{"id":8988,"date":"2026-01-28T09:00:00","date_gmt":"2026-01-28T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5319\/"},"modified":"2026-05-10T19:13:34","modified_gmt":"2026-05-10T19:13:34","slug":"seguridad-en-la-cadena-de-suministro-de-software-por-que-los-sbom-seran-imprescindibles-en-2026","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/es\/2026\/01\/28\/seguridad-en-la-cadena-de-suministro-de-software-por-que-los-sbom-seran-imprescindibles-en-2026\/","title":{"rendered":"Seguridad en la cadena de suministro de software: por qu\u00e9 los SBOM ser\u00e1n imprescindibles en 2026"},"content":{"rendered":"<p style=\"margin-bottom:12px;\"><span style=\"background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;font-weight:600;\">\u23f1 8 min de lectura<\/span><\/p>\n<p><strong>SolarWinds, Log4Shell, 3CX  &#8211;  la lista de ataques exitosos a la cadena de suministro de software se alarga cada a\u00f1o. Sonatype cifra el aumento de los ataques a componentes de c\u00f3digo abierto en m\u00e1s del 700 por ciento desde 2020. Al mismo tiempo, la Ley de Resiliencia Cibern\u00e9tica de la UE (CRA) har\u00e1 obligatorios los Software Bills of Materials (SBOM) a partir de 2027 para todos los productos digitales. Las empresas que no act\u00faen ahora se quedar\u00e1n pronto sin acceso al mercado.<\/strong><\/p>\n<h2>En resumen<\/h2>\n<ul>\n<li><strong>700 % m\u00e1s ataques a la cadena de suministro desde 2020:<\/strong> las dependencias de c\u00f3digo abierto son la puerta de entrada principal  &#8211;  una aplicaci\u00f3n utiliza de media m\u00e1s de 200 dependencias transitivas (Sonatype, 2025).<\/li>\n<li><strong>Ley de Resiliencia Cibern\u00e9tica de la UE (CRA):<\/strong> a partir de 2027, todos los productos digitales deber\u00e1n entregarse con SBOM, gesti\u00f3n de vulnerabilidades y actualizaciones de seguridad.<\/li>\n<li><strong>Integraci\u00f3n en DevSecOps:<\/strong> la generaci\u00f3n de SBOM, el escaneo de dependencias y la firma de contenedores deben integrarse en la CI\/CD  &#8211;  no en listas de verificaci\u00f3n manuales.<\/li>\n<\/ul>\n<h2>Anatom\u00eda de un ataque a la cadena de suministro<\/h2>\n<p>Los ataques a la cadena de suministro no apuntan al software en s\u00ed, sino a sus dependencias  &#8211;  bibliotecas, frameworks, herramientas de compilaci\u00f3n y componentes de infraestructura. El vector de ataque es especialmente eficaz porque un paquete comprometido se distribuye autom\u00e1ticamente a miles de usuarios finales.<\/p>\n<p>Los m\u00e9todos m\u00e1s comunes son: typosquatting (publicar un paquete con un nombre casi id\u00e9ntico al de uno popular), suplantaci\u00f3n de cuenta (tomar el control de la cuenta de un mantenedor de confianza), confusi\u00f3n de dependencias (sobrescribir un paquete interno con uno p\u00fablico del mismo nombre) y compromiso del sistema de compilaci\u00f3n (manipular el servidor de compilaci\u00f3n o la canalizaci\u00f3n CI\/CD).<\/p>\n<p>El incidente de 3CX en 2023 mostr\u00f3 todo su alcance: los atacantes comprometieron una biblioteca upstream utilizada por 3CX. El c\u00f3digo manipulado lleg\u00f3 al cliente de escritorio oficial de 3CX, usado por m\u00e1s de 600.000 empresas. La detecci\u00f3n tard\u00f3 semanas.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\"><p>\n  \u201eLas cadenas de suministro de software son el eslab\u00f3n m\u00e1s d\u00e9bil en la ciberseguridad. Las empresas conf\u00edan ciegamente en c\u00f3digo que no han escrito ni revisado  &#8211;  y que a menudo es mantenido por personas individuales no remuneradas.\u00bb<br \/>\n  <cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\"> &#8211;  <strong>Brian Behlendorf<\/strong>, Director General, Open Source Security Foundation (2025)<\/cite>\n<\/p><\/blockquote>\n<h2>SBOM, firmas y la Ley de Resiliencia Cibern\u00e9tica de la UE<\/h2>\n<p>Un Software Bill of Materials (SBOM) es un listado legible por m\u00e1quina de todos los componentes de un software  &#8211;  incluyendo versiones, licencias y vulnerabilidades conocidas. Los dos est\u00e1ndares principales son SPDX (Linux Foundation) y CycloneDX (OWASP). Ambos son funcionalmente equivalentes y est\u00e1n soportados por las principales herramientas.<\/p>\n<p>La Ley de Resiliencia Cibern\u00e9tica de la UE (CRA) har\u00e1 obligatorios los SBOM a partir de 2027 para todos los productos digitales vendidos en la UE. Los fabricantes deber\u00e1n gestionar activamente las vulnerabilidades, proporcionar actualizaciones de seguridad durante toda la vida \u00fatil del producto y entregar los SBOM a la ENISA. Esto afecta no solo a fabricantes de software, sino tambi\u00e9n a dispositivos IoT, sistemas de control industrial y productos de consumo conectados.<\/p>\n<p>La firma de c\u00f3digo y de artefactos complementa los SBOM: herramientas como Sigstore (Linux Foundation) permiten la firma criptogr\u00e1fica de artefactos de compilaci\u00f3n e im\u00e1genes de contenedores  &#8211;  de forma gratuita y transparente. As\u00ed, cualquier usuario puede verificar que un artefacto proviene efectivamente de la canalizaci\u00f3n de compilaci\u00f3n esperada y no ha sido manipulado.<\/p>\n<div class=\"evm-stat evm-stat-quote\" style=\"border-left:4px solid #69d8ed;background:#f8f9fa;padding:20px 24px;margin:32px 0;border-radius:0 8px 8px 0;\">\n<div style=\"font-size:32px;font-weight:700;color:#004a59;margin-bottom:8px;\">+ 700 %<\/div>\n<div style=\"font-size:14px;color:#444;line-height:1.5;\">Aumento de los ataques a la cadena de suministro sobre componentes de c\u00f3digo abierto desde 2020. De media, cada aplicaci\u00f3n contiene m\u00e1s de 200 dependencias transitivas.<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Sonatype State of the Software Supply Chain Report, 2025<\/div>\n<\/div>\n<h2>Canalizaci\u00f3n DevSecOps: seguridad como parte del proceso de compilaci\u00f3n<\/h2>\n<p>La seguridad en la cadena de suministro solo funciona si se integra en el proceso de desarrollo  &#8211;  no como auditor\u00eda posterior, sino como parte automatizada de la canalizaci\u00f3n CI\/CD:<\/p>\n<p><strong>Escaneo de dependencias:<\/strong> herramientas como Snyk, Grype o Dependabot escanean autom\u00e1ticamente todas las dependencias directas y transitivas en busca de CVE conocidos en cada compilaci\u00f3n. Las vulnerabilidades cr\u00edticas bloquean la compilaci\u00f3n  &#8211;  ning\u00fan merge sin correcci\u00f3n o aceptaci\u00f3n de riesgo documentada.<\/p>\n<p><strong>Generaci\u00f3n de SBOM:<\/strong> Syft (Anchore) o cdxgen generan autom\u00e1ticamente un SBOM en formato CycloneDX o SPDX en cada lanzamiento. El SBOM se almacena como artefacto de compilaci\u00f3n y puede entregarse a clientes o autoridades reguladoras.<\/p>\n<p><strong>Seguridad en contenedores:<\/strong> las im\u00e1genes de contenedores son especialmente vulnerables  &#8211;  una imagen base t\u00edpica contiene cientos de paquetes, muchos con vulnerabilidades conocidas. Trivy o Grype escanan im\u00e1genes antes del despliegue. Im\u00e1genes Distroless (Google) o Chainguard reducen radicalmente la superficie de ataque.<\/p>\n<p><strong>Firma de artefactos:<\/strong> cada artefacto de compilaci\u00f3n se firma con Sigstore\/Cosign. Los cl\u00fasteres de Kubernetes pueden aceptar solo im\u00e1genes firmadas mediante pol\u00edticas (por ejemplo, Kyverno, OPA Gatekeeper)  &#8211;  los despliegues sin firma se bloquean autom\u00e1ticamente.<\/p>\n<p>El esfuerzo de integraci\u00f3n es manejable: en una canalizaci\u00f3n existente de GitHub Actions o GitLab-CI, los pasos adicionales pueden implementarse en un d\u00eda. Las herramientas son de c\u00f3digo abierto y gratuitas.<\/p>\n<h2>Datos clave de un vistazo<\/h2>\n<h2>Preguntas frecuentes<\/h2>\n<h3>\u00bfQu\u00e9 es un SBOM?<\/h3>\n<p>Un Software Bill of Materials (SBOM) es un listado legible por m\u00e1quina de todos los componentes de un software  &#8211;  bibliotecas, frameworks, dependencias  &#8211;  incluyendo n\u00fameros de versi\u00f3n, licencias y vulnerabilidades conocidas. Equivalente a una lista de ingredientes para software.<\/p>\n<h3>\u00bfQu\u00e9 formato de SBOM deber\u00eda usar?<\/h3>\n<p>CycloneDX (OWASP) y SPDX (Linux Foundation) son los dos est\u00e1ndares consolidados. CycloneDX tiene mejor integraci\u00f3n con vulnerabilidades, SPDX es m\u00e1s fuerte en an\u00e1lisis de licencias. Para enfoque en seguridad se recomienda CycloneDX, para enfoque en cumplimiento, SPDX. La mayor\u00eda de herramientas soportan ambos.<\/p>\n<h3>\u00bfCu\u00e1ndo entra en vigor la Ley de Resiliencia Cibern\u00e9tica de la UE?<\/h3>\n<p>El CRA fue aprobado en 2024. Los fabricantes tienen un periodo de transici\u00f3n hasta 2027 para adaptar sus productos. A partir de entonces, todos los productos digitales en la UE deber\u00e1n entregarse con SBOM, gesti\u00f3n activa de vulnerabilidades y actualizaciones de seguridad.<\/p>\n<h3>\u00bfC\u00f3mo empiezo con la seguridad en la cadena de suministro?<\/h3>\n<p>Tres medidas inmediatas: 1) Integrar escaneo de dependencias en la CI\/CD (Snyk, Dependabot  &#8211;  disponibles niveles gratuitos). 2) Automatizar la generaci\u00f3n de SBOM (Syft, cdxgen). 3) Escanear im\u00e1genes de contenedores con Trivy. Todo junto puede implementarse en un d\u00eda.<\/p>\n<h3>\u00bfQu\u00e9 es Sigstore?<\/h3>\n<p>Sigstore es un proyecto de c\u00f3digo abierto de la Linux Foundation para la firma criptogr\u00e1fica de artefactos de software. Permite a los desarrolladores firmar c\u00f3digo, im\u00e1genes de contenedores y otros artefactos de forma gratuita  &#8211;  sin necesidad de infraestructura PKI propia. Las firmas son transparentes y verificables p\u00fablicamente.<\/p>\n<h3>\u00bfSon los componentes de c\u00f3digo abierto m\u00e1s inseguros que los propietarios?<\/h3>\n<p>No necesariamente  &#8211;  pero son m\u00e1s visibles para los atacantes. El c\u00f3digo es p\u00fablico, lo que ayuda tanto a atacantes como a defensores. El principal riesgo reside en proyectos descuidados con mantenedores individuales. Herramientas como OpenSSF Scorecard eval\u00faan autom\u00e1ticamente la madurez en seguridad de proyectos de c\u00f3digo abierto.<\/p>\n<h2>M\u00e1s art\u00edculos sobre el tema<\/h2>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/es\/2023\/06\/14\/post_id-3575\/\">EU Cyber Resilience Act: Qu\u00e9 les espera a los fabricantes<\/a><\/p>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/es\/2025\/05\/08\/post_id-3599\/\">Passkeys 2025: Gu\u00eda para su implementaci\u00f3n empresarial<\/a><\/p>\n<h2>Lectura recomendada en la red<\/h2>\n<p>Cloud &#038; DevOps: Buenas pr\u00e1cticas de seguridad en contenedores (CloudMagazin)<\/p>\n<p>Desarrollo de software: DevSecOps: Seguridad en el desarrollo de software (MBF)<\/p>\n<p style=\"text-align: right;\"><em>Fuente de imagen: Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"\u23f1 8 min de lectura SolarWinds, Log4Shell, 3CX &#8211; la lista de ataques exitosos a la cadena de suministro de software se alarga cada a\u00f1o. Sonatype cifra el aumento de los ataques a componentes de c\u00f3digo abierto en m\u00e1s del 700 por ciento desde 2020. Al mismo tiempo, la Ley de Resiliencia Cibern\u00e9tica de la [&hellip;]","protected":false},"author":50,"featured_media":5318,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"Seguridad en la cadena de suministro de software: por qu\u00e9 los SBOM ser\u00e1n impresc","_yoast_wpseo_metadesc":"SBOM: mejora la seguridad de tu software y previene ciberataques en la cadena de suministro. Descubre c\u00f3mo implementarlos hoy.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5319"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-8988","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":7,"wpml_language":"es","wpml_translation_of":5319,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=8988"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8988\/revisions"}],"predecessor-version":[{"id":10739,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/8988\/revisions\/10739"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/5318"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=8988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=8988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=8988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}