{}
Aprende diseño y desarrollo web
Cursos gratuitos interactivos

Seguridad y gobernanza: qué riesgos no puedes ignorar cuando delegas en agentes

Identifica los riesgos más relevantes del vibe coding en producción: fuga de datos, prompt injection, cadena de suministro y uso no autorizado de agentes.

La velocidad del vibe coding es adictiva, pero también amplía superficie de ataque. Cuantas más tareas delegas y cuantas más herramientas conectas, más puntos débiles introduces si no gobiernas el flujo.

El riesgo no se limita a que un modelo alucine. También incluye fuga de información sensible, inyección de prompts, extensiones comprometidas, acciones autónomas mal controladas y cumplimiento insuficiente.

La buena noticia es que no necesitas montar una burocracia pesada para empezar. Sí necesitas controles mínimos claros: qué se comparte, qué se ejecuta, quién aprueba y dónde quedan trazas.

En este tema el error caro no es ir lento. Es delegar sin límites en un entorno que aún no entiendes del todo.

  • Separar claramente datos públicos, internos y sensibles antes de compartir contexto con una IA.
  • Definir qué acciones puede ejecutar un agente sin aprobación y cuáles no.
  • Mantener trazabilidad: qué se pidió, qué hizo la herramienta y qué aprobó una persona.
  • Revisar extensiones, integraciones y flujos conectados igual que revisarías cualquier pieza de software.
  • Imagina un equipo que usa una extensión con permisos altos y contexto amplio sobre el repositorio. Si esa extensión se compromete o si el agente ejecuta una acción no esperada, el problema no aparece porque la IA sea 'mala', sino porque el flujo tenía demasiado poder sin suficientes controles.

Cuatro riesgos que conviene vigilar desde el principio

Controles mínimos razonables

  • Separar claramente datos públicos, internos y sensibles antes de compartir contexto con una IA.
  • Definir qué acciones puede ejecutar un agente sin aprobación y cuáles no.
  • Mantener trazabilidad: qué se pidió, qué hizo la herramienta y qué aprobó una persona.
  • Revisar extensiones, integraciones y flujos conectados igual que revisarías cualquier pieza de software.

Caso resuelto: el problema no fue el modelo, fue el flujo

Imagina un equipo que usa una extensión con permisos altos y contexto amplio sobre el repositorio. Si esa extensión se compromete o si el agente ejecuta una acción no esperada, el problema no aparece porque la IA sea 'mala', sino porque el flujo tenía demasiado poder sin suficientes controles.

Esa es la lección importante: en muchos incidentes el riesgo real está en la arquitectura del uso, no en el modelo aislado.

Referencias para profundizar

OWASP mantiene una referencia útil sobre <a href="https://owasp.org/www-project-top-10-for-large-language-model-applications/" target="_blank" rel="noopener noreferrer">riesgos en aplicaciones LLM</a>. Si el curso te ha llevado hasta aquí, esa lista te ayuda a convertir intuición en categorías concretas de riesgo.

La siguiente lección aterriza este marco en operación diaria: cómo mantener supervisión humana sin destruir la velocidad del sistema.

Vibe Coding
10

Seguridad y gobernanza: qué riesgos no puedes ignorar cuando delegas en agentes

Identifica los riesgos más relevantes del vibe coding en producción: fuga de datos, prompt injection, cadena de suministro y uso no autorizado de agentes.

¿Cuánto sabes de Vibe Coding?

Código del tema: datos + prompt injection + supply chain + límites

📘 Teoría

Cuatro riesgos que conviene vigilar desde el principio

1

Fuga de datos

Subir contenido sensible a herramientas no aprobadas o mal configuradas puede exponer información de clientes, equipo o negocio.

2

Prompt injection

Un agente que consume contenido externo puede recibir instrucciones maliciosas camufladas como texto legítimo.

3

Cadena de suministro

Extensiones, plugins o dependencias comprometidas pueden introducir acciones dañinas dentro del flujo asistido por IA.

4

Agentes sin supervisión

Cuanta más autonomía concedes sin checkpoints, más fácil es que un error escale antes de ser visto.

Controles mínimos razonables

  • Separar claramente datos públicos, internos y sensibles antes de compartir contexto con una IA.
  • Definir qué acciones puede ejecutar un agente sin aprobación y cuáles no.
  • Mantener trazabilidad: qué se pidió, qué hizo la herramienta y qué aprobó una persona.
  • Revisar extensiones, integraciones y flujos conectados igual que revisarías cualquier pieza de software.

Caso resuelto: el problema no fue el modelo, fue el flujo

Imagina un equipo que usa una extensión con permisos altos y contexto amplio sobre el repositorio. Si esa extensión se compromete o si el agente ejecuta una acción no esperada, el problema no aparece porque la IA sea 'mala', sino porque el flujo tenía demasiado poder sin suficientes controles.

Esa es la lección importante: en muchos incidentes el riesgo real está en la arquitectura del uso, no en el modelo aislado.

Referencias para profundizar

OWASP mantiene una referencia útil sobre riesgos en aplicaciones LLM. Si el curso te ha llevado hasta aquí, esa lista te ayuda a convertir intuición en categorías concretas de riesgo.

La siguiente lección aterriza este marco en operación diaria: cómo mantener supervisión humana sin destruir la velocidad del sistema.

🧭 Visuales clave

Mapa de riesgos y controles mínimos

Sirve para entender que la seguridad en vibe coding depende tanto del flujo como del modelo.

Mapa visual que relaciona fuga de datos, prompt injection, cadena de suministro y agentes sin supervisión con controles mínimos.

🧰 Recursos

Enlaces útiles

OWASP Top 10 for LLM Applications Anthropic: reduce prompt leak
Test

Comprueba tus conocimientos con un test sobre Vibe Coding.

Test de Vibe Coding
Recursos del curso 13
📘 Glosario 🎧 Audios 📄 PDFs 🖼️ Infografías 🎬 Vídeos 🔗 Enlaces 🧠 Flashcards
Lección 09
MVP y validación: qué probar primero antes de escalar con IA
Lección 11
Human in the loop y mantenimiento: cómo sostener la velocidad sin perder control

¿Qué es esto?

Soy Cristian Eslava y a veces hago webs para procrastinar yo y vosotros 😉.

Esta la hice en febrero de 2026 para facilitar el aprendizaje de mis alumnxs. Aprender desarrollo web practicando. La idea es que crezca semanalmente con nuevos temas, tests y retos.

Inspirado en MDN, en W3Schools, en Codepen, en el crack de Manz y en mil sitios de documentación sobre desarrollo web. Quería aportar además de bloques teóricos con ejemplos, la gamificación de los retos y el sistema de test que ya tenía en culTest .

Si te gustó, si no te gustó, si quieres saludarme, o invitarme a 🍻 no dudes en escribirme en cristianeslava@gmail.com .