Tu asistente de programación con IA acaba de escribir un módulo de Terraform. No un componente de React — un archivo que decide cuántos servidores estás pagando, quién puede leer tu base de datos de producción, y si tu pipeline de deploy filtra secretos a un build log público. Lo aprobaste con la misma mirada distraída que le das a una función utilitaria. Y ahí es donde esta historia se pone cara.
Hace un mes, estas herramientas se mantenían en su carril: funciones, componentes, handlers de API. Un bug ahí significa que un usuario ve un error 500 por tres segundos. Molesto, sobrevivible, olvidable. Pero en abril de 2026, todas las herramientas de codificación con IA cruzaron el mismo umbral en silencio — hacia la infraestructura — y nadie actualizó el proceso de revisión. Porque ¿para qué? Todo es solo código, ¿no?
Claro. Y una fogata y un incendio forestal son ambos solo combustión.
Todas las herramientas lanzaron agentes de infraestructura en abril
Tres lanzamientos importantes cayeron en las primeras dos semanas de abril. El 14 de abril, Anthropic lanzó Claude Code Routines — tareas programadas en la nube que corren mientras tu laptop duerme, apuntando explícitamente a verificación de CI/CD escaneando la salida de deploys en busca de errores. El 16 de abril, OpenAI actualizó su Agents SDK con ejecución nativa en sandbox en siete proveedores de nube y agregó conexiones SSH remotas a Codex. El 6 de abril, Cursor 3 ("Glass") lanzó una ventana dedicada de Agentes para agentes de IA en paralelo — los propios ingenieros de Cursor admiten que más de un tercio de sus PRs ahora vienen de agentes en la nube. Microsoft, por su parte, viene empujando la misma dirección desde finales de marzo con su framework de "Agentic Platform Engineering" para agentes de Copilot orientados a Terraform, Kubernetes y GitHub Actions — incluyendo un agente "Cluster Doctor" que diagnostica tus problemas de Kubernetes. Encantador.
Ninguna de estas herramientas distingue entre utils.ts y main.tf. Sin señal de confianza separada. Sin un "oye, este archivo controla tu factura de nube y tu postura de seguridad, quizás míralo dos veces". Solo código.
La matemática del radio de explosión
Una función mal escrita devuelve una respuesta de API incorrecta. Alguien crea un ticket en Jira. Un recurso de Terraform equivocado — una línea que dice instance_type = "x1e.32xlarge" en vez de t3.micro — te quema $50,000 dólares en una noche. El typo más caro de tu carrera, generado en 200 milisegundos y aprobado en menos. Una política de IAM mal configurada filtra tu base de datos de producción. Un GitHub Action roto publica secretos en un build log público. El código de infraestructura no corre dentro de tu app. Corre tu app entera.
Como señaló CloudMagazin el 2 de abril: "El código de Terraform generado por IA se escribe más rápido de lo que se lee — exactamente lo que lo hace peligroso". Su regla general: si no puedes explicar más del 20% de una configuración generada línea por línea, esa brecha de comprensión califica como una vulnerabilidad de seguridad.
Los números de los que nadie habla
Aquí es donde la cosa se pone genuinamente vergonzosa para la industria. En benchmarks de codificación como HumanEval — desafíos de funciones aisladas, el tipo de cosa que un estudiante de segundo año de informática podría resolver con suficiente café — los mejores modelos ahora sacan 99% (según el rastreador de benchmarks de Morphllm de abril 2026). Impresionante. También irrelevante.
DPIaC-Eval, un paper de junio de 2025 que construyó el primer benchmark específicamente para probar la generación de infraestructura como código en 153 templates reales de AWS CloudFormation, encontró una tasa promedio de éxito en despliegue inicial de 24.7%. Cumplimiento de seguridad en templates completos: 8.4%. El modo de fallo principal: propiedades alucinadas — el modelo inventa con confianza campos de configuración que no existen. No se equivoca con humildad. Se equivoca con la confianza de un ingeniero senior que resulta que se está inventando todo.
Entonces: 99% en funciones de juguete. 24.7% en el código que realmente corre tu infraestructura. Nadie habla de esta brecha porque ni SWE-bench ni HumanEval ni ningún benchmark mainstream cubre Terraform, Docker o archivos de CI/CD. La brecha se mantiene invisible porque la industria eligió no medirla.
Mientras tanto, una encuesta de ControlMonkey (enero 2026) encontró que el 58% de los equipos de nube ya se han topado con misconfiguraciones introducidas por IA, y el 81% de los equipos de gobernanza dicen que la revisión manual no puede escalar con la velocidad de generación de IA. Los datos de Veracode del Q1 2026 muestran que el 41% del código backend generado por IA se despliega con permisos excesivamente amplios — el equivalente digital de darle a todos en la oficina la llave maestra porque es más rápido que averiguar quién necesita qué.
Qué significa esto para ti
Las herramientas de Policy-as-Code existen — OPA, Checkov, tfsec — escáneres automatizados que detectan configuraciones de infraestructura inseguras o no conformes antes del despliegue. Ninguna herramienta de codificación con IA las integra en su pipeline de agentes por defecto. Tienes que cablearlas tú mismo. Y no lo vas a hacer, porque todo el argumento de venta de estos agentes es que no tienes que cablear cosas tú mismo. Linda paradoja.
Cada archivo de infraestructura generado por IA necesita una revisión separada y más estricta: validación con dry-run, estimación de costos, auditoría de privilegios mínimos. Tu herramienta no va a trazar esa línea por ti. La trazas tú, o tu factura de AWS la traza por ti.
El muro invisible
La historia de productividad con IA para codificación acaba de chocar con un límite que no anunció: la línea entre código que corre dentro de tu app y código que corre tu app. De un lado, 99% en benchmarks y ahorros de tiempo genuinos. Del otro, 24.7% de tasa de éxito, 8.4% de cumplimiento de seguridad y exactamente cero barandillas.
Sigues aprobando Terraform con la misma mirada que le das a una función utilitaria. Nadie puso una etiqueta de advertencia. Considera esta la tuya.
