{"id":8924,"date":"2022-06-16T09:00:00","date_gmt":"2022-06-16T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5090-2\/"},"modified":"2026-05-10T19:15:23","modified_gmt":"2026-05-10T19:15:23","slug":"seguridad-en-la-cadena-de-suministro-de-software-como-las-sbom-generan-la-transparencia-que-ha-faltado","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2022\/06\/16\/seguridad-en-la-cadena-de-suministro-de-software-como-las-sbom-generan-la-transparencia-que-ha-faltado\/","title":{"rendered":"Seguridad en la cadena de suministro de software: c\u00f3mo las SBOM generan la transparencia que ha faltado"},"content":{"rendered":"<p><strong>SolarWinds, Log4Shell, MOVEit  &#8211;  cada gran ataque a la cadena de suministro de los \u00faltimos a\u00f1os podr\u00eda haberse contenido m\u00e1s r\u00e1pidamente con una Lista de materiales de software (SBOM). Las SBOM enumeran cada componente del software y permiten determinar en minutos lo que sin ellas llevar\u00eda semanas: saber si uno est\u00e1 afectado.<\/strong><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li>La Orden Ejecutiva de EE.UU. 14028 hace obligatoria la SBOM para proveedores de agencias federales<\/li>\n<li>La Ley de Resiliencia Cibern\u00e9tica de la UE exige SBOM a partir de 2027 para todos los productos digitales<\/li>\n<li>Formatos: SPDX (Linux Foundation) y CycloneDX (OWASP)<\/li>\n<li>La NTIA define requisitos m\u00ednimos: Proveedor, Componente, Versi\u00f3n, Dependencia<\/li>\n<\/ul>\n<h2>Qu\u00e9 es exactamente una SBOM<\/h2>\n<p>Una SBOM es una lista legible por m\u00e1quina de todos los componentes del software: bibliotecas, frameworks, dependencias  &#8211;  con nombre, versi\u00f3n, licencia y origen. Es comparable a una lista de ingredientes en los alimentos: se sabe qu\u00e9 contiene.<\/p>\n<p>En la pr\u00e1ctica: cuando se descubre una nueva vulnerabilidad como Log4Shell, una empresa con SBOM puede determinar en minutos qu\u00e9 productos incluyen el componente afectado. Sin SBOM, comienza una b\u00fasqueda manual que puede durar semanas.<\/p>\n<h2>La presi\u00f3n regulatoria aumenta<\/h2>\n<p>Estados Unidos ha tomado la delantera: la Orden Ejecutiva 14028 obliga a los proveedores de software del gobierno federal a proporcionar SBOM. La UE sigue con la Ley de Resiliencia Cibern\u00e9tica (CRA), que exige SBOM a partir de 2027 para todos los productos digitales vendidos en la UE.<\/p>\n<p>Para las empresas de software alemanas y fabricantes de productos digitales, esto es una cuenta atr\u00e1s: quien no pueda entregar una SBOM en 2027, perder\u00e1 el acceso al mercado  &#8211;  tanto en Estados Unidos como en la UE.<\/p>\n<h2>Integraci\u00f3n en el proceso de desarrollo<\/h2>\n<p>Las SBOM no deben crearse a posteriori, sino generarse autom\u00e1ticamente durante el proceso de compilaci\u00f3n. Herramientas como Syft, Trivy, CycloneDX CLI o las herramientas SPDX se integran en las canalizaciones CI\/CD y generan SBOM con cada lanzamiento.<\/p>\n<p>El flujo de trabajo: la compilaci\u00f3n genera la SBOM, la SBOM se verifica contra bases de datos de vulnerabilidades (NVD, OSV), y si se detectan problemas cr\u00edticos, el lanzamiento se bloquea. Esto es DevSecOps en la pr\u00e1ctica  &#8211;  transparencia como est\u00e1ndar de calidad automatizado.<\/p>\n<h2>SBOM-Management: m\u00e1s que solo crearla<\/h2>\n<p>Generar una SBOM es solo el primer paso. El verdadero valor surge del manejo continuo de la SBOM: nuevas CVE se verifican autom\u00e1ticamente contra las SBOM existentes, los clientes reciben notificaciones proactivas si hay componentes afectados, y la SBOM se actualiza con cada nueva versi\u00f3n.<\/p>\n<p>Plataformas como Dependency-Track (OWASP, c\u00f3digo abierto) o soluciones comerciales como Anchore y Sonatype automatizan este ciclo de vida. El esfuerzo es reducido  &#8211;  el beneficio en caso de incidente, enorme.<\/p>\n<h2>Datos clave<\/h2>\n<p><strong>Transparencia:<\/strong> la SBOM reduce el tiempo de reacci\u00f3n ante nuevas CVE de semanas a minutos<\/p>\n<p><strong>Regulaci\u00f3n:<\/strong> la EO 14028 de EE.UU. y la CRA de la UE hacen obligatoria la SBOM hasta 2027<\/p>\n<p><strong>Adopci\u00f3n:<\/strong> la creaci\u00f3n de SBOM aument\u00f3 un 300 por ciento tras Log4Shell (Sonatype)<\/p>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfQu\u00e9 formato debo utilizar?<\/h3>\n<p>CycloneDX (OWASP) para SBOM centradas en seguridad, SPDX (Linux Foundation) para cumplimiento de licencias. Ambos formatos son legibles por m\u00e1quina y se pueden convertir entre s\u00ed. CycloneDX tiene mejor integraci\u00f3n con VEX (Vulnerability Exploitability eXchange).<\/p>\n<h3>\u00bfDebo crear SBOM para dependencias de c\u00f3digo abierto?<\/h3>\n<p>S\u00ed  &#8211;  precisamente aqu\u00ed reside el mayor beneficio. La mayor\u00eda de las aplicaciones modernas est\u00e1n compuestas en un 70-90 por ciento por componentes de c\u00f3digo abierto. Sin SBOM de estas dependencias, la gesti\u00f3n de vulnerabilidades es ciega.<\/p>\n<h3>\u00bfC\u00f3mo comparto SBOM con mis clientes?<\/h3>\n<p>Tres modelos: entrega directa con cada lanzamiento, acceso a un portal de SBOM o entrega bajo demanda. Es probable que la CRA exija la entrega proactiva. Establezca ahora un proceso antes de que entre en vigor la obligaci\u00f3n.<\/p>\n<h2>Art\u00edculos relacionados<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2025\/10\/23\/post_id-4973\/\">El c\u00f3digo abierto es el mayor riesgo de seguridad del mundo  &#8211;  y todos lo ignoramos<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2023\/07\/13\/post_id-5050\/\">Seguridad por dise\u00f1o en el desarrollo de software: por qu\u00e9 parchear a posteriori no es suficiente<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/es\/2023\/08\/02\/moveit-hack-anatomie-eines-supply-chain-angriffs-der-tausende-traf\/\">El hackeo de MOVEit: anatom\u00eda de un ataque a la cadena de suministro que afect\u00f3 a miles<\/a><\/li>\n<\/ul>\n<h2>M\u00e1s del ecosistema MBF Media<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.cloudmagazin.com\">Cloud Magazin<\/a>  &#8211;  Cloud, SaaS e infraestructura IT<\/li>\n<li><a href=\"https:\/\/www.mybusinessfuture.com\">myBusinessFuture<\/a>  &#8211;  Digitalizaci\u00f3n, IA y negocio<\/li>\n<li><a href=\"https:\/\/www.digital-chiefs.de\">Digital Chiefs<\/a>  &#8211;  Liderazgo estrat\u00e9gico a nivel C<\/li>\n<\/ul>\n<p><em>Fuente de imagen: Pexels \/ Mike Bird<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"SolarWinds, Log4Shell, MOVEit &#8211; cada gran ataque a la cadena de suministro de los \u00faltimos a\u00f1os podr\u00eda haberse contenido m\u00e1s r\u00e1pidamente con una Lista de materiales de software (SBOM). Las SBOM enumeran cada componente del software y permiten determinar en minutos lo que sin ellas llevar\u00eda semanas: saber si uno est\u00e1 afectado. En resumen La [&hellip;]","protected":false},"author":55,"featured_media":5089,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"Seguridad en la cadena de suministro de software: c\u00f3mo las SBOM generan la trans","_yoast_wpseo_metadesc":"SBOM: Garantiza transparencia y seguridad en tu software. Detecta vulnerabilidades antes de que sean explotadas. Implementa SBOM hoy y protege tu cadena de suministro.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5090-2","post_id-5090"],"footnotes":""},"categories":[253,225],"tags":[247],"class_list":["post-8924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad","category-innovation","tag-compliance"],"evm_reading_time_minutes":4,"wpml_language":"es","wpml_translation_of":5090,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8924"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8924\/revisions"}],"predecessor-version":[{"id":10712,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8924\/revisions\/10712"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5089"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}