Preocupación por la Ley de Resiliencia Cibernética (CRA) de la Unión Europea


WordPress, el sistema de gestión de contenidos de código abierto más popular del mundo, reconoce la iniciativa de la Unión Europea de reforzar la ciberseguridad de los productos digitales de hardware y software con la Ley de Resiliencia Cibernética (CRA). Es encomiable el esfuerzo de la Ley por contrarrestar la creciente amenaza de ciberataques y promover un uso informado de los productos digitales con mayores actualizaciones de seguridad y transparencia.

Aunque apoyamos plenamente los objetivos de la CRA, nos preocupan las implicaciones de la Ley sobre el software de código abierto debido a la falta de claridad de sus términos y definiciones.

En concreto, la prohibición del «software inacabado» y la ambigua definición de «actividad comercial» de la Ley podrían inhibir inadvertidamente la innovación y la participación económica en el panorama digital europeo.

Los proyectos de código abierto, como WordPress, a menudo se basan en actualizaciones y mejoras continuas, un proceso que técnicamente puede caer bajo la etiqueta de «inacabado». Además, la ambigua definición de «actividad comercial» podría abarcar involuntariamente proyectos de código abierto impulsados en gran medida por comunidades y que funcionan sin ánimo de lucro.

Nuestra carta a la Comisión Europea

Hemos redactado conjuntamente una carta abierta en la que abordamos estas preocupaciones junto con otros proyectos de código abierto como Drupal, Joomla!1 y TYPO31. La carta hace hincapié en la importante contribución del software libre y de código abierto (FOSS) a la economía de la UE y en cómo la normativa propuesta podría socavar estos esfuerzos. Nuestro objetivo común es seguir reforzando la seguridad de los productos digitales sin comprometer los valores de libertad, democracia e innovación inherentes tanto a la comunidad del software libre como a los objetivos y valores de la UE.

La carta invita a la Comisión de la UE y a las partes interesadas a participar en un seminario en Bruselas para debatir cómo podemos alinear los objetivos de la CRA con las realidades y necesidades de la comunidad del software libre. Somos optimistas y creemos que, con comprensión y cooperación mutuas, podemos conseguir productos digitales seguros sin limitar las contribuciones vitales de los proyectos de código abierto.

Puedes leer, a continuación, una traducción al español del contenido de la carta.


Carta abierta sobre la importancia del software libre y de código abierto en la propuesta de Ley de Resiliencia Cibernética de la UE

25 de julio de 2023

Estimados legisladores de la UE,

Representamos a los CMS (Sistemas de Gestión de Contenidos) libres y de Código Abierto que impulsan más de la mitad de los sitios web europeos y que garantizan una economía europea de la innovación competitiva.

Nuestras plataformas de publicación web permiten a los europeos expresarse y colaborar más allá de las fronteras nacionales a través de las comunicaciones y el comercio mundiales. Los sistemas de gestión de contenidos de código abierto son la ventana digital del mundo a la UE. En pocas palabras, el Software Libre y de Código Abierto es la encarnación de los valores de la Unión Europea: colaboración transfronteriza en herramientas innovadoras para garantizar una economía europea más competitiva y una sociedad democrática.

Como representantes de las principales comunidades de Sistemas de Gestión de Contenidos (CMS) de Software Libre y de Código Abierto (FOSS) en Europa y en todo el mundo, elogiamos el objetivo de mejorar la seguridad y la calidad del hardware y el software europeos a través de la Ley de Resiliencia Cibernética (CRA).

Sin embargo, en su forma actual, los reglamentos propuestos corren el riesgo de reducir la seguridad del software, así como de socavar los objetivos y valores fundamentales de la UE, como explicamos a continuación.

También compartimos las preocupaciones de otros2 sobre el impacto adverso que la normativa propuesta podría tener en el desarrollo y la actividad del software libre en la UE, una contribución anual de miles de millones de euros a la economía, la innovación y la prosperidad de la UE que también promueve los objetivos y valores de la UE.

Los sistemas de gestión de contenidos web de software libre son esenciales para poner en práctica los objetivos y valores de la UE. Nuestro objetivo es que cree un marco normativo y legislativo que estimule la actividad económica y la libertad personal en la UE, sin perjudicar a las decenas de millones de sitios web de la UE que funcionan con nuestro software —incluidos los gestionados por muchos gobiernos y empresarios europeos— ni a las comunidades de software que hay detrás de ellos. La seguridad del software no debe depender del software propietario que poseen y gestionan gigantes tecnológicos no europeos. Más bien debería lograrse fomentando y adoptando la tecnología libre y de código abierto.

Nos gustaría invitarles a un diálogo sobre cómo aprovechar el software libre para alcanzar mejor los objetivos de resiliencia cibernética y promover los valores y competencias fundamentales de la UE.

1. Los CMS de código abierto apoyan y encarnan los objetivos europeos

Los productos de software libre y las comunidades que hay detrás de ellos, a las que representamos, fomentan la cooperación pacífica y ejemplifican los objetivos y valores fundamentales de la UE, entre los que se incluyen la dignidad humana, la libertad, la democracia, la igualdad y el mantenimiento de una economía de mercado competitiva.

Además, nuestras plataformas de publicación web en su función, y el propio Software Libre y de Código Abierto, están explícitamente diseñados para promover estos objetivos a través de su filosofía, licencia y práctica (véase «Las cuatro libertades» más abajo).

1.a. Objetivo de la UE: COMPETENCIA DE MERCADOS

  • FOSS mantiene la competitividad de los mercados tecnológicos y los sitios web europeos. Los sitios web representan el corazón de la comunicación digital y la actividad económica en línea. Sin el software libre —sin nuestros sistemas de gestión de contenidos de código abierto— el mercado europeo estaría a merced de grandes oligopolios tecnológicos, en su mayoría estadounidenses, basados en código propietario de caja negra que ahoga la innovación europea.
  • El software libre impulsa la innovación en Europa. Cientos de miles de colaboradores de software libre de todo el mundo actualizan y mejoran continuamente el software que utilizan para ejecutar sus plataformas digitales de misión crítica. En el momento en que surge un nuevo problema social, científico, empresarial o tecnológico, es probable que alguien desarrolle sitios web y ofertas de servicios basados en uno o más de nuestros CMS. Dado que el software libre permite a los individuos actuar, las soluciones pueden estar disponibles de forma rápida e independiente.
  • Los europeos confían en el software de código abierto para potenciar su innovación.

1.b. Valor de la UE: DIGNIDAD HUMANA

  • Medios de vida: El software libre capacita a los ciudadanos de la UE en la economía digital. Los sitios web creados en nuestras plataformas son usados por empresarios individuales y grandes empresas, ONG e instituciones, por igual, con el apoyo de proveedores de servicios independientes.
  • La participación generalizada de empresarios, desarrolladores, comunicadores y diseñadores en las comunidades de software libre contribuye al bienestar ciudadano, el empleo, la igualdad y el progreso social.

1.c. Valor UE: IGUALDAD

  • Soluciones de alta calidad para todos. FOSS ofrece las mejores soluciones de comunicación digital accesibles a entidades de todos los tamaños, desde grandes empresas hasta las más pequeñas ONG, escuelas e instituciones. Esto promueve el desarrollo sostenible, el progreso científico y tecnológico, y apoya el crecimiento de una economía de mercado competitiva en toda Europa.
  • Las soluciones libres y de código abierto son libres de usar, entender, cambiar y reutilizar.
  • No hay dependencia del proveedor. Los consumidores y sus datos son libres de cambiar o abandonar las plataformas FOSS.
  • Las «Cuatro Libertades» que definen el Software Libre y de Código Abierto representan un campo de juego abierto e igualitario para cualquiera que quiera utilizarlo. Nuestras licencias de software y prácticas comunitarias se basan en cuatro libertades fundamentales que lo distinguen en la teoría y en la práctica de otros modelos económicos:
    • Libertad de uso: Cualquiera puede emplear el software para cualquier fin, en cualquier lugar y de forma indefinida.
    • Libertad de estudio: Cualquiera puede examinar los mecanismos subyacentes y la funcionalidad del software.
    • Libertad de modificación: Cualquiera puede adaptar y mejorar el software según sus necesidades.
    • Libertad para compartir: Cualquiera puede distribuir, vender y contribuir libremente a la comunidad del software.

1.d. Valores de la UE: DEMOCRACIA, LIBERTAD

  • El software libre fomenta la colaboración democrática —un principio inherente y un incentivo económico que promueve la paz, la solidaridad y el respeto mutuo entre las personas— en diversas comunidades internacionales de práctica.
  • El software libre proporciona herramientas de comunicación digital accesibles para todos que igualan las condiciones y permiten el comercio libre y justo, la erradicación de la pobreza y los derechos humanos fundamentales.
  • El software libre amplía la libertad de expresión. Cualquiera puede utilizar el software libre para hacerse oír: pequeñas y grandes empresas, disidentes y activistas, organismos gubernamentales y organizaciones comunitarias de voluntarios que no pueden permitirse costosos sistemas comerciales.

1.e. RESILIENCIA CIBERNÉTICA: Seguridad

Nuestros CMS de software libre son de misión crítica y se someten a pruebas exhaustivas.

  • Nuestro software CMS de código abierto alimentan más de la mitad de los sitios web europeos, incluidos, entre otros, numerosos sitios web gubernamentales, empresariales e institucionales de misión crítica.
  • Son desarrollados y mantenidos por cientos de miles de desarrolladores de software en comunidades profesionales de práctica para millones de usuarios finales.
  • Cada versión de nuestras plataformas de publicación web CMS es rigurosamente probada por
    • Nuestros propios equipos de seguridad durante el desarrollo,
    • Nuestras propias comunidades profesionales de agencias y desarrolladores (que dependen de él para su subsistencia) antes de su lanzamiento,
    • Y por miles de profesionales de la seguridad que trabajan para los mencionados gobiernos, empresas e instituciones tras la disponibilidad general.
  • En el momento de su lanzamiento final, nuestros CMS de código abierto tienen más posibilidades de ser seguros que el software que sólo prueba un número limitado de desarrolladores dentro de una empresa de software propietario.
  • Decenas de miles de desarrolladores están capacitados para identificar y corregir posibles vulnerabilidades, ya que todo el código del software libre se pone a disposición del público, a diferencia del código del software propietario, que se mantiene en secreto.

2. La Ley de Resiliencia Cibernética pone en peligro los valores y la economía europeos

La forma actual de la CRA plantea retos y cuestiones difíciles que deben abordarse. Los siguientes puntos destacan algunas de nuestras principales preocupaciones:

2.a. Definiciones de «actividad comercial» poco claras y problemáticas

La actual exención no comercial en la normativa propuesta no tiene en cuenta la intrincada red de relaciones que sustentan el software libre y sus funciones en la economía digital, incluyendo vendedor-consumidor, editor-distribuidor, colaborador-consumidor, individuo-empresa-institución, y más.

  • Empresas y organizaciones independientes reciben financiación para desarrollar componentes de software FOSS y distribuirlos libremente.
  • Los particulares desarrollan y distribuyen componentes de software libre de forma gratuita mientras cobran una tarifa nominal por los servicios de soporte.
  • Los clientes contratan a agencias de desarrollo de software para desarrollar nuevas funciones que se integran en una base de código de software libre más amplia.
  • Los miembros de la comunidad del software libre mejoran voluntariamente y contribuyen al software existente sin coste alguno en su tiempo libre. Posteriormente, utilizan el mismo software en sus lugares de trabajo (organismos públicos, organizaciones benéficas y ONG, empresas de todos los tamaños, etc.), que se benefician de su tiempo y esfuerzo.
  • Una asociación sin ánimo de lucro afiliada a un proyecto de software libre puede actuar como vendedor oficial de una aplicación específica de software libre, proporcionando apoyo financiero para su desarrollo. Sin embargo, la asociación ni vende productos o servicios basados en la aplicación ni participa directamente en su desarrollo, que corre a cargo de voluntarios.

Riesgos y efectos negativos para la UE: Los particulares, las pymes y las instituciones se verán obstaculizados por enormes cargas administrativas o por un efecto paralizador de sus actividades (y una posible carrera hacia los gigantes tecnológicos estadounidenses) por miedo a arriesgarse a sanciones en virtud de la CRA.

2.b. Defectos en la noción de «software inacabado»

La prohibición propuesta de publicar «software inacabado» contradice la realidad del desarrollo moderno de software, ya sea de código abierto o no. Las primeras versiones, como las versiones alfa y beta, son esenciales para el desarrollo, la innovación y la seguridad. Estas «versiones preliminares» se marcan en consecuencia y se entienden en la industria como versiones inacabadas (no finales, iniciales) que necesitan ser probadas por nuestras grandes comunidades de usuarios expertos y profesionales antes de ser publicadas como software final.

Esta práctica, bien entendida y probada a lo largo del tiempo, forma parte del sistema de controles y equilibrios del mundo del desarrollo de software para evitar la publicación de programas inseguros. El principio de «muchos ojos» de las partes interesadas que realizan decenas o cientos de miles de rondas de pruebas significa que los CMS de código abierto suelen tener más posibilidades de ser seguros en sus versiones finales que el software que sólo prueba un número limitado de desarrolladores dentro de una empresa de software propietario.

Riesgos y efectos negativos para la UE: Tales restricciones como las sugeridas en el CRA potencialmente

  • Forzarán la publicación de software menos seguro,
  • Disminuirán la competitividad internacional de las empresas de la UE,
  • Y son contradictorias con los valores de libertad de la UE, incluida la libertad de expresión, movimiento e ideas.

2.c. El proyecto de CRA ignora la naturaleza colaborativa y modular de la economía digital global, el desarrollo del software que la impulsa y los vínculos inextricables de la UE con ambos.

La mayoría de las aplicaciones informáticas de la economía de la UE se basan en aplicaciones, sistemas operativos y bibliotecas de código de FOSS ya existentes. El software libre se desarrolla, publica, distribuye y actualiza continuamente a través de la cooperación internacional independiente. La estructura técnica de Internet no permite en la práctica un modelo de desarrollo y distribución de software libre UE/no UE.

Obstaculizar la colaboración internacional en favor de un modelo de desarrollo de software exclusivo de la UE (aunque fuera posible), deja fuera de juego a las instituciones de la UE, a todos los niveles de gobierno de la UE y a todas las partes de la economía conectadas a las tecnologías digitales hoy en día. En nuestra opinión, esto incluye a toda la economía de la UE, tanto a los que gestionan directamente sitios web y servicios como a los que se benefician de su inclusión en los numerosos motores de búsqueda, mapas en línea y recomendaciones en línea.

Riesgos y efectos negativos para la UE: Una vez más, el temor a incumplir involuntariamente complejas normativas que ignoran o contradicen la naturaleza interconectada de la realidad digital moderna en los negocios y el desarrollo de software tendrá un efecto paralizador en la innovación y la participación económica europeas.

2.d. Desventajas para las pymes de la UE

El panorama europeo del software libre está formado principalmente por pequeñas y medianas empresas (PYME). Imponer a las pymes requisitos de cumplimiento estrictos, similares a los impuestos a las grandes empresas, supondría una carga desproporcionada. Las tareas administrativas relacionadas con el cumplimiento desviarían recursos de la innovación y obstaculizarían la capacidad de las pymes para competir, lo que podría alejar a las empresas de Europa.

Riesgos y efectos negativos para la UE: Como han mencionado muchos otros comentaristas (véase la nota a pie de página n.º 2), las grandes empresas y las empresas de clase empresarial pueden ser las únicas capaces de soportar de forma rentable la carga administrativa que supone el cumplimiento de la CRA, sofocando la innovación, el espíritu empresarial y los medios de vida económicos de la UE.

2.e. Responsabilidad jurídica de los productos de software libre no contabilizados

Nuestros CMS de código abierto y otros proyectos de software libre llevan en desarrollo más de dos décadas e implican contribuciones de miles de personas. Establecer la responsabilidad legal del cumplimiento de la normativa se convierte en un reto increíble en este contexto.

Al mismo tiempo, estas bases de código FOSS son vitales para la economía de la UE, y prohibir su uso tendría graves consecuencias económicas y técnicas.

Riesgos y efectos negativos para la UE: Repetimos, las bases de código de software libre son vitales para la economía de la UE, y prohibir su uso tendría graves consecuencias económicas y técnicas.

3. Recomendaciones

Para garantizar el éxito continuado del software libre y su alineación con los objetivos y valores de la UE, proponemos las siguientes medidas:

3.a. Aclarar la exención de la CRA para las FOSS

La naturaleza de los intrincados y diversos modelos económicos dentro del ecosistema del software libre (véase más arriba) nos lleva a la conclusión de que el software liberado bajo licencias compatibles con el software libre —y los productos comerciales, propietarios o de código abierto construidos sobre ellas— requieren una aclaración de la exención del considerando 10 de los reglamentos propuestos.

3.b. Apoyo a los derechos y libertades de los usuarios

Se debe apoyar plenamente a los usuarios en el ejercicio de los derechos que les otorgan las licencias compatibles con el software libre, incluida la libertad de utilizar, estudiar, modificar y volver a publicar el software. El soporte técnico no debe considerarse una «actividad comercial» según la normativa propuesta.

3.c. Invitación a participar: Seminario sobre los CMS de software libre en la economía de la UE

A la luz de estas preocupaciones y recomendaciones, invitaremos a los miembros de la Comisión Europea y a otras partes interesadas a participar en un seminario en Bruselas. El objetivo de este seminario es ahondar en el funcionamiento interno del software libre, explorar su alineación con los objetivos y valores de la UE y debatir cómo el software libre y las plataformas web CMS pueden mantener su estatus de ejemplos de innovación y prosperidad europeas.

Firmado, el Grupo de Trabajo Inter-CMS,

Crystal Dionysopoulos, President, Open Source Matters, Inc. (Joomla)

Josepha Haden Chomphosy, Executive Director, WordPress Project

Olivier Dobberkau, President, TYPO3 Association

Tim Doyle, CEO, Drupal Association


  1. Drupal, Joomla, TYPO3 y WordPress son los sistemas de gestión de contenidos FOSS (Programas Libres y de Código Abierto) más populares en la web actual. Aunque todos se basan en el lenguaje de programación PHP y se distribuyen bajo la licencia de código abierto GPL, cada plataforma tiene un enfoque diferente de la publicación de sitios web. Con la fuerza que da la diversidad, forman el Grupo de Trabajo Inter-CMS, que promueve los valores y beneficios del software libre y de código abierto. ︎ ↩︎
  2. Apoyamos expresamente y deseamos subrayar los comentarios a la CRA presentados por eco – Verband der Internetwirtschaft e.V., NLnet Labs, DIGITALEUROPE, GitHub, German Chamber of Commerce and Industry, Open Source Initiative, OpenForum Europe, The Open Source Security Foundation, The Document Foundation, Developers Alliance, Vrijschrift.org y Open-Xchange AG. ↩︎

Una respuesta a «Preocupación por la Ley de Resiliencia Cibernética (CRA) de la Unión Europea»

  1. Gran artículo, gracias por compartirlo.

    Esperemos que esta ley no afecte negativamente a los proyectos de software libre como WordPress. De hecho no tendría mucho sentido.

    Muy buena iniciativa

Deja una respuesta