{"id":22287,"date":"2026-07-14T11:00:00","date_gmt":"2026-07-14T11:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/07\/14\/que-es-una-sbom-lista-materiales-software\/"},"modified":"2026-07-16T17:26:55","modified_gmt":"2026-07-16T17:26:55","slug":"que-es-una-sbom-lista-materiales-software","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/07\/14\/que-es-una-sbom-lista-materiales-software\/","title":{"rendered":"\u00bfQu\u00e9 es una SBOM? La lista de materiales de software"},"content":{"rendered":"<div class=\"st-definition\">\n<p><strong>\u00bfQu\u00e9 es una SBOM?<\/strong> Una SBOM, abreviatura de Lista de Materiales de Software, es una lista legible por m\u00e1quinas de todos los componentes, bibliotecas y dependencias de un software, incluidas sus versiones. Responde a la pregunta de de qu\u00e9 est\u00e1 realmente compuesto un producto. Desde hace poco, tras Log4Shell y con el Cyber Resilience Act, la SBOM pasa de ser una nice-to-have a una requisito obligatorio para los fabricantes.<\/p>\n<\/div>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Lo m\u00e1s importante en resumen<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">\u00bfQu\u00e9 es:<\/strong> Una lista completa, legible por m\u00e1quinas, de todos los componentes de un software, comparable a una lista de ingredientes.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">\u00bfPara qu\u00e9:<\/strong> En caso de una nueva vulnerabilidad, se puede comprobar en minutos en lugar de d\u00edas qu\u00e9 productos contienen el componente afectado.<\/li>\n<li style=\"margin-bottom:0;\"><strong style=\"color:#69d8ed;\">\u00bfPor qu\u00e9 ahora:<\/strong> La Ley de Resiliencia Cibern\u00e9tica convierte la transparencia sobre los componentes de software en una obligaci\u00f3n para los fabricantes, implementada gradualmente hasta 2027.<\/li>\n<\/ul>\n<\/div>\n<h2>\u00bfPor qu\u00e9 se necesita una SBOM?<\/h2>\n<p>El software moderno est\u00e1 compuesto en gran medida por c\u00f3digo externo: bibliotecas de c\u00f3digo abierto, frameworks y dependencias que a su vez traen m\u00e1s dependencias. Sin una lista de piezas (SBOM), a menudo nadie sabe con precisi\u00f3n qu\u00e9 contiene un producto. Exactamente esta ceguera se convirti\u00f3 en un problema en Log4Shell, cuando la ampliamente utilizada biblioteca Log4j ten\u00eda una vulnerabilidad cr\u00edtica.<\/p>\n<p>La pregunta crucial entonces en cada empresa era: \u00bfQu\u00e9 de nuestras aplicaciones contiene Log4j en absoluto? Quien mantiene una SBOM por producto, responde mediante una consulta. Quien no la tiene, busca manualmente a trav\u00e9s de todo el panorama de software. La SBOM transforma una b\u00fasqueda que dura d\u00edas en una verificaci\u00f3n dirigida.<\/p>\n<div data-element=\"key_number\" style=\"background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:28px 24px;margin:32px 0;text-align:center;\">\n<div style=\"font-size:1.6em;font-weight:800;color:#69d8ed;line-height:1.05;word-break:keep-all;\">Log4Shell<\/div>\n<p style=\"margin:10px 0 0;font-size:0.92em;color:#e6e3da;\">La vulnerabilidad CVE-2021-44228 en la biblioteca Log4j hizo visible en 2021 cu\u00e1ntas organizaciones conoc\u00edan sus componentes de software<\/p>\n<p style=\"margin:6px 0 0;font-size:0.78em;color:#8fa3ab;\">Fuente: NIST NVD \/ BSI<\/p>\n<\/div>\n<h2>Qu\u00e9 constituye una SBOM adecuada<\/h2>\n<p>Una SBOM es m\u00e1s que un anexo PDF. Para aportar valor, debe ser legible por m\u00e1quinas y poder evaluarse autom\u00e1ticamente. Se han establecido dos formatos: SPDX del entorno Linux y CycloneDX del \u00e1mbito de la seguridad de aplicaciones. Ambos describen componentes, versiones y relaciones en una forma estructurada.<\/p>\n<p>Lo importante tambi\u00e9n es la actualidad. Una SBOM que solo se crea en el lanzamiento y nunca se actualiza queda obsoleta con cada actualizaci\u00f3n. Lo adecuado es generar la SBOM autom\u00e1ticamente en el proceso de compilaci\u00f3n, de modo que cada versi\u00f3n tenga su propia lista de componentes correcta. S\u00f3lo entonces se puede comparar confiablemente una nueva vulnerabilidad con el inventario.<\/p>\n<div data-element=\"checklist\" style=\"background:#23261f;border:1px solid rgba(105,216,237,0.22);border-radius:10px;padding:22px 24px;margin:32px 0;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 2px 10px rgba(0,0,0,0.22);\">\n<p style=\"margin:0 0 12px;font-family:'IBM Plex Mono',ui-monospace,SFMono-Regular,monospace;font-size:0.72em;letter-spacing:0.12em;text-transform:uppercase;color:#69d8ed;\">EL INICIO DE SBOM<\/p>\n<ul style=\"margin:0;padding-left:0;list-style:none;\">\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Generar la SBOM autom\u00e1ticamente en el proceso de compilaci\u00f3n, no mantenerla manualmente<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Elegir un formato legible por m\u00e1quina, como SPDX o CycloneDX<\/li>\n<li style=\"margin:0 0 10px;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Almacenar las SBOMs centralmente y compararlas con datos de vulnerabilidades<\/li>\n<li style=\"margin:0 0 0;padding-left:26px;position:relative;color:#e6e3da;line-height:1.5;\"><span style=\"position:absolute;left:0;color:#69d8ed;\">&#10003;<\/span>Exigir una SBOM de software adquirido<\/li>\n<\/ul>\n<\/div>\n<h2>Qu\u00e9 cambia con el Cyber Resilience Act<\/h2>\n<p>El Cyber Resilience Act (Reglamento (UE) 2024\/2847) obliga a los fabricantes de productos con elementos digitales a una mayor seguridad a lo largo de todo el ciclo de vida. La parte II del anexo I exige expl\u00edcitamente que los fabricantes elaboren una SBOM en un formato legible por m\u00e1quinas y ampliamente utilizado, que cubra al menos los componentes y dependencias de nivel superior. Es parte de la documentaci\u00f3n t\u00e9cnica y debe estar disponible para las autoridades de supervisi\u00f3n, sin que se requiera su publicaci\u00f3n a los usuarios finales.<\/p>\n<p>Las obligaciones se implementan de forma escalonada: las obligaciones de notificaci\u00f3n de vulnerabilidades activamente explotadas y de incidentes graves entrar\u00e1n en vigor el 11. septiembre de 2026, mientras que el resto de las obligaciones del CRA lo har\u00e1n el 11. diciembre de 2027. Para los fabricantes, esto significa establecer la SBOM como una parte fija del proceso de desarrollo. Quienes la integren desde el principio cumplen con las pr\u00f3ximas obligaciones con mucho menos esfuerzo que quienes la adopten despu\u00e9s.<\/p>\n<h2>C\u00f3mo una SBOM sigue viva en funcionamiento<\/h2>\n<p>Una SBOM (lista de componentes del software) solo muestra su valor durante la operaci\u00f3n activa. Cada d\u00eda aparecen nuevas vulnerabilidades, por eso la lista de materiales debe compararse continuamente con las bases de datos de vulnerabilidades actuales. S\u00f3lo este intercambio autom\u00e1tico convierte la lista est\u00e1tica en un sistema de alerta temprana que indica inmediatamente los productos afectados cuando surge una nueva brecha.<\/p>\n<p>Adem\u00e1s, se ha establecido el concepto VEX, abreviatura de Vulnerability Exploitability eXchange. Con ello, los fabricantes informan si una vulnerabilidad incluida en la SBOM es realmente exploitable en el producto concreto. Esto evita falsas alarmas cuando la biblioteca afectada est\u00e1 presente, pero el c\u00f3digo vulnerable no est\u00e1 activo. SBOM y VEX juntos ofrecen una visi\u00f3n realista de la superficie de ataque efectiva.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Preguntas frecuentes<\/h2>\n<p class=\"st-faq-hint\">Cada pregunta est\u00e1 bloqueada. Un toque desbloquea la respuesta.<\/p>\n<details>\n<summary><strong>\u00bfCu\u00e1l es la diferencia entre SPDX y CycloneDX?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Ambos son formatos de Software Bill of Materials (SBOM) consolidados. El SPDX proviene del entorno del c\u00f3digo abierto y est\u00e1 ampliamente estandarizado, mientras que CycloneDX se origin\u00f3 en el \u00e1mbito de la seguridad de aplicaciones. Ambos son legibles por m\u00e1quinas y aptos para comparar con bases de datos de vulnerabilidades.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfObliga el Acta de Resiliencia Cibern\u00e9tica a los SBOM?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed. El Anexo I Parte II del Reglamento (EU) 2024\/2847 obliga a los fabricantes a elaborar una lista de materiales de software (SBOM) legible por m\u00e1quina y a mantenerla en la documentaci\u00f3n t\u00e9cnica. La publicaci\u00f3n p\u00fablica a los clientes finales no est\u00e1 obligatoria.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfBasta con una SBOM una vez por producto?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No. Cada versi\u00f3n de software deber\u00eda tener su propia SBOM, porque los componentes y versiones cambian con cada actualizaci\u00f3n. Lo ideal es que se genere autom\u00e1ticamente durante el proceso de compilaci\u00f3n.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfAyuda un SBOM (Software Bill of Materials) contra ataques?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">No impide el ataque, pero reduce significativamente el tiempo de respuesta. Ante una nueva vulnerabilidad, la SBOM muestra de inmediato qu\u00e9 productos est\u00e1n afectados, en lugar de desencadenar una b\u00fasqueda manual laboriosa.<\/p>\n<\/details>\n<details>\n<summary><strong>\u00bfDebe exigirse la lista de materiales de software (SBOM) a los proveedores?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">S\u00ed. Quien compre o integre software debe exigir una SBOM (lista de materiales de software) para poder supervisar su propia cadena de suministro. Sin esta informaci\u00f3n, una parte del riesgo permanece invisible.<\/p>\n<\/details>\n<p><!--ST-LOWER-CARDS lang=es--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Selecci\u00f3n de la redacci\u00f3n<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/es\/2026\/07\/15\/dos-vulnerabilidades-joomla-lista-kev-cisa\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/joomla-icagenda-balbooa-kev-upload-rce-cover-hero-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">Recomendado<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Dos vulnerabilidades de Joomla en la lista KEV de CISA<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">M\u00e1s de la red MBF Media<\/h3>\n<p><a href=\"https:\/\/www.digital-chiefs.de\/es\/cinco-lugares-donde-se-rompe-el-software-de-la-cadena-de-suministro\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-fuenf-stellen-an-denen-supply-chain-soft-63885613-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#e8828d;margin-bottom:5px;\">Digital Chiefs<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Cinco lugares donde se rompe el software de la cadena de suministro<\/span><\/span><\/a><a href=\"https:\/\/www.cloudmagazin.com\/es\/2026\/07\/16\/flexera-2026-lo-que-la-pyme-realmente-puede-asumir\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-flexera-2026-was-der-mittelstand-wirklic-55519903.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#0bb7fd;margin-bottom:5px;\">cloudmagazin<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Flexera 2026: Lo que la pyme realmente puede asumir<\/span><\/span><\/a><a href=\"https:\/\/mybusinessfuture.com\/es\/pasaporte-digital-de-producto-que-deben-hacer-los-fabricantes\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-digitaler-produktpass-hersteller-pflicht-48690623-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Pasaporte digital de producto: qu\u00e9 deben hacer los fabricantes<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"Una SBOM es la lista legible por m\u00e1quina de todos los componentes de software. El Acta de Ciberresiliencia la exige como obligaci\u00f3n del fabricante.","protected":false},"author":10,"featured_media":22256,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"lista de materiales de software","_yoast_wpseo_title":"\u00bfQu\u00e9 es una SBOM? La lista de materiales de software","_yoast_wpseo_metadesc":"Una SBOM es la lista legible por m\u00e1quina de todos los componentes de software. El Acta de Ciberresiliencia la convierte en obligaci\u00f3n para fabricantes.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/was-ist-eine-sbom-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/was-ist-eine-sbom-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","evm_external_preview_token":"","evm_external_preview_expires":"","_evm_translation_lang":"es","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[265],"tags":[],"class_list":["post-22287","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheitslexikon-es"],"evm_reading_time_minutes":6,"wpml_language":"es","wpml_translation_of":22021,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22287","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=22287"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22287\/revisions"}],"predecessor-version":[{"id":22295,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/22287\/revisions\/22295"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/22256"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=22287"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=22287"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=22287"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}