La inteligencia artificial está transformando el desarrollo de software a una velocidad sin precedentes. En apenas unos años, los asistentes de programación han pasado de ser una curiosidad a convertirse en herramientas cotidianas para millones de desarrolladores. Pero esta aceleración también está revelando un problema que el sector lleva tiempo arrastrando: la seguridad no está avanzando al mismo ritmo que la innovación.
Los datos más recientes lo ilustran con claridad. En 2025, el número de commits («foto» o punto de guardado que registra cambios en el código de forma permanente) públicos en plataformas como GitHub creció un 43% interanual, el doble que en años anteriores, impulsado en gran parte por la adopción masiva de herramientas de desarrollo asistidas por IA. Ese crecimiento ha venido acompañado de otro fenómeno menos visible pero mucho más preocupante: el aumento de credenciales expuestas en el código. Solo el último año se detectaron cerca de 29 millones, lo que supone un incremento del 34% y el mayor registrado hasta la fecha.
Detrás de esta tendencia hay un cambio estructural en la forma de construir software. La IA ha democratizado el desarrollo, por lo que actualmente es posible crear aplicaciones complejas con menos experiencia técnica y en menos tiempo. Sin embargo, esa accesibilidad también amplía el margen para cometer errores de seguridad. Los datos muestran que los commits realizados con herramientas de programación asistida por IA pueden tener hasta casi el doble de la media de referencia de tasas de filtración de credenciales.
No se trata necesariamente de fallos de la tecnología, sino de un problema humano amplificado por ella. Desarrolladores con menos experiencia en seguridad pueden ignorar advertencias, reutilizar configuraciones inseguras o incluso introducir información sensible en el código sin ser plenamente conscientes de las consecuencias.
El auge de la IA está generando nuevos vectores de riesgo. Las filtraciones vinculadas a servicios de inteligencia artificial han crecido un 81% en un solo año, superando el millón de incidentes detectados
Además, el auge de la IA está generando nuevos vectores de riesgo. Las filtraciones vinculadas a servicios de inteligencia artificial han crecido un 81% en un solo año, superando el millón de incidentes detectados. Estas credenciales suelen quedar fuera de los mecanismos tradicionales de protección y monitorización, lo que dificulta su detección y respuesta.
El problema tampoco se limita ya al código fuente. Cada vez más incidentes se originan en herramientas de colaboración y productividad, donde tokens, claves o contraseñas pueden quedar expuestos a un número creciente de usuarios, automatizaciones o incluso agentes de IA. Según los análisis recientes, cerca del 28% de las filtraciones se producen en este tipo de entornos.
En paralelo, el propio puesto de trabajo del desarrollador se está convirtiendo en un nuevo frente de seguridad. Los agentes de IA necesitan credenciales locales para interactuar con sistemas, API o repositorios. Esto significa que los portátiles de los desarrolladores, tradicionalmente considerados un elemento periférico, pasan a formar parte directa de la superficie de ataque.
Sin embargo, quizá el problema más profundo sea estructural. La proliferación de identidades no humanas, cuentas de servicio, tokens de acceso o claves de aplicaciones, está superando la capacidad de las organizaciones para gestionarlas adecuadamente. Muchas de estas credenciales siguen siendo permanentes y con privilegios amplios. De hecho, cerca del 60% de las infracciones de seguridad están relacionadas con accesos de larga duración.
A esto se suma otro dato revelador: una gran parte de las credenciales expuestas no se revocan nunca. Más de la mitad de las detectadas hace varios años siguen activas hoy, lo que indica que muchas organizaciones carecen de procesos claros para responder de forma sistemática a este tipo de incidentes.
En otras palabras, el sector tecnológico está entrando en una nueva etapa en la que la seguridad ya no puede centrarse únicamente en proteger usuarios humanos. Las identidades de máquinas, servicios y aplicaciones se están multiplicando y se han convertido en un objetivo cada vez más atractivo para los atacantes.
