Microsoft publica la versión general de TypeScript 7 con un compilador nativo hasta diez veces más rápido que deja sin API estable a herramientas como ts-morph, Ubiquiti corrige una falla crítica sin autenticación en UniFi Connect, Rust cierra una falla de solidez en la macro pin! y Django y Cloudflare completan la agenda del día con parches de rutina y una nueva herramienta de despliegue.
Microsoft anunció el 8 de julio de 2026 la disponibilidad general de TypeScript 7.0, la versión que reemplaza el compilador histórico —escrito en TypeScript y compilado a JavaScript— por un puerto nativo escrito en Go, según el anuncio oficial publicado por Daniel Rosenwasser, gerente principal de producto de TypeScript, en el blog de desarrolladores de Microsoft. El equipo trasladó la lógica de verificación de tipos de forma metódica, sin reescribirla desde cero, de modo que su comportamiento se mantiene estructuralmente idéntico al de TypeScript 6.0, pero corre con velocidad de código nativo y multihilo de memoria compartida. Los proyectos de referencia que Microsoft y medios especializados usaron para medir el cambio muestran ganancias de entre 8 y 12 veces en compilaciones completas, según el análisis de Developer Tech; el caso más citado es la propia base de código de Visual Studio Code, de 1,5 millones de líneas, cuya compilación bajó de 77,8 a 7,5 segundos —10,4 veces más rápido— de acuerdo con las pruebas de la versión candidata reportadas por Tech Times en junio. El proyecto, conocido internamente como «tsgo» durante su año de desarrollo, es la apuesta más grande del equipo de TypeScript desde su creación en 2012: Rosenwasser escribió en el anuncio que el lenguaje «prometió desde sus primeros días ofrecer JavaScript que escala», y que la reescritura en Go busca sostener esa promesa a medida que las bases de código —humanas y generadas por asistentes de programación— crecen más rápido de lo que los compiladores anteriores lograban revisar. La versión 7.0 también activa la opción --strict por defecto para proyectos nuevos, un cambio que no se aplica de forma retroactiva a proyectos existentes sin que el equipo lo configure. TypeScript es una de las herramientas de mayor uso diario entre programadores de JavaScript, un perfil común en los centros de desarrollo de software que multinacionales como Amazon, IBM y VMware mantienen en Heredia y Belén. Para esos equipos, el salto de versión promete compilaciones e integraciones continuas más cortas, siempre que las herramientas auxiliares que usan a diario —un tema que esta misma edición desarrolla más adelante— ya estén listas para el cambio.
Ubiquiti corrigió el 8 de julio fallas críticas en su ecosistema UniFi, encabezadas por una vulnerabilidad con puntaje CVSS de 10.0 que permite ejecutar comandos en el sistema sin una sola credencial.
Ubiquiti publicó el 8 de julio de 2026 el Boletín de Seguridad 066, con parches para fallas críticas distribuidas en los productos UniFi Connect, UniFi Talk, UniFi Access, UniFi Protect y UniFi OS, según reportó The Hacker News. La más grave, identificada como CVE-2026-50746 y con puntaje CVSS de 10.0, es una falla de control de acceso indebido en la aplicación UniFi Connect —el software que automatiza edificios comerciales, desde luces LED hasta cargadores de vehículos eléctricos— que permite a un atacante en la misma red enviar una sola petición manipulada y ejecutar comandos arbitrarios en el equipo afectado, sin autenticarse. Ubiquiti corrigió la falla en la versión 3.4.20 de UniFi Connect; las versiones 3.4.16 y anteriores quedan expuestas. Los recuentos de fallas corregidas varían según el medio: BleepingComputer reportó tres vulnerabilidades de severidad máxima en el boletín, mientras The Hacker News documentó siete fallas críticas repartidas en los cinco productos mencionados; ambos coinciden en que CVE-2026-50746 es la de mayor impacto por no requerir autenticación. La firma de inteligencia de amenazas Censys, citada por Tech Times, rastrea cerca de 100.000 instancias de UniFi OS expuestas directamente a internet, casi la mitad de ellas en Estados Unidos, lo que convierte a esta corrección en una de las ventanas de parcheo más amplias de lo que va de 2026. Ubiquiti es un fabricante de uso común en redes corporativas y de proveedores de internet pequeños en Costa Rica, donde sus equipos UniFi son una opción frecuente frente a marcas empresariales más caras. Ningún medio confirmó dispositivos costarricenses comprometidos al cierre de esta edición, pero cualquier administrador de red que use UniFi Connect, Talk, Access o Protect debería aplicar el boletín 066 de inmediato, sobre todo si el panel de administración es alcanzable desde internet.
cat /feed/lenguajesrust.md
La versión, publicada el 9 de julio, cierra un comportamiento incorrecto vigente desde Rust 1.88.0 y adopta el esquema de nomenclatura de símbolos v0 como predeterminado en todo el lenguaje.
> El equipo de Rust publicó el 9 de julio de 2026 la versión 1.97.0 del lenguaje, según el registro oficial de lanzamientos en releases.rs y el blog interno del proyecto. El cambio más señalado corrige la macro pin!: desde Rust 1.88.0, escribir pin!(x) sobre un valor x de tipo &mut T permitía, en algunos casos, una coerción de desreferencia incorrecta que producía Pin<&mut T> en lugar de Pin<&mut &mut T>, un comportamiento que el equipo califica de no seguro (unsound) y que la versión 1.97.0 elimina por completo.
> La versión también hace del esquema de nomenclatura de símbolos v0 la opción predeterminada del compilador, en lugar del esquema heredado que Rust usaba desde sus primeras versiones; el propio equipo advierte, en las notas de lanzamiento, que algunas herramientas de depuración y perfilado que todavía no soportan v0 podrían fallar al intentar decodificar (demangle) los símbolos que genera el nuevo binario. En Cargo, el gestor de paquetes del lenguaje, se estabilizan la opción build.warnings, que permite tratar las advertencias de compilación de un paquete local como errores en integración continua, y resolver.lockfile-path, útil para resolver dependencias en directorios de solo lectura.
> Rust mantiene una comunidad pequeña pero activa en Costa Rica, con encuentros periódicos en San José y uso creciente en firmas de ciberseguridad y sistemas embebidos con operaciones en el país; esos equipos deberían confirmar que su cadena de depuración soporta el esquema v0 antes de actualizar en entornos de producción.
La disponibilidad general de TypeScript 7.0, anunciada el 8 de julio de 2026 por Microsoft, no incluye la llamada API Strada: la interfaz de programación clásica del compilador que herramientas como ts-morph, ts-node, ts-jest, ts-loader, ts-patch y el analizador (parser) de @typescript-eslint usan para leer y transformar código TypeScript por debajo. Según documentó el sitio especializado byteiota, esa API estable no llega en la versión 7.0 —queda planeada para la 7.1— y su ausencia rompe de forma directa a ts-morph, cuyo propio mantenedor confirmó el problema en un reporte abierto en el repositorio del proyecto en GitHub: cada llamada de ts-morph depende de la API Strada por debajo, así que no existe una solución alternativa mientras esa API no regrese. «Una actualización ingenua puede dejar el linter y la generación de código rotos, aunque la compilación se haya vuelto más rápida», advirtió la guía de migración publicada por DigitalApplied, que recomienda dividir la cadena de herramientas: adoptar typescript@rc para las tareas de tsc y de verificación de tipos en integración continua, mientras se mantiene typescript-eslint y ts-morph fijados a la versión 6.0 hasta que la API Strada llegue en la 7.1. La recomendación matiza la promesa central de la versión 7.0 —compilar hasta diez veces más rápido— con un costo de migración real para cualquier equipo cuya cadena de pruebas dependa de esas herramientas. Los equipos de desarrollo costarricenses que usan ts-node o ts-jest en sus flujos de integración continua —una combinación común en las pruebas automatizadas de proyectos de Node.js— deberían fijar la versión de TypeScript en sus archivos de dependencias antes de dejar que una actualización automática rompa esos flujos sin aviso.
«Una actualización ingenua puede dejar el linter y la generación de código rotos, aunque la compilación se haya vuelto más rápida» — guía de migración de DigitalApplied
El equipo de seguridad de Django publicó el 7 de julio de 2026 las versiones 6.0.7 y 5.2.16, según el weblog oficial del proyecto, con parches para tres fallas que la propia clasificación de Django califica como de severidad baja. La primera permitía que el middleware de caché (UpdateCacheMiddleware) y el decorador cache_page almacenaran en la caché compartida una respuesta que fija una cookie de sesión, siempre que la petición entrante ya trajera alguna otra cookie —la protección existente solo cubría el caso de peticiones sin ninguna cookie—. La segunda es una lectura fuera de los límites de memoria de aproximadamente 32 bytes en la propiedad vsi_buffer de GDALRaster, dentro del módulo geoespacial django.contrib.gis, que puede filtrar memoria adyacente o, en casos raros, provocar un cierre inesperado del proceso. La tercera corrige que DomainNameValidator aceptara saltos de línea en nombres de dominio, lo que abría la puerta a ataques de inyección de encabezados HTTP en aplicaciones que reflejan ese valor en una respuesta. El anuncio oficial no incluyó identificadores CVE para ninguna de las tres fallas al cierre de esta edición. El equipo de Django recomienda actualizar de todas formas: aunque las tres vulnerabilidades sean de severidad baja según su propia política, la combinación de fuga de cookies de sesión e inyección de encabezados es la clase de falla que suele explotarse en cadena con otras debilidades de una aplicación, no de forma aislada. Django es el framework de referencia en varios cursos de desarrollo web del Tecnológico de Costa Rica y la Universidad de Costa Rica, y corre en aplicaciones de banca y gobierno digital que usan Python como lenguaje principal; para esos equipos, aplicar 6.0.7 o 5.2.16 según la rama que usen es una tarea de mantenimiento rutinaria que no debería esperar.
El equipo de Node.js publicó el 8 de julio de 2026 la versión 26.5.0 de la rama Current del runtime, mantenida por Richard Lau, según el blog oficial del proyecto. La novedad principal es la importación de archivos de texto como módulos de ECMAScript detrás de la bandera --experimental-import-text, usando la sintaxis with { type: 'text' } —obligatoria para activar el comportamiento—, donde el archivo importado expone como única exportación por defecto el contenido del archivo convertido a cadena de texto. La versión suma además transmisión en flujo (streaming) de codificación UTF-8 para objetos Blob mediante el método textStream(), y reporta de forma directa los grupos de intercambio de claves TLS negociados, incluidas variantes resistentes a computación cuántica. El equipo mantiene la función de importación de texto marcada como experimental de forma deliberada: según explicó el colaborador Geoffrey Booth, la cautela sigue el precedente que TC39 —el comité que estandariza JavaScript— aplica a este tipo de cambios, a la espera de que la compatibilidad entre navegadores y el ecosistema de paquetes de npm se estabilicen antes de activarla por defecto. El paso es más conservador que el de otros entornos de ejecución: Bun ofrece una función equivalente sin bandera desde 2024, y Deno la expone mediante --unstable-raw-imports. Node.js sigue siendo el runtime más usado en los equipos de backend de desarrollo de software costarricense, de las zonas francas de servicios compartidos a los bootcamps locales; la función, al estar detrás de una bandera experimental, no debería adoptarse todavía en código de producción, pero marca una dirección de trabajo que probablemente llegue sin bandera en una versión futura de la rama Current.
— La versión, publicada el 8 de julio bajo la bandera --experimental-import-text, permite cargar un archivo de texto como módulo de JavaScript con una sola línea de código.
Cloudflare publicó el 8 de julio de 2026 Drop, una herramienta que despliega un sitio estático —HTML, CSS, JavaScript, imágenes y fuentes— a partir de una carpeta o un archivo comprimido que el usuario arrastra directamente al navegador, según el changelog oficial de Cloudflare Developers. El sitio queda activo en segundos en una dirección pública de workers.dev, sin pedir cuenta ni configuración previa; quien lo publicó tiene 60 minutos para reclamar ese despliegue dentro de una cuenta de Cloudflare antes de que expire. Cloudflare no es la primera en ofrecer este tipo de despliegue instantáneo: Netlify Drop existe desde hace años como la opción veterana del género, y Vercel lanzó su propia versión en junio de 2026 pensada para exportar proyectos generados por herramientas de código asistidas. El análisis publicado por el blog Stacktree describe el aporte específico de Cloudflare como la combinación de la primera hora completamente anónima con una superficie legible tanto para personas como para agentes de software que necesitan una URL de vista previa de inmediato —una descripción que también deja ver el propósito comercial del producto: la ventana de una hora funciona como embudo de entrada hacia una cuenta de pago de Cloudflare una vez que la vista previa expira. Para agencias, freelancers y estudiantes de bootcamps en Costa Rica que arman vistas previas rápidas para un cliente o un proyecto de clase, Drop suma una opción gratuita más junto a Netlify Drop y Vercel Drop, útil sobre todo para quien todavía no tiene una cuenta abierta en ninguna de las tres plataformas.
El 8 y 9 de julio de 2026 concentran cuatro actualizaciones mayores de lenguajes y frameworks —TypeScript 7.0, Rust 1.97.0, Node.js 26.5.0 y Django 6.0.7/5.2.16— además de un parche crítico de Ubiquiti para su ecosistema UniFi y el lanzamiento de una nueva herramienta de despliegue estático de Cloudflare. Microsoft reescribió el compilador de TypeScript en Go y prometió compilaciones hasta diez veces más rápidas, pero esa misma reescritura dejó sin API de programación estable a herramientas como ts-morph y ts-node hasta la versión 7.1. Rust cerró una falla de solidez en su macro pin! vigente desde la versión 1.88.0, y Ubiquiti corrigió una falla crítica en UniFi Connect que no exige ninguna credencial para ejecutar comandos, con cerca de 100.000 instancias expuestas directamente a internet según Censys. El patrón que dejan estos lanzamientos es el mismo que esta sección viene documentando desde julio: cada mejora de rendimiento o de producto llega acompañada de una letra pequeña que alguien tiene que leer antes de actualizar en producción, ya sea una API que desaparece, un esquema de símbolos que rompe un depurador o un boletín de seguridad que exige revisar qué versión corre cada equipo. Ninguna de las actualizaciones de hoy es opcional para los equipos que dependen de esas herramientas a diario. Para los equipos de desarrollo en Costa Rica —de los centros de servicios compartidos que usan TypeScript y Node.js en sus pipelines hasta las universidades que enseñan Django—, la lista de tareas de esta edición es concreta: fijar la versión de TypeScript en los flujos que dependen de ts-morph o ts-node, revisar si algún equipo administra UniFi Connect desde internet, y aplicar los parches de Django antes de que termine la semana.