En resumen: La Unión Europea aprobó el Cyber Resilience Act en 2024, una ley que exige requisitos de ciberseguridad a cualquier producto digital comercializado en Europa, incluido el software de código abierto. Empresas y desarrolladores hispanohablantes que operen o vendan en la UE tienen hasta 2027 para cumplir, bajo pena de multas de hasta 15 millones de euros o el 2,5% de su facturación global anual.
Nuevas leyes europeas como el Cyber Resilience Act obligan a cambiar cómo se crea y distribuye código abierto. Esto afecta a empresas y programadores de toda Hispanoamérica que venden o operan en Europa.
Qué es el Cyber Resilience Act y por qué cambia las reglas del código abierto
El Cyber Resilience Act (CRA) es una ley de la Unión Europea aprobada en 2024 que obliga a cualquier fabricante o distribuidor de productos digitales a cumplir estándares mínimos de ciberseguridad antes de llegar al mercado europeo. No importa dónde esté registrada la empresa: si tu software se vende o distribuye en la UE, la norma aplica.
Lo que hace distinto al CRA respecto a otras regulaciones anteriores es su alcance sobre el código abierto. Hasta ahora, el software libre operaba en una especie de zona gris legal. Con esta ley, esa zona desaparece para cualquier proyecto que tenga dimensión comercial.
La Open Source Initiative (OSI) y la Linux Foundation Europe estuvieron entre las organizaciones que más presionaron durante la negociación del texto para proteger a los proyectos comunitarios sin fines de lucro. Consiguieron una exención parcial: el software open source desarrollado sin ánimo comercial queda fuera del CRA. El problema es que la línea entre «comunitario» y «comercial» es mucho más difusa de lo que parece.
—
Por qué está sonando ahora entre desarrolladores y empresas tech hispanohablantes
El CRA entró en vigor formalmente en diciembre de 2024, tras su publicación en el Diario Oficial de la UE, y el reloj de los 36 meses de adaptación ya está corriendo. Eso significa que el plazo límite para cumplir es finales de 2027, y muchas empresas tecnológicas hispanohablantes todavía no saben que les afecta.
El debate lleva sonando en comunidades de desarrollo desde 2023, cuando se filtraron los borradores más restrictivos del texto. Foros como GitHub Discussions, listas de correo de proyectos Apache y espacios de la comunidad Python en español llenaron páginas con análisis y alarma. El miedo concreto: que cualquier librería publicada en npm, PyPI o similares pudiera quedar sujeta a obligaciones que un desarrollador individual no puede asumir.
La versión final del CRA moderó ese extremo, pero no lo eliminó. Si una startup mexicana usa una librería open source propia dentro de un producto que vende a empresas europeas, esa librería entra en el perímetro regulatorio. Eso es nuevo, y es real.
—
Por qué debería importarte si estás en España, México, Argentina o cualquier país hispanohablante
España aplica el CRA de forma directa al ser Estado miembro de la UE; para el resto de países hispanohablantes, la ley actúa como barrera de entrada al mercado europeo. Si quieres vender software, SaaS o productos tecnológicos en Europa, debes cumplir.
El mercado digital europeo no es opcional para muchas empresas tech de la región. Según datos de la Comisión Europea, el mercado único digital europeo mueve más de 415.000 millones de euros anuales. Para startups de Ciudad de México, Buenos Aires o Bogotá con ambición global, Europa es destino prioritario.
Hay otro ángulo que se pasa por alto: los desarrolladores freelance. Un programador argentino que mantiene una librería open source usada por empresas europeas puede verse afectado si esa librería forma parte de un producto comercial. No necesitas tener una empresa constituida en Europa para que el CRA te toque.
La Linux Foundation Europe estima que decenas de miles de proyectos open source activos podrían necesitar revisar su modelo de distribución para clarificar si quedan dentro o fuera del alcance del CRA. Esa auditoría no es automática: alguien tiene que hacerla.
—
Lo que necesitas saber: fechas, obligaciones y cómo prepararte
El plazo para cumplir con el Cyber Resilience Act en su totalidad vence en 2027, pero algunas obligaciones de reporte de vulnerabilidades se adelantan a septiembre de 2026. No es tan lejano como parece si tu empresa todavía no ha auditado su cadena de suministro de software.
Estas son las obligaciones concretas que debes conocer:
- SBOM (Software Bill of Materials): documentar todos los componentes de software que usa tu producto, incluyendo dependencias open source. Es el equivalente a la lista de ingredientes de un producto alimentario.
- Gestión de vulnerabilidades: notificar a las autoridades europeas cualquier vulnerabilidad activamente explotada en un plazo de 24 horas desde que la detectes.
- Ciclo de vida seguro: garantizar actualizaciones de seguridad durante todo el período de soporte declarado del producto.
- Marcado CE digital: los productos de mayor riesgo necesitarán certificación de terceros antes de poder comercializarse en la UE.
- Multas por incumplimiento: hasta 15 millones de euros o el 2,5% de la facturación global anual, lo que sea mayor, para infracciones graves.
El primer paso práctico para cualquier empresa o desarrollador hispanohablante es simple: hacer una lista de todos los componentes open source que usa en sus productos y verificar si alguno tiene dimensión comercial en el mercado europeo. No es glamuroso, pero es lo que diferencia a los que llegan preparados a 2027 de los que llegan con multas.
Organizaciones como la Open Source Initiative y la Linux Foundation Europe están publicando guías de cumplimiento. Son el mejor punto de partida, y son gratuitas. Ignorar el CRA porque «suena a cosa de Europa» es exactamente el error que cometen las empresas que luego no pueden escalar hacia ese mercado.
—
Preguntas frecuentes sobre el Cyber Resilience Act y el código abierto
¿Qué es el Cyber Resilience Act de la UE y a quién afecta?
El Cyber Resilience Act es una ley europea aprobada en 2024 que obliga a fabricantes y distribuidores de productos digitales —incluyendo software de código abierto comercializado— a cumplir requisitos de ciberseguridad. Afecta a cualquier empresa o desarrollador que venda o distribuya productos tecnológicos en el mercado europeo, sin importar dónde esté ubicado: puede ser desde Madrid hasta Ciudad de México.
¿Las leyes europeas pueden afectar a desarrolladores de México, Argentina o España?
Sí. Si una empresa o freelance hispanohablante distribuye software en la UE —aunque opere desde Buenos Aires o Bogotá— queda sujeto a estas regulaciones. España, al ser país miembro, aplica la normativa de forma directa; el resto de países hispanohablantes deben cumplirla para poder acceder al mercado europeo, que mueve más de 415.000 millones de euros anuales en el ámbito digital.
¿El código abierto gratuito también está regulado por el CRA?
El CRA exime al software de código abierto desarrollado sin ánimo comercial. Pero si ese código se monetiza o forma parte de un producto comercial, las obligaciones aplican. La distinción entre «comunitario» y «comercial» es el punto más debatido por la comunidad open source desde 2023, cuando se discutieron los primeros borradores del texto.
¿Qué debe hacer ahora una empresa tech hispanohablante que opera en Europa?
Auditar qué componentes de código abierto usa en sus productos, documentar su cadena de suministro de software mediante un SBOM, y adaptar sus procesos de seguridad antes de 2027, cuando el CRA entra en vigor pleno. Ignorarlo puede suponer multas de hasta 15 millones de euros o el 2,5% de la facturación global anual. Las guías de la Linux Foundation Europe y la Open Source Initiative son el mejor punto de partida.
