Opinión
Red Hat: El software de código abierto sigue siendo intrínsecamente seguro
Opinión. Chris Wright, CTO y vicepresidente sénior de Global Engineering en Red Hat, ha publicado un artículo titulado «Proteger el tejido tecnológico empresarial: una hoja de ruta para el código abierto» donde opina de la seguridad del software de código abierto tras las vulnerabilidades de día cero impulsadas por IA que han acaparado los titulares de los medios las últimas semanas.
¿El software de código abierto está suponiendo demasiado riesgo para las empresas? No es una pregunta baladí, dado que el código abierto representa más de las tres cuartas partes de la base de código de una empresa media. Pero la respuesta es clara: el software de código abierto sigue siendo intrínsecamente seguro, estructuralmente resiliente y, en esencia, infalible.
El código abierto es la base de toda la tecnología moderna, no solo de la informática empresarial, y esto va mucho más allá de Linux. Los servidores de aplicaciones, las bases de datos, el enrutamiento de redes, los entornos de desarrollo y todos los demás componentes invisibles que conforman nuestro tejido tecnológico se nutren, de una forma u otra, de proyectos de código abierto.
En pocas palabras, no existe una alternativa real al código abierto. El software propietario es lo que más se le acerca, al estar controlado y ser propiedad de una única empresa, pero carece de la escalabilidad, variedad y ubicuidad del código abierto. Con el software propietario, el código fuente es una caja negra. Solo el proveedor decide qué se soluciona y cuándo. Cuando se descubre una vulnerabilidad, puede permanecer en secreto, conocida únicamente por los atacantes que la encontraron. Ese modelo puede dar una falsa sensación de seguridad, pero el riesgo simplemente se ha ocultado y se ha convertido en una incógnita. El software propietario permite que las vulnerabilidades se multipliquen en la sombra.
El código abierto cambia esta dinámica al poner el código a disposición de todo el mundo, bajo la máxima de que «con los ojos suficientes, todos los errores son visibles». Cuando cualquiera puede examinar el código, cualquiera puede detectar y reportar problemas, algo que ahora se ve enormemente potenciado por el uso de la IA para acelerar la inspección del código. Además, dado que muchas organizaciones dependen del software de código abierto, existe una gran motivación colectiva para resolver las vulnerabilidades.
Ningún método de desarrollo de software garantiza un código perfecto, pero la naturaleza transparente y colaborativa del código abierto ofrece ventajas claras frente a los modelos propietarios a la hora de combatir las amenazas modernas. Las empresas siempre han estado, y seguirán estando, atentas a las vulnerabilidades a medida que se descubren. Lo que ha cambiado es la velocidad. El número de vulnerabilidades registradas (CVE) ha crecido más de un 520% desde 2016. Las herramientas de escaneo basadas en IA ahora descubren vulnerabilidades críticas de día cero en cuestión de horas, no de meses, y menos del uno por ciento de las vulnerabilidades detectadas por IA han sido parcheadas. El verdadero reto actual es la capacidad operativa de las empresas para absorber y desplegar las correcciones con la suficiente rapidez.
Este problema se ve agravado por la falta de coordinación. Todas las grandes organizaciones dependen de los mismos paquetes de código abierto esenciales (como Spring Framework, Jackson, Log4j, Pandas u OpenSSL). Sin embargo, al no haber coordinación, cada entidad detecta las mismas vulnerabilidades de manera independiente, desarrolla parches de forma aislada y mantiene bifurcaciones privadas (forks) de las que nadie más se beneficia. El resultado es una duplicidad de esfuerzos con un coste enorme y una calidad desigual, mientras que el ecosistema general sigue expuesto. Para mantener la seguridad, las organizaciones deben contribuir a los proyectos de código abierto de origen, lo que se conoce como contribución upstream, acelerar sus procesos operativos y hacerlo de manera conjunta.
Qué pueden hacer las empresas para empezar hoy mismo
El código abierto sigue siendo la base más segura para la innovación, pero reducir el tiempo de exposición a las amenazas requiere una acción inmediata. Estos son algunos pasos sencillos y prácticos que las empresas pueden dar hoy mismo para proteger sus cadenas de suministro de software:
- Elegir plataformas respaldadas por proveedores responsables: la infraestructura es el cimiento sobre el que descansa todo lo demás. Conviene verificar que los proveedores que la respaldan contribuyen activamente a los proyectos de código abierto que distribuyen. Un proveedor con una trayectoria consolidada en contribuciones upstream, backporting de parches de seguridad y divulgación responsable está comprometido con la salud de la comunidad, no solo con su cuenta de resultados.
- Crear un inventario completo de dependencias: El punto de partida es auditar a cartera de aplicaciones para establecer un mapa de partida. Es necesario identificar cada biblioteca de código abierto, cada dependencia transitiva y cada versión fijada que esté corriendo actualmente en producción.
- Definir el tiempo de ciclo desde el parche hasta la producción: Medir la realidad actual es imprescindible: cuánto tiempo tarda realmente un parche upstream en superar los análisis de seguridad internos, las pruebas, los comités de cambio y los pipelines de despliegue. Una vez establecido ese tiempo, el objetivo debe ser fijar metas ambiciosas para reducir esta ventana al mínimo.
- Automatizar los pipelines de reconstrucción y redespliegue: A medida que la ventana de exposición ante amenazas se reduce de meses a horas, las actualizaciones manuales dejan de ser viables. Preparar el entorno para reconstrucciones de aplicaciones frecuentes, predecibles y automatizadas permite incorporar paquetes seguros a gran velocidad y sin riesgos.
- Adoptar soluciones de seguridad activas: Optar por soluciones activas de seguridad en la cadena de suministro que ofrezcan líneas base sin CVEs conocidos y protección en tiempo de ejecución, como Red Hat Hardened Images, Red Hat Trusted Libraries y OpenShift Advanced Cluster Security, permite operar con mayor agilidad y confianza.
Acelerar el cambio con el Proyecto Lightwell
A medida que las organizaciones automatizan sus flujos de trabajo para aplicar correcciones más rápido, IBM y Red Hat están construyendo un motor de remediación diseñado específicamente para suministrarlas. Recientemente hemos presentado el Proyecto Lightwell, un compromiso conjunto de 5.000 millones de dólares respaldado por un equipo global de más de 20.000 ingenieros para redefinir la seguridad de la cadena de suministro de software en la era de la IA.
El Proyecto Lightwell escala la metodología probada de Red Hat durante más de dos décadas en el backporting de parches de seguridad de nivel empresarial, el proceso de trasladar correcciones de versiones más recientes a versiones estables ya en producción. Esta disciplina de ingeniería rigurosa se extiende ahora más allá de la capa del sistema operativo hacia el ecosistema más amplio de frameworks de aplicaciones y dependencias: comenzando por Maven/Java y expandiéndose a PyPI (el repositorio de Python), npm (el gestor de paquetes de JavaScript) y otros entornos. Al combinar IA para el procesamiento masivo de amenazas con ingeniería humana especializada, el proyecto aplica correcciones quirúrgicas sobre las versiones estables exactas que las empresas ya ejecutan en producción, eliminando la necesidad de actualizaciones indiscriminadas que pueden desestabilizar los sistemas.
Sin un mecanismo para que las correcciones sean aceptadas por los proyectos de contribución upstream, cada backport que una organización desarrolla de forma independiente genera un fork privado permanente: una bifurcación del código que debe mantenerse de forma autónoma ante cada vulnerabilidad, actualización o cambio de dependencia posterior. Esto incrementa tanto los costes como los riesgos operativos de la organización. El Proyecto Lightwell rompe este ciclo: Red Hat desarrolla la corrección, la entrega a la empresa y la contribuye al proyecto de código abierto de origen. De este modo, la corrección pasa a formar parte del código público.
Este enfoque se alinea con las directrices de la reciente Orden Ejecutiva sobre IA y ciberseguridad de Estados Unidos, que contempla la creación de un centro de coordinación de ciberseguridad en IA para articular el análisis de vulnerabilidades, su validación y remediación en las infraestructuras críticas. El Proyecto Lightwell está diseñado para ser la columna vertebral operativa del sector privado en respuesta a ese mandato.
Colaborar para proteger la empresa y todo el ecosistema de código abierto
Proteger la cadena de suministro de software es un reto colectivo de la industria que ninguna empresa puede resolver en solitario. A través del Proyecto Lightwell, IBM y Red Hat colaboran con un grupo selecto de líderes del sector financiero y de infraestructuras críticas para establecer un centro de confianza empresarial compartido.
Esta red de inteligencia colaborativa aporta tres capacidades que ninguna organización podría desarrollar de forma independiente. En primer lugar, los miembros comparten hallazgos de nuevas vulnerabilidades y reciben parches coordinados antes de su difusión pública, transformando la detección aislada en una defensa compartida. En segundo lugar, cada parche se entrega listo para producción: firmado criptográficamente, con un inventario de componentes de software (SBOM) legible por máquina y avisos de seguridad para cumplir con los requisitos normativos. En tercer lugar, y de manera fundamental, el Proyecto Lightwell opera bajo el principio de contribución siempre al código fuente origina (upstream-always). Cada corrección que desarrollamos se devuelve al proyecto de código abierto de origen. Al colaborar en este centro, el proyecto no solo protege a las organizaciones individualmente, sino que devuelve sistemáticamente los avances de seguridad a la comunidad, manteniendo el código abierto seguro para todos.
El código abierto ha construido la empresa moderna. La vigilancia coordinada y el Proyecto Lightwell ayudan a que este código siga siendo seguro, solucionando los problemas más rápido, como una sola comunidad y en abierto.
Opinión de Chris Wright, CTO y vicepresidente sénior de Global Engineering en Red Hat
Red Hat: El software de código abierto sigue siendo intrínsecamente seguro
Oracle ha eliminado 21.000 puestos de trabajo en los últimos 12 meses
MuyPymes lanza Easy&Smart 2026
IONOS y Q.ANT impulsarán la computación fotónica en el marco de la soberanía europea en IA
Meta anuncia el cambio de liderazgo en WhatsApp
Cloudflare desarrollará un protocolo de Internet centrado en privacidad con Chrome, Firefox y Edge
La UE presenta por fin sus planes para despegar en soberanía tecnológica
«Las empresas no empiezan por la infraestructura, sino por los retos del negocio»
Ideas para desarrollar un software de RR.HH con vibe coding
El Gobierno aprueba el proyecto de su Ley de IA
Protagonistas invisibles: la cara oculta de la inteligencia artificial
Casos de éxito de transformación digital con IA de empresas TIC y Big Tech
Red Hat: El software de código abierto sigue siendo intrínsecamente seguro
Ideas para desarrollar un software de RR.HH con vibe coding
Huawei presenta su solución de infraestructura de datos para centros de datos de IA
ASUS incluye IA híbrida en sus dispositivos comerciales
Guerra de precios en la IA: DeepSeek reduce la tarifa de su modelo V4?Pro AI un 75%
Zscaler Project AI-Guardian, protección cloud en la era de la IA agéntica en la empresa
-
NoticiasHace 7 díasSynology lanza DiskStation Manager 7.4
-
NoticiasHace 6 díasEl nuevo HP EliteBook X G2i: menos de un Kg procesamiento neuronal y pantalla OLED
-
NoticiasHace 6 díasMayoría de empresas de EMEA no saben de qué proveedores, modelos e infraestructura de IA dependen
-
NoticiasHace 6 díasZscaler amplía su plataforma Zero Trust Exchange para proteger la IA agéntica