La aparición de vulnerabilidades de día cero detectadas mediante inteligencia artificial ha reabierto el debate sobre si el software de código abierto supone un riesgo excesivo para las organizaciones. La cuestión cobra relevancia si se tiene en cuenta que más del 75% del código utilizado por una empresa media procede de proyectos de código abierto. Sin embargo, lejos de ser un problema, este modelo continúa destacando por su seguridad, solidez estructural y capacidad de adaptación.
El código abierto constituye uno de los pilares fundamentales de la tecnología actual, mucho más allá de sistemas como Linux. Bases de datos, servidores de aplicaciones, herramientas de desarrollo, infraestructuras de red y numerosos componentes esenciales que sustentan los entornos digitales modernos dependen, en mayor o menor medida, de soluciones abiertas.
Además, las alternativas reales son limitadas. Aunque el software propietario representa otro modelo ampliamente utilizado, su funcionamiento se basa en un código cerrado cuyo acceso queda restringido al fabricante. Esto implica que únicamente el proveedor puede identificar y corregir errores o vulnerabilidades, mientras que posibles fallos de seguridad pueden permanecer ocultos durante largos periodos, siendo conocidos únicamente por quienes los descubren. Esta falta de transparencia puede generar una sensación de seguridad que no siempre se corresponde con la realidad.
Por el contrario, el código abierto se apoya en la revisión pública y colaborativa. Al estar disponible para cualquier persona, el código puede ser examinado por desarrolladores, investigadores y expertos en seguridad de todo el mundo, aumentando las posibilidades de detectar errores y corregirlos con rapidez. Esta capacidad se ha visto reforzada por la inteligencia artificial, que permite analizar grandes volúmenes de código y localizar vulnerabilidades de forma mucho más eficiente. Además, dado que miles de organizaciones utilizan las mismas herramientas, existe un interés compartido en mantenerlas seguras y actualizadas.
Aunque ningún modelo de desarrollo puede garantizar la ausencia total de fallos, la transparencia y la colaboración propias del código abierto ofrecen importantes ventajas frente a los entornos cerrados a la hora de afrontar las amenazas actuales. El desafío ya no reside únicamente en descubrir vulnerabilidades, sino en la capacidad de las organizaciones para gestionar y aplicar las correcciones con la rapidez necesaria.
La situación se ha vuelto especialmente compleja debido al aumento exponencial de las vulnerabilidades registradas en los últimos años. Desde 2016, el número de incidencias catalogadas como CVE ha crecido más de un 520%, mientras que las herramientas basadas en inteligencia artificial son capaces de detectar fallos críticos en cuestión de horas. Sin embargo, solo una pequeña parte de estas vulnerabilidades identificadas ha sido corregida hasta el momento.
A este escenario se suma otro problema: la falta de coordinación entre las organizaciones. Muchas compañías utilizan los mismos componentes fundamentales de código abierto, como Spring Framework, Jackson, Log4j, Pandas u OpenSSL. Sin embargo, en numerosas ocasiones cada entidad analiza los problemas por separado, desarrolla sus propias soluciones y mantiene versiones modificadas que no comparte con la comunidad. Esta duplicación de esfuerzos incrementa los costes, reduce la eficiencia y limita el beneficio colectivo.
Por ello, los expertos consideran fundamental reforzar la colaboración entre empresas y comunidades de desarrollo, contribuyendo directamente a los proyectos originales —una práctica conocida como contribución upstream— y acelerando la adopción de correcciones de seguridad. Solo mediante un esfuerzo coordinado será posible responder con eficacia al creciente volumen de amenazas que plantea el actual panorama de la ciberseguridad.
Qué pueden hacer las empresas para empezar hoy mismo
El código abierto sigue siendo la base más segura para la innovación, pero reducir el tiempo de exposición a las amenazas requiere una acción inmediata. Estos son algunos pasos sencillos y prácticos que las empresas pueden dar hoy mismo para proteger sus cadenas de suministro de software:
- Elegir plataformas respaldadas por proveedores responsables: la infraestructura es el cimiento sobre el que descansa todo lo demás. Conviene verificar que los proveedores que la respaldan contribuyen activamente a los proyectos de código abierto que distribuyen. Un proveedor con una trayectoria consolidada en contribuciones upstream, backporting de parches de seguridad y divulgación responsable está comprometido con la salud de la comunidad, no solo con su cuenta de resultados.
- Crear un inventario completo de dependencias: El punto de partida es auditar a cartera de aplicaciones para establecer un mapa de partida. Es necesario identificar cada biblioteca de código abierto, cada dependencia transitiva y cada versión fijada que esté corriendo actualmente en producción.
- Definir el tiempo de ciclo desde el parche hasta la producción: Medir la realidad actual es imprescindible: cuánto tiempo tarda realmente un parche upstream en superar los análisis de seguridad internos, las pruebas, los comités de cambio y los pipelines de despliegue. Una vez establecido ese tiempo, el objetivo debe ser fijar metas ambiciosas para reducir esta ventana al mínimo.
- Automatizar los pipelines de reconstrucción y redespliegue: A medida que la ventana de exposición ante amenazas se reduce de meses a horas, las actualizaciones manuales dejan de ser viables. Preparar el entorno para reconstrucciones de aplicaciones frecuentes, predecibles y automatizadas permite incorporar paquetes seguros a gran velocidad y sin riesgos.
- Adoptar soluciones de seguridad activas: Optar por soluciones activas de seguridad en la cadena de suministro que ofrezcan líneas base sin CVEs conocidos y protección en tiempo de ejecución, como Red Hat Hardened Images, Red Hat Trusted Libraries y OpenShift Advanced Cluster Security, permite operar con mayor agilidad y confianza
Acelerar el cambio con el Proyecto Lightwell
A medida que las organizaciones automatizan sus flujos de trabajo para aplicar correcciones más rápido, IBM y Red Hat están construyendo un motor de remediación diseñado específicamente para suministrarlas. Recientemente hemos presentado el Proyecto Lightwell, un compromiso conjunto de 5.000 millones de dólares respaldado por un equipo global de más de 20.000 ingenieros para redefinir la seguridad de la cadena de suministro de software en la era de la IA.
El Proyecto Lightwell escala la metodología probada de Red Hat durante más de dos décadas en el backporting de parches de seguridad de nivel empresarial, el proceso de trasladar correcciones de versiones más recientes a versiones estables ya en producción. Esta disciplina de ingeniería rigurosa se extiende ahora más allá de la capa del sistema operativo hacia el ecosistema más amplio de frameworks de aplicaciones y dependencias: comenzando por Maven/Java y expandiéndose a PyPI (el repositorio de Python), npm (el gestor de paquetes de JavaScript) y otros entornos. Al combinar IA para el procesamiento masivo de amenazas con ingeniería humana especializada, el proyecto aplica correcciones quirúrgicas sobre las versiones estables exactas que las empresas ya ejecutan en producción, eliminando la necesidad de actualizaciones indiscriminadas que pueden desestabilizar los sistemas.
Sin un mecanismo para que las correcciones sean aceptadas por los proyectos de contribución upstream, cada backport que una organización desarrolla de forma independiente genera un fork privado permanente: una bifurcación del código que debe mantenerse de forma autónoma ante cada vulnerabilidad, actualización o cambio de dependencia posterior. Esto incrementa tanto los costes como los riesgos operativos de la organización. El Proyecto Lightwell rompe este ciclo: Red Hat desarrolla la corrección, la entrega a la empresa y la contribuye al proyecto de código abierto de origen. De este modo, la corrección pasa a formar parte del código público.
Este enfoque se alinea con las directrices de la reciente Orden Ejecutiva sobre IA y ciberseguridad de Estados Unidos, que contempla la creación de un centro de coordinación de ciberseguridad en IA para articular el análisis de vulnerabilidades, su validación y remediación en las infraestructuras críticas. El Proyecto Lightwell está diseñado para ser la columna vertebral operativa del sector privado en respuesta a ese mandato.
Colaborar para proteger la empresa y todo el ecosistema de código abierto
Proteger la cadena de suministro de software es un reto colectivo de la industria que ninguna empresa puede resolver en solitario. A través del Proyecto Lightwell, IBM y Red Hat colaboran con un grupo selecto de líderes del sector financiero y de infraestructuras críticas para establecer un centro de confianza empresarial compartido.
Esta red de inteligencia colaborativa aporta tres capacidades que ninguna organización podría desarrollar de forma independiente. En primer lugar, los miembros comparten hallazgos de nuevas vulnerabilidades y reciben parches coordinados antes de su difusión pública, transformando la detección aislada en una defensa compartida. En segundo lugar, cada parche se entrega listo para producción: firmado criptográficamente, con un inventario de componentes de software (SBOM) legible por máquina y avisos de seguridad para cumplir con los requisitos normativos. En tercer lugar, y de manera fundamental, el Proyecto Lightwell opera bajo el principio de contribución siempre al código fuente origina (upstream-always). Cada corrección que desarrollamos se devuelve al proyecto de código abierto de origen. Al colaborar en este centro, el proyecto no solo protege a las organizaciones individualmente, sino que devuelve sistemáticamente los avances de seguridad a la comunidad, manteniendo el código abierto seguro para todos.
El código abierto ha construido la empresa moderna. La vigilancia coordinada y el Proyecto Lightwell ayudan a que este código siga siendo seguro, solucionando los problemas más rápido, como una sola comunidad y en abierto.
