Claude Code entrega funcionalidad rápido. El mismo patrón que lo permite — código con seguridad, salida con apariencia idiomática, iteración veloz — es el que esconde el riesgo que nosotros leemos. Auditamos bases de código de Claude Code línea por línea, nombramos lo que está roto y te decimos qué arreglar primero.
Cambios multi-archivo dirigidos desde terminal — frecuentemente tocando infraestructura, tests y código de producto en un mismo bucle de agente.
El repositorio contiene un archivo .env con URLs de base de datos, claves de API o secretos de terceros que apuntan a servicios reales y facturables. Aunque el repositorio sea privado hoy, cualquiera que lo clone para onboarding, lo bifurque o navegue por commits antiguos se queda con un juego de claves operativo.
Claves de OpenAI, Stripe o APIs de terceros aparecen directamente dentro de archivos .ts o .py en lugar de leerse desde variables de entorno. Una vez en commit, la clave queda en el historial de git para siempre — rotarla no deshace la fuga, y los escáneres de tipo grep sobre mirrors públicos la encuentran en horas.
Una función que permite a los usuarios hacer preguntas en lenguaje natural canaliza el texto en bruto a un prompt que pide a un LLM que escriba SQL, y luego ejecuta ese SQL con privilegios elevados. Un usuario que escriba el párrafo correcto puede leer o eliminar tablas a las que nunca tuvo acceso desde la UI.
La IA sugirió un import para un paquete que o bien no existe en npm o se corresponde con un typosquat malicioso de uno real (`reqeusts`, `loadash`, `node-fetchh`). Cuando `npm install` funcionó, instaló o nada útil o el backdoor que alguien colocó al registrar el nombre — y ahora vive en el lockfile.
Direcciones de correo, teléfonos, nombres completos o tokens de sesión aparecen en `console.log` que sobreviven al build. En producción esas líneas fluyen al visor de logs de la plataforma, se retienen durante semanas y acaban siendo legibles por cualquiera del equipo con acceso a la plataforma — fuera del alcance de cualquier registro de tratamiento RGPD.
Saber qué herramienta construyó el código nos permite enfocar la auditoría. Empezamos detectando la firma de Claude Code en la base de código, después leemos las superficies donde se concentran los modos de fallo específicos de Claude Code: auth, secretos, acceso a datos, dependencias y rutas que tocan el LLM. De cinco a diez días hábiles desde el arranque hasta el informe escrito. No hace falta acceso al despliegue — con acceso de lectura al repositorio basta.
Hallazgos ordenados por gravedad, con rutas de archivo, referencias de línea, motivo y boceto de arreglo. Legible tanto por ingeniería como por roles no técnicos.
Grabación de 15 minutos del informe — para el socio, inversor o director que no asistió a la llamada en directo.
Conversación en vivo sobre gravedad, orden de arreglo y las decisiones que requieren a una persona en el bucle.
Slack o correo para aclaraciones, revisión de arreglos y un segundo par de ojos sobre los parches.
Base de código típica de pyme construida con IA, desde el arranque hasta el informe. Auditorías más grandes o multi-repo se cotizan aparte.
Igual que cualquier otra base de código construida con IA. El contexto de terminal solo significa que el desarrollador confió más — así que nosotros confiamos menos. Prestamos atención extra a supuestos de ‘solo en local’, rutas de debug y archivos de configuración que se generaron por comodidad y se olvidaron.
No por sí solo. El riesgo está en cuando esos cambios cruzan fronteras de seguridad (auth + base de datos + storage en un commit) y el diff es demasiado grande para revisar con cuidado. Marcamos esos commits y releemos lo que cambió.
Sí. La pasada de revisión del modelo es buena para la mayoría de cosas, pero tiene puntos ciegos — sus propias sugerencias en otro archivo, su propio SQL con seguridad, sus propios supuestos de auth. Una lectura externa coge lo que una autorrevisión no puede.
Apps Next.js, Python y full-stack con Tailwind, enviadas a gran velocidad por desarrolladores individuales.
Leer más →Completados en línea sobre bases de código de empresa, mezclados con código a mano de varios autores a lo largo de los años.
Leer más →Apps Next.js desplegadas en Vercel con Supabase como base de datos por defecto, a menudo enviadas antes de cualquier revisión de backend.
Leer más →Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
