← Volver al listado

Vibe coding - qué es y cuándo es peligroso para el negocio

Vibe coding (codificación por «vibra») es un enfoque en el que no se escribe el código línea a línea, sino mediante un diálogo con la IA: describes el comportamiento deseado, aceptas la propuesta del modelo, compruebas el resultado «a ojo» y refinas la petición. El término lo popularizó Andrej Karpathy: ya no mantienes todo el código en la cabeza, sino que diriges la intención. Para el negocio acelera prototipos y herramientas internas - y a la vez crea deuda oculta si el artefacto llega a producción sin revisión, pruebas y un dueño de la arquitectura.

  • Esencia - programar con prompts en Cursor, Copilot, Claude Code y asistentes similares
  • Ventaja - velocidad para MVP, landings, scripts y paneles «para ayer»
  • Desventaja - la IA escribe código que «funciona», pero poco seguro y difícil de mantener
  • Peligroso - dinero, datos personales, pagos, accesos a CRM y servidores
  • Seguro - borradores, utilidades de un solo uso, pilotos con code review estricto
  • Regla - vibe para la velocidad de la idea; ingeniería para el código que sostiene el negocio

Qué es el vibe coding en palabras sencillas

Desarrollo clásico: la persona diseña, escribe, depura y prueba. El vibe coding cambia el foco:

  1. Formulas la tarea en lenguaje natural.
  2. El asistente de IA genera archivos, diffs, tests, configs.
  3. Ejecutas, observas el comportamiento y corriges con un prompt («haz el formulario más bonito», «añade autenticación»).
  4. El ciclo se repite hasta que el «vibe» coincida con lo esperado.

No es un lenguaje ni un framework aparte. Es un modo de trabajo con asistentes de IA para programar: menos tecleo manual, más dirección y verificación.

Modo Quién «lleva» Resultado típico
Código clásico Desarrollador Arquitectura predecible, más control
Assisted coding Persona + sugerencias de IA Rutinario más rápido sin perder ownership
Vibe coding Diálogo con el modelo Artefacto rápido, ownership difuso
Modo agente Un agente de IA edita el repo Aún más velocidad y riesgo de «caja negra»

En la práctica la frontera entre «assisted» y «vibe» es fina: si lees el diff y entiendes cada cambio - eres un desarrollador amplificado. Si apruebas paquetes de código porque «en la UI parece funcionar» - ya es vibe coding con todas las consecuencias.

Por qué le gusta al negocio

El vibe coding encaja con el dolor del dueño y del product manager:

  • Velocidad hasta la primera demo - días en lugar de semanas.
  • Menos dependencia de la cola de desarrollo para «pequeñeces» internas.
  • Experimentos más baratos: hipótesis de landing, calculadora, bot, scraper.
  • Más personas pueden montar un borrador sin un background senior profundo.

Para un startup en fase de idea o para automatización interna de un equipo es una palanca real. Para un flujo de pagos, un área personal con datos personales o un módulo que sostiene la facturación 24/7 - otro nivel de responsabilidad.

Cuándo el vibe coding es útil

Úsalo como acelerador si se cumplen varias condiciones:

  1. El artefacto es temporal o fácil de reemplazar - prototipo, landing A/B, script de exportación puntual.
  2. Hay una persona que sabe leer código y responde del merge.
  3. Hay tests (al menos smoke) y un entorno distinto de producción.
  4. No hay acceso a secretos de producción, BD en vivo ni claves de pago.
  5. El alcance es local: una pantalla, un cron, un microservicio-borrador.

Buenos casos:

  • borrador de admin para importación manual;
  • bot de Telegram para cola interna de solicitudes;
  • boilerplate y migraciones bajo revisión;
  • refactor de renombrar y dividir archivos en sandbox;
  • documentación y tests de lógica ya clara.

Cuándo es peligroso para el negocio

El peligro no es que la IA sea «tonta». El peligro es que es persuasiva: el código compila, la UI es clicable, y la vulnerabilidad, la fuga de una clave o el bug silencioso en el dinero aparecen después.

1. Seguridad y accesos

El modelo puede fácilmente:

  • hardcodear API keys «por comodidad»;
  • desactivar CSRF / abrir CORS *;
  • armar SQL concatenando strings;
  • guardar contraseñas o tokens en logs;
  • dejar un endpoint de debug «temporal».

Sin security review es riesgo directo de multas, fugas y caídas.

2. Deuda técnica oculta

El código vibe a menudo:

  • duplica lógica en tres sitios;
  • arrastra dependencias innecesarias;
  • ignora los patrones del proyecto;
  • «cura» síntomas con parches en lugar de la causa.

En 2-3 meses el producto cuesta más mantener que si se hubiera escrito con intención desde el principio. El ahorro inicial se convierte en intereses.

3. No hay dueño del comportamiento

Cuando un diff de 800 líneas se acepta «por vibe», nadie puede responder con seguridad:

  • qué pasa con pedidos concurrentes;
  • cómo revertir un pago parcialmente aplicado;
  • por qué el informe contable no cuadra con el CRM.

Para el negocio eso es riesgo reputacional y financiero, no «código feo».

4. Cumplimiento y datos

Si el perímetro incluye datos personales, información médica/financiera o requisitos regulatorios - «generar y publicar» es inaceptable. Hacen falta políticas de acceso, auditoría de cambios y una cadena clara de responsabilidad.

5. Escala e integraciones

La IA escribe bien widgets aislados. Empeora al unir con cuidado billing, almacén, CRM, webhooks, idempotencia y colas. El negocio pierde dinero justo en esos empalmes.

Señal de «ya es peligroso» Por qué
Código directo a prod sin review Sin filtro de errores y vulnerabilidades
Sin tests de dinero/stock/roles Los bugs golpean ingresos y clientes
Secretos en el repo o en el chat con IA Fuga y compromiso de infraestructura
Nadie entiende el módulo generado Bus factor = 0; cualquier fallo es caída
«En mi máquina funciona» = listo Sin criterios de aceptación de negocio

Reglas prácticas para el dueño y el CTO

  1. Separe zonas: sandbox para vibe, perímetro protegido para ingresos y datos.
  2. Human review obligatorio en todo lo de auth, pagos, datos personales, migraciones de BD.
  3. Definition of Done no es «UI ok», sino tests + logs + rollback + monitorización.
  4. No alimente modelos públicos con secretos ni dumps de clientes.
  5. Fije ownership: cada merge tiene un desarrollador responsable, no «un chat con IA».
  6. Presupueste reescribir el piloto desde el inicio: prototipo ≠ production.
  7. Elija la herramienta a conciencia - Cursor, Claude Code o Copilot para su equipo, no «lo que trendy en TikTok».

Fórmula de sentido común:

Vibe coding = acelerar una hipótesis. Ingeniería = proteger el negocio.

Confundir esos roles sale caro.

Cuánto «cuesta» en la práctica

El precio directo de la suscripción a una IDE con IA es pequeño frente al sueldo de un desarrollador. El precio oculto es otro:

Partida Qué ocurre con vibe sin control
Incidente de seguridad Investigación, caída, avisos a clientes
Reescritura del módulo 2-5× el coste del «piloto rápido»
Pérdida de conocimiento en el equipo El onboarding se alarga varias veces
Errores en cálculos/pedidos Pérdidas financieras y de reputación directas

Un prototipo barato es una inversión normal. Una producción barata sin controles es una lotería.

Conclusión

El vibe coding es un modo potente de trabajar con IA: describes la intención, el modelo entrega código, iteras rápido. Para el negocio encaja con borradores, utilidades internas y prueba de hipótesis. Se vuelve peligroso cuando el criterio de «listo» sigue siendo «parece que funciona», y en juego están el dinero, los datos y la continuidad del servicio. Mantenga el vibe en el sandbox - y la producción bajo review, tests y un dueño claro del código.

Preguntas frecuentes

¿El vibe coding es lo mismo que low-code / no-code?

No. Low-code ofrece bloques visuales y límites de plataforma. El vibe coding genera código habitual (Python, JS, SQL, etc.) mediante diálogo con la IA. Hay más flexibilidad - pero la calidad, seguridad y soporte son enteramente suyos; la plataforma no «asegura» la arquitectura.

¿Se puede construir todo el producto con vibe coding?

Un prototipo e incluso un MVP temprano - sí, si hay un tech lead fuerte cerca. Un producto escalable sin ingeniería - normalmente no: crecen integraciones, carga, auditoría y previsibilidad. El vibe acelera el inicio; la madurez exige disciplina de código.

¿Es legal usar código de IA en un proyecto comercial?

Depende de la licencia de la herramienta, la política de la empresa y los contratos con clientes. Compruebe aparte: adónde van prompts y código, si se puede entrenar el modelo con sus datos, quién posee el resultado. El chequeo legal y de seguridad va antes del perímetro de producción - no después de la queja del cliente.

¿Cómo saber que el proveedor «vibea» de forma peligrosa?

Banderas rojas: PRs enormes sin explicación, sin tests, secretos en el repo, «no toquen ese archivo - lo escribió la IA», negativa a explicar la arquitectura, ausencia de staging. Un buen proveedor usa la IA como acelerador y defiende con calma cada decisión.

¿Por dónde empezar de forma segura en el equipo?

Con tareas internas no críticas y un piloto de 2-4 semanas: asistente de IDE elegido, review obligatorio, prohibición de secretos en el chat, métricas (tiempo de tarea, incidentes, proporción de código reescrito). Amplíe el perímetro solo cuando el control esté estable.

Contacto