{"id":1119,"date":"2026-06-08T16:45:06","date_gmt":"2026-06-08T16:45:06","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/08\/la-bifurcacion-mas-dura-cyberdefensa-mx\/"},"modified":"2026-06-08T16:45:06","modified_gmt":"2026-06-08T16:45:06","slug":"la-bifurcacion-mas-dura-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/08\/la-bifurcacion-mas-dura-cyberdefensa-mx\/","title":{"rendered":"La bifurcaci\u00f3n m\u00e1s dura \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los mitos son reales. S\u00e9 que una gran parte de la industria piensa que es un truco de marketing y entiendo por qu\u00e9. Lo entiendo. Pero he visto los hallazgos y son malos. Estos no son \u00abvaya, esta l\u00ednea de aqu\u00ed est\u00e1 mal, y ese es RCE\u00bb. Son combinaciones novedosas de unas pocas docenas de problemas entre miles de cosas que cada esc\u00e1ner SAST ya encuentra, encadenadas en algo mucho peor. Es verdadera creatividad, como Move 37. Ese no es un mejor esc\u00e1ner. Esa es una categor\u00eda diferente de amenaza.<\/p>\n

En cierto modo, ni siquiera importa. Incluso si este modelo espec\u00edfico fuera un enga\u00f1o, la capacidad llegar\u00e1 de todos modos. Algunos d\u00edas desear\u00eda que fuera un enga\u00f1o. Tendr\u00edamos m\u00e1s tiempo. Pero puedes creerme o no. El resto de esta publicaci\u00f3n trata sobre lo que hacemos al respecto de cualquier manera, y estoy comenzando ahora.<\/p>\n

Washington ha estado siguiendo esto por un tiempo, pero no se puede regular algo que la mayor\u00eda de la industria cree que es inventado. Ahora que todas las salas de juntas est\u00e1n en modo de preparaci\u00f3n (y lo est\u00e1n), DC finalmente puede comenzar a pensar qu\u00e9 pasos pueden tomar. Est\u00e1 claro que necesitan desempe\u00f1ar un papel, pero no est\u00e1 claro c\u00f3mo o qu\u00e9 deber\u00eda ser. Y est\u00e1n en una situaci\u00f3n realmente dif\u00edcil.<\/p>\n

Si se reglamenta muy poco, se corre el riesgo de que una empresa con sede en EE. UU. cree accidentalmente un arma que ponga en riesgo nuestra infraestructura cr\u00edtica. Si se regula demasiado, sucede lo mismo en China. Todo esto parece una investigaci\u00f3n de ganancia de funci\u00f3n sobre virus. Todo el mundo sabe que debes lavarte las manos antes de salir del laboratorio, pero el hecho de que lo hagamos obligatorio no significa que el resto del mundo lo har\u00e1. Ya hemos visto c\u00f3mo va esa historia en Wuhan.<\/p>\n

He aqu\u00ed el problema estructural que limita lo que cualquier gobierno puede hacer: a pesar de los mejores intentos de Europa con la CRA, el c\u00f3digo abierto no es gobernable. Las leyes y \u00f3rdenes ejecutivas no se aplican a personas de todo el mundo que suben contenido a Internet de forma gratuita. Estados Unidos se da cuenta de esto, por lo que se est\u00e1 centrando donde puede y donde debe: en el consumo. Ese es el instinto correcto, y es exactamente hacia donde se dirige el resto de esta publicaci\u00f3n.<\/p>\n

El ecosistema de c\u00f3digo abierto y el modelo de consumo no est\u00e1n preparados para esto<\/h2>\n

He estado trabajando en este problema todos los d\u00edas de mi vida durante la \u00faltima d\u00e9cada. Ayud\u00e9 a fundar el AbiertoSSF<\/a> y Alfa-Omega<\/a> mientras estaba en Google. yo cre\u00e9 tienda de firmas<\/a>, Cuadros de mando<\/a>y los primeros esc\u00e1neres de malware de c\u00f3digo abierto. Financiar\u00e9 las subvenciones que pusieron Rust en el kernel de Linux y MFA en PyPI. Luego comenc\u00e9 Chainguard para hacer todo esto comercialmente, a escala. Les digo todo esto no para alardear, sino porque necesito que me crean cuando digo: la forma en que el mundo consume software de c\u00f3digo abierto est\u00e1 fundamentalmente rota, y ninguna mejora incremental podr\u00e1 solucionarlo a tiempo.<\/p>\n

No en su forma actual. Quiz\u00e1s nunca. Va a tener que cambiar.<\/p>\n

La mayor\u00eda de las empresas llevan a\u00f1os consumiendo c\u00f3digo abierto libremente sin pensar realmente en ello. Las aplicaciones modernas son capas de dependencias, y cuando algo sale mal en una de ellas, arreglarlo puede afectar a toda una pila. Para organizaciones grandes con bases de c\u00f3digo heredadas, esa no es una soluci\u00f3n de la tarde. Y actuar r\u00e1pido ahora tiene sus propios riesgos. La IA tambi\u00e9n ha potenciado los ataques a la cadena de suministro. Si se apresura a corregir una vulnerabilidad sin una revisi\u00f3n cuidadosa, podr\u00eda instalar malware peor que el problema original.<\/p>\n

El lado del mantenedor es a\u00fan m\u00e1s dif\u00edcil. Especialmente para la gran cantidad de mantenedores que se preocupan y quieren ayudar. Muchos no lo hacen, y eso est\u00e1 completamente bien. No deben nada a sus aguas abajo. Parte del software m\u00e1s importante de Internet lo mantienen una o dos personas en su tiempo libre. Los esc\u00e1neres automatizados y los informes generados por IA ya los han estado enterrando en ruido de baja calidad durante a\u00f1os. Y a diferencia del software comercial, los mantenedores de c\u00f3digo abierto no tienen contratos ni SLA. No hay garant\u00eda de que un parche se escriba, se fusione o de que se pueda localizar a la persona.<\/p>\n

La divulgaci\u00f3n coordinada de vulnerabilidades fue dise\u00f1ada para un mundo donde encontrar una vulnerabilidad grave requer\u00eda semanas de trabajo experto y los objetivos eran un peque\u00f1o conjunto de proyectos bien conocidos. Un modelo ahora puede encontrar cientos de ellos de la noche a la ma\u00f1ana en la cola larga. El sistema existente no va a mantenerse al d\u00eda y todos necesitamos un plan de respaldo para las vulnerabilidades que no se reparan.<\/p>\n

Lo que realmente tiene que suceder<\/h2>\n

Necesitamos un Plan A y un Plan B.<\/p>\n

Plan A: divulgaci\u00f3n coordinada que realmente funcione a escala. Un grupo \u00fanico y confiable que env\u00eda informes y parches completamente examinados en sentido ascendente y brinda soporte a los encargados de mantenimiento que desean ayuda. Ni una docena de grupos rivales presentando ruidosas multas. Un esfuerzo coordinado que los mantenedores reconocen y en el que conf\u00edan, por lo que sus informes aparecen en la parte superior de cada bandeja de entrada. En este momento, Glasswing ha logrado que alrededor del 6% de sus hallazgos se transmitan. Este programa nunca llegar\u00e1 al 100%. No es as\u00ed como funciona la larga cola del c\u00f3digo abierto. Mi mejor suposici\u00f3n es que podemos lograr que la divulgaci\u00f3n coordinada normal funcione, en momentos de crisis, tal vez para el 50% de los proyectos en el mejor de los casos. Y va a hacer falta mucho trabajo para llegar all\u00ed.<\/p>\n

Plan B: c\u00f3mo nos ocupamos del resto. Y no es una divisi\u00f3n limpia. Hay una gran cantidad de proyectos en los que el mantenedor responde pero no puede enviar una soluci\u00f3n a tiempo, o donde existe un parche pero nadie en el nivel posterior lo recoge. Para todos ellos, y para los proyectos donde los mantenedores no pueden o no quieren aplicar ning\u00fan parche, necesitamos un mantenedor de \u00faltimo recurso. El c\u00f3digo abierto te da derecho a bifurcar. Para emprender un proyecto, asumir la responsabilidad y mantenerlo vivo de forma independiente. La bifurcaci\u00f3n de proyectos muertos o que no responden ya ocurre todos los d\u00edas. Pero en un mundo con cientos de vulnerabilidades reportadas por docenas de grupos, necesitamos centralizarnos en un solo lugar para mantener esas bifurcaciones en las que los usuarios finales pueden confiar. Va a implicar decisiones dif\u00edciles y sentimientos heridos, pero es la \u00fanica manera de evitar la fragmentaci\u00f3n.<\/p>\n

Hace un a\u00f1o, esto no habr\u00eda sido posible a escala. Ahora lo es. Las mismas capacidades de IA que crean esta crisis son las que hacen viable un mantenedor de \u00faltimo recurso. Esa funci\u00f3n debe residir en un lugar con financiaci\u00f3n sostenible, personal, neutral y confiable.<\/p>\n

El mejor momento para arreglar un \u00e1rbol de dependencia fue hace 20 a\u00f1os. El pr\u00f3ximo mejor momento es ahora. Y dice el refr\u00e1n: si quieres ir r\u00e1pido, ve solo. Si quieres llegar lejos, ve acompa\u00f1ado. El problema es que necesitamos hacer ambas cosas.<\/p>\n

Tres bifurcaciones en el camino<\/h2>\n

Entonces, \u00bfqu\u00e9 hacemos realmente? Hay tres formas en que esto se desarrolla, dependiendo de cu\u00e1nto de este problema crees que alguien m\u00e1s debe resolver y cu\u00e1nto tiempo nos lleva darnos cuenta de que nadie vendr\u00e1 a salvarnos y realmente arreglar nuestras cosas.<\/p>\n

El ingenuo: no haces nada y esperas. Glasswing parchea todo en sentido ascendente, su proveedor protege m\u00e1gicamente cada carga de trabajo para que nada pueda escapar, su equipo reescribe su canal de implementaci\u00f3n heredado para enviarlo cada sesenta segundos y su CISO duerme toda la noche por primera vez desde 2014. Cada mantenedor responde a cada divulgaci\u00f3n dentro de las 24 horas. Cada empresa actualiza cada dependencia el d\u00eda que llega un parche. Nadie introduce una regresi\u00f3n. Nadie instala malware disfrazado de parche. Quiero vivir en este mundo. No vivimos en este mundo.<\/p>\n

La ca\u00f3tica: nadie centraliza. Cada proveedor importante de nube crea sus propias versiones de bibliotecas cr\u00edticas, cada una con sus propios conjuntos de parches. Tres proveedores de seguridad diferentes env\u00edan bifurcaciones competitivas del mismo marco de registro. Su equipo debe intentar averiguar qu\u00e9 versi\u00f3n de qu\u00e9 bifurcaci\u00f3n tiene qu\u00e9 CVE corregidos y si alguno de ellos introdujo otros nuevos. Este es el valor predeterminado si no hacemos nada.<\/p>\n

El hard fork: una decisi\u00f3n deliberada, coordinada y dolorosa para construir una nueva infraestructura de confianza para el consumo de c\u00f3digo abierto. Un canal de divulgaci\u00f3n que funciona a escala. Un lugar confiable para horquillas mantenidas. Decisiones dif\u00edciles sobre qu\u00e9 proyectos se bifurcan y cu\u00e1les sobreviven. Esta es la opci\u00f3n m\u00e1s dif\u00edcil y la \u00fanica real.<\/p>\n

El c\u00f3digo abierto siempre ha tenido un mecanismo para esto. Cuando un proyecto no puede o no quiere adaptarse, lo bifurcas. Asumes la responsabilidad, haces el trabajo y sigues adelante. Ese es el trato. Siempre ha sido el trato.<\/p>\n

Lo que es diferente ahora es la escala. No estamos hablando de bifurcar un proyecto. Estamos hablando de construir la infraestructura para bifurcar, mantener y distribuir miles de ellos. Bajo presi\u00f3n de tiempo, con verdaderos adversarios del otro lado. Esa es la bifurcaci\u00f3n m\u00e1s dif\u00edcil que cualquiera de nosotros haya tenido que hacer.<\/p>\n

Las mismas capacidades de IA que crearon esta crisis son las que la hacen posible. El software va a cambiar de maneras que hubieran sido inimaginables hace un a\u00f1o, y creo que hay un futuro mejor del otro lado.<\/p>\n

\u00bfAlgo de esto realmente va a funcionar? Sinceramente no tengo idea. Pero tenemos que empezar y, como dice el Credo del Programador: \u00abHacemos esto no porque sea f\u00e1cil, sino porque pensamos que ser\u00eda f\u00e1cil cuando empezamos\u00bb. Este ni siquiera parece f\u00e1cil al principio.<\/p>\n

Obtenga lo \u00faltimo sobre el Blog de guardacadenas<\/a>. <\/i><\/p>\n

Nota: <\/b>Este art\u00edculo est\u00e1 escrito y contribuido por expertos de Dan Lorenc, director ejecutivo y cofundador de Chainguard.<\/i><\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> S\u00edguenos en noticias de google<\/a>, Gorjeo<\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n