← Volver al blog

Claude Code y ciberseguridad: la lección incómoda de revisar 466 millones de líneas

Publicado el 2026-07-13 · Agentes IA Autónomos

Claude Code aplicado a revisión de ciberseguridad para empresas de Gipuzkoa

Anthropic publicó el 6 de julio de 2026 un caso del Gobierno de Alberta usando Claude Code para revisar sistemas públicos. El dato llama la atención: 466 millones de líneas de código analizadas en 20 horas, con vulnerabilidades detectadas y corregidas por un equipo del Ministerio de Tecnología e Innovación.

No hace falta ser un gobierno para que el problema suene familiar. Muchas empresas de Donostia - San Sebastián, Gipuzkoa y Euskadi tienen software que ha crecido durante años: aplicaciones internas, integraciones con ERP, portales de cliente, scripts, macros, automatizaciones, conectores con proveedores. Funciona. Más o menos. Pero pocas organizaciones saben con calma qué deuda técnica y qué riesgos de seguridad viven dentro de ese código.

La noticia no significa que una pyme deba soltar un agente IA sobre todos sus repositorios mañana. Sería una mala idea. Sí abre una conversación práctica: usar IA para revisar código, documentación técnica y configuraciones puede ahorrar tiempo, siempre que alguien defina el alcance y revise las decisiones.

Qué ha contado Anthropic

El caso se centra en el Gobierno de Alberta. Según Anthropic, el equipo usa Claude Code con modelos Opus y Sonnet desde 2025 para revisar sistemas, encontrar vulnerabilidades y ayudar a corregirlas. El artículo menciona revisión de grandes bases de código, generación de herramientas internas y documentación técnica publicada para que otras administraciones aprendan del proceso.

Hay dos detalles útiles para empresa.

Primero, el valor no está solo en encontrar fallos. Está en convertir una base de código vieja o poco documentada en algo que se puede entender mejor. Segundo, la IA no aparece como sustituto del equipo de seguridad. Aparece como acelerador para equipos que ya tienen responsabilidad, criterio técnico y un proceso de remediación.

Esa diferencia importa mucho. Una herramienta que señala 300 posibles riesgos no resuelve nada si nadie decide cuáles son reales, cuáles se arreglan primero y quién firma el cambio.

La lectura para una empresa de Gipuzkoa

En una empresa industrial, una consultora, una distribuidora o una compañía de servicios, la ciberseguridad suele competir con lo urgente. El cliente llama. El ERP falla. Hay que sacar una integración. Y la revisión de código queda para luego.

La IA puede cambiar esa economía de tiempo. Puede leer repositorios grandes, detectar patrones inseguros, resumir dependencias, explicar partes antiguas del sistema y preparar propuestas de corrección. También puede equivocarse. Puede marcar falsos positivos, pasar por alto contexto de negocio o sugerir cambios que rompen una integración crítica.

Por eso el caso de uso bueno no es "la IA arregla la seguridad". El caso de uso bueno es más concreto: "la IA prepara una primera revisión para que el equipo técnico decida mejor".

Para una empresa de Donostia - San Sebastián o Gipuzkoa, yo empezaría por un alcance pequeño:

  • Un repositorio importante, no todos.
  • Un tipo de riesgo concreto: secretos expuestos, validación de entradas, dependencias viejas, permisos excesivos o llamadas a APIs sensibles.
  • Un entorno de pruebas donde validar cambios antes de tocar producción.
  • Una persona responsable de aprobar cada corrección.

No suena espectacular. Precisamente por eso puede funcionar.

Dónde suele haber retorno rápido

Hay tres zonas donde una revisión asistida con IA puede dar valor sin montar un proyecto enorme.

La primera es código heredado. Muchas aplicaciones internas siguen vivas porque hacen una tarea crítica, aunque nadie quiera tocarlas demasiado. Un asistente puede ayudar a mapear módulos, explicar dependencias y localizar zonas frágiles.

La segunda son integraciones. Conectores entre CRM, ERP, tienda online, almacén, facturación o soporte. Ahí suelen aparecer tokens mal gestionados, validaciones débiles y errores silenciosos que nadie mira hasta que algo falla.

La tercera es documentación operativa. La seguridad no vive solo en el código. Vive en cómo se despliega, quién tiene acceso, qué logs se guardan, cómo se restauran copias y quién puede cambiar una configuración.

Si la IA ayuda a ordenar todo eso, ya hay retorno. Menos horas de exploración manual. Menos dependencia de una persona que "sabe cómo va aquello". Mejor base para decidir qué se corrige ahora y qué entra en roadmap.

Qué no conviene hacer

No conectaría un agente con permisos de escritura a repositorios críticos sin revisión humana. Tampoco le daría acceso completo a secretos, credenciales o datos de cliente para "ver qué encuentra". Y no convertiría un informe generado por IA en prueba de cumplimiento.

La IA puede ayudar a preparar evidencias, pero compliance y seguridad necesitan trazabilidad. Quién pidió la revisión. Qué versión de código se analizó. Qué hallazgos se aceptaron. Qué cambios se aplicaron. Qué pruebas pasaron después.

Si falta esa trazabilidad, el proyecto puede quedar bonito en una demo y ser inútil cuando auditoría, dirección o un cliente pregunte por detalles.

Una forma sensata de empezar

El primer piloto puede durar dos o tres semanas y tener una salida clara.

  1. Elegir un repositorio o integración con impacto de negocio.
  2. Definir tres riesgos a buscar, no veinte.
  3. Ejecutar revisión asistida con IA en entorno controlado.
  4. Clasificar hallazgos: real, falso positivo, pendiente de validar.
  5. Corregir solo los riesgos aceptados y probarlos.
  6. Dejar un informe breve con decisiones, cambios y siguientes pasos.

Ese último informe es casi tan importante como la corrección. Sirve para que dirección entienda qué se ha ganado y para que el equipo técnico no vuelva al punto de partida dentro de seis meses.

El gancho de negocio

La ciberseguridad con IA no debería venderse como magia. Mejor venderla como una revisión más rápida y más ordenada de sistemas que ya sostienen el negocio.

Si tu empresa en Gipuzkoa tiene software interno, integraciones críticas o código que nadie revisa desde hace tiempo, este es un buen momento para hacer una auditoría acotada. No para cambiarlo todo. Para saber dónde estás, qué riesgo merece atención y qué se puede automatizar sin perder control.

En Umintia podemos ayudarte a definir ese primer alcance: repositorio, permisos, criterios de revisión, informe y plan de corrección. Sin abrir la caja entera el primer día.


¿Quieres implantar esto en tu empresa? Usa el formulario de contacto y revisamos tu caso.