Una de las bibliotecas de software más utilizadas de Internet estuvo a punto de colapsar en enero de 2026. No por un ataque hacker o un fallo técnico, sino porque un solo voluntario se vio abrumado por la basura.

Daniel Stenberg, único mantenedor de cURL —la biblioteca que gestiona la transferencia de datos en miles de millones de dispositivos—, cerró el programa de bug bounty del proyecto tras una oleada de informes de vulnerabilidad generados por IA. Habían llegado veinte informes de este tipo desde Año Nuevo. Siete de ellos llegaron en un solo periodo de 16 horas. Los informes parecían legítimos, pero no lo eran: eran análisis alucinados que requerían horas para ser desmentidos.

"Tuve que priorizar mi propia salud mental", escribió Stenberg según Bleeping Computer. Es una frase que resume una crisis sistémica en desarrollo.

"Las herramientas de IA optimizan para producir código, no para producir buen código. Es una distinción que le está costando cara a la comunidad".

Las cifras tras la crisis

45%
Código IA con fallos de seguridad (Veracode 2025)
322%
Más problemas de permisos en código IA vs. escrito por humanos (Apiiro)

Las cifras de los entornos de investigación son una lectura desalentadora. El GenAI Code Security Report de Veracode de 2025 encontró que el 45 por ciento del código generado por IA en contextos críticos para la seguridad contiene debilidades registradas en el CWE (Common Weakness Enumeration), el estándar de la industria para vulnerabilidades de software. Los errores más comunes incluyen inyección SQL (CWE-89), cross-site scripting y path traversal.

La firma de seguridad Apiiro encontró cifras aún más alarmantes: las herramientas de código IA introducen un 322 por ciento más de problemas de permisos y diez veces más hallazgos de seguridad en comparación con el código escrito por humanos. Y según la investigación de Aikido, el código generado por IA está ahora vinculado a una de cada cinco brechas de seguridad en sistemas de producción.

GrowExx informa que el 62 por ciento del código generado por IA conlleva fallos de diseño o patrones vulnerables conocidos, y que incluso los mejores modelos producen código seguro solo entre el 56 y el 69 por ciento de las veces.

Un riesgo especialmente subestimado son las "dependencias alucinadas": modelos de IA que sugieren paquetes de npm o PyPI que no existen, abriendo así la puerta a ataques de typosquatting en la cadena de suministro. El análisis de UpGuard de febrero de 2026 sobre más de 18.000 configuraciones de GitHub para agentes de IA reveló que uno de cada cinco desarrolladores otorga a dichos agentes acceso ilimitado a sus estaciones de trabajo, incluyendo la capacidad de borrar archivos y ejecutar código arbitrario.

El 96 por ciento de los desarrolladores no confía en que el código de IA sea funcionalmente correcto; sin embargo, solo el 48 por ciento verifica siempre el código antes de hacer commit (encuesta de Sonar).
Las herramientas de código IA están matando el código abierto desde dentro

"Eternal September": el código abierto se enfrenta a su nueva crisis

GitHub describe la situación internamente como "Eternal September" (Septiembre Eterno), una referencia al fenómeno en el que una comunidad en línea colapsa bajo la afluencia de usuarios inexpertos que no han aprendido las normas de la comunidad. Ahora, las herramientas de IA desempeñan el papel del septiembre infinito.

El problema es estructural: la IA baja drásticamente el umbral para enviar código, pero no hace nada para aumentar la capacidad de revisarlo. Y es aquí donde los incentivos se rompen.

Plataformas como GitHub tienen interés en un alto volumen de contribuciones; esto genera métricas de compromiso. Los mantenedores cargan con los costes en solitario.

Seth Larson, quien realiza el triaje de informes de seguridad para varios grandes proyectos de código abierto, documentó a principios de 2026 un fuerte aumento de lo que llamó informes de "calidad extremadamente baja, tipo spam y alucinados por LLM" que aparentemente parecían legítimos. Desmentir uno de estos informes puede llevar horas.

El motor Godot es otro ejemplo. Rémi Verschelde, uno de los principales mantenedores del proyecto, ha explicado que el proceso de revisión ha cambiado fundamentalmente: los revisores ahora deben preguntarse activamente si el código fue escrito por un humano y si realmente ha sido probado, un tiempo que antes se dedicaba a la mentoría y al desarrollo real.

El proyecto Matplotlib experimentó algo aún más bizarro: agentes de IA autónomos que enviaban código y, al ser rechazados, publicaban artículos negativos sobre los mantenedores. Según The Sham Blog, se trató de una reacción coordinada e impulsada por agentes ante el rechazo.

Las herramientas de código IA están matando el código abierto desde dentro

La deuda técnica oculta

Lo más traicionero del problema no es que el código de IA sea obviamente erróneo. Es que parece correcto.

Un análisis de Agile Pain Relief documenta que la deuda técnica aumenta entre un 30 y un 41 por ciento después de que los equipos adoptan herramientas de código IA, y que la complejidad cognitiva en las bases de código aumenta un 39 por ciento en los repositorios asistidos por agentes. Las pull requests generadas por IA tienen 1,7 veces más problemas que las escritas por humanos, según una investigación citada por RedMonk.

La tasa de aceptación de las pull requests generadas por IA es del 83,77 por ciento frente al 91 por ciento de las escritas por humanos, una diferencia que parece pequeña, pero multiplicada por el volumen representa enormes cantidades de trabajo extra.

Y el volumen es precisamente la cuestión. Cuando un desarrollador puede enviar diez pull requests al día en lugar de una, la dinámica cambia fundamentalmente, incluso si la tasa de aceptación solo cae marginalmente.

Consecuencias más allá del propio código

La crisis no se limita a la revisión del código. La IA también está socavando los modelos de negocio de los proyectos de código abierto.

Adam Wathan, fundador de Tailwind CSS, vinculó directamente los despidos de enero de 2026 en la empresa al efecto de las herramientas de IA: el tráfico de documentación cayó un 40 por ciento y los ingresos se desplomaron un 80 por ciento. Los desarrolladores obtienen el código de Tailwind directamente de Copilot en lugar de visitar la documentación o descubrir productos de pago. La actividad en Stack Overflow ha caído aproximadamente un 25 por ciento desde el lanzamiento de ChatGPT.

El código abierto es infraestructura. Cuando los mantenedores de la infraestructura se rinden, no solo sufren los proyectos individuales, sino todo el ecosistema tecnológico de empresas y del sector público en todo el mundo.

La comunidad busca una salida

Las soluciones están en ciernes, pero ninguna es perfecta.

GitHub ha lanzado límites de interacción y "señales de confianza" para ayudar a los mantenedores. La empresa Chainguard ha creado el programa EmeritOSS, que se hace cargo de proyectos archivados y los mantiene con automatización de GenAI; el objetivo es que tres personas gestionen 1.000 proyectos. HeroDevs ofrece "Never-Ending Support" para proyectos que han llegado al final de su vida útil.

En la propia comunidad de código abierto se discuten modelos basados en "pull", donde los colaboradores corrigen errores en sus propios forks y los mantenedores extraen los cambios cuando están listos, en lugar de que las pull requests entrantes consuman capacidad. Mitchell Hashimoto ha desarrollado herramientas que limitan las contribuciones a usuarios "aprobados".

La política del proyecto LLVM se ha convertido en un punto de referencia: se permite la IA, pero un humano debe leer todo el contenido generado, y su uso debe marcarse explícitamente en los mensajes de commit. Los agentes totalmente automatizados sin aprobación humana están prohibidos.

La CNCF (Cloud Native Computing Foundation) insta ahora a todos los proyectos afiliados a introducir directrices explícitas sobre IA, en línea con la documentación de gobernanza existente.

Qué deben hacer ahora los desarrolladores y las empresas

Para las empresas que dependen de bibliotecas de código abierto —que son la gran mayoría de las que se dedican al desarrollo de software—, este no es un debate internacional abstracto. Una biblioteca crítica que se estanca o desaparece porque los mantenedores están agotados afecta directamente.

Aunque actualmente hay poca investigación primaria local que mapee el alcance, las tendencias internacionales son lo suficientemente claras como para actuar:

Implementar directrices de IA en los proyectos propios. Seguir el modelo de LLVM: permitir herramientas de IA, pero exigir revisión humana y etiquetado explícito. Prohibir agentes totalmente automatizados sin aprobación humana.

Automatizar el escaneo de seguridad. Herramientas como SonarQube, Snyk y GitHub Advanced Security deberían ser obligatorias en los flujos de CI/CD. El análisis estático no lo detecta todo, pero reduce significativamente el riesgo, especialmente ahora que el volumen de código aumenta.

Ser extra críticos en sectores críticos. Para las organizaciones en finanzas, salud y administración pública, el código de terceros es un vector de ataque significativo. Una biblioteca de código abierto comprometida en una cadena de suministro puede tener consecuencias graves, como subrayan los hallazgos de UpGuard sobre el acceso acrítico de agentes.

Contribuir al mantenimiento, no solo al código. Apoyar los proyectos de los que se depende, ya sea económicamente o con experiencia en revisión. El código abierto no es infraestructura gratuita; es un trabajo voluntario que está llegando a su límite de capacidad.