La gestión de la "Deuda Cognitiva" en servicios programados con Inteligencia Artificial

El mundo del programación con Inteligencia Artificial ha entrado en una nueva fase desde finales del año pasado cuando comenzamos a ver que programar con IA dejaba de ser algo como Vibe Coding, para convertirse en una herramienta capaz de hacer tools y proyectos de gran tamaño y con gran calidad. Ahora le estamos dando el proyecto completo y lo hace con una alta calidad, y podemos ver resultados como el que os publiqué hace poco para, en un par de minutos, migrar un código en C++ de un juego a TypeScript y tenerlo funcionando en Workers de Cloudflare.

Figura 1:La gestión de la "Deuda Cognitiva" en servicios

programados con Inteligencia Artificial

Impresionante. Y estamos entrando en una fase donde las empresas solo tienen que crear sus MCPs internos, darle las herramientas a sus empleados y dejarles que se creen las tools y los agentes que quieran para automatizar sus tareas del día a día más de forma mucho más avanzada que antes. Es común encontrarse con amigos y preguntarse... ¿qué estás haciendo tú con IA? Existe hasta cierta ansiedad por no ser el que menos partido le esté sacando a este nuevo mundo.

Me encanta. Puedes hacer en minutos tus proyectos, tus tools, y automatizar muchas cosas. Es un mundo increíble en el que se pueden hacer muchas cosas de forma muy rápida, y avanzar el ritmo de innovación a marchas forzadas. Pero la pregunta que queda en las conversaciones es...  Te aburres, hazte un juego en un minuto.

View this post on Instagram

A post shared by Chema Alonso (@chemaalonso)

Por supuesto, para el mundo del Hacking y el Pentesting, donde vivimos de tools, scripts y herramientas Quick&Dirty que nos creamos para un entorno concreto, el poder hacerlo con IA es una maravilla de la que no se puede prescindir ni por asomo.

Figura 3: Hacking & Pentesting con Inteligencia Artificial.

En 0xWord, escrito por Pablo González, Fran Ramírez,

Rafael Troncoso, Javier del Pino y Chema Alonso, 

Como ya os conté, nosotros fuimos creyentes de este mundo desde el día uno e incluso hicimos, pensando en mi AMSTRAD CPC 6128,  un BASIC 1.0 Copilot para AMSTRAD CPC 6128, que publicamos en la RootedCON de hace dos años.

Figura 4: BASIC 1.0 Copilot para AMSTRAD CPC 6128

Sabíamos que la IA lo iba a cambiar todo, y por supuesto, también la programación, así que desde el principio nos pusimos mucho las pilas con esto. Pero... ¿y hoy en día?

¿Ya no será necesario saber programar?

Os prometo que yo me he hecho esta pregunta internamente muchas veces desde que hoy a CTOs decir que sus ingenieros ya no tiran líneas de código, y tengo mi propia reflexión, que tiene que ver con el título de este artículo y con un concepto muy relevante, que es el de "Deuda Cognitiva". Este concepto hace referencia a cuánto dejas de saber de cómo está hecha una pieza clave en tu negocio. Y lo que sería el nivel aceptable o no aceptable lo decides tú. Es así de sencillo.

Por ejemplo, hemos incurrido en mucha Deuda Cognitiva en cómo funcionan los sistemas operativos que utilizamos en las empresas. No conocemos todos los detalles de su funcionamiento, ni tan siquiera el control que de ellos pueden tener las empresas que los crean. Simplemente confiamos en ellos. En el Windows, en el Mac, en el iPhone y el Samsung Galaxy con Android. Pero también lo hacemos en el MS Office o el mismo Salesforce. Tenemos Deuda Cognitiva en cómo está construida la herramienta.

Pero si vamos a más allá, tenemos Deuda Cogntiva en casi todo. Cuando programamos y hacemos nuestro propio código fuente en Rust, JavaScript, Python o NodeJS, el código en ASM, o el binario son del pasado. No nos importa, porque confiamos que va a funcionar en otro sitio, y si no, al menos podemos reconstruirlo, porque sabemos cómo se hace, y podemos migrarlo.

Ahora bien, cuando hacemos un software con Prompting, nuestro código fuente pasa a ser el Prompt, y ese Prompt, cuando se interpreta da un código, pero... no es determinista. Ya os conté mi aventura con el Insane Vibe Coding with Harsh Prompting. Puede que lo haga de una forma u otra. No, no te asustes, esto también te puede pasar con un código en C++ según el compilador que utilice se generará un código ASM o binario diferente.

Eso sí, puedes garantizar que, con un 95% de probabilidades, el compilador no afectará a la lógica del programa resultante. Con el Prompt, no tenemos aún esa certeza si cambiamos el modelo que tenemos por debajo - corregidme si me equivoco - pero el nivel de creatividad y no determinismo es alto aún modelo contra modelo. Lo que podríamos hacer es darle el código generado por el modelo anterior a un nuevo modelo y decirle que lo migre o lo cambie. Pero volvemos a depender de que el modelo de IA lo haga bien. No tenemos control directo.

No pasa nada. Si la herramienta que estamos construyendo no es del core de nuestro negocio, puede que no sea importante, y en el caso de que tengamos un problema con ella, construimos otra de cero igual, o similar. Por ejemplo, una herramienta para hacer tareas personales, controlar nuestra gestión de acciones diarias o para trabajar con los documentos ofimáticos como nos gusta. Perfecto.

La duda es cuando llegamos al software core de nuestro negocio. Supongamos una compañía, que vive de tener un software de alta calidad en el backend y en las apps,  ¿Puede entrar en Deuda Cognitiva? Podrían entrar en Deuda Cognitiva en módulos accesorios, o pruebas, pero en el Core de su servicio. Tengo mis dudas. 

Cuando entramos en Deuda Cognitiva significa que no sabemos bien cómo está hecho, y cuando hay que actualizarlo, modificarlo o cambiarlo, no somos capaces de hacerlo fácilmente. De hecho, he visto a mucha gente haciendo una tool súper-chula y luego no ser capaces de meterle mano ni con IA para actualizarlo, cambiar algo, o mejorarlo. Cada cosa que tocaban, rompía algo diferente.

Yo me pasé horas con un proyecto, intentando que me hiciera un cambio sin romper la funcionalidad anterior y no fui capaz. Y me ha pasado hasta con gráficos hechos con Nano Banana, que una vez construidos, cuando he querido hacer una modificación sobre ellos a golpe de Prompting ha sido un horror.

Unas ideas finales

Creo que programar con IA es fundamental hoy en día, y creo que el tooling personal, los agentes, las apps internas pueden beneficiarse horrores de tener estas nuevas capacidades. Y creo también que delegar a desarrollo con IA proyectos completos que no son críticos para el negocio puede dar a las empresas y a las personas una ventaja competitiva brutal. 

Pero....

Y aquí viene el pero (por poner algún soft-limit). Creo que no hay que incurrir sin control en Deuda Cognitiva en las piezas de software core de la compañía. Además, antes de poner en producción en un entorno abierto, estos proyectos de software hechos puramente por IA deben pasar mínimas evaluaciones de seguridad, búsqueda de vulnerabilidades, fortificación, y auditoría. 

No hay que confiar más en que un modelo de IA hace más seguro el software que lo que lo haría un programador senior con experiencia, o que no vaya a cometer errores de seguridad tan sencillos de explotar como los que escribiría un desarrollador junior. Si no, léete el libro de "Hacking IA" y te cambiará la visión.

Figura 5:"Hacking IA: Jailbreak, Prompt Injection, Hallucinations & Unalignment"

escrito por Chema Alonso con la colaboración de Pablo González, Fran Ramírez, Amador Aparicio, Manuel S. Lemos y José Palanco en 0xWord

Por supuesto, el CTO de la compañía tiene que tener el control de dónde hay Deuda Cognitiva, dónde no lo hay, y cuál es el riesgo en que estamos incurriendo aceptando la Deuda Cognitiva que estamos incorporando en la compañía. Vamos, que es otro indicador de riesgo que hay que tener presente.

Si te interesa la IA y la Ciberseguridad, tienes en este enlace todos los posts, papers y charlas que se han  escrito, citado o publicado en este blog sobre este tema: +300 referencias a papers, posts y talks de Hacking & Security con Inteligencia Artificial.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Hackén 2026: La CON de hacking en Jaén el 17 y 18 de abril del 2026

Los días 17 y 18 de Abril tenéis también una cita con la ciberseguridad y el hacking en la CON Hackén, una conferencia de dos días, con talleres, y ponencias, que tendrá lugar en el IFEJA Palacio de Ferias y Congresos de Jaén, y que será el foco ese fin de semana para formarse esa disciplina profesional nuestra que tanto amamos.

Figura 1: Hackén 2026 : La CON de hacking en Jaén el 17 y 18 de Abril

Entre los ponentes, pues tienes a muchos de los grandes de este país. Entre ellos,  Aitor Herrero, Antonio Cortes Barragán, Jezer Ferreira, Miguel Ángel de Castro, Rafa López, Roberto González, el gran Pablo González y nuestro querido Carlos García, autores estos dos del "Best Seller" Hacking Windows: Ataques a sistemas y redes Microsoft. Puedes consultar a todos los ponentes en la web.

Figura 2: Ponentes de Hackén 4ª Edición

Si quieres colaborar con la organización, o participar de alguna manera, puedes ponerte en contacto con ellos a través de su buzón de MyPublicInbox, o con los fundadores de dicho congreso que son: Antonio Cortes Barragán, Víctor Pérez, el gran Nicomda y David Padilla Alvarado.

Figura 3: Contacta con Hack-én CON en MyPublicInbox

Y si quieres asistir, puedes comprar tus entradas para esta edición de Hackén, en la web del congreso, donde como puedes ver tienes varias opciones de precios.

Figura 4: Entradas para Hacken 3ª Edición

Allí tendrás un espacio con los libros de 0xWord, se sortearán 10 paquetes de 1.000 Tempos de MyPublicInbox entre los asistentes, y si ya tienes Tempos en tu cuenta, puedes conseguir un descuento en el precio de las entradas a través de Tempos de MyPublicInbox, así que no tienes excusa para no participar si te gusta el contenido, ya que apoyarás que se sigan realizando este tipo de eventos en la zona.

Figura 5: Consigue un 10% de descuento con Tempos de MyPublicInbox

Para conocer más sobre el evento, les he hecho una entrevista a los organizadores, para que nos cuenten un poco más de todo lo que hay en esta Hackén (Jaen), durante ese fin de semana de Abril. Aquí van las preguntas a Antonio Cortes Barragán, Víctor Pérez, Nicolás Moral de Aguilar, Francisco Palma y David Padilla Alvarado. Entrevista a la organización de Hackén 2025

1. Bueno… parece que fue ayer cuando arrancó la primera edición de Hackén y ya van cuatro con ésta. Contadnos, ¿cómo ha evolucionado el congreso desde esa primera edición hasta ésta última?

La verdad que el tiempo pasa volando y es una de las preguntas que más ilusión nos hace responder. Si echamos la vista atrás y nos vemos reflejados en aquellos profesionales que iniciaron esta andadura sin saber que en muchos rincones de España en pleno 2026 conocerían de la existencia de Hackén, no nos lo hubiésemos creído.  

 

Figura 6: Contactar con Nicomda en MyPublicInbox

Llevamos pocos años en los que cada edición hemos intentado ir un paso más allá y que la gente, patrocinadores y ponentes vuelvan a casa con un rédito mayor de la edición pasada. Fruto de ese trabajo que partió en 2023 es como seguimos a día de hoy, en general muy contento de poner a Jaén en el mapa de los congresos de ciberseguridad en España.

2. En esta 4ª edición de Hackén, ¿cuáles son los principales objetivos y qué novedades podrán encontrar los asistentes respecto a años anteriores?

Nuestro objetivo principal para este 2026 es la consolidación definitiva como uno de los eventos de referencia en el sur de la península. Queremos que Hackén sea sinónimo de calidad técnica y cercanía.  

 

Figura 7: Contactar con Antonio Cortés Barragán, organizador de Hackén

Como novedad, este año hemos aumentado la oferta técnica de los talleres prácticos, respondiendo a la demanda de los asistentes que quieren “ensuciarse las manos”.

3. Después de cuatro años vuestro congreso se va consolidando como un punto de encuentro para profesionales de la ciberseguridad. ¿Qué enfoque técnico define esta cuarta edición en términos de contenidos y nivel de especialización?

De cara a esta edición tenemos una fuerte presencia en aspectos de la ciberseguridad que están en auge como el bug bounty o la propia inteligencia artificial, sin desmerecer otras disciplinas como OSINT, Forense, Red Team abarcado todo el espectro completo de la ciberseguridad. 

 

4. Y los estudiantes, no nos olvidemos de ellos, qué podrán aprender y qué se encontrarán asistiendo a vuestro congreso. ¿Cómo creéis que le beneficiará su asistencia?

Para un estudiante, Hackén es el mejor "baño de realidad" posible. Aquí verán que la ciberseguridad no es solo lo que sale en las series o en los libros de texto. Aprenderán metodologías de trabajo reales y, sobre todo, tendrán la oportunidad de desmitificar la profesión. 

Figura 8: Contactar con David Padilla, organizador de Hackén 

 

Su asistencia les beneficia enormemente al permitirles salir con una red de contactos (networking) que muchas veces se traduce en su primera oportunidad laboral o en encontrar un mentor que guíe sus pasos.

5. La ciberseguridad es un campo cada vez más transversal. ¿Qué perfiles profesionales participan en el congreso y qué aporta este encuentro a cada uno de ellos?

El espectro es muy amplio. Recibimos desde analistas SOC y pentesters que buscan técnica pura, hasta responsables de cumplimiento (compliance), abogados tecnológicos y perfiles de gestión (CISOs). 

Figura 9: Contactar con Víctor Pérez, organizador de Hackén

A los técnicos les aporta actualización radical en herramientas y vectores de ataque; a los perfiles de gestión, les da una visión clara de los riesgos actuales y cómo se están moviendo las comunidades de atacantes y defensores en el mundo real.

6. Como ya sabemos la ciberseguridad no solo afecta a empresas tecnológicas, sino también a instituciones públicas y ciudadanos. ¿Cómo contribuye Hackén a concienciar sobre este tema?

 

En este ámbito contamos con el respaldo del Ayuntamiento de Jaén, en concreto la concejalía de empleo IMEFE, la Diputación de Jaén y las Fuerzas y Cuerpos de Seguridad del Estado. Desde las instituciones públicas se reconoce la importancia de concienciar sobre la protección tanto de sus propios activos como de los de la sociedad civil, entendiendo que la ciberseguridad se ha convertido en una prioridad esencial en la vida cotidiana de los ciudadanos.

7. El congreso reúne a expertos, empresas y talento emergente. ¿Qué oportunidades de networking y crecimiento profesional ofrece el evento? ¿Tendrán los estudiantes oportunidad de conectar con empresas, expertos y reclutadores?

 

Hacken nació precisamente con ese objetivo: que cualquier persona que asista pueda adquirir conocimientos sobre esta profesión y, al mismo tiempo, conectar con empresas que buscan cubrir la alta demanda de talento en el sector. 

Figura 10: Contactar con Francisco Palma

Además, el evento está abierto tanto a profesionales con experiencia que quieren seguir avanzando en su carrera, como a perfiles C-level que identifican oportunidades de negocio en este tipo de iniciativas.

8. Para terminar y para los que todavía dudan de asistir a Hackén, ¿por qué no deberían perderse esta cuarta edición?

Porque en Hackén no eres un número más en una sala de conferencias; aquí la comunidad es real. Es la oportunidad perfecta para vivir la ciberseguridad en un ambiente inmejorable, aprender de los mejores ponentes del país y, de paso, disfrutar de la gastronomía y la hospitalidad de Jaén. 

 

Si quieres saber qué se cuece de verdad en el mundo del hacking en 2026, tu sitio está aquí con nosotros. ¡Nos vemos en Jaén!

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)