Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

La Programación por Vibra Ha Muerto — Y Tu Startup Probablemente Lanzó un Desastre de Seguridad

Karpathy lo acuñó. Karpathy lo mató. Los datos dicen que tenía razón al hacerlo.

Andrej Karpathy — cofundador de OpenAI y exlíder de IA de Tesla — acuñó el término "programación por vibra" en febrero de 2025, describiendo un estilo de desarrollo donde "te entregas completamente a las vibras", aceptando código generado por IA sin necesariamente entender cada línea. El Diccionario Collins lo nombró Palabra del Año para 2025. Las herramientas explotaron: Cursor, Replit, Bolt, Lovable y Claude Code atrajeron miles de millones en financiamiento de capital de riesgo. GitHub reportó que el 46% de todo el código nuevo confirmado hoy es generado por IA. En el lote de Invierno 2025 de Y Combinator, el 25% de las startups tenían bases de código que eran 95% o más generadas por IA. La vibra era inmaculada.

Catorce meses después, ha llegado la resaca. Y el mismo Karpathy declaró la programación por vibra obsoleta — no porque las herramientas no funcionen, sino porque la industria se movió a algo mejor y más difícil: ingeniería agéntica, donde los desarrolladores orquestan agentes de IA en lugar de aceptar ciegamente su salida. Los datos explican por qué el cambio era necesario.

Punto Clave

La programación por vibra — describir lo que quieres y enviar lo que sea que genere la IA — está produciendo problemas catastróficos de seguridad y confiabilidad. Los números: 40-62% del código generado por IA contiene fallas de seguridad. La protección contra cross-site scripting falla el 86% de las veces. 35 nuevos CVE solo en marzo de 2026 fueron causados directamente por código generado por IA. Amazon tuvo 4 interrupciones críticas de servicio en una semana por despliegues codificados por IA. Las ganancias de velocidad son reales. El costo es seguridad, mantenibilidad y deuda técnica que se acumula invisiblemente hasta que la producción explota.

Los Números de Seguridad de los que Nadie Quiere Hablar

Los datos sobre seguridad del código generado por IA son inequívocos y alarmantes. La firma de seguridad Tenzai construyó 15 aplicaciones idénticas usando cinco herramientas populares de programación por vibra — Claude Code, OpenAI Codex, Cursor, Replit y Devin. El resultado: 69 vulnerabilidades a través de esas aplicaciones. Seis eran críticas — significando que podrían ser explotadas para obtener acceso no autorizado, robar datos o tomar control de sistemas. Esto no era probar casos extremos oscuros; estas eran aplicaciones web estándar construidas con prompts estándar.

Estudios más amplios confirman el patrón. Entre el 40% y 62% del código generado por IA contiene fallas de seguridad, dependiendo del estudio y la herramienta. La IA falla en proteger contra cross-site scripting (XSS) el 86% de las veces — una de las vulnerabilidades web más básicas y bien entendidas. Los pull requests creados por IA muestran tasas de vulnerabilidad de seguridad 2.74 veces más altas que el código escrito por humanos. Solo en marzo de 2026, 35 nuevos CVE (Vulnerabilidades y Exposiciones Comunes) fueron atribuidos directamente a código generado por IA — un aumento de 6 en enero. La línea de tendencia se está acelerando a medida que más código generado por IA llega a producción.

El incidente de Amazon cristalizó el problema para audiencias empresariales. Según el Financial Times, una interrupción de servicio de Amazon en diciembre fue causada por un bot de codificación de IA. La compañía posteriormente experimentó cuatro incidentes críticos en una sola semana. Un memo interno de Amazon reconoció que las salvaguardas "aún no están completamente establecidas" — una admisión notable para una de las organizaciones de ingeniería más sofisticadas del mundo. Amazon ahora requiere que ingenieros senior aprueben cualquier cambio de código asistido por IA hecho por ingenieros junior y de nivel medio. La compañía que fue pionera en computación en la nube a escala se vio obligada a agregar guardianes humanos específicamente porque el código de IA no podía ser confiable.

Las métricas de calidad de código cuentan la misma historia desde un ángulo diferente. La rotación de código — la tasa a la que el código se escribe, confirma y luego se reescribe — ha aumentado 41%. La duplicación de código se ha incrementado cuatro veces. La refactorización cuidadosa que mantiene las bases de código saludables a lo largo del tiempo ha colapsado del 25% de líneas cambiadas en 2021 a menos del 10% para 2024. Un artículo académico de enero de 2026 argumentó que la programación por vibra está "matando silenciosamente el código abierto" al reducir el compromiso de los desarrolladores con los mantenedores que mantienen funcionando la infraestructura crítica. Cuando los desarrolladores dejan de leer código porque la IA lo genera, también dejan de contribuir a los proyectos comunitarios de los que depende su código.

Por Qué la Velocidad Sin Entendimiento Crea Bombas de Tiempo

El problema fundamental con la programación por vibra no es que la IA genere código malo — es que los desarrolladores envían código que no entienden. Cuando un humano escribe una vulnerabilidad, el humano entiende el código circundante lo suficientemente bien como para encontrar y arreglar el problema durante la depuración. Cuando la IA genera una vulnerabilidad, el desarrollador que la solicitó a menudo no puede identificar el problema porque nunca entendió la lógica del código en primer lugar. El bug se convierte en una caja negra dentro de una caja negra.

Esto crea deuda técnica compuesta. Cada pieza de código generado por IA que el desarrollador no entiende completamente agrega otra capa opaca al sistema. Cuando estas capas interactúan — y siempre lo hacen, eventualmente — los bugs resultantes son extraordinariamente difíciles de diagnosticar porque nadie en el equipo tiene un modelo mental de cómo funciona realmente el sistema. Solo saben lo que le dijeron a la IA que querían. La brecha entre intención e implementación crece silenciosamente hasta que la producción falla de maneras que nadie puede explicar.

El problema de quema de créditos empeora esto. Un análisis de comunidades de constructores de aplicaciones encontró que los usuarios de Lovable quemaron 400 créditos solo en corrección de bugs — significando que gastaron recursos significativos arreglando código que la IA generó incorrectamente, usando la misma IA para intentar arreglos, generando nuevos problemas en el proceso. Este ciclo — generar, descubrir bug, solicitar a la IA que arregle, introducir nuevo bug, repetir — es el lado oscuro del desarrollo asistido por IA. Cada ronda quema créditos o tiempo de cómputo, y la base de código acumula capas de parches sobre parches que ningún humano ha revisado holísticamente.

📬 ¿Obteniendo valor de esto?

Una perspectiva práctica de IA por semana. Más un paquete gratuito de prompts al suscribirte.

Suscríbete gratis →

Lo Que Reemplazó la Programación por Vibra (Y Lo Que Realmente Funciona)

La industria se bifurcó a principios de 2026 a lo largo de una línea predecible: desarrolladores experimentados usando herramientas de IA vieron ganancias genuinas de productividad del 10-30%, mientras que desarrolladores inexpertos usando las mismas herramientas produjeron más salida con peor calidad. La diferencia no es la herramienta — es si el humano entiende lo que genera la IA.

Los ingenieros experimentados usan herramientas de codificación de IA como aceleradores para patrones bien entendidos: operaciones CRUD, integraciones de API, formateo de datos, funciones de utilidad, código repetitivo. Revisan la salida, entienden sus implicaciones y capturan problemas de seguridad antes de confirmar. La IA ahorra tiempo en implementación; el humano proporciona juicio, arquitectura y aseguramiento de calidad. Esto es lo que Karpathy ahora llama "ingeniería agéntica" — orquestar agentes de IA en lugar de aceptar su salida sin crítica. La mejora de productividad del 10-30% para codificación de IA apropiadamente gobernada es real y sostenible.

Los no desarrolladores que intentaron construir software de producción a través de prompts puros — la promesa original de programación por vibra — chocaron con muros de mantenimiento en semanas. Los datos de Reddit de comunidades de constructores muestran un patrón de "migración inversa": usuarios que dejaron plataformas no-code por herramientas de codificación de IA regresaron a constructores visuales después de experimentar la carga de mantenimiento del código generado por IA. Las plataformas que combinan asistencia de IA con construcción visual estructurada están emergiendo como el término medio pragmático para no desarrolladores.

Para desarrolladores, la conclusión práctica es clara: las herramientas de codificación de IA son transformadoras cuando se combinan con juicio de ingeniería. Son desastrosas cuando se usan como sustituto del juicio de ingeniería. La única habilidad de IA que importa se aplica aquí tanto como en cualquier lugar: la capacidad de evaluar la salida de IA y ejercer juicio sobre si es correcta, segura y apropiada para producción. El Optimizador de Prompts gratuito ayuda a escribir prompts de codificación más específicos que producen mejor salida en el primer intento, reduciendo los ciclos de iteración que agravan los problemas de calidad. Para optimización de un clic dentro de ChatGPT, Claude y Gemini, TresPrompt lo trae directamente a tu flujo de trabajo.

📬 ¿Quieres más como esto?

Una perspectiva práctica de IA por semana. Más un paquete gratuito de prompts al suscribirte.

Suscríbete gratis →

Preguntas Frecuentes

¿La programación por vibra siempre es mala?

No — es mala para sistemas de producción. Para prototipos, explorar ideas y aprender, describir lo que quieres y ver que la IA lo genere es genuinamente útil. El problema es cuando el código de prototipo se envía a producción sin revisión, pruebas de seguridad o entendimiento humano de su lógica. La programación por vibra como exploración está bien. La programación por vibra como ingeniería es peligrosa.

¿Claude Code es parte del problema de programación por vibra?

Claude Code, como cualquier herramienta de codificación de IA, puede usarse responsable o irresponsablemente. Lo que distingue a Claude Code de las herramientas puras de programación por vibra es su flujo de trabajo agéntico — ejecuta pruebas, analiza errores e itera en soluciones en lugar de solo generar código una vez. Pero incluso la salida de Claude Code debería ser revisada por un desarrollador que entienda la base de código. La herramienta asiste la ingeniería; no la reemplaza.

¿Debería dejar de usar herramientas de codificación de IA?

Absolutamente no — las ganancias de productividad son reales para desarrolladores experimentados. La respuesta correcta es gobernanza, no abstinencia. Revisa el código generado por IA antes de confirmar. Ejecuta escaneos de seguridad en la salida de IA. Entiende la lógica de lo que genera la IA, especialmente para autenticación, autorización y manejo de datos. Usa IA para el 80% del código que sigue patrones estándar, y escribe el 20% crítico tú mismo.

¿Cómo hago el código generado por IA más seguro?

Tres prácticas: (1) Incluye requisitos de seguridad en tus prompts — "asegurar validación de entrada en todos los campos de cara al usuario, usar consultas parametrizadas para acceso a base de datos, implementar protección CSRF." Instrucciones específicas de seguridad producen código más seguro. (2) Ejecuta escáneres de seguridad automatizados (Snyk, SonarQube, Semgrep) en todo código generado por IA antes de confirmar. (3) Requiere revisión de código humana para cualquier código generado por IA que toque autenticación, autorización, procesamiento de pagos o manejo de datos personales.

¿Cuál es la diferencia entre programación por vibra e ingeniería agéntica?

Programación por vibra: describir lo que quieres → aceptar lo que sea que genere la IA → enviarlo. Ingeniería agéntica: definir la tarea → IA genera una solución → IA ejecuta pruebas → IA identifica fallas → IA itera → humano revisa el resultado → humano aprueba o redirige. La diferencia es el bucle de retroalimentación y supervisión humana. La ingeniería agéntica usa IA como colaborador; la programación por vibra usa IA como reemplazo.

Divulgación: Algunos enlaces en este artículo son enlaces de afiliado. Solo recomendamos herramientas que hemos probado personalmente y usamos regularmente. Ve nuestra política completa de divulgación.