La inteligencia artificial se ha convertido en una herramienta habitual para los equipos de desarrollo. Sin embargo, aunque ayuda a generar código más rápido y aumentar la productividad de los equipos, no evita que se introduzcan vulnerabilidades. De hecho, el uso intensivo de estas herramientas está ampliando la distancia entre la velocidad de desarrollo y la capacidad de las organizaciones para asegurar sus aplicaciones. Así lo refleja el informe Future of Application Security 2026 de Checkmarx.
El estudio, realizado entre 2.350 CISOs, responsables de AppSec y desarrolladores de 14 países, muestra hasta qué punto la IA se ha integrado en el ciclo de desarrollo. El 96 % de los desarrolladores ya utiliza herramientas de IA integradas en sus entornos de trabajo y la mayoría las considera eficaces para acelerar la creación de software. Sin embargo, sólo un 18 % afirma aplicar controles de seguridad de forma continua mientras escribe código.
Los datos también evidencian una relación directa entre el uso intensivo de IA y la aparición de vulnerabilidades. Las organizaciones en las que entre el 81 % y el 100 % del código en producción ha sido generado por IA tienen casi tres veces más probabilidades de desplegar aplicaciones con vulnerabilidades conocidas que aquellas donde la IA participa en menos del 20 % del desarrollo (47 % frente a 14 %).
Vulnerabilidades conocidas que llegan a producción
La investigación de Checkmarx revela además que el 75 % de las organizaciones reconoce haber desplegado en algún momento software con vulnerabilidades conocidas. Los plazos de entrega, la complejidad de los entornos y la presión por acelerar el desarrollo serán algunas de las razones.
Al mismo tiempo, el 93 % de las empresas encuestadas afirma haber sufrido recientemente una brecha relacionada con sus propias aplicaciones, a pesar de que el 73 % considera que su nivel de madurez en seguridad es avanzado. Para Checkmarx, estos datos ponen de manifiesto una importante diferencia entre la percepción de protección y la realidad operativa.
Asegurando que la IA por sí sola no puede proteger el código, Sandeep Johri, CEO de Checkmarx, tiene claro que “las organizaciones necesitan combinar la precisión de los sistemas deterministas con capacidades de razonamiento avanzadas para identificar vulnerabilidades y acelerar su corrección”.
Gobernanza y presión empresarial
Más allá de las vulnerabilidades, el informe también pone el foco en la gestión de la IA dentro de las organizaciones. El 78 % de las empresas carece todavía de políticas formales de gobernanza para el uso de esta tecnología, aunque la cifra ha mejorado ligeramente respecto al año anterior.
A ello se suma la presión del negocio. El 95 % de los CISOs afirma haber sentido presión para ocultar o retrasar la comunicación de problemas relacionados con el cumplimiento normativo cuando estos podían afectar a objetivos empresariales o plazos de entrega.
