Cal.com código abierto: la plataforma cierra su modelo por riesgos de la IA

El 17 de abril de 2026 quedará marcado en los anales de la historia tecnológica como el día en que el paradigma de la transparencia de software se enfrentó a su mayor crisis existencial. Cal.com, la plataforma de infraestructura de programación de citas que durante media década fue el estandarte del modelo “Commercial Open Source” (COSS), anunció oficialmente el cierre de su código fuente principal. Esta decisión no nació de un cambio en la estrategia de monetización, sino de una amenaza técnica sin precedentes: el surgimiento de modelos de Inteligencia Artificial capaces de desmantelar sistemas de seguridad en cuestión de segundos.

La transición de Cal.com código abierto a un modelo propietario ha generado un sismo en la comunidad de desarrolladores. Mientras que la producción del sistema ahora es privada para proteger los datos sensibles de millones de usuarios, la empresa ha lanzado Cal.diy, un fork mantenido por la comunidad bajo licencia MIT para aficionados. Sin embargo, el mensaje subyacente es claro: en la era de los agentes de explotación autónomos, la transparencia del código podría haber pasado de ser una virtud colaborativa a una vulnerabilidad crítica.

El catalizador: Claude Mythos y la automatización del caos

Para entender por qué una empresa con más de 41,000 estrellas en GitHub decidiría ocultar su repositorio, debemos mirar hacia la causa raíz: Claude Mythos AI de Anthropic. Presentado apenas unos días antes del anuncio de Cal.com, Mythos no es simplemente un asistente de programación; es un modelo de frontera diseñado con capacidades de razonamiento agentico que han dejado obsoletos a los escáneres de vulnerabilidades tradicionales.

Durante las pruebas de seguridad en sistemas críticos, Mythos demostró habilidades que la industria consideraba a años de distancia:

• Descubrimiento de Zero-Days: Fue capaz de identificar una vulnerabilidad de desbordamiento de enteros (integer overflow) en el stack TCP SACK de OpenBSD que había pasado desapercibida durante 27 años.
• Encadenamiento de exploits: A diferencia de las herramientas estáticas, Mythos puede conectar múltiples vulnerabilidades menores para crear una ruta de ataque compleja, permitiendo el control total del sistema (Root) sin intervención humana.
• Ingeniería inversa de binarios: Incluso sin acceso al código fuente, el modelo mostró una capacidad “inquietante” para analizar software compilado y despojado de información de depuración.

Bailey Pumfleet, CEO de Cal.com, fue contundente en su justificación: “Tener el código abierto hoy es como publicar los planos de la bóveda de un banco en la puerta principal. Ahora hay 100 veces más hackers, y todos tienen una IA estudiando esos planos”. Esta analogía resuena con una verdad técnica incómoda: la asimetría entre defensores y atacantes se ha inclinado drásticamente a favor de estos últimos gracias al bajo costo computacional de ejecutar escaneos masivos de repositorios públicos.

Cal.com código abierto: ¿Un riesgo para la privacidad empresarial?

La infraestructura de Cal.com, construida sobre tecnologías modernas como Next.js, Prisma y PostgreSQL, manejaba una cantidad masiva de “datos de alto riesgo”. Agendas médicas, reuniones gubernamentales y negociaciones corporativas dependen de la integridad de este sistema de reserva. Con la llegada de herramientas como Mythos y otros modelos de “hacking-as-a-service”, el riesgo de una explotación masiva automatizada se volvió inaceptable para los clientes corporativos.

La arquitectura de Cal.com código abierto permitía a cualquier actor malintencionado clonar el repositorio y entrenar modelos específicos de IA para encontrar fallos en la lógica de autenticación o en la gestión de sesiones. Al cerrar el código de producción, la empresa busca reducir la superficie de ataque, eliminando la capacidad de los atacantes para realizar pruebas de “caja blanca” (white-box testing) a escala industrial.

La anatomía de Cal.diy: La respuesta para la comunidad

A pesar del cierre del núcleo comercial, Cal.com no ha abandonado por completo sus raíces. El lanzamiento de Cal.diy bajo la licencia MIT representa un intento de mantener vivo el espíritu colaborativo. Pero hay diferencias fundamentales que los desarrolladores deben notar:

1. Funcionalidades eliminadas: Cal.diy carece de las características de grado empresarial, tales como flujos de trabajo avanzados, integraciones de SSO/SAML, y herramientas de analítica profunda para equipos grandes.
2. Uso no productivo: La recomendación oficial es utilizar Cal.diy para proyectos personales o experimentación. Para cualquier organización que maneje datos sensibles de clientes, la empresa empuja hacia la versión cerrada y gestionada.
3. Mantenimiento comunitario: Al ser un fork, la responsabilidad de la seguridad ahora recae en la comunidad, lo que plantea la pregunta de si los voluntarios podrán seguir el ritmo de las IA de ataque sin el respaldo financiero de una corporación.

El ecosistema se encuentra en una encrucijada. Si Cal.diy no recibe parches de seguridad constantes, podría convertirse en un campo de tiro para que las IA perfeccionen sus ataques antes de intentarlos contra la versión cerrada.

El dilema del COSS en la era de la inteligencia artificial

El caso de Cal.com no es un incidente aislado; es el primer síntoma de una enfermedad sistémica en el modelo de negocio del software de código abierto comercial. Históricamente, el código abierto se basaba en la premisa de que “con suficientes ojos, todos los errores son superficiales”. Sin embargo, el informe OSSRA de 2026 reveló que las vulnerabilidades en el código abierto se duplicaron en el último año debido a la generación de código asistida por IA.

El problema es que ahora hay más “ojos artificiales” buscando fallos para explotarlos que humanos buscándolos para corregirlos. Esta desproporción ha llevado a líderes tecnológicos a cuestionar si la transparencia sigue siendo una estrategia de seguridad viable para aplicaciones que no son de infraestructura básica (como el kernel de Linux) sino aplicaciones de capa de usuario con datos sensibles.

Seguridad por oscuridad: ¿Un regreso inevitable?

Los críticos argumentan que Cal.com está recurriendo a la “seguridad por oscuridad”, una práctica que a menudo se considera ineficaz a largo plazo. Si la IA Mythos puede analizar binarios compilados y despojados, cerrar el código fuente solo retrasa lo inevitable. Sin embargo, desde una perspectiva de gestión de riesgos, el retraso es valioso. Cerrar el código aumenta el “costo por exploit” (token spend). Como bien señaló el analista Drew Breunig, la seguridad en 2026 se ha reducido a una ecuación económica: para proteger un sistema, se deben gastar más tokens en descubrir fallos defensivamente que los que un atacante está dispuesto a gastar para explotarlos.

• Atacantes: Utilizan modelos optimizados para velocidad y bajo costo.
• Defensores: Utilizan modelos de “frontera” como Mythos en entornos aislados (Project Glasswing) para parchear proactivamente.

Project Glasswing: ¿La salvación o el club de los privilegiados?

La respuesta de la industria a la amenaza de Mythos ha sido la creación de Project Glasswing. Liderado por Anthropic en colaboración con gigantes como AWS, Google, Microsoft y CrowdStrike, este proyecto utiliza la versión completa de Mythos para escanear y asegurar software crítico antes de que los atacantes lo descubran. Cal.com, al cerrar su código, busca integrarse en estos círculos de protección privada.

Esto plantea un problema ético y práctico para el ecosistema global. Si solo las empresas con capital suficiente para acceder a IA de defensa de élite pueden mantener sus sistemas seguros, el software libre y las pequeñas startups quedan en una posición de vulnerabilidad extrema. El Cal.com código abierto que conocíamos era una herramienta de democratización; su cierre simboliza una privatización de la seguridad digital.

Conclusión: El nuevo estándar para el desarrollo de software

La decisión de Cal.com marca el fin de la inocencia para el código abierto comercial. Ya no basta con invitar a la comunidad a revisar el código; ahora es necesario implementar una arquitectura de seguridad que asuma que el atacante tiene capacidades de computación cognitiva superiores a las del equipo de desarrollo original. Para los ingenieros que aún apuestan por el Cal.com código abierto a través de Cal.diy, el desafío es monumental.

En el futuro cercano, es probable que veamos más proyectos de alto perfil seguir los pasos de Cal.com. La transparencia del código, alguna vez la mayor fortaleza del software moderno, se está convirtiendo en su talón de Aquiles frente a una inteligencia artificial que no duerme, no se cansa y puede leer millones de líneas de código en segundos. La seguridad ya no es un estado, sino una carrera armamentista de procesamiento y tokens, y el 17 de abril de 2026 será recordado como el día en que la industria decidió que, para sobrevivir, a veces hay que cerrar las puertas.