Índice

En febrero de 2025, el cofundador de OpenAI y antiguo responsable de IA en Tesla Andrej Karpathy publicó una sola frase en X que dio la vuelta al mundo con un término nuevo: vibe coding.

"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."

Un año después, en 2026, el término se sitúa en el centro de un debate polarizado. El propio Karpathy ha propuesto renombrarlo, las empresas observan un repunte de incidentes de seguridad y, sin embargo, para desarrolladores indie, startups y herramientas internas se ha asentado como un estilo estándar de programar. Este artículo recorre la definición y el debate más reciente apoyándose en fuentes oficiales y datos del sector.

ESPECTRO DE ESTILOS DE CODING · 2026

Vibe coding = "deja que la IA se encargue sin leer el código"

— a medio camino entre el coding tradicional y el agentic engineering

TRADICIONAL
Escrito a mano
Las personas diseñan, escriben y revisan. La IA es un asistente.
VIBE CODING
Déjate llevar
Prompt → la IA genera → si funciona, sigue adelante. El código no se lee.
AGENTIC ENG.
Diseño + ejecución por IA
Las personas diseñan las restricciones; la IA acelera la implementación.

El vibe coding es imbatible para prototipos desechables.
Si vas a llevarlo a producción, conviene desplazarse hacia el extremo del agentic engineering.

1. ¿Qué es el vibe coding?

El vibe coding es un estilo de programación construido sobre la idea de hablar de lo que el código debería hacer, en lugar de escribirlo o leerlo. Le describes a una IA (Claude, GPT, Cursor Composer, etc.) lo que quieres en lenguaje natural, lo ejecutas y le pides correcciones sin leer el código generado.

Hay tres ideas en el núcleo:

  • Soltar el apego al código: abandona la sensación de propiedad sobre "el código que escribí".
  • Si funciona, vale: una vez que arranca, entender las tripas viene después, o nunca.
  • Conducirlo por conversación: cuando aparecen bugs o errores, basta con decirle a la IA "arréglalo". Pegar el stack trace es suficiente.

Un ejemplo típico: un desarrollador indie pide "construye un Tetris en Pygame" → Claude devuelve 500 líneas de código → lo ejecuta → la pieza no cae, así que dice "los bloques no rotan" → recibe una versión corregida. Listo, sin escribir una sola línea propia.

2. Karpathy lo acuñó y un año después propuso renombrarlo

La expresión "vibe coding" fue acuñada por Andrej Karpathy en X (antes Twitter) en febrero de 2025. La utilizó para describir la experiencia de combinar Cursor Composer (que entonces corría con Sonnet) y SuperWhisper (entrada por voz) para construir aplicaciones casi enteramente hablando.

Lo que ocurrió a lo largo del año siguiente:

  • Agosto de 2025: los principales LLM superaron el 60 % en SWE-bench y el vibe coding empezó a sentirse real.
  • Diciembre de 2025: Karpathy informó de un giro drástico en su propio flujo de trabajo: 80 % escrito a mano en noviembre, 80 % generado por IA en diciembre.
  • Febrero de 2026: Karpathy propuso abandonar el nombre "vibe coding" y sustituirlo por "agentic engineering". La distinción: vibe = decir lo que quieres y aceptar lo que venga; agentic engineering = diseñar el sistema, especificar restricciones y usar la IA para acelerar una implementación que ya has pensado.

De ahí la posición rara del vibe coding: el término que popularizó el concepto, pero la persona que lo creó ya no lo recomienda. El mercado lo sigue usando igualmente, porque ninguna otra palabra captura el mismo matiz de "casual" y "liberado de leer código".

3. El flujo de trabajo típico

Basta de abstracción: este es el bucle real que se ejecuta.

VIBE LOOP

Describir → Generar → Ejecutar → Replicar

1
DESCRIBIR — dilo
"Hazme un Tetris." "Añade una pantalla de login." "Arregla este bug." Deseos en lenguaje natural, sin documento de especificaciones.
2
GENERAR — la IA escribe
Cursor, Claude Code, Lovable, etc. crean o editan varios archivos. Tú simplemente pasas por encima del código.
3
EJECUTAR — pruébalo
Arráncalo. Ábrelo en el navegador. Lanza los tests. Si funciona, genial. Si no, al siguiente paso.
4
REPLICAR — responde
Pega el error tal cual. Di "ponlo en rojo" o "hazlo más rápido": el lenguaje natural vale. Vuelve al paso 1.

Este bucle de 4 pasos se ejecuta decenas o cientos de veces para montar una funcionalidad.
Es una bestia distinta del flujo lineal tradicional "diseñar → implementar → testear".

4. Las herramientas líderes

A mayo de 2026, estas son las herramientas en las que el estilo vibe coding funciona especialmente bien.

HerramientaProveedorPuntos fuertesUso típico
Claude CodeAnthropicTareas autónomas de larga duración, integración MCP; el "narra y luego codifica" ayuda a entender de verdad el códigoCambios grandes en repos existentes, proyectos desde cero
Cursor ComposerCursorIntegrado en el IDE, edición multi-archivo; explotó en popularidad porque Karpathy lo usaDesarrollo indie, MVPs de startups
Codex CLIOpenAIGPT-5.5 integrado, fuerte en automatización de terminalHerramientas de CLI, scripts, automatización de ops
LovableStartup independienteUI dedicada para "hablar hasta que exista una app", también te la despliegaPrototipos SaaS para no ingenieros
v0VercelEspecializado en componentes de UI, camino fluido de generación a despliegueLanding pages, trabajo solo de frontend
Bolt.newStackBlitzCorre íntegramente en el navegador, genera apps web full-stack desde una plantillaAprendizaje, demos, herramientas internas
DevinCognitionAgente autónomo. Le pasas un ticket y produce un PREl hueco del "ingeniero extra" en un equipo

Si no eres ingeniero y lo usas para aprender o prototipar, mira Lovable, v0 y Bolt.new. Si eres ingeniero profesional trabajando sobre código existente, los referentes actuales son Claude Code, Cursor y Codex CLI.

5. El lado oscuro: la realidad de seguridad y calidad

"El vibe coding sienta de maravilla. Llevarlo a producción es otra historia." Esa brecha se hizo imposible de ignorar en 2026, y los números de terceros no perdonan.

DATOS DE SEGURIDAD Y CALIDAD · 2026

El lado oscuro del vibe coding, en cifras

— "divertido" no significa "seguro"

Repunte de CVEs
Marzo de 2026: 35 CVEs (derivados de vibe coding)
vs enero de 2026: aproximadamente 6x
Georgia Tech Vibe Security Radar
Tasa de vulnerabilidad
Entre el 40 % y el 62 % del código generado por IA contiene una vulnerabilidad
Mediana de encuestas del sector
Detección de SSRF
En los 5 grandes agentes de coding con IA,
el 100 % introdujo el mismo tipo de fallo SSRF
Tenzai, estudio de diciembre
Tasa de incidencias graves
Código co-escrito con IA: 1,7x la línea base humana
Vulnerabilidades de seguridad: 2,74x
CodeRabbit, análisis de 470 PRs
Fuga de secretos
El 3,2 % de los commits de IA expone API keys, etc.
Commits humanos: 1,5 %, alrededor de 2x
CSA 2026
Detección de XSS
En muestras de código de 5 grandes LLM,
el 86 % contenía una vulnerabilidad XSS
Georgetown CSET

Escape.tech escaneó 5.600 apps vibe-coded desplegadas públicamente y encontró 2.000 vulnerabilidades críticas, 400 API keys expuestas y 175 fugas de PII (datos médicos y de pago). "Funciona" y "es seguro" no son lo mismo.

Esto no es una historia de "la IA es mala": es un problema estructural de un estilo de desarrollo que empuja a producción código sin leer. La misma IA, con humanos que añaden revisión y verificación, registra tasas de incidentes drásticamente más bajas.

6. Vibe vs agentic engineering

La propuesta de renombrado de Karpathy en 2026 vale la pena entenderla: aclara la decisión operativa que hay que tomar.

DimensiónVibe CodingAgentic Engineering
Punto de partida"Quiero construir esto""Así es como quiero que se diseñe"
RestriccionesImplícitas, las interpreta la IAExplícitas, comunicadas a la IA
Comprensión del códigoNo requerida; basta con confirmar el resultadoRequerida; la IA es un acelerador
RevisiónSolo "¿funciona?"Diffs, decisiones de diseño, seguridad
Dónde encajaExperimentos personales, aprendizaje, código desechableSistemas en producción, operación a largo plazo, activos compartidos
Modo de falloIncidentes de seguridad, código no mantenibleRitmo más lento, quedar encerrado por la IA
Quién mandaLa IAEl humano (la IA amplifica)

Puedes usar las mismas herramientas (Claude Code, Cursor) y convertirlas en vibe coding o agentic engineering según la postura que adoptes. Lo importante es saber conscientemente "¿en qué modo estoy ahora mismo?" y cambiar de forma deliberada.

7. "Vibe & Verify": las reglas para ponerlo en práctica

La buena práctica que se está estandarizando en 2026 es el "Vibe & Verify": conservar la ligereza de dejar que la IA escriba, pero insertar siempre verificación al final.

(1) Cambia de modo según la apuesta

  • Apuesta baja (herramientas personales, aprendizaje, scripts): vibe completo, sin problema.
  • Apuesta media (herramientas internas, MVPs, prototipos desechables): vibe + un smoke test + un escaneo rápido de seguridad.
  • Apuesta alta (producción, datos de cliente, cualquier cosa de cara al público): el modo agentic engineering es obligatorio. Aunque lo hayas escrito en modo vibe, no hagas push sin revisión humana + escaneos automáticos de seguridad + tests añadidos.

(2) Tres cosas que siempre hay que hacer con código generado por IA

  1. Mira el diff: saltarse cada línea es aceptable para código desechable. Para código compartido, al menos echa un vistazo al diff.
  2. Pasa un linter de seguridad: semgrep, bandit, truffleHog, etc. Las comprobaciones mecánicas de secretos, SSRF y XSS son innegociables.
  3. Haz que la IA escriba tests: añade siempre "ahora escribe tests para esto" a la misma IA. Código sin tests no cuenta ni siquiera como vibe coding.

(3) No pierdas la habilidad de leer código

Si te acostumbras demasiado al vibe coding, en cuanto la IA se equivoque o te toque retomar código de otra persona, descubrirás que no puedes leerlo. El propio Karpathy ha insistido varias veces en que la capacidad de entender el código generado por IA al detalle importa. Incluso vibeando, construye el hábito de detenerte de vez en cuando para leer realmente el código; a largo plazo, ahí se forma la diferencia de habilidad.

(4) No vibees con tus secretos

API keys, contraseñas de bases de datos, tokens de acceso a producción: nunca se los entregues a la IA ni dejes que los escriba en el código. La disciplina de .env + .gitignore + variables de entorno no es negociable, vibe o no. Esas 400 exposiciones que encontró Escape.tech eran exactamente los casos en los que esta higiene básica falló.

8. Quién debería hacer vibe coding, en qué y hasta dónde

PerfilDónde encaja el vibe codingA qué prestar atención
No ingenieros (PMs, diseñadores, fundadores)Prototipos, herramientas internas, scripts de automatizaciónCualquier cosa que toque datos reales de cliente: trae a un ingeniero
Ingenieros junior (0–2 años)Aprendizaje, proyectos personales, ayudantes de trabajoVibea demasiado y tus fundamentos no se desarrollan. Reserva tiempo deliberado para "leer el código"
Ingenieros mid-levelAcelerar tareas rutinarias, generar documentación, añadir testsPara refactors de producción, inclínate hacia el agentic engineering
Ingenieros seniorCompañero de sparring para diseño de specs, prototipos rápidos con varias opciones, lectura de código legacyEl valor real es usar el vibe como acelerador del pensamiento
Seguridad / SREHerramientas de ops, scripts de monitorización, dashboardsCualquier cosa que toque producción exige Vibe & Verify estricto

Resumen

  • El vibe coding es el estilo "deja que la IA se encargue sin leer el código" propuesto por Karpathy en febrero de 2025.
  • El propio Karpathy ha propuesto desde entonces renombrarlo como "agentic engineering" en 2026: el trabajo de producción necesita diseño, restricciones y juicio humano.
  • Herramientas principales: Claude Code, Cursor Composer, Codex CLI, Lovable, v0, Bolt.new, Devin.
  • Realidad de seguridad: entre el 40 % y el 62 % del código de IA contiene vulnerabilidades, se encontró SSRF en los 5 grandes agentes y los CVEs crecieron 6x en tres meses.
  • Vibe & Verify: cambia de modo según la apuesta, mira los diffs, pasa escaneos de seguridad, haz que la IA escriba tests, no vibees con tus secretos.
  • No abandones "la capacidad de leer código": cuanto más vibees, más se convierte en diferenciador a largo plazo el detenerse de vez en cuando a entender qué está pasando.

FAQ

Q1. Si Karpathy lo renombró, ¿es "vibe coding" un término ya muerto?

Se sigue usando ampliamente en el mercado, porque ninguna otra expresión captura el matiz de "déjaselo a la IA con tranquilidad". El movimiento pragmático es tratarlos como complementarios: "modo de exploración casual = vibe coding", "modo de producción = agentic engineering".

Q2. ¿Está bien que un principiante empiece con vibe coding?

Sí, pero lee el código también. Si solo vibes, no tendrás criterio al que recurrir cuando la IA se equivoque. Un camino realista es usar la alegría de "tengo código que funciona" como motivación al principio y, gradualmente, subir la proporción de tiempo que dedicas a entender de verdad el código.

Q3. ¿Cómo le vendo el vibe coding a mi jefe en el trabajo?

Lleva tres cosas: (1) reglas operativas de Vibe & Verify, (2) escaneo de seguridad integrado en CI y (3) las code reviews siguen siendo tan estrictas como antes. En cuanto puedas decir con claridad "subimos la velocidad sin bajar las defensas", la mayoría de las organizaciones dará el visto bueno.

Q4. ¿En qué se diferencia el vibe coding de la "programación asistida por IA" anterior (Copilot, etc.)?

La diferencia está en quién lleva el volante. Copilot es un modelo de "pair programming": el humano escribe código mientras la IA lo completa. El vibe coding hace de la IA el actor principal, con el humano solo conversando y confirmando. La frontera es difusa y, en la práctica, muchos desarrolladores se mueven entre ambos.

Q5. ¿Con qué herramienta debería empezar?

Para desarrollo indie o aprendizaje, prueba Lovable, Bolt.new o v0 (solo navegador, sin nada que instalar). Para desarrollo de software en serio, prueba Claude Code o Cursor: Claude Code es CLI, Cursor está integrado en el IDE; elige por gusto. La elección de Karpathy es Cursor Composer.

Q6. ¿Qué pasa con los derechos de autor del código escrito por IA?

A mayo de 2026, la base tanto en EE. UU. como en Japón es que el código generado únicamente por IA no está protegido por derechos de autor. El código que un humano ha modificado o curado de forma sustancial sí puede llegar a ser protegible. El mayor riesgo de uso comercial es la contaminación de licencias: que la IA reemita en tu código fuente código bajo GPL u otras licencias; añade un comprobador de licencias a tu CI.

Q7. ¿El vibe coding "le quitará el trabajo a los ingenieros"?

El precio de mercado de "ingenieros que solo escriben código" va a la baja. Por otro lado, el valor del diseño de specs, las decisiones de arquitectura, la seguridad y la operación de producción ha, si acaso, subido por la difusión del vibe coding. La gente capaz de "leer, juzgar y arreglar" el gran volumen de código que produce la IA escasea a mayo de 2026.