Una campaña de supply chain en RubyGems y las actualizaciones de Node.js 26 y Docker completan una semana densa en seguridad de software.
Por primera vez desde junio de 2024, Microsoft no registra zero-days en explotación activa; el 48% de los parches abordan escalada de privilegios.
Microsoft publicó el martes 13 de mayo su actualización mensual con 118 vulnerabilidades corregidas: 16 críticas y 102 importantes. La más severa es CVE-2026-41089 (RCE en Windows Netlogon, CVSS 9.8), que permite ejecución remota sin autenticación en controladores de dominio. Le sigue CVE-2026-41103 (escalada de privilegios en el plugin SSO para Jira y Confluence, CVSS 9.1). El 48,3% de los parches abordan escalada de privilegios, lo que refleja una tendencia sostenida en los ciclos recientes. Por primera vez desde junio de 2024, el aviso no reporta zero-days en explotación activa, según el análisis de Tenable publicado el mismo 13 de mayo. Empresas tech con operaciones en Costa Rica —como Dell, HP y las zonas francas de TI en la GAM— deben priorizar la actualización de controladores de dominio Windows ante el riesgo de CVE-2026-41089, que no requiere credenciales previas para su explotación.
Los paquetes no despliegan malware tradicional sino que envían información del sistema del desarrollador a servidores externos sin código obvio.
Investigadores de ciberseguridad alertaron el 13 de mayo sobre la campaña 'GemStuffer', que inyectó más de 150 gems maliciosos en el repositorio oficial de RubyGems. A diferencia de ataques de supply chain convencionales, estos paquetes no ejecutan código destructivo visible: usan el propio registro como canal de exfiltración de datos del entorno de desarrollo, enviando información del sistema a servidores externos. La campaña representa una evolución preocupante en los ataques a cadenas de suministro de open source, donde el objetivo ya no es dañar el sistema del usuario final sino comprometer los entornos de desarrollo. Equipos de desarrollo en Costa Rica que usen gems populares de Ruby on Rails deben auditar su Gemfile.lock y comparar hashes contra los registros oficiales. The Hacker News confirmó la detección el mismo día; RubyGems.org ya inició la remoción de los paquetes identificados, pero la ventana de exposición abarcó varias semanas.
La nueva versión 'Current' eleva V8 a 14.6, resuelve décadas de inconsistencias en el manejo de fechas y hora, y entra a LTS en octubre.
Node.js 26.0.0 fue lanzado el 5 de mayo como la nueva versión 'Current' del ciclo de soporte. La actualización más significativa es la activación de la API Temporal globalmente, sin flags experimentales: Temporal reemplaza el objeto Date con un diseño moderno que maneja zonas horarias, calendarios y aritmética de fechas de forma confiable, resolviendo problemas que acumulan décadas de deuda en el ecosistema JavaScript. La versión también actualiza el motor V8 a 14.6, elimina módulos de stream legados —`_stream_wrap`, `_stream_readable` y otros que llevaban deprecados varios ciclos— y actualiza Undici a 8.0.2. Node.js 26 entrará a Long Term Support (LTS) en octubre de 2026. Para los desarrolladores costarricenses en empresas de servicios de software para exportación, la adopción de Temporal simplifica el manejo de zonas horarias en aplicaciones que atienden clientes en múltiples continentes, un requisito recurrente en equipos que trabajan con clientes de EEUU y Europa simultáneamente.
JetBrains publicó el 12 de mayo un aviso urgente sobre CVE-2026-44413, una vulnerabilidad post-autenticación con CVSS 8.2 que afecta a todas las versiones de TeamCity On-Premises hasta la 2025.11.4. La falla permite que cualquier usuario autenticado —incluso el usuario invitado— exponga partes de la API del servidor a usuarios no autorizados. La corrección está en la versión 2026.1; JetBrains también publicó un plugin de parche para versiones desde 2017.1. La vulnerabilidad fue reportada de forma privada el 30 de abril por el investigador Martin Orem de binary.house. TeamCity es ampliamente usado en pipelines de CI/CD en empresas tech instaladas en Costa Rica, especialmente en el sector de exportación de software.
El índice TIOBE de mayo 2026 confirma a Python como el lenguaje de programación más popular, seguido de cerca por C y Java. Java regresó al tercer lugar desplazando a C++, con ambos separados por una diferencia mínima. R escala al puesto 8, reflejando el crecimiento de las herramientas estadísticas en ciencia de datos. El director de TIOBE, Paul Jansen, señaló que el ecosistema de análisis de datos se está concentrando cada vez más en Python y R, mientras el mercado de desarrollo web sigue siendo dominado por JavaScript y TypeScript. Para los bootcamps y universidades costarricenses que forman desarrolladores, la consolidación de Python refuerza su posición como primer lenguaje recomendado en currículos de ciencias de datos.
La actualización mensual 'What's new in Svelte: May 2026' detalla mejoras significativas al ecosistema: soporte para TypeScript 6.0, el lanzamiento experimental de plugins comunitarios (community add-ons) en sv@0.1.0 y la separación de los paquetes `sv` y `sv-utils` para una API pública más explícita en sv@0.2.0. La librería `svelte/motion` exporta ahora tipos para `TweenOptions`, `SpringOptions` y `SpringUpdateOptions`. Motion Core fue reescrito de Three.js a OGL, con una reducción significativa en el tamaño del bundle. SvelteKit también recibió mejoras a sus remote functions. Svelte ha ganado adopción entre startups costarricenses de tecnología por su curva de aprendizaje más suave respecto a React y su rendimiento superior en aplicaciones con muchos estados locales.
— La actualización de mayo trae plugins de comunidad en sv@0.1.0, separación de paquetes y mejoras al sistema de motion del framework.
Docker lanzó Desktop 4.73.0 el 11 de mayo incorporando el backport del parche del kernel Linux para CVE-2026-31431, conocida como 'Copy Fail': una vulnerabilidad que permitía a un proceso sin privilegios dentro de un contenedor obtener acceso root en el host mediante escritura controlada en el page cache de la VM a través de `splice(2)` o `sendfile(2)`. La versión también actualiza Docker Agent v1.50.0 y Model Runner v1.1.37, y añade un aviso de seguridad en la pantalla de extensiones que indica que estas corren con privilegios de host sin auditoría de Docker. El equipo recomienda actualizar de inmediato, especialmente en entornos de desarrollo donde los contenedores manejan datos sensibles. Para equipos de desarrollo en Costa Rica que usan Docker Desktop en entornos compartidos o con acceso a credenciales de producción, la actualización es crítica.
GitHub publicó CodeQL 2.25.4 el 12 de mayo con soporte para Swift 6.3.1, mejoras en el análisis de C# —incluyendo operadores de asignación compuesta definidos por el usuario de C# 14— y cobertura de funciones serverless de Vercel. La novedad técnica central son las extensiones de barrera de flujo de datos para casi todos los lenguajes soportados: C/C++, C#, Go, Java/Kotlin, JavaScript/TypeScript, Python, Ruby y Rust. Las barreras de flujo de datos permiten a los equipos de seguridad suprimir falsos positivos en análisis sin modificar directamente los queries de CodeQL, lo que facilita la integración de análisis estático en pipelines de CI/CD sin ruido excesivo.
Las barreras de flujo de datos eliminan la necesidad de modificar queries de CodeQL para suprimir falsos positivos — un paso que históricamente frenaba la adopción.
El PostgreSQL Global Development Group publicó el 14 de mayo actualizaciones acumulativas para todas las ramas soportadas: 18.1, 17.7, 16.11, 15.15, 14.20 y 13.23. La versión 13.23 es la última de la rama 13, que entra en End of Life. Los parches corrigen más de 50 bugs en hash joins, índices BRIN, tablas particionadas y replicación. No se requiere dump/restore ni pg_upgrade para aplicar la actualización. Equipos que aún ejecuten PostgreSQL 13 en producción deben planificar la migración a la rama 17 (LTS) antes de que cesen los parches de seguridad para esa versión.
La nueva versión del gestor de proyectos open source corrige múltiples errores de la rama 17.3, que introdujo backlogs ágiles.
OpenProject publicó el 13 de mayo la versión 17.3.2 con múltiples correcciones de bugs. La rama 17.3 introdujo previamente funcionalidades de backlogs y sprints para equipos ágiles. Los mantenedores recomiendan actualizar de inmediato dado que versiones anteriores de la rama 17.x presentaron una vulnerabilidad de ejecución remota de código relacionada con cookies cifradas y marshalling de objetos.