El uso de soluciones libres o de código abierto en el mercado TI suele estar asociado a beneficios como reducción de costos y flexibilidad, pero numerosos casos han suscitado preocupaciones, especialmente en materia de seguridad, a la hora de decidir adoptar estos sistemas. Una de las últimas novedades en este sentido fue la confirmación, ocurrida a principios de mayo, de la implicación de “easyjson”, una biblioteca de software de código abierto, con los desarrolladores del grupo ruso VK, cuyo rendimiento y protagonismo se comparan a Facebook en ese país. Como la biblioteca se utiliza ampliamente en proyectos críticos como Kubernetes, Istio y Grafana, existe el temor de que pueda verse comprometida con fines geopolíticos a través de espionaje o ciberataques, especialmente en sectores sensibles como defensa y finanzas.
Para Rodrigo Gazola, CEO y fundador de ADDEE, empresa que lleva 30 años operando en el mercado de soluciones de gestión TI, el caso de “easyjson” es uno más que refuerza la preocupación de las empresas por las soluciones de código abierto. “El hecho de que estas estructuras tecnológicas sean públicas, lo que permite que cualquiera (incluidos los atacantes) las estudie y busque vulnerabilidades, es un factor de riesgo importante, especialmente porque la mayoría de las soluciones de código abierto no ofrecen soporte oficial gratuito, lo que puede dejar a las empresas completamente sin ayuda en situaciones críticas, confiando únicamente en foros y la comunidad”, afirma.
Gazola cita otros casos recientes relacionados con programas de código abierto. En diciembre del año pasado, el proyecto Ultralytics YOLO, una biblioteca de inteligencia artificial de código abierto, se vio comprometido a través de una vulnerabilidad en los scripts de automatización de GitHub Actions. Los atacantes aprovecharon esta falla para inyectar código malicioso en versiones distribuidas del software. Anteriormente, en octubre de 2024, los ciberdelincuentes publicaron cientos de paquetes maliciosos en el repositorio NPM, utilizando nombres similares a bibliotecas legítimas (una técnica conocida como typosquatting). El objetivo era engañar a los desarrolladores para que instalaran estos paquetes comprometidos, permitiendo que el código malicioso se ejecutara en sus sistemas.
Según él, este escenario preocupante ha provocado un aumento de la demanda de las empresas brasileñas por soluciones ofrecidas por fabricantes reconocidos como seguros y económicos. Al fin y al cabo, al elegir herramientas libres o de código abierto, las organizaciones se ven obligadas a lidiar con la complejidad de tener que desarrollar ellas mismas la configuración de gran parte de los sistemas, lo que consume tiempo y energía a cambio de un supuesto beneficio en la reducción del coste final pagado por la solución. Teniendo en cuenta que también hay que tener en cuenta los costes de hosting y mantenimiento, si estas plataformas abiertas añaden además el riesgo de fugas, la relación coste-beneficio se ve realmente comprometida.
El ejecutivo afirma haber detectado este movimiento de búsqueda de fabricantes en el mercado de proveedores de servicios de TI, conocidos como MSPs, debido a la receptividad de soluciones como HaloPSA y N-Able, ambas traídas a Brasil a través de asociaciones exclusivas entre ADDEE y marcas globales. Según Gazola, el hecho de que el producto se venda íntegramente en moneda local elimina la exposición al dólar, ofreciendo previsibilidad financiera en un mercado que depende en gran medida de contratos a largo plazo e ingresos recurrentes.
“Además de liberar a las empresas de la tarea de configurar soluciones y de las preocupaciones sobre los costos de alojamiento y mantenimiento, socios como HaloPSA y N-Able garantizan que las empresas no experimenten interrupciones causadas por cualquier tipo de mal uso de tecnologías abiertas y desprotegidas”, explica.
El CEO de ADDEE refuerza que la falta de planes de contingencia ante fallos o estafas realizadas utilizando programas de código abierto ha desincentivado su adopción y ha incentivado la búsqueda de alternativas más resilientes y que se ajusten a los presupuestos.
