Acabamos de descubrir una auténtica anomalía cósmica: una galaxia "invisible" formada casi al 100% por materia oscura

El Universo sigue siendo ese gran desconocido. No solo por su vasta inmensidad, sino porque la investigación humana y posteriores teorías que explican su funcionamiento siguen requiriendo de retoques y reformulaciones. Lo hemos visto a la hora de calcular las distancias entre planetas del Sistema Solar, el tamaño de Júpiter o cómo es el mecanismo de formación de sistemas planetarios. Ahora, un equipo de investigación de la Universidad de Toronto ha descubierto a la candidata más sólida a "galaxia oscura", algo que hasta ahora solo se contemplaba como una posibilidad.

La candidata. El estudio presenta el hallazgo de CDG-2, un acrónimo que literalmente significa Candidata a Galaxia Oscura 2. Se trata de un objeto a 300 millones de años luz, en el cúmulo de Perseo, con una particularidad: está dominada casi completamente por materia oscura, con una cantidad de estrellas mínima. 

Así, entre el 99,94% y el 99,98% de su masa total sería materia oscura y solo entrega una luz de "solo" seis millones de soles frente al brillo de decenas de miles de millones de la Vía Láctea.

Contexto. Las galaxias son algo así como las piezas de Lego que componen el universo y todas ellas contienen materia oscura. La materia oscura es algo científicamente fascinante: es invisible, no emite ni refleja luz, pero su influencia gravitacional fue el andamiaje sobre el que se formaron las galaxias y es lo que hoy las mantiene unidas.

En la Vía Láctea las estimaciones apuntan a que entre un 65 y un 90% de la masa es materia oscura, en función del modelo, pero la astronomía siempre se ha preguntado si había galaxias aún más extremas. Las "galaxias oscuras" eran hasta ahora solo una predicción teórica. 

En Xataka

Hemos analizado el universo durante 20 años buscando a E.T. y lo único que tenemos son 100 señales que ahora investiga China

Por qué es importante. Para empezar, porque confirma empíricamente lo que contemplaban los modelos teóricos, pero tiene más implicaciones:

• Abre una nueva forma de detectar galaxias a partir de agrupaciones estadísticas significativas de cúmulos globulares, que sirven de traza.
• Como caso de estudio: la hipótesis más probable es que las galaxias vecinas le arrancasen el gas necesario para la formación de estrellas, dejando solo el esqueleto. 
• Hace que miremos a su "gemela" CDG-1 con otros ojos. Detectada anteriormente, podría ser un caso de galaxia oscura aún más extrema, posiblemente un halo de materia oscura puro.

Cómo lo descubrieron. El equipo de investigación se topó con esta galaxia de una forma llamativa: buscando su sombra, en tanto en cuanto es prácticamente indetectable. Sus huellas para registrarla eran cuatro cuatro cúmulos globulares, pequeñas concentraciones densas de estrellas alrededor del cúmulo de Perseo.

Tras analizar su disposición con estadística y descartar que su agrupación fuera cosa de azar, apuntaron con los tres telescopios más potentes disponibles, Hubble, Euclid y Subaru, hacia esa región y conformaron la imagen que evidenció su existencia. Es, en palabras del investigador principal Dayi Li,  "la primera galaxia detectada únicamente a través de su población de cúmulos globulares."

Image: NASA, ESA, Dayi Li (UToronto); Image Processing: Joseph DePasquale (STScI)

Asignaturas pendientes. No obstante,  CDG-2 sigue siendo una candidata y no una confirmación, de ahí que mantenga su nombre. Para confirmar con certeza la masa de materia oscura sería necesario medir velocidades de sus estrellas o sus cúmulos, algo técnicamente muy difícil con la tecnología actual por lo poco que brillan. Será necesario esperar a que el James Webb y nuevas observaciones de Euclid mejoren la imagen de este objeto para definirlo mejor o seguir encontrando más galaxias oscuras como ella escondidas en el universo. 

 requeriría medir las velocidades de sus estrellas o sus cúmulos globulares, algo técnicamente muy difícil dada su extrema tenuidad. Los próximos años, con el James Webb y nuevas observaciones de Euclid, serán cruciales para refinar el retrato de este objeto y rastrear si existen más galaxias como ella escondidas en los grandes cúmulos del universo.

En Xataka | Un nuevo "sistema solar" acaba de descubrirse. Solo hay un problema: no debería existir

En Xataka | Hemos vivido engañados con las distancias del Sistema Solar: el vecino más cercano a Neptuno es Mercurio

Portada | NASA

-
La noticia Acabamos de descubrir una auténtica anomalía cósmica: una galaxia "invisible" formada casi al 100% por materia oscura fue publicada originalmente en Xataka por Eva R. de Luis .

---

☞ El artículo completo original de Eva R. de Luis lo puedes ver aquí

Una planta estaba al borde de la extinción en el desierto de Mojave. Entonces construyeron un parque solar encima

El desierto de Mojave no es sólo un paraíso a la hora de filmar películas, ambientar videojuegos y bautizar sistemas operativos: es también el hogar de miles de especies de plantas que están habituadas a un clima extremadamente hostil. Se estima que hay unas 2.000 especies y una muy concreta está en peligro de extinción. Hasta que decidieron construir encima una de las mayores plantas fotovoltaicas de Estados Unidos.

El Gemini Solar Project.

En corto. La revista Frontiers in Ecology and Evolution reveló hace unas semanas los resultados de un curioso estudio. La planta ‘threecorner milkvetch’ (que tiene nombre de todo excepto de planta) pasó de 12 ejemplares en el desierto de Mojave a 93. Esta planta estaba siendo evaluada para su inclusión en la Ley de Especies en peligro de Estados Unidos y no sólo ha multiplicado su número: las nuevas plantas son más grandes y producen más flores.

Y “sólo” han tenido que construirle encima una de las mayores plantas fotovoltaicas de América, junto a Guanchoi en Chile, para conseguirlo.

En Xataka

El Desierto de Atacama es el tesoro solar de Chile, pero también un dolor de cabeza para su red eléctrica

Threecorner milkvetch. Se trata de una planta rastrera que tiene unas necesidades curiosas: sólo crece en suelos arenosos del desierto de Mojave. Sin embargo, es dependiente de las lluvias porque su semilla permanece latente en el suelo y sólo germina y se reproduce con precipitaciones favorables. En años secos, permanece completamente desapercibida, esperando que llueva un poco.

Y es tan escasa que la especie sigue bajo evaluación para considerarla como amenazada o en peligro de extinción bajo las normas del Servicio de Pesca y Vida Silvestre de Estados Unidos. En el mismo desierto hay otra especie amenazada: la tortuga del desierto Gopherus agassizii. El hábitat de las dos especies debería ser el último sobre el que se decidiera construir una planta fotovoltaica, pero ahí está el Gemini Solar Project.

La planta

Megaplanta. Cuando se va a realizar una instalación así en el desierto, se emplea una técnica conocida como de desbroce y nivelación. En esencia, se arranca toda la vegetación, se nivela el terreno y se prepara para instalar los pilares de las placas solares. No sólo se crea un paisaje lunar, sino que se destruye cualquier tipo de semilla latente bajo la superficie, como puede ser la del threecorner milkvetch. Sin embargo, el enfoque del Gemini Solar Project fue distinto.

La empresa quería el terreno porque es especialmente ‘fértil’ dentro de EEUU para cosechar la luz solar, pero había que hacer concesiones. Una era minimizar la alteración del hábitat de ambas especies para conservar la superficie desértica con todos sus recursos biológicos, preservar la capa superior del suelo y adaptar la instalación al relieve natural. En la web del Servicio Geológico de EEUU podemos ver fotos de tortuguitas entre los paneles.

Funciona. Esto es parte de lo que conocemos como la ‘ecovoltaica’, con una rama bautizada ‘agrovoltaica’ de la que también hemos hablado y que, aunque se puede usar por parte de las empresas como lavado de cara, sirve para unir las actividades energéticas con las agrarias. En el estudio sobre la el impacto del Gemini Solar Project y la evolución de la planta, la investigadora Tiffany Pereira descubrió lo que hemos comentado: había más plantas y estaban más saludables.

Esto demostró que la empresa energética había cumplido su parte de no arrasar el suelo porque las semillas habían podido germinar, pero dieron con algo más. Las plantas dentro de la instalación evolucionaron antes que las que se encuentran fuera de la misma y crecieron no bajo los paneles, sino en las franjas entre las hileras. Esto implica que siguen necesitando luz solar intensa para madurar.

La zona amarilla es donde da el Sol más horas. La azul la franja que varía dependiendo de la posición del Sol. La roja donde nunca da la luz directa

Vale, pero entonces… ¿cuál es el papel de los paneles en la evolución mejorada de estas plantas? La hipótesis que manejan los investigadores es que los paneles proporcionan sombra parcial sobre el suelo, ralentizando la evaporación. Ya hemos dicho que las semillas están latentes hasta que tienen las condiciones de humedad necesarias para germinar, y en este contexto, un microclima más húmedo ha permitido a las plantas crecer más y producir más semillas.

En Xataka

Fue inaugurada en 2014 como la mayor planta de energía solar térmica del mundo. Cerrará tras prender fuego a los pájaros

No todo el campo es orégano. Ahora bien, como casi todo estudio científico, se mira la otra cara de la moneda. Las precipitaciones estos últimos años han sido favorables y habría que ver qué ocurre con periodos de sequía prolongada. En unos años se podría hablar de efectos a largo plazo. Pero, además, esa ausencia de plantas debajo de los paneles podría indicar una posible pérdida de hábitat potencial en años muy húmedos.

De la manera que sea, el estudio de Pereira no es aislado. Otros estudios apuntan a mejoras tanto en el número de especies de plantas con flores como de polinizadores en instalaciones agrovoltaicas en un estado como Minnesota. Y en China también hay indicadores de que esas plantas fotovoltaicas en los desiertos está contribuyendo a la construcción de bolsas de humedad en la que las plantas pueden prosperar de forma más sencilla.

Como decíamos, queda por ver ese impacto de los paneles en la creación de una “nueva” biodiversidad a largo plazo, pero de momento, lo que es evidente es que no hace falta arrasar un terreno para construir una planta fotovoltaica.

Imágenes | DRI, Tiffany Pereira, Gemini Solar Project

En Xatka | El mayor fiasco de la energía solar está en el desierto de Nevada: no sirve y su promotor culpa a una empresa española

-
La noticia Una planta estaba al borde de la extinción en el desierto de Mojave. Entonces construyeron un parque solar encima fue publicada originalmente en Xataka por Alejandro Alcolea .

---

☞ El artículo completo original de Alejandro Alcolea lo puedes ver aquí

Cuando un alpinista vive experiencias límite en la montaña, su cerebro empieza a imaginar algo: un "tercer hombre"

No todas las aventuras tienen que resolverse con éxito para convertirse en épicas. Ocurrió con la conocida como Transantártica Imperial, la expedición que partió de Inglaterra en agosto de 1914 bajo las órdenes del explorador Ernest Shackleton con un propósito descomunal y no apto para corazones débiles: atravesar la Antártida, desde Vahsel, en el Mar de Weddell, hasta la isla de Ross, al otro extremo.

Debido a las duras condiciones del Polo Sur, el buque Endurance acabó atrapado entre el hielo y Shackleton vio cómo sus planes se complicaban hasta arrastrarle a una auténtica gesta que llevó su aguante y el de sus colegas a una cota límite solo alcanzable entre témpanos, temperaturas glaciares y un agotamiento extremo.

La hazaña del explorador sirvió también para algo que él probablemente no sospechaba siquiera: acuñar la expresión "factor o síndrome del tercer hombre". Bien conocida por los alpinistas y que supone, aún hoy, un fenómeno fascinante.

"¿Quién es el tercero que camina a tu lado?"

Ernest Shackleton (izquierda) junto a Robert Falcon Scott y Edward Wilson en la Antártida, en 1902.

El fenómeno lo describió Shackleton cuando recordaba los durísimos dos días y medio durante los que avanzó —junto a Frank Worseley y Tom Cream— hacia una estación ballenera situada en la costa norte de Georgia del Sur. El grupo caminó 36 largas horas entre unas condiciones pésimas, sin apenas material y esquivando la muerte. Sobre sus hombros cargaban además la responsabilidad de tener que ayudar al resto de sus compañeros de la malograda Trasantártica Imperial.

Por la desolada Antártida vagaban solo los tres, Ernest, Frank y Tom, aunque si alguien les hubiera preguntado cuántas personas componían aquella desesperada comitiva es probable que respondieran algo distinto: que con ellos iba otra persona, un cuarto integrante, sin nombre, sin rostro... pero innegable.

"Sé que durante esa larga y tormentosa marcha sobre montañas y glaciares sin nombre, a menudo me parecía que éramos cuatro, no tres", escribió el explorador. Aquella sensación común, precisa The Guardian, embargó a los tres hombres que emprendieron el viaje: la presencia de un "cuarto" que los acompañaba.

Semejante expresión debió de sorprender al poeta T.S. Eliot, quien tiempo después, en 1922, tras leer el relato de Shackleton, recogía la idea para plasmarla en su popular poema The Waste Land: "¿Quién es el tercero que camina siempre a tu lado? Cuando cuento, solo estamos tú y yo juntos, pero cuando miro hacia adelante en el camino blanco siempre hay otro caminando a tu lado".

En Xataka

Un cementerio de hielo: la historia de los cadáveres enterrados bajo la Antártida para siempre

La licencia de Eliot, que cambió "el cuarto" hombre de Shackleton por un "tercero" tuvo éxito y desde entonces solemos hablar del "síndrome del tercer hombre" para referirnos a eso: la sensación de un compañero fantasma, una presencia que en cierto modo reconforta a personas que afrontan una sensación límite.

Shackleton no fue el única en describirla. Varios años después de su muerte, en 1933, Frank Smythe, británico y explorador al igual que él, relataba una vivencia similar mientras intentaba coronar la cima del Monte Everest. "Todo el tiempo que estuve escalando solo tuve la fuerte sensación de que estaba acompañado por una segunda persona. Era tan fuerte que eliminó por completo toda la soledad que de otro modo podría haber sentido”, escribía el explorador en su diario.

Tan vivida era la sensación que, explica Smythe, en un momento del ascenso rebuscó en su bolsillo, sacó un pedazo de Kendal Mint Cake, lo partió y se giró para ofrecerle una de las mitades a aquel compañero que tan próximo sentía.

No vio a nadie, claro.

No hay que remontarse tanto en el tiempo. Ni tan lejos. El montañero madrileño Fernando Garrido escribía en su cuaderno la sensación que le embargó cuando, a principios de 1986, pasó más de dos meses en la solitaria cumbre del Aconcagua, a casi 7.000 metros, para lograr el récord de supervivencia en altitud.

"Hoy, como otras veces, me he despertado con la sensación de que había alguien fuera, junto a la tienda. ¿Ha pasado allí la noche? ¿Por qué no me habrá llamado para que lo dejase entrar? [...] —relataba el montañista en declaraciones recogidas por el El Confindencial— ¡Es mi hermano, mi hermano Javier! ¡Javi, despierta, venga, despierta! Lo vuelvo hacia mí. Está muerto, su cabeza es una calavera".

"Una ciencia sólida"

Sobre el fenómeno se han escrito un buen puñado de artículos y referencias, algunos en medios del alcance de The Guardian o NPR, y en 2008 el escritor John Geiger llegó a dedicarle un libro monográfico, ‘The Third Man Factor: Surviving the Impossible’ tras pasarse un lustro rastreando historias parecidas.

Más complicado que recopilar experiencias resulta sin embargo darles una explicación plausible. Hace años, durante una charla con el periodista Guy Raz, de NPR, Geiger relataba que hay quien recurre a la espiritualidad, si bien él insiste en que el síndrome puede explicarse por "una ciencia sólida". "Muchos escépticos y no creyentes han tenido esta experiencia y la atribuyen a otras causas", reivindica el autor, que en su volumen recoge incluso el caso de un superviviente del 11S.

En 2009 Geiger apuntaba explicaciones como reacciones bioquímicas o simplemente fallas en la actividad cerebral. "Si entendemos que el factor del tercer hombre es parte de nosotros, como lo es la adrenalina... entonces podemos acceder a él más fácilmente. No es una alucinación en el sentido de que las alucinaciones son desordenadas. Esta es una guía muy útil y ordenada", reflexionaba.

En Xataka

La belleza arquitectónica de las estaciones científicas de la Antártida, cada una de su padre y de su madre

Hace años los investigadores Ben Alderson-Day y David Smailes comentaban el fenómeno y explicaban que "los fuertes sentimientos de presencia" no se dan solo en circunstancias dramáticas. Se han registrado casos después del duelo, durante la parálisis del sueño o en casos de trastornos neurológicos, como la enfermedad de Parkinson o cuadros de daño cerebral. "Los diferentes contextos en los que ocurren nos dan algunas pistas sobre qué podría estar sucediendo", zanjan.

"Comprender más acerca de cómo y por qué ocurren las presencias sentidas tiene el potencial de decirnos muchas cosas sobre nosotros mismos: cómo reaccionamos bajo un intenso estrés mental o físico, cómo lidiamos con el peligro y la amenaza, y cómo reconocemos la forma y la posición de nuestro propio cuerpo".

"Una cosa que también puede hacer es arrojar luz sobre otras experiencias inusuales que son difíciles de entender", zanjan los expertos en su artículo de 2015: "El tercer hombre no solo nos habla de nuestras mentes o cuerpos; nos ofrece una forma de ayudar y comprender a los demás, como lo hizo con Shackleton".

El paso del tiempo no ha hecho el fenómeno más fascinante, ni le ha restado interés para los expertos,  que trabajan por ejemplo para conocer mejor peligros que acechan a los alpinistas más allá de los glaciares, las ventiscas o las simas, amenazas que están en su propia cabeza, como la psicosis por altura aislada.

Imágenes | Thibault Lam Tran, Mountainarious (Unsplash), Wikipedia/National Library of New Zealand y Inspire Toud (Unsplash)

En Xataka | Los Juegos Olímpicos de Invierno dejan a Italia con una deuda de 7,8 millones de dólares. No por organizarlos, por ganarlos

En Xataka | La carrera más salvaje en las pistas olímpicas de Cortina fue en 1981. Un hombre se lanzó esquivando balas y asesinos en motocicleta

-
La noticia Cuando un alpinista vive experiencias límite en la montaña, su cerebro empieza a imaginar algo: un "tercer hombre" fue publicada originalmente en Xataka por Carlos Prego .

---

☞ El artículo completo original de Carlos Prego lo puedes ver aquí

Una investigación revela cómo el consentimiento OAuth a ChatGPT en Entra ID puede exponer el correo corporativo

Una investigación reciente basada en un caso real muestra que autorizar permisos a ChatGPT en entornos empresariales con Entra ID puede derivar en un acceso persistente al correo electrónico sin necesidad de nuevas verificaciones de seguridad.

La firma de ciberseguridad Red Canary ha analizado un riesgo relevante en entornos empresariales que utilizan Microsoft Entra ID. El estudio describe cómo el consentimiento OAuth otorgado a ChatGPT puede permitir acceso continuo al correo corporativo.

OAuth es el sistema que permite a los usuarios iniciar sesión en aplicaciones externas sin compartir directamente su contraseña. En el caso documentado, un empleado de la empresa ficticia Contoso Corp vinculó ChatGPT a su cuenta profesional y otorgó permisos a través de Microsoft Graph, incluyendo Mail.Read, que habilita la lectura del correo electrónico.

Una vez concedido el consentimiento, la aplicación puede crear un “service principal”, una identidad que mantiene acceso mediante un token. Esto permite que la aplicación continúe accediendo a los datos en segundo plano sin requerir nuevas autenticaciones ni verificación multifactor. Según Red Canary, esta característica podría ser explotada por atacantes si logran que un usuario autorice una aplicación maliciosa con apariencia legítima.

El informe destaca además que, en muchas configuraciones estándar, los usuarios pueden otorgar consentimiento sin necesidad de aprobación administrativa, lo que amplía la superficie de riesgo.

La investigación subraya la importancia de la supervisión, y es que los equipos de seguridad pueden revisar los registros de auditoría para detectar acciones como “Add service principal” y “Consent to application”, que permiten verificar las integraciones activas y sus permisos asociados. En caso de detectar actividad sospechosa, es posible revocar el consentimiento y eliminar el acceso de forma inmediata.

En definitiva, el estudio evidencia que el riesgo no reside en la herramienta en sí, sino en su gestión. El control previo, la supervisión continua y la revisión periódica de las aplicaciones autorizadas son elementos fundamentales para evitar accesos indebidos entornos corporativos.

Más información:

• Red Canary: https://redcanary.com/blog/threat-detection/entra-id-oauth-attacks/. 
• HackRead: https://hackread.com/entra-id-oauth-consent-chatgpt-emails-access/. 

La entrada Una investigación revela cómo el consentimiento OAuth a ChatGPT en Entra ID puede exponer el correo corporativo se publicó primero en Una Al Día.

---

☞ El artículo completo original de abarral lo puedes ver aquí

La IA dispara el riesgo en el software: por qué las vulnerabilidades en código abierto se han duplicado

El código abierto se ha vuelto tan omnipresente que hoy aparece en el 98% de las bases de código analizadas, según el informe 2026 Open Source Security and Risk Analysis (OSSRA) de Black Duck. Esto tiene una lectura práctica: aunque tu equipo escriba el “corazón” de una aplicación desde cero, una parte enorme de lo que ejecuta proviene de dependencias de terceros. Es como montar un coche propio usando piezas compradas a múltiples proveedores: puedes controlar el diseño, pero la calidad de los frenos o del airbag depende de otros.

Con esa universalidad llega el llamado riesgo de terceros: vulnerabilidades, licencias incompatibles, componentes desactualizados y, ahora, algo nuevo que acelera todo lo anterior: la creación de código asistida por IA y la integración de modelos de IA dentro de productos.

El salto de vulnerabilidades: más rápido de lo que la seguridad puede seguir

El OSSRA 2026 se apoya en el análisis de 947 bases de código en 17 industrias. Su dato más llamativo es el incremento del 107% en la media de vulnerabilidades por base de código. No es un matiz: es una duplicación en términos prácticos.

El informe también señala que el número de componentes open source creció un 30% interanual y que el número de archivos por base de código aumentó un 74%. Traducido a lenguaje cotidiano: no solo hay más ingredientes en la receta, también hay más páginas en el libro de cocina. Si tu proceso de revisión sigue siendo el de hace dos o tres años, el atasco está garantizado.

Aquí la IA no aparece solo como “culpable”, sino como acelerador de la producción. Si antes tardabas días en generar un módulo, ahora puedes tenerlo en horas. El problema es que las prácticas de seguridad, los flujos de gestión de vulnerabilidades y la gobernanza del supply chain software rara vez se aceleran al mismo ritmo.

La nueva superficie de ataque: modelos de IA como “dependencias” sin control

El informe introduce una idea relevante: la adopción de modelos de IA crea una superficie de ataque “nueva” y todavía poco regulada. Cuando una aplicación integra un modelo (propio o de terceros), no solo suma un paquete más; añade un elemento opaco, difícil de auditar y con riesgos específicos.

Piensa en un modelo como en un “motor” que no puedes abrir con herramientas convencionales. Puedes medir cómo se comporta, pero no siempre puedes inspeccionar a fondo qué contiene, cómo se entrenó, qué datos influyeron y qué vías abre a nivel de seguridad. Si ese modelo se actualiza, cambia el comportamiento del sistema. Si se conecta a otros servicios, amplía puntos de entrada. Y si se usa para generar código, su huella se multiplica en forma de fragmentos que se cuelan en repositorios y productos.

Por eso el OSSRA advierte que no basta con gestionar dependencias tradicionales: hay que tratar los modelos de IA con un rigor parecido al del open source.

Riesgos legales y de propiedad intelectual: cuando la IA “recuerda” demasiado

Uno de los puntos más delicados es el de licencias y propiedad intelectual. Black Duck alerta de que el código generado por IA puede reproducir fragmentos bajo licencias restrictivas como GPL o AGPL, lo que introduce riesgos de cumplimiento si ese código se incorpora a software con otra política de licenciamiento.

El dato asociado es contundente: dos tercios de las bases de código auditadas presentan conflictos de licencias, el porcentaje más alto registrado por la serie OSSRA. En 2026 se habla de un 68%, frente al 56% del año anterior; un salto de 12 puntos, el mayor aumento anual registrado por el estudio.

Esto suele pasar de forma silenciosa. La IA te entrega algo que “funciona”, el desarrollador lo integra, el producto sale, y meses después aparece el problema: una auditoría, un cliente corporativo pidiendo garantías, o un proceso de due diligence en una compra. De pronto, ese bloque de código es como una canción pegadiza que tarareas sin saber que tiene derechos de autor: no era mala intención, era falta de trazabilidad.

No basta con “revisar seguridad”: la brecha en licencias y calidad

Otro hallazgo interesante del OSSRA 2026 es la disparidad en los controles. El 76% de las organizaciones dice revisar el código generado por IA para riesgos de seguridad, pero solo el 54% lo evalúa para IP y licencias, y el 56% revisa calidad.

Lo más preocupante es el resumen: solo el 24% realiza evaluaciones completas que cubran a la vez IP, licencias, seguridad y calidad para el código generado por IA.

Es una situación parecida a inspeccionar un edificio mirando solo la instalación eléctrica, ignorando si los materiales cumplen normativa o si los cimientos tienen grietas. Puedes evitar un cortocircuito, pero acabar con un problema estructural.

SBOM y trazabilidad: el inventario que determina si sobrevives a una auditoría

La recomendación central del informe se apoya en un concepto que cada vez suena más fuera del ámbito “security”: el SBOM (Software Bill of Materials), el inventario detallado de componentes que forman una aplicación. Sin un SBOM fiable, gestionar riesgos se vuelve una lotería, porque no sabes con precisión qué tienes, de dónde viene, ni qué hay que parchear cuando estalla una vulnerabilidad.

Black Duck plantea que las organizaciones no podrán cumplir con regulaciones próximas, como el EU Cyber Resilience Act (CRA), si no mejoran la precisión del SBOM, los flujos de trabajo de vulnerabilidades y la gobernanza de modelos de IA. La frase “rastrear modelos con el mismo rigor que componentes open source” es clave: si el modelo participa en tu cadena de suministro, debe quedar inventariado, versionado y gobernado.

En la práctica, esto implica poder responder preguntas muy básicas, pero que muchas empresas hoy no pueden contestar con seguridad: ¿qué versión exacta de modelo se usó? ¿con qué datos se entrenó o ajustó? ¿qué repositorios recibieron código generado? ¿qué política de retraining existe? ¿qué dependencias se añadieron como resultado?

Políticas internas: de la improvisación al uso responsable de IA

El OSSRA no se limita a decir “hay riesgo”; empuja hacia cambios concretos. Habla de la necesidad de políticas claras sobre uso de IA, y sobre todo sobre reentrenamiento y actualización de modelos. Es una llamada de atención a la gobernanza: si el desarrollo se apoya en IA, la empresa necesita reglas, no solo recomendaciones.

Un ejemplo sencillo: si tu equipo usa asistentes de código, ¿qué se permite pegar en el prompt? ¿código propietario? ¿fragmentos de clientes? ¿incidencias con datos sensibles? ¿cómo se registra qué se generó y dónde se usó? Sin una guía, cada desarrollador decide “sobre la marcha”, y eso es justo lo que las auditorías y los incidentes acaban castigando.

La economía del software ha cambiado, y la del riesgo también

Jason Schmitt, CEO de Black Duck, lo resume con una idea que merece atención: la IA ha cambiado la economía de crear software y, con ella, la economía del riesgo. Si producir es más barato y rápido, también lo es introducir dependencias nuevas, copiar patrones inseguros y acumular deuda técnica a gran velocidad. La seguridad deja de ser una “fase” y pasa a ser un sistema de control continuo, como el mantenimiento de una flota: no revisas un coche una vez al año si está recorriendo el triple de kilómetros.

Lo importante aquí no es demonizar la IA. La promesa de productividad es real y útil. El punto es que, si tu organización acelera el desarrollo sin acelerar la gobernanza, estás ampliando el ataque y la exposición legal en paralelo.

Qué deberían leer entre líneas los equipos técnicos y de negocio

El mensaje más útil del OSSRA 2026 es casi administrativo: el reto ya no es solo “escribir software seguro”, sino gestionar una cadena de suministro que crece sin parar. Con IA generando más código y con modelos entrando en productos, el inventario, la trazabilidad y el cumplimiento pasan a ser tan estratégicos como la arquitectura.

Para equipos de negocio, esto se traduce en riesgos de coste y reputación: incidentes de seguridad, retrasos por remediación, contratos bloqueados por auditorías, o conflictos de licencias que se descubren tarde. Para equipos técnicos, supone profesionalizar el pipeline: automatización de análisis, procesos de aprobación, disciplina de dependencias, y visibilidad real sobre qué entra y por qué.

---

La noticia La IA dispara el riesgo en el software: por qué las vulnerabilidades en código abierto se han duplicado fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.

---

☞ El artículo completo original de Natalia Polo lo puedes ver aquí