La codificación con IA ya es algo común, pero su gobernanza de seguridad va peligrosamente rezagada

Entre los encuestados por Salt, el 29% señaló los patrones de programación inseguros como el principal riesgo, mientras que un 15% dijo que su mayor preocupación era la desalineación con las políticas internas de seguridad . Ambos temores provienen de la misma raíz: los asistentes de IA se entrenan con código público, no con las políticas de seguridad, normativas del sector o requisitos de cumplimiento propios de cada organización .

Deriva de seguridad: cuando nadie se da cuenta de lo que se publica

El informe introduce el concepto de "deriva de seguridad" como el mecanismo que convierte la paradoja de la adopción en una exposición real. La idea es sencilla. Una organización plasma sus reglas de seguridad en wikis, PDFs y conocimiento tribal que el asistente de IA jamás ha leído. El asistente genera un código sintácticamente correcto y funcional, pero que viola silenciosamente esas políticas internas. Nadie lo detecta porque los procesos de revisión no dan abasto .

Esto lleva a Salt a uno de sus hallazgos más prácticos y alarmantes sobre gobernanza. El 38% de las organizaciones aún depende principalmente de la revisión manual de código para gestionar la producción de los asistentes de IA. El volumen de código generado por IA ya ha superado la capacidad de inspección humana significativa, y la proyección de Salt para 2027 sugiere que la brecha no hará más que ampliarse . Solo una pequeña minoría ha integrado barreras de seguridad automatizadas en sus flujos de trabajo de codificación con IA .

Roey Eliyahu, CEO de Salt Security, resumió la situación sin rodeos: la gobernanza no ha logrado seguir el ritmo de la transformación que los asistentes de IA han provocado en el desarrollo de software . Las herramientas tradicionales de análisis estático y dinámico (SAST/DAST, por sus siglas en inglés) detectan los problemas demasiado tarde en el proceso, cuando cada arreglo es una reescritura y cada reescritura un retraso .

La brecha de percepción de METR: más lentos, pero con la sensación de ser más rápidos

La gobernanza de la seguridad no es el único ámbito donde la percepción y la realidad han divergido. El informe de Salt destaca el hallazgo de un estudio externo que se ha convertido en referencia obligada en los debates sobre herramientas de desarrollo: el ensayo controlado aleatorizado de METR publicado en julio de 2025 .

El estudio puso a 16 desarrolladores expertos en código abierto frente a 246 tareas del mundo real en sus propios repositorios consolidados —bases de código con un promedio de más de un millón de líneas y decenas de miles de estrellas en GitHub—. Los participantes fueron asignados al azar para usar herramientas de IA (principalmente Cursor Pro con Claude 3.5/3.7 Sonnet) o trabajar sin ellas .

El resultado principal se ha citado tanto que casi pasa a ser ruido de fondo, pero las cifras siguen siendo impactantes. Los desarrolladores que usaron IA completaron las tareas un 19% más lento que aquellos que trabajaron sin asistencia. Antes del ensayo, esos mismos desarrolladores predijeron que la IA los haría un 24% más rápidos. Tras completar las tareas, estimaron que las herramientas los habían hecho un 20% más veloces, aunque la medición objetiva demostró que eran más lentos. La brecha entre la productividad percibida y la real superó los 39 puntos porcentuales .

El hallazgo de METR no implica que las herramientas de IA sean inútiles; el contexto es fundamental. Se han observado ganancias en la incorporación de nuevos empleados, la generación de código repetitivo y en tareas donde los desarrolladores están menos familiarizados con el código base. Pero para ingenieros experimentados que trabajan en tareas complejas y dependientes de una base de código que conocen bien, la evidencia sugiere que las herramientas pueden introducir fricciones que los desarrolladores no registran conscientemente .

Salt Code: imponer reglas en el momento de la instrucción, no en la fase final

Salt programó la publicación de su investigación junto con el lanzamiento de un producto diseñado para abordar la misma brecha de gobernanza que el informe identifica. El 1 de junio de 2026, la compañía presentó Salt Code, un nuevo componente de su Plataforma de Seguridad Agéntica .

El enfoque de Salt Code es detener la deriva de seguridad antes de que comience. En lugar de analizar el código generado por IA después de los hechos, impone las reglas internas de seguridad y cumplimiento de una organización directamente dentro del asistente de codificación en el momento de la generación. El producto funciona con las principales herramientas que las empresas están estandarizando: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex y Gemini CLI .

El objetivo es que el código que cumple con las políticas sea la configuración por defecto, no algo que requiera un escaneo y reescritura posteriores. Para los equipos de seguridad, proporciona una única capa de políticas que abarca la creación de código, las verificaciones en el proceso y la monitorización en tiempo de ejecución: un cambio de detectar errores a prevenirlos .

Si Salt Code o herramientas similares cerrarán la brecha de gobernanza a la velocidad que exige la adopción de la IA es una pregunta abierta. Pero la dirección del cambio es clara. Si la proyección se cumple —que la IA escribirá más de la mitad de todo el código empresarial en dieciocho meses—, la política de seguridad debe pasar de ser una etapa de revisión a una configuración por defecto. La alternativa, como advierte el informe de Salt, es una deriva de seguridad a escala industrial.