El anuncio se vende como filantropía técnica. Sin embargo, conviene leerlo como lo que es: un nuevo mercado. IBM y Red Hat presentaron Project Lightwell, un compromiso de 5.000 millones de dólares y más de 20.000 ingenieros para reforzar la seguridad del software de código abierto, según el comunicado conjunto —Red Hat es de IBM desde 2019—.
El plan crea lo que las empresas llaman una “cámara de compensación” de confianza, o lo que se traduce en un punto donde reportar vulnerabilidades, recibir parches validados para entornos de producción y coordinar su divulgación con las comunidades upstream. Esas capacidades se ofrecerán mediante suscripciones comerciales. Entre los primeros adoptantes figuran Bank of America, Citi, Goldman Sachs, JPMorgan, Mastercard y Visa, según la misma fuente. Arvind Krishna, presidente de IBM, lo describió como “un nuevo modelo de industria” para asegurar el código abierto “en su origen y en toda la cadena de suministro”.
El problema que dicen resolver es real y está bien documentado. Más del 90 por ciento de las empresas del Fortune 500 dependen de software de código abierto, según datos citados en el comunicado. Y la superficie de riesgo crece. IBM y Red Hat señalan que un modelo de IA de Anthropic identificó cerca de 3.900 vulnerabilidades graves o críticas en proyectos de código abierto. La misma IA que la industria celebra para automatizar redes sirve también para detectar fallos de seguridad a una velocidad que ningún equipo humano podía igualar.
¿Es nuevo el problema, o solo el modelo de negocio? Lo segundo. La fragilidad del código abierto quedó expuesta con el intento de puerta trasera en XZ Utils en 2024, un caso que mostró cómo un único componente comprometido podía poner en riesgo infraestructuras críticas en todo el mundo. Desde entonces, la Open Source Security Foundation lanzó nuevas plataformas de inteligencia de amenazas, mientras que el informe OSSRA 2026 de Black Duck advirtió de un fuerte aumento de vulnerabilidades en componentes de código abierto en paralelo al crecimiento de herramientas de IA capaces de generar software a gran escala. Dicho de otro modo, el incendio venía anunciado. Lo que cambia es que IBM y Red Hat proponen apagarlo mediante una suscripción.
Hay un detalle que merece atención. Mientras buena parte del sector tecnológico utiliza la IA para reducir costes y automatizar tareas de ingeniería, IBM y Red Hat hacen exactamente lo contrario y presentan una fuerza de más de 20.000 ingenieros como un activo estratégico premium. Apuestan a que la confianza —y no la automatización por sí sola— será el producto que las grandes empresas estarán dispuestas a pagar.
La pregunta que queda abierta es de gobernanza. El software libre se sostuvo durante décadas sobre mantenedores voluntarios, fundaciones y contribuciones corporativas. Convertir su seguridad en un servicio de suscripción puede resolver un problema de incentivos económicos, pero también concentra una parte creciente de la confianza del ecosistema en un reducido número de actores comerciales.
Durante décadas, el código abierto se sostuvo sobre la confianza. IBM y Red Hat creen que ha llegado el momento de monetizarla. Para las telcos, que llevan años buscando nuevas formas de monetizar activos que siempre dieron por descontados, quizá haya una lección interesante escondida detrás de este anuncio.
