Conceptos de seguridad para Vibe Coding con Claude Code: Autenticación, Autorización y Ejecución

Un post en Reddit de un ingeniero de software con una década de experiencia desglosa tres conceptos clave de seguridad para desarrolladores que programan con IA usando Claude Code: autenticación, autorización y enforcement. El post usa la metáfora de un resort frente al mar para hacer los conceptos más fáciles de recordar.

Los tres conceptos de seguridad

• Autenticación — el registro en la recepción. Los usuarios demuestran quiénes son (ej. usuario/contraseña) y obtienen una "llave de la habitación" (un token o cookie). Toda página de inicio de sesión de una aplicación web es este paso.
• Autorización — lo que un usuario válido puede hacer una vez dentro. La llave de un huésped no debería abrir las habitaciones del personal ni las de otros huéspedes. En aplicaciones web, esto significa distinguir entre usuarios normales y administradores, y evitar el acceso a datos de otros usuarios.
• Enforcement — aplicar realmente estas reglas. El post advierte: un error común al programar con IA es que un usuario pida acceso a datos de otros usuarios (como obtener la llave de la habitación 102 cuando solo tiene la 101). La aplicación debe garantizar que el usuario autenticado solo pueda acceder a sus propios recursos.

"Simplemente iniciar sesión (autenticación) no es suficiente. Habrá funcionalidades que algunos usuarios deberían tener y otros no. Si esto no se maneja con cuidado y atención, los usuarios de tu aplicación podrían leer y/o manipular datos de otros usuarios. ¡Nada bueno!"

Cómo aplicarlo a tu aplicación creada con IA

El post está dirigido a desarrolladores novatos que están construyendo aplicaciones con Claude Code. Sugiere preguntar al agente de IA que verifique: "¿Quién tiene permitido entrar? ¿Qué se les permite hacer? ¿Es seguro?" Específicamente, pídele al agente que revise las reglas de autorización en cada endpoint de API o ruta de acceso a datos, no solo en el flujo de inicio de sesión.