Opinión.
El argumento de venta: usted describe lo que quiere en lenguaje sencillo y una IA construye el software por usted. Sin experiencia en programación requerida. Democratización de la tecnología. Todo el mundo se convierte en desarrollador. El futuro ha llegado. Bienvenido a la era del slopware de IA.
La realidad: el futuro llegó y está mayormente roto.
Qué es realmente el slopware de IA
El término «slop» fue elegido Palabra del Año 2025 por el diccionario Merriam-Webster, un reconocimiento de que el aluvión de contenido de baja calidad generado por IA se había vuelto demasiado grande para ignorarlo. Pero mientras la conversación se centraba en artículos, imágenes y música generados por IA, algo más silencioso y posiblemente más peligroso estaba ocurriendo: la IA se estaba usando para construir software. No buen software. No software innovador. Software que parece funcionar hasta que realmente lo necesitas.
La práctica adquirió un nombre a principios de 2025: el «vibe coding» (programación por intuición). El término, acuñado por Andrej Karpathy, describe el enfoque de dejar que una IA genere código a partir de descripciones en lenguaje natural, aceptando lo que produce sin entenderlo realmente. En teoría, esto reduce la barrera de entrada. En la práctica, reduce el listón.
Los resultados están en todas partes. Las tiendas de aplicaciones se llenan de aplicaciones generadas por IA que replican mal las herramientas existentes, introducen vulnerabilidades de seguridad por defecto y existen principalmente porque construirlas ahora es lo suficientemente barato como para que la calidad sea opcional. Esto es contenido IA de mala calidad aplicado al software, y a diferencia de un artículo mediocre generado por IA, el software mediocre puede hacerle perder sus datos, exponer sus contraseñas o bloquear su flujo de trabajo.
Los números no son alentadores
El Informe de Seguridad del Código GenAI 2025 de Veracode probó código generado por IA en más de 100 grandes modelos de lenguaje y descubrió que los modelos elegían métodos de codificación inseguros aproximadamente el 45 % del tiempo cuando tenían que elegir entre enfoques seguros e inseguros. Las defensas contra cross-site scripting fallaron en el 86 % de las muestras de código relevantes. Java, uno de los lenguajes empresariales más utilizados, mostró una tasa de fallos de seguridad superior al 70 %. El hallazgo más preocupante: a pesar de las rápidas mejoras en la corrección sintáctica del código de IA, su rendimiento en materia de seguridad se ha mantenido estable.
El análisis de CodeRabbit sobre pull requests de código abierto reveló que el código co-creado con IA contenía aproximadamente 1,7 veces más problemas que el código escrito por humanos. Los errores de lógica y corrección aparecían 1,75 veces con mayor frecuencia. Los problemas de seguridad y mantenibilidad también eran significativamente más elevados.
Y luego está la cuestión de la productividad. METR, una organización de evaluación de IA, realizó un ensayo controlado aleatorizado con 16 desarrolladores experimentados de código abierto a mediados de 2025. Los desarrolladores predijeron que las herramientas de IA los harían un 24 % más rápidos. El resultado real: eran un 19 % más lentos. Eso es una brecha de 43 puntos porcentuales entre expectativa y realidad. Incluso después de experimentar la ralentización en primera persona, los desarrolladores seguían creyendo que la IA los había hecho aproximadamente un 20 % más rápidos.
Léalo de nuevo. Las herramientas hacían a las personas más lentas, y las personas que las usaban no podían notarlo.
El problema del código abierto
El daño se extiende mucho más allá de las aplicaciones individuales. El software de código abierto, la infraestructura sobre la que funciona la mayor parte de Internet, está siendo degradado activamente por la ola del vibe coding.
Daniel Stenberg, el mantenedor de cURL (una herramienta utilizada por prácticamente todos los dispositivos conectados a Internet en el planeta), cerró el programa de recompensas por errores de su proyecto después de seis años porque las aportaciones generadas por IA lo desbordaron. El veinte por ciento de las aportaciones eran generadas por IA, y la tasa general de informes válidos cayó al 5 %. El programa había pagado 86.000 dólares a lo largo de su vida. Se volvió insostenible no por el coste, sino porque clasificar los errores reales del ruido generado por IA consumía más tiempo que corregir las vulnerabilidades reales.
No está solo. Mitchell Hashimoto prohibió las aportaciones de código de IA a Ghostty. Steve Ruiz implementó el cierre automático de todas las pull requests externas en tldraw. La analista de RedMonk Kate Holterhoff describió el fenómeno como «IA Slopageddon», un aluvión de contribuciones generadas por IA tan voluminoso y de tan baja calidad que los mantenedores no pueden seguir el ritmo.
Stack Overflow, donde los desarrolladores han buscado y compartido conocimiento durante más de una década, registró un 25 % menos de actividad en los seis meses posteriores al lanzamiento de ChatGPT. Tailwind CSS, un framework ampliamente utilizado, vio caer el tráfico de su documentación un 40 %. Estas no son solo cifras. Representan la erosión de la base de conocimiento comunitario que hacía funcionar el ecosistema de software. Las herramientas de IA que generan código fueron entrenadas en ese ecosistema. Ahora están destruyendo los bienes comunes de los que surgieron.
El argumento contrario, y por qué solo se sostiene parcialmente
El contraargumento merece una audiencia justa. Las herramientas de codificación de IA ayudan genuinamente con el boilerplate, las tareas repetitivas y los prototipos. Para los desarrolladores experimentados que revisan, prueban y entienden cada línea, la IA es un sofisticado asistente de escritura. El programador Simon Willison estableció la distinción claramente: «Si un LLM escribió cada línea de tu código, pero lo has revisado, probado y entendido todo, eso no es vibe coding en mi libro, es usar un LLM como asistente de escritura.»
Eso es justo. El problema no es que la IA pueda escribir código. El problema es que la industria trata la generación de código como la parte difícil, cuando nunca lo fue. La parte difícil es entender qué debe hacer el código, por qué debe hacerlo de esa manera y qué ocurre cuando falla. El vibe coding se salta los tres puntos.
El resultado es un mundo donde construir un producto mínimo viable lleva un fin de semana en lugar de un mes, y construir un producto mínimo viable que no se derrumbe en producción sigue llevando un mes, más el fin de semana que pasaste construyendo lo incorrecto primero.
El problema de los incentivos
¿Por qué ocurre esto? Porque los incentivos están perfectamente alineados para que ocurra.
Construir software con IA es barato. Desplegarlo es barato. Comercializarlo es barato (también generado por IA). El coste de equivocarse no ha cambiado, pero se ha transferido del desarrollador al usuario. Si tu aplicación de control de gastos construida con IA en un fin de semana filtra datos, la persona que la construyó ya ha pasado a su siguiente proyecto. Eres tú quien llama al banco.
Esta es la degradación de plataforma aplicada a toda la cadena de suministro de software. Cuando el coste de producción cae a casi cero pero el coste de la calidad se mantiene constante, el mercado se inunda de productos baratos y la calidad media se derrumba. Esto no es una predicción. Más de la mitad del contenido web en inglés ya es generado por IA, según la empresa de SEO Graphite. La misma dinámica llega para el software, y a diferencia de los artículos, el software que falla puede causar daños en el mundo real.
Lo que esto significa realmente
La ola del slopware de IA no va a detenerse. Las herramientas mejorarán. El código será marginalmente menos inseguro. Pero el incentivo estructural de entregar rápido y no corregir nunca persistirá mientras construir sea barato y la responsabilidad esté ausente.
Lo que importa es si el ecosistema desarrolla respuestas inmunes. Algunas ya existen: Apple y Google eliminaron decenas de aplicaciones de IA fraudulentas a principios de 2026. La comunidad de código abierto experimenta con filtros de contribuciones. Algunas plataformas empiezan a etiquetar el contenido generado por IA.
Pero nada de esto aborda la raíz: las herramientas de codificación de IA han hecho que sea trivialmente fácil reinventar la rueda, y las nuevas ruedas suelen ser peores. La disciplina original de la ingeniería de software, la que valoraba entender los problemas antes de resolverlos, no era un obstáculo para la democratización. Era lo que hacía que el software valiera la pena usarlo.
La lección más cara de la industria se está impartiendo ahora mismo, a costa del usuario: no hay atajos para entender lo que se está construyendo y por qué.
El problema del slopware de IA no es teórico. El ciclo de hype para el desarrollo asistido por IA ha completado oficialmente la vuelta. Lo que comenzó como «GitHub Copilot te hará más rápido» ha evolucionado a través de «la IA reemplazará a los desarrolladores junior» y ha llegado a su destino actual: un panorama donde los fundadores no técnicos pueden lanzar aplicaciones que no entienden, usando herramientas que generan código que no pueden auditar, desplegado en infraestructura que no pueden depurar.
La industria tiene un nombre para esto: vibe coding, acuñado por Andrej Karpathy a principios de 2025 para describir la práctica de generar código a partir de prompts en lenguaje natural sin revisar ni entender el resultado. La interpretación caritativa es la creación rápida de prototipos. La interpretación precisa, para la mayor parte de lo que se lanza, es la creación de deuda técnicaCoste acumulado de los atajos y malas decisiones de diseño en el desarrollo de software, que deberán corregirse para que el sistema funcione correctamente. como servicio.
La superficie de ataqueEl conjunto de puntos en un sistema donde un atacante puede intentar entrar, extraer datos o causar daño. de seguridad
El Informe de Seguridad del Código GenAI 2025 de Veracode probó la generación de código en más de 100 LLM usando 80 tareas de codificación seleccionadas en Java, JavaScript, Python y C#. El hallazgo principal: los modelos eligieron métodos de implementación inseguros el 45 % del tiempo cuando tenían que elegir entre enfoques seguros e inseguros. Pero los detalles son peores.
Las defensas XSS fallaron en el 86 % de las muestras relevantes (CWE-80). Solo entre el 12 y el 13 % del código generado que gestiona vulnerabilidades dependientes del contexto como XSS era realmente seguro. La prevención de inyección SQLAtaque en el que código SQL malicioso se inserta en un campo de entrada para manipular o eludir consultas de base de datos., en cambio, funcionó razonablemente, lo que sugiere que los modelos han aprendido patrones comunes de los datos de entrenamiento pero fallan en todo lo que requiere razonamiento de seguridad contextual. Java mostró una tasa de fallos de seguridad superior al 70 %, lo cual es notable dada su dominancia en entornos empresariales.
El hallazgo estructuralmente más importante: el rendimiento de seguridad se ha mantenido estable a lo largo de generaciones de modelos sucesivas, aunque la corrección sintáctica ha mejorado. Los modelos mejoran en producir código que compila. No mejoran en producir código que sea seguro. Este es un problema de la ley de GoodhartPrincipio que establece que una medida deja de ser un buen indicador en cuanto se convierte en objetivo político, perdiendo su utilidad evaluativa.: el entrenamiento optimiza la corrección funcional, y la seguridad no forma parte de la función de pérdidaMedida matemática usada en el entrenamiento de IA para cuantificar cuánto se aleja la salida del modelo del resultado deseado, orientando su mejora..
El Informe sobre el Estado de la Generación de Código IA frente a Humanos de CodeRabbit, que analizó pull requests de código abierto, encontró 1,7 veces más problemas totales en el código co-creado con IA. Desglosado: errores de mantenibilidad 1,64 veces más altos, errores de lógica y corrección 1,75 veces más altos, y hallazgos de seguridad 1,57 veces más altos. Estos no son benchmarks de laboratorio. Es código de producción en repositorios activos.
La ilusión de productividad
El ensayo controlado aleatorizado de METR es el estudio más riguroso de productividad en codificación con IA hasta la fecha. Dieciséis desarrolladores experimentados de código abierto (de repositorios con una media de más de 22.000 estrellas) fueron asignados aleatoriamente a 246 tareas, algunas completadas con herramientas de IA (principalmente Cursor Pro con Claude 3.5/3.7 Sonnet), otras sin ellas. Los participantes fueron compensados a 150 dólares por hora para minimizar el sesgo de incentivos.
Resultado: un 19 % más lentos con las herramientas de IA. Predicción: un 24 % más rápidos. Autoevaluación posterior: seguían creyendo ser un 20 % más rápidos.
La brecha de 43 puntos porcentuales entre percepción y realidad es el hallazgo que importa. Los desarrolladores no pueden evaluar con precisión si estas herramientas les están ayudando. Los autores de METR señalan advertencias importantes: 16 participantes, específico para desarrolladores experimentados en bases de código conocidas, y una «instantánea de las capacidades de IA de principios de 2025». Pero la brecha de percepción es el problema estructural. Si los profesionales no pueden saber si son más rápidos o más lentos, la optimización a nivel de equipo u organización se vuelve casi imposible.
El informe DORA de Google añade otra dimensión: si bien la IA acelera la producción de código, también puede fomentar conjuntos de cambios más grandes y experimentación rápida que aumentan los fallos de despliegue si la disciplina de ingeniería no sigue el ritmo.
El código abierto bajo asedio
El ecosistema de código abierto está experimentando lo que equivale a un ataque de denegación de servicio distribuido por incompetencia bien intencionada. Daniel Stenberg eliminó la recompensa por errores de cURL después de que las aportaciones de IA redujeran la tasa de validez al 5 %. Un artículo de investigación de la Central European University y el Instituto de Kiel documentó el bucle de retroalimentación: a medida que los desarrolladores delegan la selección y el uso de paquetes en la IA, las visitas a la documentación, los informes de errores y el reconocimiento de la comunidad disminuyen. Stack Overflow perdió un 25 % de actividad tras ChatGPT. El tráfico de documentación de Tailwind CSS cayó un 40 %, con los ingresos siguiendo a un 80 %.
Craig McLuckie (cofundador de Stacklok) identificó el mecanismo: las etiquetas «good first issue», diseñadas para incorporar nuevos contribuidores, ahora atraen aportaciones de IA de baja calidad en lugar de formar desarrolladores genuinos. El canal de creación de nuevos contribuidores de código abierto está siendo envenenado por las herramientas que dependen de su producción futura.
Esta es una tragedia de los comunes en tiempo real. Los modelos de IA fueron entrenados con código de código abierto. Las aplicaciones construidas con esos modelos degradan el ecosistema de código abierto. Nadie es dueño del problema, y las personas que se benefician de las herramientas no tienen ningún incentivo para solucionarlo.
La valoración honesta
Las herramientas de codificación de IA son genuinamente útiles en manos de ingenieros experimentados que las tratan como autocompletado, no como arquitectura. La distinción de Simon Willison es correcta: usar un LLM como asistente de escritura es materialmente diferente del vibe coding. El problema es que el mercado no distingue entre los dos.
Las tasas de fracaso empresarial son asombrosas. Un estudio del MIT de 2025 encontró que el 95 % de los pilotos de IA generativa no lograron producir ingresos medibles ni ahorro de costes. El cuarenta y dos por ciento de las empresas abandonaron la mayoría de las iniciativas de IA en 2025, más del doble de la tasa de 2024. Los analistas del sector proyectan que la mayoría de los responsables de decisiones tecnológicas se enfrentarán a una deuda técnica significativa por la adopción de IA para 2026.
El incidente de la plataforma Lovable es instructivo: en 2025, investigadores de seguridad descubrieron que una proporción significativa de las aplicaciones web construidas en la plataforma sin código tenían vulnerabilidades que permitían el acceso no autorizado a datos, de una sola plataforma, descubiertas por un solo investigador.
El problema estructural no es que la IA genere mal código. Es que la IA ha desacoplado la capacidad de producir software de la capacidad de evaluarlo. La primera habilidad ahora es gratuita. La segunda nunca lo fue, y la brecha entre ambas es donde se produce el daño.
