El Código Abierto en Colombia: Entre la Innovación Disruptiva y el Laberinto Legal. 

¿Está su Proyecto Realmente Protegido?

Escucha el contenido del articulo en formato Audio Podcast

El software de código abierto (Open Source Software – OSS) es el motor invisible que impulsa gran parte de la innovación tecnológica que disfrutamos a diario. Desde las aplicaciones en nuestros teléfonos móviles hasta las complejas arquitecturas de la nube y los algoritmos de inteligencia artificial, el OSS está omnipresente, tejiendo una red global de colaboración y conocimiento compartido. Su promesa de libertad, transparencia y desarrollo acelerado es innegablemente atractiva. Sin embargo, bajo esta fachada de aparente simplicidad colaborativa, yace una intrincada realidad legal, especialmente en jurisdicciones como la colombiana, cuyo marco normativo fue concebido en gran medida antes de la eclosión de este fenómeno. Para los visionarios –desarrolladores, emprendedores tecnológicos y directivos de empresas– que buscan aprovechar el poder del OSS, comprender y navegar este laberinto no es solo una formalidad, sino un pilar fundamental para la protección, sostenibilidad y el éxito rotundo de sus proyectos en Colombia. Este desconocimiento puede transformar la agilidad en fragilidad, y la innovación en un campo minado de contingencias.

Surge entonces la pregunta crucial que guiará nuestro análisis: ¿Cómo se articula el marco jurídico colombiano actual frente a los principios y prácticas del desarrollo y uso de software de código abierto, y cuáles son los puntos críticos de tensión y oportunidad que emergen de esta interacción para innovadores y empresas en el país?

Desmadejando la Protección: Derecho de Autor y Licencias Open Source en el Contexto Colombiano

En el corazón del debate sobre el software en Colombia, sea propietario o de código abierto, yace la normativa de derecho de autor. El ordenamiento jurídico colombiano, a través de la Ley 23 de 1982 y la Decisión Andina 351 de 1993, considera el software como una creación intelectual asimilable a una obra literaria. Esta caracterización es la piedra angular, pues define que la protección nace con la creación misma y otorga al autor derechos morales (irrenunciables e intransferibles, como el reconocimiento de la paternidad y la integridad de la obra) y derechos patrimoniales (transferibles y renunciables, como la reproducción, transformación y distribución).

Aquí es donde la filosofía Open Source entra en juego de una manera particular. Las licencias Open Source (ej. MIT, Apache, GPL) son, en esencia, contratos mediante los cuales el titular de los derechos patrimoniales decide voluntariamente ceder o autorizar una serie de libertades específicas sobre su creación, apartándose del modelo tradicional de explotación exclusiva. Así, una licencia OSS es una manifestación del ejercicio de estos derechos patrimoniales.

Pero, si el software en Colombia se protege como obra literaria por derecho de autor, ¿cómo operan las licencias Open Source, que precisamente ceden derechos patrimoniales, y qué sucede con los derechos morales irrenunciables del autor original en un entorno colaborativo y de libre modificación?

Los derechos morales, al ser irrenunciables, persisten incluso bajo las licencias OSS más permisivas. El derecho a ser reconocido como autor (paternidad) se refleja, por ejemplo, en las cláusulas de atribución presentes en muchas licencias como MIT o Apache 2.0. El derecho a la integridad de la obra, que permite oponerse a deformaciones que perjudiquen el honor o reputación del autor, presenta un matiz interesante: si bien las licencias OSS permiten la modificación, esta no debería interpretarse como una carta blanca para alteraciones que atenten maliciosamente contra la reputación del creador original.

En este panorama, el Registro Nacional de Derecho de Autor (RNDA), administrado por la Dirección Nacional de Derecho de Autor (DNDA), aunque no es constitutivo de derechos (la protección nace con la creación ), ofrece un medio de prueba cualificado sobre la autoría y la fecha de creación. ¿Es el registro en la DNDA un aliado o un obstáculo para la filosofía abierta? Podría argumentarse que es un complemento valioso. Registrar la versión original de una obra que luego se licenciará bajo términos abiertos puede ser instrumental para establecer inequívocamente la autoría primigenia, sirviendo de base para gestionar la cadena de modificaciones y asegurar la correcta atribución, un requisito común en el mundo OSS.

• Caso de Exposición: Pensemos en un desarrollador colombiano que crea un algoritmo innovador y lo registra en la DNDA. Posteriormente, decide liberar una implementación de este algoritmo bajo una licencia MIT. Un tercero toma este código, lo modifica extensamente y lo integra en un producto comercial, pero omite la atribución requerida. Gracias al registro inicial, el desarrollador original tiene una prueba fehaciente de su autoría y de los términos bajo los cuales licenció la obra, facilitando una reclamación por incumplimiento de la licencia.

El “Efecto Viral” del Copyleft y la Muralla de la Propiedad Intelectual Empresarial

No todas las licencias Open Source son iguales. Mientras algunas son “permisivas” (como MIT o Apache 2.0), permitiendo gran flexibilidad para integrar el código en proyectos propietarios sin mayores obligaciones de compartir las modificaciones, otras, conocidas como licencias “copyleft” o “recíprocas”, llevan consigo un interesante “efecto viral”. La familia de Licencias Públicas Generales de GNU (GPL) es el ejemplo más emblemático del copyleft fuerte. Estas licencias exigen que las obras derivadas o modificadas a partir de un software copyleft sean, a su vez, distribuidas bajo la misma licencia o términos compatibles. El objetivo es asegurar que las libertades otorgadas se perpetúen.

Esto nos lleva a una pregunta crítica para el sector empresarial: ¿Cuáles son las implicaciones legales y estratégicas reales para una empresa colombiana que integra componentes Open Source con licencias copyleft (ej. GPL) en su software propietario, especialmente en términos de la obligación de liberar su propio código y el impacto en su modelo de negocio y secretos empresariales?

La naturaleza “viral” de una licencia como la GPL puede tener consecuencias profundas. Si una empresa incorpora código bajo GPL en un producto de software propietario y lo distribuye, podría verse legalmente compelida a liberar el código fuente de todo su producto derivado. Esto puede chocar frontalmente con modelos de negocio basados en la venta de licencias de software propietario o en la protección de algoritmos y funcionalidades clave como secretos empresariales. Si el código que implementa un secreto empresarial debe ser liberado por efecto del copyleft, la protección de dicho secreto se desvanece. El ejemplo histórico de Apple, que optó por basar su sistema operativo en el kernel BSD (permisivo) en lugar del kernel Linux (GPL) para poder desarrollar un producto derivado con licencia privativa, ilustra la trascendencia de esta elección.

La advertencia es clara: es crucial realizar una auditoría exhaustiva de todas las librerías y componentes Open Source utilizados. Esto es vital no solo para cumplir con los términos de la licencia, sino también para asegurar que la estrategia de propiedad intelectual de la empresa (incluyendo posibles patentes sobre invenciones implementadas por computador ) no se vea comprometida por las cláusulas de las licencias OSS aceptadas.

• Caso de Exposición: Una startup tecnológica colombiana, en su afán por acelerar el desarrollo, utiliza una librería con licencia GPL para una funcionalidad crucial de su nuevo producto SaaS. Desconocen que esto podría obligarlos a liberar todo el código de su plataforma si la distribuyen. Al buscar inversión, un proceso de debida diligencia revela esta contingencia, poniendo en riesgo la valoración de la empresa y su capacidad para proteger su innovación principal. ¿Estaban preparados para pivotar su modelo de negocio hacia uno basado en servicios sobre una plataforma completamente abierta?

“TAL CUAL” vs. “Consumidor Protegido”: Responsabilidad y Garantías en el Universo OSS

Una característica distintiva de la mayoría de las licencias Open Source es la inclusión de cláusulas de exención de garantías (disclaimer of warranties) y limitación de responsabilidad (limitation of liability). Estas cláusulas suelen establecer que el software se proporciona “TAL CUAL” (AS IS), sin garantías de ningún tipo (comerciabilidad, adecuación para un propósito particular, etc.), y que los autores o distribuidores no serán responsables por daños derivados de su uso.

Esto plantea una tensión fundamental en el contexto colombiano: ¿Hasta qué punto las cláusulas de exención de garantías (“AS IS”) y limitación de responsabilidad, comunes en las licencias Open Source, son válidas y ejecutables bajo el Estatuto del Consumidor colombiano (Ley 1480 de 2011) cuando el software, incluso distribuido gratuitamente, causa daños a un usuario que califica como consumidor?

El Estatuto del Consumidor colombiano (Ley 1480 de 2011) impone una garantía legal sobre los productos y servicios, obligando solidariamente a productores y proveedores a responder por su calidad, idoneidad y seguridad. Esta ley es de orden público, lo que significa que, en principio, sus protecciones no pueden ser desconocidas por acuerdos contractuales que menoscaben los derechos de los consumidores.

Si una entidad (empresa, fundación, etc.) distribuye de manera habitual software Open Source en el mercado colombiano, incluso gratuitamente, podría ser calificada como “productor” o “proveedor” bajo los términos de la Ley 1480. Si dicho software presenta defectos que causan daños a un consumidor (ej. fallas de seguridad que exponen datos personales, mal funcionamiento que genera pérdidas económicas directas), es plausible que la Superintendencia de Industria y Comercio (SIC) o un juez consideren que las cláusulas de exención de la licencia OSS no son absolutas. Esto sería especialmente probable si el proveedor obtiene algún beneficio indirecto de la distribución o si no advirtió adecuadamente sobre los riesgos o limitaciones. La gratuidad no es un escudo infalible contra la responsabilidad por negligencia o defectos conocidos.

Además, el Estatuto del Consumidor impone una robusta obligación de información: se debe suministrar al consumidor información clara, veraz y suficiente sobre los productos. En el contexto del OSS, esto implicaría ser transparente sobre qué componentes son Open Source, bajo qué licencias operan, y qué implicaciones tiene esto para el consumidor. La pregunta que queda en el aire es: ¿puede una empresa escudarse completamente detrás de una licencia OSS si su producto, basado en él, falla y perjudica a un consumidor colombiano? La respuesta parece inclinarse hacia un “no” rotundo si se vulneran los mínimos del Estatuto.

Open Source en el Sector Público: ¿Transparencia Revolucionaria o Cumplimiento Cosmético?

El gobierno colombiano, a través del Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), ha promovido activamente el uso de software libre y de código abierto en las entidades públicas. La Política de Gobierno Digital (Decreto 767 de 2022) impulsa la adopción de estas tecnologías buscando soberanía tecnológica, eficiencia administrativa, ahorro de costos y transparencia. Adicionalmente, la jurisprudencia ha comenzado a abordar el acceso al código fuente de desarrollos estatales. La Sentencia T-067/25 de la Corte Constitucional, referente al caso CoronApp, es un hito, pues determinó que la protección por derechos de autor no es una causal autónoma para negar el acceso al código fuente de software desarrollado con recursos públicos, especialmente si este involucra componentes OSS con licencias que promueven la publicidad del código.

Esto nos lleva a cuestionar: A la luz de la Sentencia T-067/25 y la Política de Gobierno Digital, ¿cómo se equilibra la promoción del Open Source y la transparencia en entidades estatales con la protección de la propiedad intelectual y los secretos comerciales (si los hubiere), y qué implicaciones tiene esto para la contratación pública de servicios sobre OSS?

El impulso estatal y el precedente de CoronApp parecen fortalecer la transparencia y el acceso a la información pública. Sin embargo, la adopción efectiva en el sector público enfrenta desafíos como la falta de personal capacitado en tecnologías OSS, la resistencia al cambio y la inercia hacia soluciones propietarias. En cuanto a la contratación estatal (regida por la Ley 80 de 1993 y la Ley 1150 de 2007, y operada vía SECOP ), si bien hay evidencia de adquisición de soluciones basadas en OSS o servicios asociados (como soporte para Oracle Linux ), no parece haber “pliegos tipo” o manuales de contratación específicos emitidos por Colombia Compra Eficiente (CCE) dedicados exclusivamente a la adquisición de OSS. Esto podría llevar a inconsistencias en cómo se adquiere y gestiona el OSS, dependiendo de la pericia de cada entidad contratante.

Un modelo común es la contratación de “soporte técnico” para software libre, que permite a las entidades beneficiarse de las ventajas del OSS mientras aseguran un nivel de servicio. Pero, ¿se está realmente aprovechando el potencial del OSS para la soberanía tecnológica y la eficiencia estatal, o persisten barreras culturales y de contratación que limitan su impacto? La gestión de la calidad, el soporte a largo plazo y el correcto manejo de las licencias de los componentes OSS en proyectos estatales son aspectos críticos que requieren una atención cuidadosa.

El Dilema de los Datos: Privacidad y Open Source en la Era de la Ley 1581

La Ley Estatutaria 1581 de 2012, junto con sus decretos reglamentarios (principalmente el Decreto 1377 de 2013), establece un régimen riguroso para la protección de datos personales en Colombia. Este marco es de obligatorio cumplimiento para cualquier entidad, pública o privada, que realice tratamiento de datos personales de titulares que se encuentren en Colombia, y aplica plenamente a cualquier software, sea propietario o de código abierto, que involucre dichas operaciones.

La pregunta que surge es inevitable: Al utilizar o desarrollar software Open Source que trata datos personales de colombianos, ¿cómo pueden las organizaciones asegurar el cumplimiento de la Ley 1581 de 2012, especialmente en cuanto a la autorización previa e informada, la seguridad de los datos y las transferencias internacionales, considerando la naturaleza colaborativa y a menudo global de los proyectos OSS alojados en plataformas como GitHub?

Todos los principios de la Ley 1581 deben observarse: autorización previa, expresa e informada del titular; finalidad legítima y conocida; calidad del dato; acceso y circulación restringida; seguridad (adoptando medidas técnicas, humanas y administrativas); transparencia; y confidencialidad. La entidad que implementa el OSS y define los fines del tratamiento es el Responsable y asume todas estas obligaciones. El principio de Privacidad desde el Diseño y por Defecto es crucial. La naturaleza abierta del OSS puede ser una ventaja, permitiendo auditorías de seguridad y privacidad por la comunidad. Sin embargo, también puede ser un riesgo si no se integran prácticas robustas desde el inicio, ya que las debilidades podrían ser más fácilmente identificables y explotables.

Las transferencias internacionales de datos personales son otro punto álgido. La Ley 1581 prohíbe transferir datos a países que no proporcionen niveles adecuados de protección de datos, salvo excepciones. Si desarrolladores colombianos usan plataformas globales como GitHub y suben código que, incluso para pruebas, contiene datos personales de colombianos (así sean anonimizados de forma deficiente), podría configurarse una transferencia internacional que requiera salvaguardas específicas. El hecho de que el código sea abierto permite auditorías, pero ¿puede también exponer vulnerabilidades o facilitar transferencias no autorizadas si no se gestiona la privacidad desde el diseño y con diligencia en cada etapa del ciclo de vida del desarrollo?

Cultura de Seguridad vs. Barreras Tecnológicas: Un Enfoque Dual para Proteger su Innovación Open Source

En el dinámico mundo del software de código abierto, donde la colaboración es la norma y el código es accesible, la seguridad de la información y la ciberseguridad no pueden ser un pensamiento tardío; deben ser un pilar estratégico desde la concepción de cualquier proyecto. Proteger la innovación basada en OSS en Colombia va más allá de simplemente implementar la última herramienta de seguridad; requiere un enfoque dual que entrelace una robusta cultura de seguridad organizacional con barreras tecnológicas efectivas. Pero, ¿cómo se diferencian y, más importante aún, cómo se complementan estos dos aspectos para crear una defensa integral?

Seguridad a Través de la Cultura: El Factor Humano y Organizacional como Primera Línea de Defensa

La seguridad cultural se refiere al conjunto de valores, creencias, conocimientos, actitudes y comportamientos compartidos por los miembros de una organización con respecto a la protección de los activos de información. Es el “cómo pensamos y actuamos sobre la seguridad” en el día a día.

• Conciencia y Capacitación Constante: El eslabón más débil en la cadena de seguridad suele ser el humano. Por ello, la capacitación continua de los equipos de desarrollo, operaciones y gestión sobre los riesgos específicos del OSS (como los identificados por OWASP ), las obligaciones de las licencias, las prácticas de codificación segura y las políticas internas es fundamental. La falta de personal suficientemente capacitado en tecnologías OSS específicas y en su aseguramiento es un desafío recurrente.
• Políticas Claras y Gobernanza Robusta: Establecer políticas formales sobre el uso, contribución y gestión de la seguridad del software de código abierto es un paso crucial que ya están dando muchas organizaciones. Esto incluye definir procesos para la aprobación de componentes OSS, la gestión de vulnerabilidades y el cumplimiento de licencias. Una gobernanza sólida asegura que la seguridad sea una responsabilidad compartida y no solo del departamento de TI.
• Gestión Proactiva de Vulnerabilidades como Proceso: Más allá de las herramientas, la gestión de vulnerabilidades es un ciclo continuo que implica detectar activos, evaluar exposiciones, priorizar correcciones basadas en el riesgo (no solo en la severidad técnica), mitigar las amenazas y medir la efectividad del programa. Decisiones como qué vulnerabilidad parchear primero, o cómo gestionar un componente OSS que ya no recibe mantenimiento (software sin mantenimiento, un riesgo identificado por OWASP ), son profundamente culturales y procesales.
• Privacidad y Seguridad desde el Diseño: Incorporar consideraciones de protección de datos y seguridad desde las etapas más tempranas del ciclo de vida del software es un principio cultural esencial. Esto es especialmente relevante para cumplir con normativas como la Ley 1581 de Protección de Datos Personales en Colombia.
• Responsabilidad y Atribución: Comprender que la responsabilidad por brechas de seguridad en sistemas que utilizan componentes Open Source recae, con alta probabilidad, en la entidad que implementa y opera el sistema, y no directamente en los desarrolladores originales del componente OSS (especialmente si la licencia OSS incluye cláusulas de exención de responsabilidad ). Esto fomenta una cultura de debida diligencia.
• Vigilancia Comunitaria y Transparencia: Aunque la ventaja de “muchos ojos” del OSS (donde la comunidad global puede auditar el código ) es una fortaleza, su efectividad depende de la existencia de una comunidad activa y del compromiso de la organización para participar o al menos monitorear estas discusiones. Fomentar la supervisión comunitaria y participar en programas de recompensas por errores (bug bounties) son también prácticas culturales.

Seguridad a Través de Barreras Tecnológicas: Las Herramientas del Arsenal Defensivo

Las barreras tecnológicas son las herramientas, software, hardware y configuraciones específicas diseñadas para prevenir, detectar y responder a las amenazas de seguridad. Son la materialización técnica de las políticas y la cultura de seguridad.

• Análisis de Composición de Software (SCA): Herramientas esenciales que ayudan a identificar todos los componentes de código abierto utilizados en una aplicación, detectar vulnerabilidades conocidas asociadas a ellos y verificar el cumplimiento de las licencias.
• Software Bill of Materials (SBOMs): La generación y gestión de SBOMs, que son inventarios detallados de todos los componentes de un software, proporcionan la transparencia necesaria para la gestión de riesgos.
• Escáneres de Vulnerabilidades: Herramientas como Trivy ofrecen detección integral de vulnerabilidades en diversos artefactos, incluyendo imágenes de contenedores e Infraestructura como Código (IaC).
• Monitoreo de Seguridad y SIEM (Security Information and Event Management): Plataformas como Wazuh (que es OSS) permiten el monitoreo de la seguridad, la detección de amenazas y el cumplimiento normativo en tiempo real.
• Gestión Automatizada de Parches: La aplicación oportuna de parches de seguridad es una defensa crítica. Las herramientas pueden automatizar la identificación y, en algunos casos, la aplicación de estos parches.
• Prácticas de DevSecOps: La integración de la seguridad y las herramientas de prueba en todas las fases del ciclo de vida del desarrollo de software (SDLC) ayuda a identificar y mitigar problemas de seguridad de forma temprana y continua.
• Herramientas de Ciberseguridad Open Source: El ecosistema OSS ofrece sus propias herramientas para fortalecer las defensas, como firewalls, Sistemas de Detección y Prevención de Intrusos (IDS/IPS), y soluciones de Redes Privadas Virtuales (VPN) como WireGuard. Su correcta implementación y gestión, sin embargo, requiere conocimientos técnicos especializados.
• Medidas Técnicas Específicas: Esto incluye controles de acceso físico y lógico a la información sensible, y el cumplimiento de estándares tecnológicos de seguridad sectoriales, como los definidos para Open Finance en Colombia (ej. uso de mutual Transport Layer Security – mTLS para la autenticación de APIs ).

La Sinergia Indispensable: Cultura y Tecnología de la Mano

Es crucial entender que ni la cultura de seguridad ni las barreras tecnológicas son suficientes por sí solas. Una organización puede invertir en las herramientas de seguridad más avanzadas, pero si sus empleados no están capacitados, no siguen las políticas o caen víctimas de ataques de ingeniería social, esas barreras pueden ser fácilmente sorteadas. Por otro lado, una fuerte conciencia de seguridad y políticas bien definidas no servirán de mucho sin las herramientas tecnológicas adecuadas para implementarlas, monitorearlas y hacerlas cumplir a escala.

La verdadera resiliencia cibernética en el uso de Open Source surge de la sinergia entre una cultura que prioriza y entiende la seguridad, y la implementación inteligente de tecnologías que apoyan esa cultura. Es un ciclo virtuoso: una cultura fuerte impulsa la selección y el uso efectivo de la tecnología, y la tecnología proporciona los datos y las capacidades para reforzar y validar la cultura de seguridad.

Proteger la innovación en el vertiginoso mundo del Open Source demanda, por tanto, este enfoque integral. Para las empresas y desarrolladores en Colombia, esto significa no solo adoptar las últimas soluciones de ciberseguridad, sino también cultivar un ethos de responsabilidad compartida y vigilancia constante, donde cada miembro del equipo entiende su papel en la protección de los valiosos activos digitales que se están creando.

Guía Práctica para Navegantes del Código Abierto: Recomendaciones Clave

Adoptar Open Source es una decisión estratégica inteligente, pero requiere diligencia. Aquí algunas recomendaciones esenciales:

• Para Desarrolladores y Comunidades OSS:
  
  1. Comprensión Profunda de Licencias: Antes de adoptar o contribuir, entiendan las implicaciones de las diferentes familias de licencias Open Source (permisivas, copyleft débil, copyleft fuerte). Elijan la que mejor se alinee con los objetivos del proyecto.
  2. Documentación Clara: Documenten la autoría, las contribuciones y los términos de licenciamiento de forma precisa.
  3. Seguridad y Privacidad desde el Diseño: Incorporen buenas prácticas de ciberseguridad y protección de datos desde las fases iniciales del desarrollo de cualquier proyecto OSS.
• Para Empresas que Utilizan o Desarrollan sobre OSS:
  
  1. Políticas Internas de Gestión de OSS: Implementen políticas claras para la selección, uso, modificación, distribución y contribución a software Open Source. Esto incluye la realización de auditorías de licencias para asegurar el cumplimiento, especialmente con componentes copyleft.
  2. Debida Diligencia Exhaustiva: Al incorporar componentes OSS en productos comerciales, evalúen su madurez, la actividad de su comunidad, su historial de seguridad, y la compatibilidad de su licencia con su modelo de negocio y otros componentes.
  3. Modelos de Negocio Estratégicos: Consideren modelos basados en servicios, soporte, personalización y valor agregado sobre plataformas OSS robustas y bien mantenidas.
  4. Contratos Claros y Completos: En casos de desarrollo por encargo o contratación de servicios sobre OSS, aseguren que los contratos definan claramente la titularidad de los derechos patrimoniales sobre las personalizaciones y la facultad para licenciar el software resultante bajo términos abiertos si así se desea.
  5. Cumplimiento Normativo Integral: Garanticen que cualquier producto o servicio que utilice OSS cumpla con la totalidad de la normativa colombiana aplicable, incluyendo la protección de datos personales (Ley 1581) y los derechos del consumidor (Ley 1480).
  6. Considere el Registro en la DNDA: Incluso si el software va a ser liberado bajo una licencia Open Source, registrar la obra original ante la DNDA puede ser una herramienta valiosa para establecer la autoría y la fecha de creación, facilitando la gestión de la propiedad intelectual.
  7. Gestión Proactiva de la Ciberseguridad: Mantengan un inventario de los componentes OSS utilizados, monitoreen las fuentes de información sobre vulnerabilidades y apliquen diligentemente las actualizaciones y parches de seguridad. No asuman que “abierto” significa automáticamente “seguro sin esfuerzo”.

Estos puntos son solo el inicio. Una auditoría legal y técnica de su arquitectura OSS puede revelar tanto riesgos ocultos como oportunidades insospechadas.

Conclusión: El Código Abierto es el Futuro, su Protección Legal es el Presente

El ecosistema del software de código abierto en Colombia es vibrante y se encuentra en una trayectoria de crecimiento y adopción acelerada. Su potencial para impulsar la innovación, la eficiencia y la soberanía tecnológica es inmenso. El marco legal colombiano, aunque no fue diseñado explícitamente para el OSS, ha demostrado una capacidad de adaptación, principalmente a través de los principios del derecho de autor y la libertad contractual. Sin embargo, como hemos explorado, esta interacción no está exenta de fricciones y áreas que demandan una cuidadosa consideración legal.

Desde la gestión de los derechos morales y patrimoniales en un entorno colaborativo, pasando por las complejas ramificaciones de las licencias copyleft, hasta la crucial armonización de las cláusulas de las licencias OSS con las normativas imperativas de protección al consumidor y de datos personales, el camino está lleno de matices. La transparencia promovida en el sector público y los desafíos de la ciberseguridad en un mundo de código interconectado añaden capas adicionales a este panorama.

El futuro es, sin duda, abierto y colaborativo. Pero para que esta promesa se materialice en proyectos exitosos y sostenibles, la previsión y la estrategia legal son indispensables. No se trata de frenar la innovación con burocracia, sino de blindarla con inteligencia, asegurando que cada línea de código no solo funcione a la perfección, sino que también esté sólidamente protegida y en cumplimiento.

Navegar este ecosistema requiere más que pericia técnica; exige una estrategia legal proactiva. Para asegurar que su innovación no solo prospere sino que esté blindada legalmente, la asesoría especializada es crucial. Lo invitamos a consultarnos para convertir la complejidad legal del Open Source en una ventaja competitiva para su proyecto.

Referencias Bibliográficas (Formato APA)

• Affirma Legal. (s.f.). Derechos de Autor para Software en Colombia. Recuperado el 30 de mayo de 2025, de Affirma Legal: https://www.affirmalegal.com/blog/derechos-de-autor-para-software-en-colombia/
• Ámbito Jurídico. (s.f.). La regulación del ‘software’ y la protección de los activos intangibles… Recuperado el 30 de mayo de 2025, de Ámbito Jurídico: https://www.ambitojuridico.com/noticias/columnista-online/tic/la-regulacion-del-software-y-la-proteccion-de-los-activos#:~:text=El%20desarrollo%20de%20software%20s%C3%AD,y%20el%20derecho%20de%20autor.
• Ámbito Jurídico. (s.f.). Sentencia T-067/25. Recuperado el 30 de mayo de 2025, de Ámbito Jurídico: https://www.ambitojuridico.com/sites/default/files/2025-04/Sent-T-067-25.pdf
• Amazon Web Services (AWS). (s.f.). ¿Qué es el código abierto? – Explicación del código abierto. Recuperado el 30 de mayo de 2025, de AWS: https://aws.amazon.com/es/what-is/open-source/
• Archivo General de la Nación. (s.f.). Manual para la implementación de Gobierno Digital. Recuperado el 30 de mayo de 2025, de Archivo General de la Nación: https://www.archivogeneral.gov.co/sites/default/files/2018-05/articles-73081_documento.pdf
• Cámara de Representantes de Colombia. (s.f.). PL.447-2024C (INFRAESTRUCTURA DE DATOS DEL ESTADO COLOMBIANO). Recuperado el 30 de mayo de 2025, de www.camara.gov.co: https://www.camara.gov.co/sites/default/files/2024-05/PL.447-2024C%20%28INFRAESTRUCTURA%20DE%20DATOS%20DEL%20ESTADO%20COLOMBIANO%29_0.pdf
• CISA (Cybersecurity and Infrastructure Security Agency). (2023, octubre). Improving Security of Open Source Software in Operational Technology and Industrial Control Systems. Recuperado el 30 de mayo de 2025, de CISA: https://www.cisa.gov/sites/default/files/2023-10/Fact_Sheet_Improving_OSS_in_OT_ICS_508c.pdf
• Código Facilito. (s.f.). Licencias open source – Blog de Código Facilito. Recuperado el 30 de mayo de 2025, de Código Facilito: https://codigofacilito.com/articulos/licencias-open-source
• Colombia Compra Eficiente. (s.f.). Acta de Informe de Gestión. Recuperado el 30 de mayo de 2025, de Colombia Compra Eficiente: https://operaciones.colombiacompra.gov.co/sites/cce_public/files/cce_documentos/informacion_de_empalme_directiva_conjunta_-_procuraduria_y_archivo_general_2018.pdf
• Colombia Compra Eficiente. (s.f.). Documento EP_SGDA. Recuperado el 30 de mayo de 2025, de Colombia Compra Eficiente: https://operaciones.colombiacompra.gov.co/sites/cce_public/files/documentos_adicionales_oc/ep_sgda.pdf
• Colombia Compra Eficiente. (s.f.). Estudio Previo Proceso Amparado en Instrumento de Agregación de Demanda. Recuperado el 30 de mayo de 2025, de Colombia Compra Eficiente: https://www.colombiacompra.gov.co/sites/cce_public/files/documentos_adicionales_oc/documentos_adicionales_oc_73867.pdf
• Colombia Compra Eficiente. (s.f.). SECOP – ANCP Colombia Compra Eficiente. Recuperado el 30 de mayo de 2025, de Colombia Compra Eficiente: https://www.colombiacompra.gov.co/secop
• Dirección Nacional de Derechos de Autor. (s.f.). Registro de software. Recuperado el 30 de mayo de 2025, de Dirección Nacional de Derechos de Autor: https://www.derechodeautor.gov.co/es/atencion-y-servicios-a-la-ciudadania/registro-de-obras/registro-de-software/registro-de-software
• Escuela Superior de Guerra “General Rafael Reyes Prieto”. (s.f.). LEY ESTATUTARIA 1581 DE 2012 (Octubre 17). Recuperado el 30 de mayo de 2025, de Esdegue: https://esdegue.edu.co/sites/default/files/Normatividad/LEY%20TRATAMIENTO%20DE%20DATOS%20-%20LEY%201581%20DE%202012.pdf
• Función Pública. (s.f.). Ley 1480 de 2011 – Gestor Normativo. Recuperado el 30 de mayo de 2025, de Función Pública: https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=44306
• Gobernación de Cundinamarca. (s.f.). MANUAL+GOBIERNO+DIGITAL+DECRETO+767+DE+2022.pdf. Recuperado el 30 de mayo de 2025, de Gobernación de Cundinamarca: https://www.cundinamarca.gov.co/wcm/connect/1a202031-3f44-45f0-adb9-fbf930c2da39/MANUAL+GOBIERNO+DIGITAL+DECRETO+767+DE+2022.pdf?MOD=AJPERES&CONVERT_TO=url&CACHEID=ROOTWORKSPACE-1a202031-3f44-45f0-adb9-fbf930c2da39-o-XzyAU
• Hernández Ramos, E. (s.f.). Análisis jurisprudencial. Códigos fuente y Open Source. Recuperado el 30 de mayo de 2025, de Eva Hernández Ramos: https://evahernandezramos.com/analisis-jurisprudencial-codigos-fuente-y-open-source/
• ITSoftware. (s.f.). Licencias de Software en Colombia: Cuáles existen? Recuperado el 30 de mayo de 2025, de ITSoftware: https://itsoftware.com.co/content/licencias-de-software-en-colombia/
• Ministerio de Justicia y del Derecho. (s.f.). GUÍA POLITICA DE TRATAMIENTO Y PROTECCION DE DATOS PERSONALES. Recuperado el 30 de mayo de 2025, de MinJusticia: https://www.minjusticia.gov.co/ministerio/Documents/SIG/_pol%C3%ADtica%20de%20tratamiento%20y%20protecci%C3%B3n%20datos%20personales.pdf
• MinTIC (Ministerio de Tecnologías de la Información y las Comunicaciones). (s.f.). Decreto 767 de 2022. Recuperado el 30 de mayo de 2025, de MinTIC Gobierno Digital: https://gobiernodigital.mintic.gov.co/692/articles-272977_Decreto_767_2022.pdf
• MinTIC. (s.f.). Documento Política de Gobierno Digital. Recuperado el 30 de mayo de 2025, de MinTIC: https://www.mintic.gov.co/portal/715/articles-326715_documento__10.pdf
• MinTIC Gobierno Digital. (s.f.). Software libre. Recuperado el 30 de mayo de 2025, de MinTIC Gobierno Digital: https://gobiernodigital.mintic.gov.co/portal/Iniciativas/Software-libre/
• OpenLogic. (2024). 2024 State of Open Source Report. OpenLogic by Perforce.
• Open Source Initiative. (s.f.). About – Open Source Initiative. Recuperado el 30 de mayo de 2025, de Open Source Initiative: https://opensource.org/about
• OWASP Foundation. (s.f.). OWASP Top 10 risks for open source software. Recuperado el 30 de mayo de 2025, de Snyk Learn: https://learn.snyk.io/learning-paths/owasp-top-10-open-source-software-risks/
• PatentPC. (s.f.). The Legal Risks of Using Open-Source Software in Commercial Projects. Recuperado el 30 de mayo de 2025, de PatentPC: https://patentpc.com/blog/the-legal-risks-of-using-open-source-software-in-commercial-projects
• Redalyc. (s.f.). Portales de contacto y su responsabilidad frente al consumidor en Colombia. Recuperado el 30 de mayo de 2025, de Redalyc: https://www.redalyc.org/journal/5857/585777333014/html/
• Revista CIES Escolme. (s.f.). Análisis de herramientas de ciberseguridad de código abierto… Recuperado el 30 de mayo de 2025, de Revista CIES Escolme: http://revista.escolme.edu.co/index.php/cies/article/viewFile/479/520
• Revistas Universidad Externado de Colombia. (s.f.). Descarga de artículo (sobre propiedad intelectual). Recuperado el 30 de mayo de 2025, de revistas.uexternado.edu.co: https://revistas.uexternado.edu.co/index.php/propin/article/download/1148/1089/4072
• Revistas Universidad Externado de Colombia. (s.f.). Vista de Implicaciones legales del web scraping en el … Recuperado el 30 de mayo de 2025, de revistas.uexternado.edu.co: https://revistas.uexternado.edu.co/index.php/propin/article/view/9706/16870
• Schjødt. (s.f.). Open source & copyleft licenses – how to ensure commercially acceptable use. Recuperado el 30 de mayo de 2025, de Schjødt: https://schjodt.com/news/open-source-copyleft-licenses-how-to-ensure-commercially-acceptable-use-2
• Superintendencia de Industria y Comercio. (s.f.). Fallas en un producto o de baja calidad e incumplimiento de garantías. Recuperado el 30 de mayo de 2025, de SIC: https://www.sic.gov.co/fallas-baja-calidad-e-incumplimiento-de-garantias
• Superintendencia Financiera de Colombia. (s.f.). Circular Externa 004 de 2024. Recuperado el 30 de mayo de 2025, de CER Latam: https://www.cerlatam.com/normatividad/superfinanciera-circular-externa-004-de-2024/
• Transparencia por Colombia. (s.f.). GENERALIDADES PARA EL USO DE SECOP Manual de consulta. Recuperado el 30 de mayo de 2025, de Transparencia por Colombia: https://transparenciacolombia.org.co/Documentos/Publicaciones/cuidado-paz/contratacion/generalidades-uso-secop.pdf
• UNAD (Universidad Nacional Abierta y a Distancia). (s.f.). Leyes informáticas colombianas – GPIT. Recuperado el 30 de mayo de 2025, de UNAD GPIT: https://gpit.unad.edu.co/seguridad-de-la-informacion/leyesinformaticas
• Unidad de Regulación Financiera (URF). (s.f.). Proyecto de Decreto sobre el Sistema de Finanzas Abiertas Obligatorio. Recuperado el 30 de mayo de 2025, de URF: https://www.urf.gov.co/documents/d/guest/20241217-dt-sistema-de-finanzas-abiertas-obligatorio-1-pdf?download=true
• Universidad del Rosario. (s.f.). La ley de software libre en Colombia: tecnologías, imaginarios y reivindicaciones políticas. Recuperado el 30 de mayo de 2025, de Repositorio Universidad del Rosario: https://repository.urosario.edu.co/server/api/core/bitstreams/e29d0d53-aab9-4d76-882c-3dcb52fd3f22/content
• WIPO (World Intellectual Property Organization). (s.f.). Consumer Protection Statute (Law No. 1480 of October 12, 2011), Colombia. Recuperado el 30 de mayo de 2025, de WIPO Lex: https://www.wipo.int/wipolex/en/legislation/details/14828
• Xygeni. (s.f.). Las 8 mejores herramientas de seguridad de código abierto para 2025. Recuperado el 30 de mayo de 2025, de Xygeni: https://xygeni.io/es/blog/top-8-open-source-security-tools/
• YouTube. (s.f.). Herramientas de software libre para ciberseguridad. Recuperado de https://www.youtube.com/watch?v=fY4I9Kg_MfQ