Cal.com traslada su producto principal a código cerrado por amenazas de IA al open source

Cal.com, uno de los actores open-source más destacados en la categoría de programación, está trasladando la versión comercial de su servicio a código cerrado. El motivo no es un cambio en el modelo de negocio per se, sino un nuevo equilibrio de riesgos: la empresa cree que las herramientas de IA modernas han simplificado demasiado la búsqueda de vulnerabilidades en repositorios públicos e hicieron el código abierto demasiado costoso desde la perspectiva de la protección de datos de usuarios.

La empresa anunció la decisión el 15 de abril de 2026. El código de producción y el desarrollo futuro del producto comercial se vuelven privados, mientras que el repositorio público se transforma en una rama comunitaria separada llamada Cal.diy.

Esta versión permanece auto-hospedada y open source, pero ahora bajo una licencia MIT en lugar de la AGPL anterior. Retiene el motor de programación, la lógica de reserva, app store y API v2—es decir, todo lo que desarrolladores individuales y pequeños equipos necesitan para implementación independiente. Cal.

diy elimina lo que se relaciona con el servicio comercial gestionado y escenarios empresariales: organizaciones y equipos, formularios de enrutamiento, flujos de trabajo automáticos, reserva instantánea, teléfono IA, SAML/SSO, paneles analíticos, algunas interfaces de administración y la antigua API v1. Esencialmente, Cal.com está dividiendo el producto en dos trayectorias: una plataforma abierta para aficionados y auto-hospedaje, y una versión de producción cerrada donde la empresa asume la responsabilidad de manejar datos sensibles del cliente.

Dentro del propio equipo, lo describen simplemente: quieren ser una empresa de programación, no una empresa de ciberseguridad. El argumento de Cal.com se centra en la idea de que la IA cambia radicalmente la economía de la seguridad ofensiva.

Anteriormente, encontrar bugs explotables requería un investigador experimentado y mucho trabajo manual; ahora los modelos y herramientas de agentes pueden recorrer sistemáticamente una base de código, rastrear flujos de datos, buscar violaciones de lógica empresarial y armar rápidamente una prueba de concepto. En una de las publicaciones en su propio blog, Cal.com cita pruebas del socio Hex Security: en 28 empresas, sus agentes de prueba de penetración autónomos encontraron aproximadamente 2.

000 vulnerabilidades, de las cuales el 44,6% resultaron ser críticas o de alta gravedad, y el 65,1% de los escaneos descubrieron al menos un bug crítico. El mismo post incluye un benchmark que muestra que el acceso al código fuente aumentó la detección de vulnerabilidades en aproximadamente un 20% en comparación con pruebas de caja negra. Como símbolo público de esta nueva realidad, la empresa señala el ejemplo del modelo de IA Mythos, que, según la empresa, logró identificar una vulnerabilidad antigua en BSD y construir rápidamente un exploit funcional.

Dicho esto, Cal.com en sí no afirma que el código cerrado automáticamente haga un producto seguro. En su explicación oficial, la empresa reconoce directamente que esta no es una solución perfecta y que la seguridad por oscuridad no se sostiene por sí sola.

Pero para un servicio que procesa datos sobre reuniones, calendarios y reservas, incluso una pequeña reducción en la probabilidad de auditoría masiva por atacantes parece justificada. En paralelo, el equipo promete mantener parches de seguridad compatibles entre el producto cerrado y Cal.diy y dice que le gustaría algún día volver a un formato abierto si el panorama de amenazas se vuelve más manejable.

Este es un giro particularmente notable porque Cal.com construyó su marca precisamente como una alternativa open-source a Calendly y no ocultó que veía en el código abierto una fuente de crecimiento. Según la administración, bajo diferentes configuraciones de riesgo, la empresa habría preferido permanecer en su modelo anterior.

Es decir, esto no se trata de una ruptura completa con la comunidad, sino de un intento de separar las partes experimentales y comerciales del producto en perímetros de seguridad diferentes. La conclusión más amplia se extiende más allá del destino de una empresa. La historia de Cal.

com muestra que la IA está cambiando no solo el desarrollo sino también el contrato social del open source en sí: la transparencia sigue ayudando a los defensores, pero ahora también amplía igualmente el trabajo de los atacantes. Para productos open-source comerciales, esto puede significar una opción difícil entre la ideología de la apertura y la obligación de reducir el riesgo para los clientes. Cal.

com es la primera en hacer esta opción de manera tan demostrativa, y es precisamente por eso que su caso importa para toda la industria.