La aceleración con IA trae una factura de seguridad

Dos cifras del mismo cuerpo de investigación de Gartner, y casi nunca se citan juntas. Primera: el 90% de los líderes de ingeniería reportan mejoras con las herramientas de IA para código, para una ganancia neta de productividad de alrededor del 19%. Segunda: el código generado por IA sin revisar tiene un 23% más de densidad de bugs, y el 14,3% de los fragmentos de IA contienen vulnerabilidades de seguridad, comparado con el 9,1% del código escrito por humanos.

La primera cifra se lleva el titular. La segunda se lleva el informe de incidente seis meses después. Pertenecen a la misma frase.

La aceleración es real — y la deuda también

No estoy aquí para descartar ese 19%. Es real, está medido, y la ganancia de productividad de dirigir agentes es la razón entera por la que trabajo como trabajo. Pero una ganancia citada sin su costo no es una medición — es un argumento de venta. La versión honesta dice: la IA nos hizo ~19% más rápidos y entregó código con una tasa notablemente más alta de defectos y vulnerabilidades.

Ambas mitades son ciertas. La aceleración y la factura de seguridad las produce exactamente lo mismo — generar mucho código plausible rápido — y por eso no puedes tener una sin presupuestar la otra.

«Sin revisar» es la palabra que carga con todo

Fíjate dónde vive la cifra de densidad de bugs: en el código de IA sin revisar. Esa es la pista. Los defectos no son una propiedad inherente de que el modelo sea tonto; son lo que obtienes cuando la velocidad de generación se adelanta a la verificación. Escribir rápido sin un aumento equivalente en la comprobación es simplemente acumular rápido riesgo sin examinar.

Es el mismo punto al que sigo llegando: cuando el agente escribe la mayor parte del código, tu palanca se mueve a la revisión. La aceleración es bruta. La neta es la bruta menos lo que te cuesten después los bugs sin revisar — y «después» es donde las vulnerabilidades son más caras.

Cómo conservar la velocidad y pagar la factura

Esto no se arregla yendo más despacio. Se arregla haciendo que la comprobación escale con la escritura:

• Haz la revisión deliberada y medida. No un vistazo — una verdadera barrera que produzca una señal antes de que el código se integre. Cuanto más rápido generas, más importa esto.
• Añade comprobaciones específicas de seguridad. La tasa de vulnerabilidades es más alta, no más baja, así que apóyate en SAST y en un segundo modelo haciendo red-team al diff. No asumas que el código generado es seguro porque se ejecuta.
• Construye código revisable a propósito. Principios como SOLID, DRY y KISS aquí no son estética; el código limpio y estructurado es código que un humano o un agente puede verificar de verdad. La chapuza esconde bugs.
• Mide la tasa de defectos junto a la velocidad. Si mides solo la aceleración, optimizarás la cifra que te halaga e ignorarás la que te pasa la factura.

La conclusión

La victoria de productividad de la IA en código es genuina. También viene con un aumento medible de bugs y vulnerabilidades que la versión celebratoria deja convenientemente fuera.

El +19% de velocidad y el +14% de tasa de vulnerabilidades son la misma historia — así que cítalos juntos y paga la factura con revisión. Escala tu comprobación tan rápido como tu generación, apóyate fuerte en la revisión de seguridad, y mantén el código lo bastante limpio como para inspeccionarlo. La aceleración es real. La factura también.