El Patch Tuesday de junio 2026 incluye tres zero-days activos; TypeScript se reescribe en Go para ser 13,5 veces más rápido; GitHub Copilot SDK entra a disponibilidad general. Android también cierra 124 vulnerabilidades.
El Patch Tuesday del 10 de junio superó el récord anterior de 167 CVEs de octubre de 2025, con 32 clasificados como críticos y tres zero-days confirmados en explotación activa antes del parche.
Microsoft publicó el 10 de junio su boletín de seguridad mensual con 198 vulnerabilidades corregidas —el Patch Tuesday más grande de su historia, según el análisis de Tenable y N-able—. De los 198 CVEs, 32 fueron clasificados como críticos y 166 como importantes. Los tres zero-days incluyen: - **CVE-2026-50507**: Bypass de BitLocker (CVSS 6.8) que permite a un atacante con acceso físico acceder a datos cifrados sin conocer la clave. - **CVE-2026-49160**: Denegación de servicio en HTTP.sys a través de la pila HTTP/2. - **CVE-2026-45586**: Vulnerabilidad divulgada antes del parche y confirmada explotada en la naturaleza. Entre los componentes más afectados figuran el cliente de Escritorio Remoto (11 CVEs), Windows Hyper-V con un escape de máquina virtual y ejecución remota de código, y Microsoft Office con vulnerabilidades de RCE en Outlook y Word mediante documentos maliciosos. El 31,8% de los parches corresponden a elevación de privilegios; el 27,3% a ejecución remota de código. N-able señala en su análisis que este Patch Tuesday marca un punto de inflexión: por primera vez el boletín incluye parches sugeridos por sistemas automatizados de detección de vulnerabilidades con IA. Los equipos de TI en Costa Rica que administran entornos Windows tienen hasta el fin de semana para aplicar los parches críticos antes de que los exploits se masifiquen.
cat /feed/typescriptcompilador.md
> Microsoft completó un hito clave en el «Project Corsa»: el compilador nativo de TypeScript escrito en Go pasa actualmente más del 95% del test suite oficial y logra una aceleración de hasta 13,5 veces frente al compilador actual basado en JavaScript. La información viene de InfoWorld y H2S Media, citando los propios repositorios de Microsoft.
> TypeScript 6.0 —lanzado en marzo de 2026— es la última versión del compilador JavaScript-based y actúa como versión de transición: introdujo inferencia de tipos mejorada, soporte para importaciones #/, el target `es2025`, y tipos Temporal. TypeScript 7.0 (Corsa) será la primera versión del compilador nativo en Go; no tiene fecha de lanzamiento confirmada pero el equipo apunta a 2026 para una primera disponibilidad.
> TypeScript se convirtió en agosto de 2025 en el lenguaje con más contribuyentes activos en GitHub —2.636.006 contribuidores mensuales, un aumento del 66% interanual. En 2026, el 70% de los proyectos Node.js en producción usa TypeScript, según el State of TypeScript 2026 de DevNewsletter. Node.js 22.18.0 ya permite ejecutar archivos .ts directamente con `node archivo.ts` sin paso de compilación separado.
El SDK salido de preview el 2 de junio permite incrustar el planificador, las herramientas y las sesiones multi-turno de Copilot directamente en aplicaciones propias, con soporte para Node.js/TypeScript, Python, Go, .NET, Rust y Java.
GitHub anunció el 2 de junio que el Copilot SDK pasa de preview a disponibilidad general. El SDK expone el runtime agéntico de Copilot —incluyendo planificación de tareas, invocación de herramientas, edición de archivos, streaming y sesiones conversacionales multi-turno— para que otros desarrolladores lo integren en sus propias aplicaciones. Los lenguajes compatibles incluyen Node.js/TypeScript, Python, Go, .NET, Rust y Java, según el GitHub Changelog. El caso de uso principal durante el período de preview fue la construcción de asistentes para pipelines de CI/CD —sistemas que analizan errores de build, sugieren correcciones y crean pull requests automáticamente. Paralelamente, GitHub activó en junio nuevas imágenes de runner en preview pública: ubuntu-26.04 (x64 y arm64) y windows-11-vs2026-arm para flujos de trabajo que necesitan el compilador más reciente de Visual Studio. Desde el ángulo crítico: la disponibilidad del SDK amplía el uso de agentes de IA en el código fuente de empresas, lo que plantea preguntas sobre responsabilidad legal cuando un agente introduce un error en producción. GitHub no ha publicado todavía una posición formal sobre la propiedad del código generado por el SDK en el contexto de organizaciones con licencias Enterprise.
El boletín de seguridad de Android para junio de 2026 documenta 124 vulnerabilidades en versiones 14, 15 y 16 de Android. El CVE más grave es CVE-2025-48595, una falla de alta severidad en el Framework que permite escalación de privilegios y cuya explotación activa en la naturaleza fue confirmada. Un segundo CVE crítico —CVE-2025-65018— permite elevación remota de privilegios sin interacción del usuario. Los parches adicionales provienen de Qualcomm, MediaTek, Imagination Technologies y Unisoc. Los niveles de parche 2026-06-01 y 2026-06-05 están disponibles.
Terraform 1.15 —lanzado el 29 de abril de 2026 y con la versión 1.15.6 del 10 de junio— incorpora fuentes dinámicas para módulos: ahora es posible usar variables en los atributos `source` y `version` de un bloque module. La característica estuvo disponible en OpenTofu —el fork de código abierto de Terraform creado tras el cambio de licencia de HashiCorp en 2023— durante casi dos años antes de llegar a la versión comercial, según InfoQ. También llegaron en 1.15: un mecanismo de deprecación formal para variables y salidas, una nueva función de conversión de tipos inline, restricciones de tipo para bloques de output y soporte nativo para Windows ARM64. OpenTofu, por su parte, lanzó la versión 1.12 en mayo con la función `prevent_destroy` dinámica —otra característica que HashiCorp todavía no ha implementado. El ecosistema de OpenTofu cuenta con 3.900+ proveedores y 23.600+ módulos. Paralelamente, el Terraform MCP Server alcanzó disponibilidad general, permitiendo que asistentes de IA interactúen directamente con el estado de la infraestructura mediante el protocolo MCP. Para los equipos de DevOps en Costa Rica que administran infraestructura en AWS o Azure, la convergencia de Terraform y OpenTofu reduce el costo de cambio entre ambas herramientas.
El colectivo ShinyHunters (rastreado por Mandiant como UNC6240) explotó CVE-2026-35273, un zero-day en Oracle PeopleSoft PeopleTools 8.61 y 8.62, para comprometer más de 300 instancias pertenecientes a más de 100 organizaciones entre el 27 de mayo y el 9 de junio de 2026, según TechCrunch y Google Cloud Threat Intelligence. La vulnerabilidad permite ejecución remota de código sin autenticación. Oracle emitió un parche fuera del ciclo regular el 10 de junio. Las instituciones de educación superior fueron los blancos principales del ataque. BleepingComputer identificó que los datos extraídos incluyen registros académicos, información personal de estudiantes y documentos administrativos. Para empresas costarricenses que utilizan PeopleSoft en sus sistemas de ERP —incluyendo algunas instituciones públicas y universidades—, aplicar el parche del 10 de junio es urgente. El ángulo estructural: la cadena de suministro de software universitario en Costa Rica depende en varios casos de versiones empresariales de Oracle, SAP e IBM que pueden tardar semanas en aplicar parches debido a procesos de validación internos. La ventana de exposición entre el exploit y el parche fue de 13 días.
— El grupo cibercriminal UNC6240 aprovechó una vulnerabilidad sin autenticación en PeopleTools 8.61 y 8.62 entre el 27 de mayo y el 9 de junio antes de que Oracle emitiera un parche de emergencia.
La semana del 16 de junio es la más intensa en seguridad del año: 198 CVEs de Microsoft (3 zero-days) más 124 de Android (1 explotado activamente) suman 322 parches urgentes. TypeScript avanza hacia su reescritura nativa en Go con un compilador 13,5 veces más rápido. El Copilot SDK de GitHub abre el runtime agéntico a aplicaciones de terceros. Terraform 1.15 cierra la brecha con OpenTofu. ShinyHunters expuso datos de 100+ organizaciones usando Oracle PeopleSoft sin parche.