
El vibe coding prometía que cualquiera podía crear apps en lenguaje natural. Los datos de 16 meses revelan quiénes se benefician de verdad — y quiénes caen en la trampa de la seguridad.
Resumen rápido
- Andrej Karpathy acuñó el término "vibe coding" el 2 de febrero de 2025. A mediados de 2026, lo considera pasado de moda y ha avanzado hacia un nuevo enfoque.
- Un estudio de METR de julio de 2025 descubrió que los desarrolladores experimentados son un 19% más lentos con herramientas de IA, a pesar de que predecían ganancias del 24%.
- El 91,5% de las apps creadas con vibe coding tienen al menos una vulnerabilidad de seguridad, según investigaciones del primer trimestre de 2026 basadas en cinco estudios independientes.
- El vibe coding funciona bien para: MVPs, herramientas internas y personas sin perfil técnico que quieren validar ideas rápidamente.
- Falla de forma predecible en: todo lo que involucra autenticación, pagos o datos de usuarios sin revisión experta.
- La evolución profesional se llama "agentic engineering": las mismas herramientas, pero el ingeniero revisa cada diff y mantiene la responsabilidad.
El 2 de febrero de 2025, Andrej Karpathy publicó lo que él mismo describió después como un "tweet improvisado de pensamientos al vuelo": "Hay un nuevo tipo de programación que llamo 'vibe coding', donde te entregas completamente a las vibraciones, abrazas los exponenciales y olvidas que el código existe."
Ese tweet se convirtió en la Palabra del Año 2025 del diccionario Collins. El mercado que surgió a su alrededor vale ahora 4.700 millones de dólares. Lovable, una de las herramientas líderes, alcanzó 200 millones de dólares en ARR y una valoración de 6.600 millones a mediados de 2026. El 25% de las startups del batch de invierno 2025 de Y Combinator funcionaba con bases de código generadas en un 95% por IA.
Dieciséis meses son suficientes para dejar de preguntarse "¿funcionará esto?" y empezar a preguntar "¿qué dicen los datos?". La respuesta es más compleja que el hype, más útil que el escepticismo, y genuinamente diferente según quién la lea.
Las estadísticas más llamativas son fáciles de encontrar: un 55% más de velocidad en la finalización de proyectos, desarrollo de aplicaciones 5,8 veces más rápido, el 74% de los desarrolladores reportando mejoras de productividad. Lo que esos resúmenes omiten sistemáticamente es el estudio de METR de julio de 2025.
El estudio evaluó a ingenieros de software experimentados en tareas reales, con y sin herramientas de IA. El resultado: fueron un 19% más lentos con asistencia de IA, a pesar de haber predicho con confianza que serían un 24% más rápidos. La brecha entre expectativa y realidad fue de 43 puntos porcentuales en la dirección equivocada.
Esto no es un argumento en contra de las herramientas de IA. Es una señal sobre quién se beneficia realmente. Las ganancias de productividad son reales, pero muy desiguales:
El resultado de METR tiene sentido cuando uno piensa en lo que hacen realmente las herramientas de IA. Reducen la fricción en tareas bien definidas y modulares. Los ingenieros experimentados dedican la mayor parte de su tiempo a la arquitectura, la depuración y la toma de decisiones, no a escribir código. Escribir código más rápido no ayuda cuando el cuello de botella está en pensar. Mientras tanto, un fundador que antes no podía crear un prototipo ahora puede tener uno en un fin de semana.
La herramienta es genuinamente útil. No lo es de manera universal, de la misma forma, para las mismas personas.
Las estadísticas sobre vulnerabilidades provienen de múltiples fuentes independientes y convergen en la misma conclusión. OX Security reporta que el 62% del código generado por IA se lanza con fallos de seguridad. Un análisis del primer trimestre de 2026 publicado por SoftwareSeni encontró que el 91,5% de las aplicaciones creadas con vibe coding tienen al menos una vulnerabilidad, según cinco estudios independientes. Escape.tech analizó 5.600 apps públicas creadas con vibe coding y documentó más de 2.000 vulnerabilidades de alto impacto, más de 400 secretos expuestos y 175 casos de datos personales expuestos en sistemas en producción.
El 91,5% suena alarmante. Y lo es. Pero entender el porqué es más útil que simplemente alarmarse.
La IA genera código en función de lo que se le pide. Cuando escribes "crea una app de tareas con cuentas de usuario", la IA escribe una autenticación que funciona. No añadirá protección contra inyección SQL, límites de intentos de inicio de sesión ni tokens CSRF a menos que se lo pidas explícitamente. Esas capas de seguridad requieren conocimiento previo para saber que existen.
Escape.tech nombró este patrón directamente: los fallos del vibe coding tienden a ser estructurales, es decir, capas de seguridad enteras que nunca se implementaron porque nunca se le pidió a la IA que las implementara. Esto es diferente a que la IA escriba código roto. La IA escribió exactamente lo que se le pidió. Lo que faltaba es que nunca se solicitó.
Esto tiene solución si la persona sabe qué preguntar. No tiene solución esperando que la IA lo resuelva por iniciativa propia.
El análisis de diciembre de 2025 de CodeRabbit encontró que el código coescrito con IA contiene aproximadamente 1,7 veces más problemas "graves" en comparación con el código escrito por humanos, incluida una tasa 2,74 veces mayor de vulnerabilidades de seguridad. Esos datos abarcan todo el código asistido por IA, no solo apps de vibe coding puro, lo que sugiere que el problema escala cuanta más supervisión humana se elimina.
"Vibe coding" se ha convertido en un término genérico para cualquier desarrollo basado en prompts, lo que genera confusión porque las herramientas sirven a perfiles de usuario muy distintos.
Constructores de apps sin código con IA (Lovable, Bolt.new, Replit Agent) permiten describir lo que se quiere en lenguaje natural. La plataforma genera, aloja y gestiona el código. Nunca ves los archivos subyacentes. Están diseñados para personas sin perfil técnico y para validar ideas rápidamente.
Editores de código con IA (Cursor, Windsurf, Claude Code) requieren conocimientos de programación. Generan código dentro de tu entorno de desarrollo, donde lees y revisas cada cambio antes de confirmarlo. La IA es un colaborador muy rápido —a veces poco fiable—, no un constructor autónomo.
El error más común que cometen los equipos: empezar con Lovable, llegar al 80% de un MVP funcional y luego intentar extenderlo a un sistema en producción sin entender lo que se construyó por debajo. Las bases de código generadas sin código a menudo tienen patrones optimizados para el generador, no para la mantenibilidad a largo plazo.
Un marco de decisión práctico:
| Situación | Enfoque | Herramienta para empezar |
|---|---|---|
| Validar una idea este fin de semana | Vibe coding completo | Lovable, Bolt.new |
| Herramienta interna para un equipo pequeño | Generación supervisada | Cursor |
| Producto SaaS con usuarios reales | Agentic engineering | Cursor o Claude Code |
| Autenticación, pagos o datos de usuarios | Liderado por humanos con asistencia de IA | Revisión de código obligatoria |
La persona que acuñó el término dice ahora que está pasado de moda.
En Sequoia Ascent 2026, Karpathy presentó un marco que llama "agentic engineering". Su argumento: en diciembre de 2025, la fiabilidad de los modelos mejoró lo suficiente como para que el cuello de botella real cambiara. La pregunta ya no es si la IA puede escribir código. Es si los humanos pueden mantener una supervisión significativa de los sistemas escritos por IA.
El vibe coding eleva el suelo. Cualquiera puede construir algo funcional. La calidad del código es a menudo lo que Karpathy llama "hinchada, con mucho copy-paste, abstracciones torpes que son frágiles". Se lanza, y eso tiene valor. La baja responsabilidad es adecuada porque las apuestas son bajas.
El agentic engineering eleva el techo. Los desarrolladores profesionales orquestan agentes de IA manteniendo plena responsabilidad. Diseñan especificaciones antes de hacer prompts, revisan los diffs antes de hacer merge, escriben tests, construyen bucles de evaluación y gestionan los permisos con cuidado.
La frase más citada de la charla: "Puedes externalizar tu ejecución, pero no puedes externalizar tu comprensión."
En la práctica, la línea entre ambos enfoques no está en qué herramienta usas. Está en lo que haces después de que la IA genera el código. Un desarrollador que usa Cursor y acepta todas las sugerencias sin leerlas está haciendo vibe coding. Un desarrollador que trata cada diff generado como un PR de un ingeniero junior, lo lee línea por línea y se niega a hacer merge de algo que no puede explicar, está haciendo agentic engineering. La misma herramienta. Una disciplina diferente.
Basándose en los patrones de fallos documentados, hay categorías que nunca deben llegar a producción sin revisión humana, independientemente del enfoque:
Todo lo demás es un candidato razonable para la generación asistida por IA con revisión posterior. Estas cinco categorías son donde se concentran los fallos estructurales.
¿Pueden las personas sin perfil técnico lanzar apps en producción con vibe coding?
Sí, con una distinción importante sobre qué significa "producción". Una herramienta interna usada por 5 personas es diferente a una app de consumo que almacena datos de pago de 5.000 usuarios. Las personas sin perfil técnico están construyendo y lanzando con éxito el primer tipo. Para el segundo, el consenso de los investigadores de seguridad en 2026 es: valida tu idea con vibe coding y luego haz que un desarrollador audite las rutas críticas de seguridad antes de servir a usuarios reales con datos reales.
¿Cuál es la diferencia real entre Lovable y Cursor?
Lovable abstrae completamente el código. Describes, construye, lanzas y nunca tocas los archivos. Cursor es un editor de código donde la IA te ayuda a escribir más rápido, pero tú permaneces en la base de código, leyendo y confirmando cada cambio. La elección correcta depende de si puedes leer código, no de cuál tiene mejores reseñas. Para desarrolladores, Cursor. Para todos los demás que empiezan, Lovable o Bolt.
¿Ha muerto el vibe coding?
Como práctica, no: es mainstream. GitHub reporta que el 46% del nuevo código ahora es generado por IA. Como término que describe con precisión lo que los ingenieros experimentados hacen con estas herramientas, está desvaneciéndose. El propio Karpathy lo ha superado. Las herramientas son las mismas; lo que ha cambiado es la expectativa profesional de supervisión.
¿Cuánto cuesta empezar con vibe coding?
El plan de pago de Lovable comienza en 25 dólares al mes (a junio de 2026). Cursor Pro cuesta 20 dólares al mes. Bolt.new tiene un nivel gratuito con tokens diarios limitados. Claude Code se basa en el uso de la API, con precios a través de la API de Anthropic. Un fundador en solitario construyendo un MVP puede mantenerse habitualmente por debajo de los 50 dólares al mes con uso bajo. Las cargas de trabajo en producción sobre bases de código grandes pueden llegar a los 200-500 dólares al mes, dependiendo de cuánto se usen operaciones intensivas en tokens.
El vibe coding no es un fraude ni tampoco reemplaza a la ingeniería de software. Es un espectro: en un extremo, personas sin perfil técnico construyendo cosas reales por primera vez; en el otro, ingenieros experimentados usando la IA como colaborador de alta velocidad mientras mantienen la responsabilidad de lo que se lanza.
Los fallos son predecibles. Siguen un patrón: aceptar grandes cantidades de código generado sin leerlo, omitir capas de seguridad que nunca se solicitaron y tratar de escalar un prototipo sin código a un sistema en producción sin entender la arquitectura subyacente.
Las personas que más provecho sacan de estas herramientas a mediados de 2026 no son las que "se entregan completamente a las vibraciones". Son las que entienden exactamente cuándo delegar en la IA y exactamente qué revisar cuando el resultado llega de vuelta.
Para una visión general del panorama más amplio de herramientas de programación con IA, nuestra guía de los mejores asistentes de programación con IA cubre todo el espectro, desde Cursor hasta GitHub Copilot, con precios actualizados a 2026.
Si estás empezando a construir flujos de trabajo basados en agentes más allá de la simple generación de código, cómo usar agentes de IA explica los patrones de orquestación prácticos que distinguen la generación puntual de los sistemas automatizados y repetibles.
ChatGPT, Claude, Gemini, DeepSeek, Grok y 25+ más
Voz + pantalla compartida · respuestas instantáneas
¿Cuál es la mejor manera de aprender un nuevo idioma?
La inmersión y la repetición espaciada funcionan mejor. Intenta consumir medios en tu idioma objetivo diariamente.
Voz + pantalla compartida · La IA responde en tiempo real
Flux, Nano Banana, Ideogram, Recraft + más

Autocompletado IA, reescritura y expansión por comando
PDF, URL o YouTube → chat, quiz, podcast y más
Veo, Kling, MiniMax, Sora + más
Voces IA naturales, 30+ idiomas
Escribir, depurar y explicar código
Sube PDFs, analiza contenido
Acceso completo en iOS y Android · sincronizado en todas partes
Chat, imagen, video y herramientas de movimiento — lado a lado

Ahorra horas de trabajo e investigación
Empresas que confían en nosotros
No se requiere tarjeta de crédito