**Configuración y buenas prácticas de prompting para obtener código más seguro de asistentes de IA**

**Introducción**

El auge de asistentes de inteligencia artificial (IA) como ChatGPT, GitHub Copilot o Gemini ha transformado el flujo de trabajo de los desarrolladores, acelerando la generación de código y facilitando el acceso a soluciones para problemas complejos. Sin embargo, el uso de estos sistemas también puede introducir nuevos vectores de riesgo, ya que el código generado puede presentar vulnerabilidades si el prompting y la configuración no se orientan hacia la seguridad. Este artículo ofrece recomendaciones técnicas para profesionales que buscan maximizar la seguridad del código generado por asistentes de IA.

**Contexto: Riesgos y desafíos en el uso de IA para generar código**

Recientes estudios, como el de Stanford (“Do Users Write More Insecure Code with AI Assistants?”), han evidenciado que sin un prompting adecuado, la IA puede sugerir patrones de programación inseguros, repetir malas prácticas comunes en repositorios públicos o ignorar recomendaciones de seguridad actualizadas. La creciente integración de IA en entornos DevSecOps, sumada a la presión por acortar plazos de entrega, hace imprescindible establecer mecanismos y buenas prácticas para mitigar estos riesgos.

**Detalles técnicos: Cómo configurar y solicitar código seguro**

**1. Configuración del entorno de IA:**
– **Filtrado de respuestas**: Utiliza versiones empresariales o APIs con opciones de filtrado reforzado, que detecten y bloqueen respuestas inseguras o potencialmente peligrosas.
– **Auditoría y logging**: Habilita el registro exhaustivo de interacciones con el asistente, para poder auditar solicitudes y respuestas.
– **Integración con SAST/DAST**: Configura pipelines automáticos que analicen el código generado mediante herramientas de análisis estático y dinámico (por ejemplo, SonarQube, Snyk, Checkmarx).

**2. Técnicas de prompting seguro:**
– **Prompts explícitos sobre seguridad**: Especifica en cada solicitud los requisitos de seguridad (por ejemplo: “Genera una función de login en Python que evite inyecciones SQL y cumpla con OWASP Top 10”).
– **Referencia a estándares y controles**: Solicita código alineado con normativas reconocidas (OWASP ASVS, NIST, ISO 27001).
– **Petición de comentarios y justificación**: Pide al asistente que explique las medidas de seguridad implementadas en el código propuesto.
– **Solicita IoC y TTP**: En funciones críticas, pide que se indiquen indicadores de compromiso (IoC) y técnicas, tácticas y procedimientos (TTP), según MITRE ATT&CK, que el código mitiga.

**3. Ejemplo de prompt seguro:**
> “Escribe una API REST en Node.js con autenticación JWT, validación estricta de entradas, protección contra XSS y CSRF, y siguiendo los controles de OWASP API Security Top 10 2023. Explica qué medidas aplica cada fragmento de código.”

**Impacto y riesgos de un prompting deficiente**

La ausencia de instrucciones claras puede derivar en código vulnerable a ataques como inyección SQL (CWE-89), Cross-Site Scripting (CWE-79), deserialización insegura (CWE-502) o exposición de datos sensibles (CWE-200). Según la OWASP Foundation, más del 60% de las vulnerabilidades reportadas en aplicaciones web durante 2023 estaban relacionadas con errores de validación y autenticación, que podrían haberse mitigado mediante prompts más específicos y controles automáticos posteriores.

**Medidas de mitigación y recomendaciones**

– **Revisión manual y automatizada**: Nunca desplegar código generado por IA sin revisión, combinando análisis humano con SAST/DAST.
– **Actualización continua de prompts**: Mantener los ejemplos y plantillas de prompting alineados con las últimas amenazas y guías del sector.
– **Capacitación del equipo**: Formar a los desarrolladores y analistas en técnicas de prompting seguro y concienciación sobre riesgos emergentes.
– **Validación de dependencias**: Verificar que las librerías sugeridas por la IA no tengan CVEs activos (consultando bases como NVD o Snyk).
– **Aplicación de controles de acceso**: Limitar el uso de IA generativa a entornos controlados y usuarios autorizados.

**Opinión de expertos**

Especialistas como Daniel Cuthbert (OWASP) y investigadores de Kaspersky advierten que la IA, por diseño, replica patrones aprendidos de grandes volúmenes de código público, donde las prácticas inseguras pueden estar sobrerrepresentadas. Recomiendan incorporar controles de seguridad desde el diseño del flujo de prompting y fomentar “security by design” en la interacción con IA.

**Implicaciones para empresas y usuarios**

La integración masiva de IA en el ciclo de desarrollo exige a CISOs, responsables de cumplimiento (GDPR, NIS2) y equipos de desarrollo reforzar los controles preventivos. Un prompting inadecuado puede desembocar en brechas de datos, sanciones regulatorias y daño reputacional. Las empresas deben definir políticas claras sobre el uso de IA generativa y documentar las revisiones de seguridad aplicadas, especialmente en sectores regulados.

**Conclusiones**

Los asistentes de IA son herramientas poderosas, pero su uso seguro depende de una configuración adecuada y un prompting orientado explícitamente a la seguridad. Los profesionales deben combinar prompts detallados, herramientas de análisis y validación manual para garantizar que el código generado cumpla con los estándares más exigentes, minimizando riesgos y alineándose con la legislación vigente.

(Fuente: www.kaspersky.com)