En el mundo cada vez más interconectado y dependiente de la tecnología, la ciberseguridad se ha convertido en una prioridad imprescindible para gobiernos, empresas y usuarios finales. La Unión Europea, en su esfuerzo por fortalecer la seguridad digital, ha implementado la Ley de Ciberresiliencia o Cyber Resilience Act (CRA). Esta regulación tiene importantes implicaciones para todos los actores que participan en el ecosistema digital, incluyendo a quienes mantienen proyectos de código abierto. A medida que se acerca su vigencia, muchos mantenedores de proyectos open source se encuentran con dudas y preocupaciones legítimas acerca de sus responsabilidades y los potenciales riesgos legales y técnicos que podrían enfrentar. En este contexto, el papel de la comunidad tecnológica y las organizaciones de apoyo cobra mayor relevancia para ofrecer claridad y orientación concreta.
El código abierto ha sido el motor fundamental del desarrollo de software moderno, promoviendo la colaboración, la transparencia y la innovación. Sin embargo, esta naturaleza abierta también genera desafíos específicos frente a regulaciones como la CRA, diseñadas originalmente para productos y servicios comerciales tradicionales. La Ley de Ciberresiliencia está enfocada en garantizar que los productos digitales cumplan requisitos mínimos de seguridad durante todo su ciclo de vida, incluyendo el manejo de vulnerabilidades y la provisión de actualizaciones. Por lo tanto, surge una gran inquietud: ¿en qué medida impacta la CRA a los proyectos de código abierto, muchos de los cuales son mantenidos por voluntarios o pequeñas comunidades sin respaldo corporativo? Para abordar esta cuestión, el pasado mes de mayo de 2025, durante la celebración de Maintainer Month, la Eclipse Foundation a través de su Open Regulatory Compliance Working Group organizó un seminario virtual titulado “La Ley de Ciberresiliencia y Código Abierto: Lo Que los Mantenedores Realmente Necesitan Saber”. Este webinar ha sido un esfuerzo significativo para desmitificar los aspectos legales complejos del CRA y proporcionar una orientación práctica y accesible a los mantenedores, responsables de proteger uno de los activos más valiosos en la industria del software: el código abierto.
El evento contó con la participación de expertos reconocidos como Tobie Langel, Felix Reda, Daniel Stenberg, Ashley Williams y Maarten Aertsen, quienes abordaron cuestiones críticas con una perspectiva técnica y de política pública. Una de las principales incógnitas que afectan a los mantenedores es determinar si sus proyectos se encuentran dentro del ámbito de aplicación de la Ley de Ciberresiliencia. No todos los proyectos open source serán tratados igual bajo la normativa, y es fundamental comprender qué factores influyen en esta categorización. Por ejemplo, la definición de “fabricante” es esencial porque la CRA impone obligaciones legales específicas a quien desarrolla y pone un producto o software en el mercado. En el ecosistema del código abierto, sin embargo, esa figura puede ser difusa o compartida entre múltiples colaboradores.
Así, la duración del mantenimiento, la estabilidad del proyecto y el nivel de responsabilidad asumido son elementos clave para evaluar el impacto concreto. Además, el rol del “steward” o responsable principal del proyecto adquiere una relevancia especial. Este término denomina a la persona o grupo que supervisa la evolución, el mantenimiento y la integridad del proyecto. La CRA establece ciertas obligaciones mínimas para estos stewards en términos de seguridad y gestión de vulnerabilidades. Sin embargo, el webinar dejó claro que la normativa no pretende penalizar a los mantenedores que actúan de buena fe ni restringir la innovación abierta.
En cambio, busca incentivar mejores prácticas y mayor responsabilidad, equiparando las expectativas con las que se tienen frente a otros tipos de productos digitales. Otra preocupación frecuente gira en torno a las fuentes de financiación de los proyectos de código abierto. A menudo, los mantenedores reciben donaciones, patrocinios o algún tipo de apoyo económico para continuar con su trabajo. ¿Esto cambia su estatus bajo la CRA? ¿Pasarían a ser considerados fabricantes o sujetos a obligaciones adicionales? Los expertos explicaron que aceptar fondos no convierte automáticamente a un mantenedor en fabricante. Sin embargo, si se generan servicios relacionados con el proyecto o si el producto se distribuye comercialmente bajo ciertas condiciones, esto sí podría activar la aplicación de la ley.
La transparencia y el entendimiento claro sobre la relación entre financiación y responsabilidades legales resultan, por tanto, cruciales. Una de las grandes novedades de la Ley de Ciberresiliencia es la mayor colaboración requerida entre actores: desde los desarrolladores de software hasta las empresas que utilizan esos productos en sus propias soluciones. En este sentido, el seminario subrayó la importancia de establecer protocolos claros para responder a solicitudes de cumplimiento por parte de compañías y terceros. Mantenedores deben estar preparados para atender preguntas relacionadas con la seguridad de su software, la gestión de vulnerabilidades y las actualizaciones correctivas. No responder o ignorar estas solicitudes podría traducirse en complicaciones legales o de reputación, pero con orientación adecuada, estas interacciones pueden ser manejadas de manera efectiva y armoniosa.
La comunidad de código abierto es, sin duda, un ecosistema diverso y en constante evolución. Los mantenedores enfrentan desafíos únicos, como la escasez de recursos humanos y económicos, la necesidad de mantenerse actualizados frente a nuevas amenazas y la presión por entregar soluciones innovadoras rápidamente. Frente a estos retos, la Ley de Ciberresiliencia representa tanto una llamada de atención como una oportunidad para fortalecer la seguridad y confiabilidad de los proyectos abiertos. Incorporar prácticas de revisión continua, auditorías de código y mecanismos de reporte de vulnerabilidades puede ayudar a cumplir con los requerimientos establecidos, así como a elevar la calidad y confianza del software. El seminario impulsado por la Eclipse Foundation contó además con una serie de recursos complementarios, incluyendo la transmisión en vivo, la documentación técnica y un repositorio de información para que los mantenedores puedan profundizar en los detalles del CRA.
GitHub, uno de los principales anfitriones de proyectos open source, apoyó esta iniciativa como parte de su compromiso con la comunidad y la promoción de una cultura de cumplimiento normativo responsable y accesible. El diálogo entre política pública y desarrollo tecnológico es fundamental para construir un futuro digital más seguro y sostenible. En resumen, la Ley de Ciberresiliencia traerá cambios significativos para los mantenedores de proyectos de código abierto, pero la información correcta y oportuna es la mejor herramienta para navegar este nuevo panorama. Identificar si un proyecto se encuentra dentro del alcance legal, entender los roles y responsabilidades, gestionar adecuadamente la financiación y prepararse para interacciones con empresas son pasos esenciales para asegurar que el proyecto siga siendo una contribución valiosa e innovadora a la comunidad tecnológica global. Más allá de las obligaciones, la Ley también ofrece una oportunidad para consolidar la confianza en el software libre y abierto como motor de desarrollo tecnológico seguro y responsable.
Mantenerse informado, participar en espacios de aprendizaje y colaboración, y adoptar buenas prácticas de seguridad, serán claves para que los proyectos de código abierto continúen prosperando en este entorno regulatorio. Para los mantenedores, el mensaje es claro: el conocimiento y la preparación son la mejor defensa, y la colaboración es la llave para transformar la Ley de Ciberresiliencia en un catalizador de mejora continua dentro del vibrante mundo del código abierto.
