Riesgo de dependencias: el paquete que la IA se inventó
Las apps modernas se apoyan en docenas de paquetes de terceros, y la IA los sugiere sin ningún reparo. Van de la mano dos riesgos.
Primero, el typosquatting (registro malicioso de nombres casi idénticos) y los paquetes alucinados. Los atacantes publican paquetes maliciosos con nombres a un pelo de los reales (reqeusts en lugar de requests), apostando a un error tipográfico. La IA a veces importa con toda confianza un que no existe — y un atacante que note ese hábito puede registrar exactamente ese nombre con malware dentro. Antes de instalar cualquier cosa que la IA sugiera, échale un vistazo: ¿existe realmente, tiene cifras de descarga reales y un repositorio, está escrito el nombre como cabría esperar?
Segundo, las dependencias no revisadas en general. Cada paquete que añades es código que corre con el acceso completo de tu app. Más dependencias significa más superficie tanto para bugs como para ataques a la cadena de suministro. Prefiere unas pocas bibliotecas bien conocidas antes que una larga de otras oscuras, y pregúntate "¿de verdad necesitamos un paquete para esto, o son diez líneas?" antes de añadir uno.
Ejecuta periódicamente la herramienta de auditoría de tu ecosistema (npm audit, pip-audit y similares) — señala vulnerabilidades conocidas en lo que ya has instalado, y la IA es buena arreglando lo que reporta.