La IA acaba de matar el código abierto tal como lo conocemos

Cal.com.com, la conocida plataforma de programación de código abierto, provocó un impacto sísmico en la comunidad de desarrolladores los días 14 y 15 de abril de 2026. Después de cinco años defendiendo la transparencia, la empresa anunció abruptamente su decisión de mover su base de código de producción principal de código abierto a código cerrado. Este cambio sin precedentes encendió inmediatamente un feroz debate sobre el futuro del software de código abierto en un panorama dominado por la IA.

El CEO Bailey Pumfleet articuló la cruda razón: la IA ha roto fundamentalmente el modelo de seguridad de código abierto. Pumfleet afirmó que mantener una base de código abierta ahora equivale a "entregar el plano de una bóveda bancaria" a "100 veces más hackers", un riesgo que la empresa ya no podía justificar para sus clientes empresariales comerciales. Las herramientas de seguridad de IA, argumentó, ahora pueden escanear repositorios a escala, descubriendo vulnerabilidades de 5 a 10 veces más rápido en proyectos de código abierto que en alternativas de código cerrado.

Esta alarmante capacidad se hizo terriblemente real el 7 de abril de 2026, con la revelación pública de Mythos Preview de Anthropic. Este modelo de IA demostró una capacidad sin precedentes para encontrar y explotar vulnerabilidades de día cero. Mythos descubrió notablemente un error de denegación de servicio de 27 años en la implementación de TCP SACK de OpenBSD, una falla que los expertos humanos habían pasado por alto durante décadas. El descubrimiento costó aproximadamente $20,000 para una campaña completa de descubrimiento de Anthropic, con la ejecución del modelo específico costando menos de $50.

Mythos identificó miles de vulnerabilidades de día cero previamente desconocidas en los principales sistemas operativos y navegadores web. Crucialmente, pudo reproducir estas vulnerabilidades y desarrollar exploits funcionales en más del 83% de los casos. Tal eficiencia altera fundamentalmente el cálculo de riesgo para las bases de código disponibles públicamente, convirtiéndolas en objetivos principales para ataques sofisticados y acelerados por IA.

Tras el cambio, el producto principal de Cal.com.com, que maneja datos empresariales de alto riesgo y características comerciales críticas, se volvió privado. Esto incluye componentes vitales como: - Gestión de organizaciones multi-inquilino - Infraestructura de facturación - Sistemas de autenticación - Lógica central de manejo de datos

En su lugar, Cal.com.com introdujo Cal.com.diy, una bifurcación con licencia MIT completa de su base de código heredada. Este proyecto está dirigido específicamente a aficionados y auto-anfitriones, permitiéndoles continuar experimentando y desplegando la versión más antigua y abierta de la plataforma. El movimiento señala claramente un futuro bifurcado para la empresa, separando sus raíces comunitarias de sus imperativos de seguridad comercial.

El dramático giro de Cal.com.com, de un prominente defensor del código abierto a una entidad de código cerrado, envía un mensaje escalofriante a toda la industria tecnológica. Plantea preguntas profundas sobre la viabilidad a largo plazo de los modelos de código abierto para proyectos que manejan datos sensibles o que operan a escala empresarial. La decisión de la empresa obliga a una reflexión: ¿ha hecho realmente la IA que el código abierto sea demasiado peligroso para el mundo comercial moderno?

El CEO de Cal.com.com, Bailey Pumfleet, articuló una nueva y cruda realidad: el código abierto ahora equivale a entregar el plano de una bóveda bancaria en la era de la IA. Esta no es una analogía casual; sustenta el cambio radical de la empresa. Al liberar el código central públicamente, Cal.com.com argumenta, se arma a "100 veces más hackers" con el conocimiento preciso necesario para explotar vulnerabilidades a una escala y velocidad sin precedentes.

La investigación en seguridad respalda directamente esta alarmante afirmación. Los estudios indican que el software de código abierto se vuelve entre 5 y 10 veces más fácil de hackear cuando los atacantes aprovechan herramientas asistidas por IA. El modelo Mythos AI de Anthropic, por ejemplo, demostró drásticamente esta capacidad, identificando miles de vulnerabilidades de día cero previamente desconocidas en los principales sistemas operativos y navegadores web. Mythos descubrió un famoso error de denegación de servicio de 27 años en la implementación TCP SACK de OpenBSD, una falla que había eludido a los expertos humanos durante décadas, costando aproximadamente $20,000 para la campaña de descubrimiento y menos de $50 para la ejecución específica del modelo.

Este cambio de paradigma anula la teoría de los "muchos ojos" largamente sostenida, que postulaba que más desarrolladores revisando el código inherentemente conduce a una mayor seguridad. Si bien históricamente beneficiosa, la capacidad de la IA para el análisis automatizado y hostil sobrecarga esta ventaja. Una vulnerabilidad ya no requiere una revisión humana minuciosa; las herramientas de IA pueden escanear repositorios enteros en cuestión de momentos, encontrando fallas mucho más rápido de lo que los mantenedores humanos pueden parchearlas.

La IA automatiza y escala el análisis hostil, eliminando las limitaciones prácticas que alguna vez protegieron el código abierto. El análisis de seguridad tradicional exigía un tiempo, experiencia y esfuerzo manual significativos por parte de los atacantes. Las herramientas de IA eliminan estas barreras, permitiendo que incluso actores menos sofisticados rastreen vastas bases de código en busca de debilidades explotables, desarrollando exploits funcionales en más del 83% de los casos. La fricción una vez protectora del reconocimiento a escala humana ha desaparecido, reemplazada por una eficiencia impulsada por máquinas, enfocada en el descubrimiento y la explotación.

La vista previa de Mythos de Anthropic, presentada el 7 de abril de 2026, proporciona la evidencia más clara hasta ahora del potencial disruptivo de la IA para la seguridad de código abierto. Este modelo avanzado demuestra concretamente la capacidad no solo de identificar, sino también de explotar vulnerabilidades de día cero a una escala sin precedentes, alterando fundamentalmente el panorama de la ciberseguridad. Su aparición valida las crecientes ansiedades entre los mantenedores de código abierto.

Mythos descubrió una famosa vulnerabilidad de denegación de servicio de 27 años oculta en lo profundo de la implementación TCP SACK de OpenBSD. Esta falla crítica había persistido, sin ser detectada, a través de décadas de revisión humana meticulosa por parte de algunos de los expertos en seguridad más rigurosos de la industria. La longevidad del error subraya las limitaciones incluso de los procesos de auditoría humana más dedicados cuando se enfrentan a código complejo y profundamente incrustado.

El descubrimiento ilustra claramente la destreza analítica sobrehumana de la IA, superando con creces las capacidades humanas en la auditoría de código. Mythos analizó sistemáticamente vastas bases de código, identificando miles de vulnerabilidades de día cero previamente desconocidas en los principales sistemas operativos y navegadores web, demostrando su amplio y potente impacto. Fundamentalmente, pudo reproducir estas vulnerabilidades y desarrollar exploits funcionales en más del 83% de los casos, pasando de la detección teórica a la militarización práctica.

Un descubrimiento de vulnerabilidades tan sofisticado viene con una asombrosa rentabilidad, amplificando la amenaza exponencialmente para los proyectos de código abierto. Si bien una campaña completa de descubrimiento de Anthropic que llevó al error de OpenBSD costó aproximadamente $20,000, la ejecución específica del modelo responsable de identificar esa falla de 27 años incurrió en un gasto de menos de $50. Este costo mínimo democratiza la explotación de alto nivel, haciendo que los ataques avanzados sean accesibles a una gama mucho más amplia de actores.

Esta combinación sin precedentes de profundidad analítica, velocidad y asequibilidad redefine fundamentalmente el cálculo de seguridad para proyectos de código abierto. Valida la preocupación central de Cal.com.com: el código abierto, que alguna vez fue un bastión de transparencia y seguridad colaborativa, ahora presenta un plan inevitable para atacantes impulsados por AI, convirtiéndolo en una responsabilidad crítica para aplicaciones comerciales que manejan datos sensibles. Para obtener más información sobre el cambio decisivo de Cal.com.com a código cerrado, lea Cal.com.com Goes Closed Source: Why AI Security Is Forcing Our Decision | Cal.com.com - Scheduling Software for Online Bookings.

La alarmante decisión de Cal.com.com, aunque específica de su plataforma, refleja una tendencia más amplia y más insidiosa que se extiende por el ecosistema de código abierto. Mythos Preview solo ofreció una cruda demostración de las capacidades de la AI; el panorama de amenazas real abarca un diluvio de vulnerabilidades que escala rápidamente y afecta a proyectos en todos los ámbitos. Esto no es un incidente aislado, sino un desafío sistémico a la base misma del desarrollo colaborativo de código.

El informe reciente de OpenJS Foundation subraya esta creciente crisis, documentando un aumento significativo en las presentaciones de vulnerabilidades asistidas por AI. Los mantenedores de proyectos, ya con recursos limitados, ahora se enfrentan a un volumen sin precedentes de informes de errores altamente sofisticados y generados por AI. Estas presentaciones a menudo señalan fallas oscuras, superando la capacidad humana para un análisis y parcheo oportunos.

Más evidencia surge del informe Black Duck OSSRA. Su análisis revela un asombroso aumento del 107% en las vulnerabilidades por base de código año tras año. Esta dramática escalada se correlaciona directamente con la adopción generalizada de escáneres de seguridad de AI avanzados y herramientas de generación de exploits, que atacan sistemáticamente proyectos de código abierto. La transparencia, que alguna vez fue una piedra angular de la seguridad de código abierto, ahora proporciona a los atacantes un plan claro.

Un ciclo vicioso exacerba aún más el problema: los propios asistentes de código de AI contribuyen a este diluvio. Los desarrolladores a menudo confían en estos asistentes para el código repetitivo y las recomendaciones de dependencias. Desafortunadamente, estas herramientas a menudo sugieren paquetes vulnerables u obsoletos, incrustando inadvertidamente nuevas debilidades en los proyectos desde su inicio. Esto crea una deuda de seguridad que se autopropaga.

La doble naturaleza de la AI significa que puede tanto descubrir como introducir fallas a escala. Si bien existen herramientas de defensa impulsadas por AI, la trayectoria actual muestra que los atacantes están obteniendo una ventaja significativa. El gran volumen y la complejidad de las vulnerabilidades descubiertas por la AI agotan los recursos de los mantenedores hasta su punto de ruptura, alterando fundamentalmente el cálculo de seguridad para el software de código abierto. El enfoque de "muchos ojos" lucha contra un ejército de bots impulsados por AI.

El sombrío pronóstico de Cal.com.com para la seguridad de código abierto, si bien destaca amenazas reales impulsadas por AI, pasa por alto un aspecto crítico de este cambio tecnológico: la AI es una formidable espada de doble filo. Los mismos modelos sofisticados de AI capaces de descubrir vulnerabilidades de décadas de antigüedad también equipan a los desarrolladores y equipos de seguridad para fortificar sus bases de código a un ritmo sin precedentes. Esta dualidad remodela fundamentalmente el panorama de la ciberseguridad, haciendo que la situación sea mucho más matizada que un simple diluvio de vulnerabilidades.

Los mantenedores ahora aprovechan herramientas avanzadas impulsadas por IA, como las conceptualmente similares a la "OpenClaw" mencionada por los expertos, para escanear, identificar y remediar fallas de seguridad con una velocidad notable. En lugar de simplemente exponer debilidades, estas tecnologías permiten un ciclo robusto de iteración rápida y endurecimiento continuo del código. La defensa impulsada por IA transforma la detección de amenazas de una tarea reactiva en un proceso proactivo y automatizado, acelerando significativamente la respuesta a las vulnerabilidades recién descubiertas. Esta agilidad es un poderoso contrapunto a los ataques impulsados por IA.

Sin embargo, la decisión de pasar a código cerrado, como ha hecho Cal.com.com, introduce sus propios riesgos distintos y potencialmente graves. Sin el escrutinio transparente y colaborativo de una comunidad global de desarrolladores, las empresas pueden ignorar silenciosamente vulnerabilidades críticas o simplemente no descubrirlas en absoluto. El principio inherente de "muchos ojos" del código abierto, que históricamente reforzó la seguridad a través de la supervisión colectiva y el parcheo rápido, desaparece por completo cuando una base de código se vuelve propietaria.

Una base de código cerrada elimina la responsabilidad pública, creando un entorno peligroso donde 'nadie está vigilando' en busca de fallas ocultas. Esta falta de validación externa permite que los zero-days no descubiertos se agraven, lo que podría representar una amenaza a largo plazo mayor y más insidiosa para los usuarios que las vulnerabilidades de código abierto expuestas públicamente pero parcheadas rápidamente. Los incentivos financieros para abordar las fallas sin presión pública también pueden disminuir.

En última instancia, el paradigma de seguridad en evolución no es una elección binaria entre código abierto versus código cerrado. En cambio, representa una carrera armamentista en escalada, una competencia dinámica entre la ofensiva impulsada por IA y una defensa impulsada por IA igualmente avanzada. El futuro de la seguridad del software depende de qué lado puede innovar más rápido y de manera más efectiva, no simplemente de si los planos están ocultos o revelados. Esta continua carrera tecnológica ahora define el nuevo campo de batalla para la seguridad y la confianza digital.

El escepticismo recibió inmediatamente el drástico giro de Cal.com.com de código abierto a código cerrado. Muchos observadores cuestionaron rápidamente si la seguridad de la IA por sí sola impulsó el cambio abrupto, sugiriendo motivaciones estratégicas más profundas para una empresa que operó como código abierto durante cinco años. Este cambio, después de un período de contribución comunitaria, insinúa una reevaluación de su modelo de negocio principal.

Un impulsor significativo probablemente proviene de los desafíos inherentes de monetizar el Software Comercial de Código Abierto (COSS). Los proyectos de código abierto con frecuencia luchan con competidores que bifurcan su base de código, construyen productos rivales y erosionan la cuota de mercado del creador original. Prevenir esta amenaza competitiva directa, asegurando la propiedad intelectual de Cal.com.com, se convierte en un objetivo comercial principal para la sostenibilidad y el crecimiento a largo plazo.

La decisión también envía una poderosa señal de marketing, particularmente a los clientes empresariales. Si bien la comunidad de código abierto defiende la transparencia como una característica de seguridad, muchas grandes organizaciones todavía equiparan una base de código cerrada con mayor control, responsabilidad y "seguridad de nivel empresarial". Esta percepción es crucial para asegurar contratos de alto valor, especialmente al manejar datos sensibles de clientes y demostrar un cumplimiento robusto.

La reducción de la responsabilidad legal también probablemente influyó en el cálculo de Cal.com. Al controlar estrictamente su código de producción principal, Cal.com.com potencialmente mitiga la exposición a problemas derivados de modificaciones de terceros o vulnerabilidades introducidas por colaboradores externos. Esta es un área compleja en las licencias y la responsabilidad del código abierto, donde un modelo cerrado permite un control más optimizado y centralizado sobre los parches de seguridad, las correcciones de errores y los marcos de cumplimiento legal.

En última instancia, si bien la IA sin duda presenta desafíos de seguridad nuevos y en rápida evolución, el giro de Cal.com.com parece ser una decisión comercial multifacética. Aborda estratégicamente las presiones competitivas, mejora el posicionamiento en el mercado empresarial y fortalece la gestión de riesgos, además de la amenaza de IA declarada. Para obtener más información sobre las implicaciones estratégicas de este cambio significativo para el ecosistema de código abierto en general, consulte Cal.com.com goes private: A security reckoning for open source - The New Stack.

Los líderes de la comunidad inmediatamente rechazaron las duras conclusiones de Cal.com.com, afirmando la continua resiliencia y las ventajas inherentes del código abierto en un mundo impulsado por la IA. Sam Saffron, cofundador de Discourse, una destacada plataforma de foros de código abierto, articuló un contraargumento central: la transparencia sigue siendo un poderoso activo de seguridad. Hizo hincapié en que, en lugar de ser una responsabilidad, el código abierto fomenta un entorno colaborativo donde los defectos son a menudo identificados y parcheados más rápidamente por una comunidad global de expertos que en los sistemas cerrados, donde las vulnerabilidades pueden persistir sin ser vistas.

Los críticos también destacan una falla fundamental en la metáfora del "plano" de Cal.com.com para el código abierto. Las capacidades analíticas de la IA se extienden mucho más allá del mero código fuente; los modelos sofisticados pueden realizar ingeniería inversa y analizar eficazmente los binarios compilados. Esto significa que el software de código cerrado ofrece solo un aumento marginal, si lo hay, en la protección contra ataques sofisticados impulsados por IA, socavando efectivamente la noción de que el código propietario proporciona un escudo perfecto contra el descubrimiento automatizado de vulnerabilidades. La ofuscación proporcionada por la compilación ofrece un obstáculo, no una barrera impenetrable.

Además, los proyectos de código abierto se benefician de una vasta red distribuida de investigadores de seguridad, hackers éticos y colaboradores apasionados que examinan activamente el código en busca de vulnerabilidades. Esta inteligencia colectiva actúa como una auditoría continua y gratuita, un recurso crítico del que carecen inherentemente los proyectos cerrados. Sin el beneficio de miles de ojos externos, el software propietario puede albergar silenciosamente vulnerabilidades críticas durante períodos prolongados, lo que podría conducir a brechas catastróficas que pasan desapercibidas para los equipos internos hasta que ocurre la explotación. Esta vigilancia comunitaria a menudo conduce a una detección y resolución más rápidas.

El argumento del código cerrado como panacea de seguridad se desmorona aún más bajo el peso de la investigación, incluidos los hallazgos de AISLE. Estos estudios corroboran que la capacidad de encontrar vulnerabilidades con IA no es exclusiva de operaciones a gran escala y altamente financiadas. Incluso modelos de IA más pequeños y accesibles pueden identificar fallas significativas. Por ejemplo, la ejecución específica del modelo que identificó una vulnerabilidad de denegación de servicio de 27 años en la implementación de TCP SACK de OpenBSD, un error que había eludido a los expertos en seguridad humanos durante décadas, costó menos de $50. Esta barrera de entrada increíblemente baja significa que la ventaja del descubrimiento de vulnerabilidades impulsado por IA está democratizada, haciendo que la seguridad por oscuridad sea una estrategia cada vez más insostenible para *cualquier* base de código, abierta o cerrada, en el panorama de amenazas moderno.

Mientras Cal.com.com dio la voz de alarma sobre el potencial destructivo de la IA, la industria moviliza rápidamente una robusta contraofensiva. Anthropic, la misma compañía detrás de la potente IA para encontrar vulnerabilidades Mythos, ahora lidera Project Glasswing, una ambiciosa iniciativa para aprovechar la IA en la defensa global de la ciberseguridad. Este esfuerzo colaborativo desafía directamente la narrativa de que la IA empodera exclusivamente a los atacantes, posicionándola en cambio como un guardián indispensable contra las amenazas emergentes.

Project Glasswing une una formidable coalición de gigantes tecnológicos comprometidos con la seguridad de la infraestructura de software crítica. Los participantes incluyen a gigantes de la industria como: - Amazon Web Services (AWS) - Apple - Microsoft - Google - IBM - Meta Esta alianza significa un frente unificado sin precedentes contra la creciente sofisticación de los ciberataques impulsados por IA.

La misión principal del proyecto implica el despliegue de IA avanzada, específicamente versiones mejoradas de Mythos, para escanear y fortificar proactivamente el software más vital del mundo. En lugar de esperar por las brechas, los agentes de IA de Glasswing rastrean vastas bases de código en busca de vulnerabilidades latentes, replicando el proceso de descubrimiento que encontró un error de 27 años en OpenBSD. Esta estrategia defensiva tiene como objetivo identificar y parchear miles de zero-day flaws previamente desconocidos antes de que actores maliciosos puedan explotarlos.

Glasswing actúa como un poderoso testimonio de la doble naturaleza de la IA, demostrando su capacidad para un bien profundo. Al aprovechar la velocidad analítica y la escala inigualables de la IA, este consorcio está construyendo eficazmente un escudo impulsado por IA, transformando las mismas herramientas que antes se temían en los defensores definitivos. Esta postura proactiva ofrece un contrapunto convincente a las preocupaciones de Cal.com.com, defendiendo la iteración rápida y el endurecimiento del código a través de la automatización inteligente.

Tu flujo de trabajo de desarrollo diario ahora opera bajo una amenaza constante y elevada. Cada línea de código, cada biblioteca importada y cada sugerencia asistida por IA introduce un vector potencial para ataques sofisticados impulsados por IA. Esto no se trata solo de vulnerabilidades a gran escala; se trata del impacto inmediato y granular en cómo los ingenieros construyen y mantienen el software.

Los asistentes de código de IA, si bien impulsan la productividad, cambian fundamentalmente el panorama de la seguridad. Herramientas como GitHub Copilot podrían generar fragmentos que, sin el conocimiento del desarrollador, contienen fallas sutiles pero explotables. Los desarrolladores ahora deben auditar críticamente no solo su propio código, sino también la salida de la IA, examinando en busca de vulnerabilidades que incluso ojos humanos experimentados podrían pasar por alto.

La presión aumenta sobre los equipos de ingeniería para gestionar un grafo de dependencias en constante expansión. Las aplicaciones modernas incorporan rutinariamente cientos de paquetes externos, cada uno un punto de entrada potencial para el descubrimiento de exploits impulsados por IA. Esto crea un diluvio abrumador de alertas de seguridad, haciendo que la priorización y el parcheo sean una tarea hercúlea tanto para los desarrolladores individuales como para los líderes de seguridad.

Incluso los organismos oficiales luchan por seguir el ritmo. La National Vulnerability Database (NVD), mantenida por NIST, recientemente enfrentó desafíos operativos significativos, incluyendo un considerable atraso de Common Vulnerabilities and Exposures (CVEs) sin procesar. Este cuello de botella subraya el gran volumen de fallas recién identificadas, demostrando que incluso las instituciones con buenos recursos están abrumadas por la tasa acelerada de descubrimiento de vulnerabilidades.

Mythos, por ejemplo, reveló un error de OpenBSD de 27 años de antigüedad, cuyo descubrimiento costó aproximadamente $20,000. Las implicaciones son claras para los desarrolladores, quienes ahora se enfrentan a un entorno donde la AI puede descubrir rápidamente fallas que evadieron los ojos humanos durante décadas. Para más información sobre el alcance de estos descubrimientos impulsados por AI, consulte Mythos autonomously exploited vulnerabilities that survived 27 years of human review. Security teams need a new detection playbook | VentureBeat. Esta nueva realidad exige una reevaluación completa de la higiene de seguridad y la gestión de riesgos en el desarrollo de software.

La era de la confianza implícita en el open source, donde solo "muchos ojos" garantizaban la seguridad, ha concluido. El giro drástico de Cal.com, moviendo su producto principal a código cerrado después de cinco años, subraya un cambio fundamental. La dura advertencia del CEO Bailey Pumfleet —el código abierto es ahora un "plano de una bóveda bancaria" para "100 veces más hackers"— refleja una nueva realidad donde el software de código abierto es de 5 a 10 veces más fácil de hackear con herramientas de ataque asistidas por AI. Este cambio profundo exige una reevaluación de los principios fundamentales que rigen el desarrollo colaborativo, superando la dependencia de la supervisión pasiva.

El futuro del open source exige un modelo de confiar pero verificar con AI. Las organizaciones deben ir más allá de exponer pasivamente su código y aprovechar activamente la inteligencia artificial para una continua y agresiva

¿Por qué Cal.com se cambió a un modelo de código cerrado?

Cal.com declaró que las herramientas avanzadas de AI ahora pueden escanear repositorios de código abierto para encontrar y explotar vulnerabilidades a una escala sin precedentes, lo que consideraron demasiado arriesgado para los datos sensibles de sus clientes.

¿Qué es Mythos AI?

Mythos es un modelo de AI de Anthropic diseñado para encontrar y explotar de forma autónoma vulnerabilidades de día cero. Ganó notoriedad por descubrir un error de 27 años en OpenBSD que había eludido a los expertos humanos durante décadas.

¿Está la AI volviendo obsoleto el software de código abierto?

El debate está en curso. Si bien la AI acelera el descubrimiento de vulnerabilidades para los atacantes, también proporciona herramientas poderosas para que los defensores parcheen las fallas más rápido. La comunidad de código abierto ahora está lidiando con cómo adaptarse a esta nueva realidad.

¿Cómo afecta la AI a la seguridad de código cerrado?

Los defensores argumentan que el código cerrado limita el acceso de los atacantes al 'plano' del código. Los críticos advierten que sin el escrutinio público, las empresas podrían ignorar silenciosamente las vulnerabilidades, y la AI aún puede analizar binarios compilados para encontrar debilidades.