Gewirtz: IA y despliegue continuo dejan obsoleta la seguridad tradicional de aplicaciones

David Gewirtz advierte, en un texto publicado el 11 de mayo de 2026, que el paradigma de detectar vulnerabilidades después del envío y parchearlas — el ciclo «find-and-fix»— ha dejado de ser eficaz ante la combinación de desarrollo asistido por IA y despliegue continuo (CI/CD). El cambio importa porque las organizaciones están lanzando código con mayor frecuencia y velocidad que la capacidad de corregir las fallas, lo que incrementa el riesgo operativo y la acumulación de deuda técnica.

Gewirtz describe cómo opera hoy la seguridad aplicada al software: escáneres de vulnerabilidades y pruebas de penetración generan informes de forma constante, y esas alertas convierten a los desarrolladores en gestores de colas de triage y ejecutores de sprints de remediación. El efecto es que el trabajo de corrección interrumpe las iniciativas de desarrollo y obliga a reasignar recursos hacia parches urgentes en lugar de nuevas funcionalidades.

Cuando corregir el defecto no es viable por la antigüedad o la complejidad del código, las organizaciones recurren a la práctica que Gewirtz denomina «defend — and-defer». Esta respuesta incluye cortafuegos, protecciones en tiempo de ejecución, segmentación, controles compensatorios y restricciones de acceso para mitigar riesgos sin alterar el código fuente heredado.

El contexto de mercado amplifica la tensión: CI/CD ha normalizado versiones pequeñas y frecuentes, y las herramientas de IA permiten crear funcionalidades a ritmo de máquina. Según Gewirtz, esa combinación abre una brecha entre la rapidez de lanzamiento y la lentitud para solucionar fallos, lo que deriva en carteras de vulnerabilidades que sobrecargan a los equipos de desarrollo y reducen la eficacia de los procesos de remediación.

La conclusión práctica del análisis es clara: la seguridad de aplicaciones debe avanzar hacia el momento de creación del código, integrándose en las fases de authoring y build. Gewirtz recomienda priorizar controles en tiempo de creación (shift‑left), replantear el triage y la priorización de parches para reducir deuda técnica, y combinar la detección previa con protecciones en tiempo de ejecución. Esto obligará a equipos de ingeniería y seguridad a ajustar procesos, prioridades y gobernanza para que los asistentes de IA no aceleren la aparición de nuevas vulnerabilidades sin controles adecuados.

Gewirtz también subraya las limitaciones del cambio: las prácticas de find‑and‑fix y defend — and‑defer no desaparecerán porque siempre surgirán comportamientos inesperados, y la naturaleza no determinista de modelos de lenguaje añade incertidumbre. La recomendación final es complementar, no reemplazar, las defensas en tiempo de ejecución con un esfuerzo sostenido por integrar la seguridad en todo el flujo de desarrollo.