
Veracode es líder mundial en gestión de los riesgos de las aplicaciones para la era de la IA. Impulsada por miles de millones de líneas de escaneos de código y un motor de remediación patentado asistido por IA, la plataforma Veracode ofrece seguridad de software adaptable y se ha ganado la confianza de las organizaciones de todo el mundo para construir y mantener software seguro desde la creación del código hasta el despliegue en la nube. Miles de los principales equipos de desarrollo y seguridad del mundo usan Veracode cada segundo de cada día para tener visibilidad precisa y procesable de los riesgos explotables, lograr la corrección de vulnerabilidades en tiempo real y reducir su deuda de seguridad a escala. Veracode ha sido galardonada con numerosos premios y ofrece capacidades para asegurar todo el ciclo de desarrollo del software, en particular, Veracode Fix, Static Analysis, Dynamic Analysis, Software Composition Analysis, Container Security, Application Security Posture Management, Malicious Package Detection y Penetration Testing.
Obtenga más información en www.veracode.com, en el blog de Veracode, y en LinkedIn y X.
Copyright © 2025 Veracode, Inc. Todos los derechos reservados. Veracode es una marca registrada de Veracode, Inc. en los Estados Unidos y puede estar registrada en otras jurisdicciones. El resto de los nombres de productos, marcas o logotipos pertenecen a sus respectivos propietarios. El resto de las marcas citadas en este documento pertenecen a sus respectivos propietarios.
El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal.
Vea la versión original en businesswire.com: https://www.businesswire.com/news/home/20250730592370/es/
“El comunicado en el idioma original es la versión oficial y autorizada del mismo. Esta traducción es solamente un medio de ayuda y deberá ser comparada con el texto en idioma original, que es la única versión del texto que tendrá validez legal”.
Un análisis exhaustivo de más de 100 modelos de lenguaje de gran tamaño expone las deficiencias en materia de seguridad: Java se perfila como el lenguaje de programación con mayores riesgos, mientras que la IA pasa por alto el 86 % de las amenazas de ataques de inyección de código – Business Wire
