Docker 'gratis' que cuesta $25K: el asterisco enterprise

El número que Docker oculta: $207M de Desktop obligatorio

El 17 de diciembre de 2025, Docker anunció que liberaba 1,000+ Docker Hardened Images (DHI) como open source bajo licencia Apache 2.0. Los titulares celebraron "gratis para todos".

Docker genera $207 millones anuales de Docker Desktop — el producto que empresas con 250+ empleados DEBEN comprar a $21/usuario/mes.

Hagamos la matemática que ningún artículo menciona. Tienes 100 desarrolladores. Docker Desktop Business cuesta $21/usuario/mes. Eso es $25,200 al año solo por la herramienta de debugging — antes de pagar un centavo por DHI Enterprise (cuyo precio Docker no revela públicamente). El threshold de 250 empleados OR $10 millones de revenue captura a la mayoría de enterprises, y Docker pasó de $20M en 2021 a $207M en 2024 con este modelo.

DHI requiere Docker login obligatorio. Para debugging completo — el workflow que cualquier dev necesita para troubleshoot containers — necesitas Docker Desktop. No es caridad open source. Es lead generation perfecto para un producto de $207M ARR que creció 125% en dos años. Después de años cubriendo el sector enterprise, reconozco customer acquisition cuando lo veo. Y esto es libro de texto.

Las imágenes "gratis" tienen un asterisco del tamaño de una ballena: solo si eres pequeño (<250 empleados AND <$10M revenue). Si superas ese umbral, bienvenido al ecosistema de pago de Docker: Desktop, Hub Team, Scout, Build Cloud. Las DHI te meten al funnel de conversión más efectivo que he visto en infraestructura cloud.

95% menos CVEs: lo que SRLabs sí encontró (y Docker calla)

Docker Hardened Images reducen vulnerabilidades hasta 95% vs imágenes oficiales. En un caso documentado, DHI eliminó 25 CVEs de una imagen oficial y la dejó en 0. La superficie de ataque se redujo 90% (de 321 paquetes a 32), y el tamaño de imagen cayó 41.5% (de 82 MB a 48 MB). Los números son impresionantes porque 98% de las vulnerabilidades residen en paquetes del OS (Debian en este caso), no en la aplicación.

SRLabs — firma líder en ciberseguridad — validó DHI en diciembre de 2025.

Docker celebra cero CVEs críticos en cada comunicado. SRLabs recomendó mejoras pendientes que el marketing prefiere omitir: (1) mover signing keys a HSM con quorum controls, (2) implementar keyless Fulcio flow para mejor seguridad operacional, (3) mejorar revocación offline de signatures, (4) eliminar privileged builds para garantizar reproducibilidad determinística.

Cero CVEs críticos encontrados es excelente. La auditoría independiente también expuso que hay margen de mejora en supply chain security que Docker aún no cierra. Transparencia que prefieren enterrar en PDFs técnicos en lugar de mencionar junto a "validado por SRLabs" en el marketing.

Debian y Alpine: la limitación que tumba el 40% de enterprises

¿Usas Red Hat Enterprise Linux? ¿CentOS? ¿Ubuntu con soporte comercial?

Mala suerte.

Docker Hardened Images solo soportan Debian y Alpine. Punto. No hay roadmap público para RHEL, y eso es un problema masivo para enterprises en industrias reguladas. Bancos, healthcare, government contractors — sectores donde la seguridad justifica pagar $72,000/año por Bitnami Secure — requieren commercial distros con soporte vendor. RHEL tiene contratos de soporte, SLAs, compliance certifications que Alpine simplemente no ofrece. Si me preguntas directamente: esta limitación excluye a un porcentaje enorme del mercado que más pagaría por DHI Enterprise.

Chainguard reporta que Red Hat UBI (Universal Base Images) promedia ~200 CVEs por imagen. Docker podría hardear RHEL y cobrar premium a enterprises que lo necesitan. Eligieron Debian/Alpine — distros populares en startups y open source, no en Fortune 500 con equipos de compliance que exigen RHEL + Red Hat subscription.

Bitnami Secure (ahora VMware/Broadcom): soporta RHEL UBI además de Debian/Alpine, incluye configuraciones FIPS/STIG/FedRAMP, cuesta $72,000/año pero cubre el stack completo de compliance que regulated industries necesitan. Docker DHI Enterprise promete "FIPS images" y "STIG-ready configurations" en su roadmap, pero sin RHEL como base, ¿cómo compiten por ese mercado?

La distro base importa (y mucho). No es solo "preferencia técnica". Es la diferencia entre pasar auditorías de compliance o que te rechacen en procurement.

Chainguard factura $40M con el modelo inverso: quién gana

Mayo de 2025: Docker lanza DHI como producto comercial de pago.

Diciembre de 2025: Docker lo libera gratis como Apache 2.0.

¿Qué pasó entre medio? Broadcom adquirió Bitnami y subió el pricing a $72,000/año efectivo en agosto, eliminando completamente el free tier que millones de developers usaban. Docker vio la oportunidad. Bitnami dejó un vacío masivo — imágenes hardened gratuitas que la comunidad dependía desaparecieron overnight. Docker entra con 1,000+ imágenes "gratis" justo cuando developers buscan alternativa.

Timing perfecto o estrategia calculada. Yo apuesto por lo segundo.

Chainguard factura $40 millones anuales (640% growth year-over-year) con el modelo OPUESTO: imágenes latest gratis, versiones históricas pagas. Docker da históricas gratis (Apache 2.0), cobra por enterprise features (SLA de 7 días para CVE críticos, Extended Lifecycle Support, customización). Son filosofías contrarias atacando el mismo mercado de container security que Mordor Intelligence proyecta crecer de $3B (2025) a $9B (2030).

¿Quién gana? Depende de tu caso de uso. Si eres startup <250 empleados corriendo latest en producción, Chainguard latest gratis + Docker DHI gratis te cubren sin costo. Si eres enterprise que necesita mantener versiones específicas por compliance y requieres SLA de remediación, pagas: Chainguard por historical images, Docker por DHI Enterprise (más Desktop si tienes 250+ empleados).

Reconozcamos lo obvio: ni Docker ni Chainguard hacen esto por altruismo. DHI "gratis" es lead magnet para Desktop subscriptions ($207M ARR) y DHI Enterprise (pricing no revelado). Chainguard latest "gratis" es freemium para convertirte en cliente de $40M ARR. Ambos modelos son válidos. Solo me molesta cuando disfrazan customer acquisition de generosidad open source.

Mi veredicto: excelente técnica, cuestionable 'gratis'

Mi veredicto es claro: Docker Hardened Images son técnicamente sólidas. Reducción de 95% en CVEs verificada por SRLabs, Apache 2.0 license sin restricciones, SLSA Build Level 3 provenance, rootless by default. Si usas Debian o Alpine y eres empresa pequeña (<250 empleados), es upgrade gratuito que deberías implementar hoy.

Diriges infraestructura en empresa 250+ empleados. Las cuentas reales:

• Docker Desktop Business: $21/usuario/mes × 100 devs = $25,200/año (obligatorio para debugging)
• DHI Enterprise: precio no revelado, requiere contacto con ventas (probablemente $20K-$50K/año basado en comps de mercado)
• Total: ~$45,000-$75,000/año antes de considerar Hub Team, Scout, Build Cloud

Bitnami Secure ($72,000/año todo incluido con RHEL support). Chainguard (custom pricing, pero $40M ARR / clientes enterprise sugiere tickets similares). Docker no es "gratis" para enterprises. Es competitivamente priced con lock-in suave al ecosistema Desktop.

¿Recomendación? Implementa DHI si ya estás en ecosistema Docker y usas Debian/Alpine. La reducción de CVEs es real y mejora tu postura de seguridad. Entra con ojos abiertos: estás aceptando dependencia de Docker Desktop (costo oculto) y limitación a dos distros (blocker para muchos enterprises). Si necesitas RHEL o quieres evitar vendor lock-in, evalúa Chainguard o mantén Bitnami Secure si ya lo pagas. No he tenido acceso a pricing de DHI Enterprise — Docker requiere contacto directo con ventas para cotización. Los rangos que menciono ($20K-$50K/año) se basan en comparables de mercado (Chainguard, Bitnami), no en confirmación directa de Docker.

Marketing de "gratis para todos" cuando el threshold de 250 empleados convierte la mayoría de companies en clientes pagos es inaceptable. Después de una década cubriendo enterprise tech, valoro transparencia. Docker tiene producto sólido. No necesitan disfrazar lead generation de caridad.