Vibe Coding en 2026: Lo que revelan los datos tras 16 meses

Vibe Coding en 2026: Lo que revelan los datos tras 16 meses

El vibe coding prometía que cualquiera podía crear apps en lenguaje natural. Los datos de 16 meses revelan quiénes se benefician de verdad — y quiénes caen en la trampa de la seguridad.

Kevin·

Vibe Coding en 2026: Lo que revelan los datos tras 16 meses

Resumen rápido

  • Andrej Karpathy acuñó el término "vibe coding" el 2 de febrero de 2025. A mediados de 2026, lo considera pasado de moda y ha avanzado hacia un nuevo enfoque.
  • Un estudio de METR de julio de 2025 descubrió que los desarrolladores experimentados son un 19% más lentos con herramientas de IA, a pesar de que predecían ganancias del 24%.
  • El 91,5% de las apps creadas con vibe coding tienen al menos una vulnerabilidad de seguridad, según investigaciones del primer trimestre de 2026 basadas en cinco estudios independientes.
  • El vibe coding funciona bien para: MVPs, herramientas internas y personas sin perfil técnico que quieren validar ideas rápidamente.
  • Falla de forma predecible en: todo lo que involucra autenticación, pagos o datos de usuarios sin revisión experta.
  • La evolución profesional se llama "agentic engineering": las mismas herramientas, pero el ingeniero revisa cada diff y mantiene la responsabilidad.

El 2 de febrero de 2025, Andrej Karpathy publicó lo que él mismo describió después como un "tweet improvisado de pensamientos al vuelo": "Hay un nuevo tipo de programación que llamo 'vibe coding', donde te entregas completamente a las vibraciones, abrazas los exponenciales y olvidas que el código existe."

Ese tweet se convirtió en la Palabra del Año 2025 del diccionario Collins. El mercado que surgió a su alrededor vale ahora 4.700 millones de dólares. Lovable, una de las herramientas líderes, alcanzó 200 millones de dólares en ARR y una valoración de 6.600 millones a mediados de 2026. El 25% de las startups del batch de invierno 2025 de Y Combinator funcionaba con bases de código generadas en un 95% por IA.

Dieciséis meses son suficientes para dejar de preguntarse "¿funcionará esto?" y empezar a preguntar "¿qué dicen los datos?". La respuesta es más compleja que el hype, más útil que el escepticismo, y genuinamente diferente según quién la lea.

Las cifras de productividad no cuentan toda la historia

Las estadísticas más llamativas son fáciles de encontrar: un 55% más de velocidad en la finalización de proyectos, desarrollo de aplicaciones 5,8 veces más rápido, el 74% de los desarrolladores reportando mejoras de productividad. Lo que esos resúmenes omiten sistemáticamente es el estudio de METR de julio de 2025.

El estudio evaluó a ingenieros de software experimentados en tareas reales, con y sin herramientas de IA. El resultado: fueron un 19% más lentos con asistencia de IA, a pesar de haber predicho con confianza que serían un 24% más rápidos. La brecha entre expectativa y realidad fue de 43 puntos porcentuales en la dirección equivocada.

Esto no es un argumento en contra de las herramientas de IA. Es una señal sobre quién se beneficia realmente. Las ganancias de productividad son reales, pero muy desiguales:

  • Los desarrolladores senior con más de 3 años de experiencia reportan mejoras del 40 al 81% en tareas medidas por terceros
  • Los desarrolladores junior no muestran mejoras estadísticamente significativas en su producción
  • Las personas sin perfil técnico, que representan el 63% de los usuarios activos de vibe coding (product managers, fundadores, diseñadores), obtienen algo completamente diferente: acceso que antes no tenían

El resultado de METR tiene sentido cuando uno piensa en lo que hacen realmente las herramientas de IA. Reducen la fricción en tareas bien definidas y modulares. Los ingenieros experimentados dedican la mayor parte de su tiempo a la arquitectura, la depuración y la toma de decisiones, no a escribir código. Escribir código más rápido no ayuda cuando el cuello de botella está en pensar. Mientras tanto, un fundador que antes no podía crear un prototipo ahora puede tener uno en un fin de semana.

La herramienta es genuinamente útil. No lo es de manera universal, de la misma forma, para las mismas personas.

El problema de seguridad es estructural, no accidental

Las estadísticas sobre vulnerabilidades provienen de múltiples fuentes independientes y convergen en la misma conclusión. OX Security reporta que el 62% del código generado por IA se lanza con fallos de seguridad. Un análisis del primer trimestre de 2026 publicado por SoftwareSeni encontró que el 91,5% de las aplicaciones creadas con vibe coding tienen al menos una vulnerabilidad, según cinco estudios independientes. Escape.tech analizó 5.600 apps públicas creadas con vibe coding y documentó más de 2.000 vulnerabilidades de alto impacto, más de 400 secretos expuestos y 175 casos de datos personales expuestos en sistemas en producción.

El 91,5% suena alarmante. Y lo es. Pero entender el porqué es más útil que simplemente alarmarse.

La IA genera código en función de lo que se le pide. Cuando escribes "crea una app de tareas con cuentas de usuario", la IA escribe una autenticación que funciona. No añadirá protección contra inyección SQL, límites de intentos de inicio de sesión ni tokens CSRF a menos que se lo pidas explícitamente. Esas capas de seguridad requieren conocimiento previo para saber que existen.

Escape.tech nombró este patrón directamente: los fallos del vibe coding tienden a ser estructurales, es decir, capas de seguridad enteras que nunca se implementaron porque nunca se le pidió a la IA que las implementara. Esto es diferente a que la IA escriba código roto. La IA escribió exactamente lo que se le pidió. Lo que faltaba es que nunca se solicitó.

Esto tiene solución si la persona sabe qué preguntar. No tiene solución esperando que la IA lo resuelva por iniciativa propia.

El análisis de diciembre de 2025 de CodeRabbit encontró que el código coescrito con IA contiene aproximadamente 1,7 veces más problemas "graves" en comparación con el código escrito por humanos, incluida una tasa 2,74 veces mayor de vulnerabilidades de seguridad. Esos datos abarcan todo el código asistido por IA, no solo apps de vibe coding puro, lo que sugiere que el problema escala cuanta más supervisión humana se elimina.

Entendiendo el espectro de herramientas

"Vibe coding" se ha convertido en un término genérico para cualquier desarrollo basado en prompts, lo que genera confusión porque las herramientas sirven a perfiles de usuario muy distintos.

Constructores de apps sin código con IA (Lovable, Bolt.new, Replit Agent) permiten describir lo que se quiere en lenguaje natural. La plataforma genera, aloja y gestiona el código. Nunca ves los archivos subyacentes. Están diseñados para personas sin perfil técnico y para validar ideas rápidamente.

Editores de código con IA (Cursor, Windsurf, Claude Code) requieren conocimientos de programación. Generan código dentro de tu entorno de desarrollo, donde lees y revisas cada cambio antes de confirmarlo. La IA es un colaborador muy rápido —a veces poco fiable—, no un constructor autónomo.

El error más común que cometen los equipos: empezar con Lovable, llegar al 80% de un MVP funcional y luego intentar extenderlo a un sistema en producción sin entender lo que se construyó por debajo. Las bases de código generadas sin código a menudo tienen patrones optimizados para el generador, no para la mantenibilidad a largo plazo.

Un marco de decisión práctico:

SituaciónEnfoqueHerramienta para empezar
Validar una idea este fin de semanaVibe coding completoLovable, Bolt.new
Herramienta interna para un equipo pequeñoGeneración supervisadaCursor
Producto SaaS con usuarios realesAgentic engineeringCursor o Claude Code
Autenticación, pagos o datos de usuariosLiderado por humanos con asistencia de IARevisión de código obligatoria

Karpathy ya ha pasado página

La persona que acuñó el término dice ahora que está pasado de moda.

En Sequoia Ascent 2026, Karpathy presentó un marco que llama "agentic engineering". Su argumento: en diciembre de 2025, la fiabilidad de los modelos mejoró lo suficiente como para que el cuello de botella real cambiara. La pregunta ya no es si la IA puede escribir código. Es si los humanos pueden mantener una supervisión significativa de los sistemas escritos por IA.

La distinción que establece:

El vibe coding eleva el suelo. Cualquiera puede construir algo funcional. La calidad del código es a menudo lo que Karpathy llama "hinchada, con mucho copy-paste, abstracciones torpes que son frágiles". Se lanza, y eso tiene valor. La baja responsabilidad es adecuada porque las apuestas son bajas.

El agentic engineering eleva el techo. Los desarrolladores profesionales orquestan agentes de IA manteniendo plena responsabilidad. Diseñan especificaciones antes de hacer prompts, revisan los diffs antes de hacer merge, escriben tests, construyen bucles de evaluación y gestionan los permisos con cuidado.

La frase más citada de la charla: "Puedes externalizar tu ejecución, pero no puedes externalizar tu comprensión."

En la práctica, la línea entre ambos enfoques no está en qué herramienta usas. Está en lo que haces después de que la IA genera el código. Un desarrollador que usa Cursor y acepta todas las sugerencias sin leerlas está haciendo vibe coding. Un desarrollador que trata cada diff generado como un PR de un ingeniero junior, lo lee línea por línea y se niega a hacer merge de algo que no puede explicar, está haciendo agentic engineering. La misma herramienta. Una disciplina diferente.

Qué escribir o revisar siempre tú mismo

Basándose en los patrones de fallos documentados, hay categorías que nunca deben llegar a producción sin revisión humana, independientemente del enfoque:

  • Lógica de autenticación: Hash de contraseñas, gestión de sesiones, validación de tokens
  • Procesamiento de pagos: Gestión de webhooks, claves de idempotencia, recuperación de estados de error
  • Consultas a bases de datos con entrada de usuario: Cualquier código que construya consultas a partir de datos externos
  • Verificaciones de autorización: Quién puede leer, escribir o eliminar qué registros
  • Gestión de secretos: Variables de entorno, rotación de claves API, almacenamiento de tokens

Todo lo demás es un candidato razonable para la generación asistida por IA con revisión posterior. Estas cinco categorías son donde se concentran los fallos estructurales.

Preguntas frecuentes

¿Pueden las personas sin perfil técnico lanzar apps en producción con vibe coding?

Sí, con una distinción importante sobre qué significa "producción". Una herramienta interna usada por 5 personas es diferente a una app de consumo que almacena datos de pago de 5.000 usuarios. Las personas sin perfil técnico están construyendo y lanzando con éxito el primer tipo. Para el segundo, el consenso de los investigadores de seguridad en 2026 es: valida tu idea con vibe coding y luego haz que un desarrollador audite las rutas críticas de seguridad antes de servir a usuarios reales con datos reales.

¿Cuál es la diferencia real entre Lovable y Cursor?

Lovable abstrae completamente el código. Describes, construye, lanzas y nunca tocas los archivos. Cursor es un editor de código donde la IA te ayuda a escribir más rápido, pero tú permaneces en la base de código, leyendo y confirmando cada cambio. La elección correcta depende de si puedes leer código, no de cuál tiene mejores reseñas. Para desarrolladores, Cursor. Para todos los demás que empiezan, Lovable o Bolt.

¿Ha muerto el vibe coding?

Como práctica, no: es mainstream. GitHub reporta que el 46% del nuevo código ahora es generado por IA. Como término que describe con precisión lo que los ingenieros experimentados hacen con estas herramientas, está desvaneciéndose. El propio Karpathy lo ha superado. Las herramientas son las mismas; lo que ha cambiado es la expectativa profesional de supervisión.

¿Cuánto cuesta empezar con vibe coding?

El plan de pago de Lovable comienza en 25 dólares al mes (a junio de 2026). Cursor Pro cuesta 20 dólares al mes. Bolt.new tiene un nivel gratuito con tokens diarios limitados. Claude Code se basa en el uso de la API, con precios a través de la API de Anthropic. Un fundador en solitario construyendo un MVP puede mantenerse habitualmente por debajo de los 50 dólares al mes con uso bajo. Las cargas de trabajo en producción sobre bases de código grandes pueden llegar a los 200-500 dólares al mes, dependiendo de cuánto se usen operaciones intensivas en tokens.

El veredicto real

El vibe coding no es un fraude ni tampoco reemplaza a la ingeniería de software. Es un espectro: en un extremo, personas sin perfil técnico construyendo cosas reales por primera vez; en el otro, ingenieros experimentados usando la IA como colaborador de alta velocidad mientras mantienen la responsabilidad de lo que se lanza.

Los fallos son predecibles. Siguen un patrón: aceptar grandes cantidades de código generado sin leerlo, omitir capas de seguridad que nunca se solicitaron y tratar de escalar un prototipo sin código a un sistema en producción sin entender la arquitectura subyacente.

Las personas que más provecho sacan de estas herramientas a mediados de 2026 no son las que "se entregan completamente a las vibraciones". Son las que entienden exactamente cuándo delegar en la IA y exactamente qué revisar cuando el resultado llega de vuelta.

Para una visión general del panorama más amplio de herramientas de programación con IA, nuestra guía de los mejores asistentes de programación con IA cubre todo el espectro, desde Cursor hasta GitHub Copilot, con precios actualizados a 2026.

Si estás empezando a construir flujos de trabajo basados en agentes más allá de la simple generación de código, cómo usar agentes de IA explica los patrones de orquestación prácticos que distinguen la generación puntual de los sistemas automatizados y repetibles.

Explora las Funcionalidades de Zemith

Toda la IA top. Una suscripción.

ChatGPT, Claude, Gemini, DeepSeek, Grok y 25+ más

OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
Meta
Meta
Mistral
Mistral
MiniMax
MiniMax
Recraft
Recraft
Stability
Stability
Kling
Kling
Meta
Meta
Mistral
Mistral
MiniMax
MiniMax
Recraft
Recraft
Stability
Stability
Kling
Kling
25+ modelos · cambia en cualquier momento

Siempre activa, IA en tiempo real.

Voz + pantalla compartida · respuestas instantáneas

EN VIVO

¿Cuál es la mejor manera de aprender un nuevo idioma?

Zemith

La inmersión y la repetición espaciada funcionan mejor. Intenta consumir medios en tu idioma objetivo diariamente.

Voz + pantalla compartida · La IA responde en tiempo real

Generación de imágenes

Flux, Nano Banana, Ideogram, Recraft + más

AI generated image
1:116:99:164:33:2

Escribe a la velocidad del pensamiento.

Autocompletado IA, reescritura y expansión por comando

Bloc de notas IA

Cualquier documento. Cualquier formato.

PDF, URL o YouTube → chat, quiz, podcast y más

📄
research-paper.pdf
PDF · 42 páginas
📝
Cuestionario
Interactivo
Listo

Creación de video

Veo, Kling, MiniMax, Sora + más

AI generated video preview
5s10s720p1080p

Texto a voz

Voces IA naturales, 30+ idiomas

Generación de código

Escribir, depurar y explicar código

def analyze(data):
summary = model.predict(data)
return f"Result: {summary}"

Chat con documentos

Sube PDFs, analiza contenido

PDFDOCTXTCSV+ more

Tu IA en tu bolsillo.

Acceso completo en iOS y Android · sincronizado en todas partes

Descargar la app
Todo lo que amas, en tu bolsillo.

Tu lienzo infinito de IA.

Chat, imagen, video y herramientas de movimiento — lado a lado

Workflow canvas showing Prompt, Image Generation, Remove Background, and Video nodes connected together

Ahorra horas de trabajo e investigación

Precios sencillos y asequibles

Empresas que confían en nosotros

Google logoHarvard logoCambridge logoNokia logoCapgemini logoZapier logo
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
MiniMax
MiniMax
Kling
Kling
Recraft
Recraft
Meta
Meta
Mistral
Mistral
Stability
Stability
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
MiniMax
MiniMax
Kling
Kling
Recraft
Recraft
Meta
Meta
Mistral
Mistral
Stability
Stability
4.6
Más de 50,000 usuarios
Seguridad de nivel empresarial
Cancela en cualquier momento

Gratis

$0
gratis para siempre
 

No se requiere tarjeta de crédito

  • 100 créditos diarios
  • 3 modelos de IA para probar
  • Chat de IA básico
Más popular

Plus

14.99por mes
Facturado anualmente
~2 meses Gratis con Plan Anual
  • 1,000,000 créditos/mes
  • Más de 25 modelos de IA — GPT, Claude, Gemini, Grok y más
  • Agent Mode con búsqueda web, herramientas informáticas y más
  • Creative Studio: generación de imágenes y generación de video
  • Project Library: chatea con documentos, sitios web y YouTube, generación de podcasts, tarjetas de estudio, informes y más
  • Workflow Studio y FocusOS

Professional

24.99por mes
Facturado anualmente
~4 meses Gratis con Plan Anual
  • Todo en Plus, y:
  • 2,100,000 créditos/mes
  • Modelos exclusivos Pro (Claude Opus, Grok 4, Sonar Pro)
  • Motion Tools y Max Mode
  • Primer acceso a las últimas funciones
  • Acceso a ofertas adicionales