Katie Moussouris respalda el proyecto de la Fundación Linux contra vulnerabilidades impulsadas por IA, pero la comunidad pregunta quién decide qué proyecto es crítico. Canonical y Red Hat corrigen pedit COW, la cuarta escalada a root del kernel desde mediados de mayo, Debian parcha 40 CVE antes de perder soporte bookworm y Ubuntu 25.10 llega a su fin de vida el jueves.
La Fundación Linux presentó Akrites el 25 de junio de 2026 con el respaldo de 20 organizaciones fundadoras —entre ellas Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI y Red Hat— y desde entonces la reacción de la comunidad de seguridad se dividió entre el respaldo cauteloso y las preguntas estructurales sin responder. Katie Moussouris, arquitecta de los primeros programas de recompensas por errores de Microsoft y hoy asesora independiente en divulgación coordinada de vulnerabilidades, describió la iniciativa como una evolución necesaria y ya tardía, según recogió el medio especializado The Drop Times; la misma nota advierte que el éxito del proyecto depende de que participen mantenedores voluntarios con financiamiento escaso, que podrían resistirse a sumar otra plataforma a su carga de trabajo. Las dudas más señaladas por la comunidad de código abierto —recogidas por Linuxiac y The420.in tras el lanzamiento— no son sobre el problema que Akrites busca resolver, sino sobre su gobernanza: quién define qué proyecto de código abierto cuenta como crítico, qué pasa cuando un mantenedor está inubicable, quién revisa un parche de emergencia antes de publicarlo y por cuánto tiempo Akrites sostiene ese soporte. Ninguna de esas preguntas tiene todavía una respuesta pública del consorcio, apenas diez días después del lanzamiento, mientras Linus Torvalds había advertido en mayo que la lista de seguridad del kernel se había vuelto casi inmanejable por el volumen de reportes generados con herramientas de IA —el problema concreto que Akrites dice atacar. Akrites no ha publicado todavía su primer reporte de coordinación ni una política escrita sobre cómo tratará a proyectos sin financiamiento corporativo detrás. En Costa Rica, donde la Universidad de Costa Rica y el Tecnológico de Costa Rica forman parte de comunidades de software libre que dependen de mantenedores voluntarios similares a los que Akrites dice querer proteger, el desenlace de estas preguntas de gobernanza definirá si el proyecto termina siendo una red de seguridad real o una capa adicional de burocracia sobre el trabajo no remunerado que ya sostiene buena parte del ecosistema.
Una evolución necesaria, pero tardía — Katie Moussouris, según The Drop Times
Canonical publicó el 2 de julio de 2026 el aviso de seguridad para pedit COW (CVE-2026-46331), una vulnerabilidad en el subsistema de control de tráfico del kernel Linux que permite a un usuario local sin privilegios escalar a root, según el blog de Ubuntu y el análisis técnico de TuxCare. El error está en la acción act_pedit: el kernel debía reservar una copia privada de memoria antes de editar un paquete de red, pero la copia cubre el rango equivocado y la escritura termina cayendo sobre el caché de páginas compartido, lo que permite sobrescribir el binario /bin/su y ejecutar una versión modificada con privilegios de root, según documentó The Hacker News. El CVE se asignó el 16 de junio de 2026 y un exploit funcional circuló públicamente ese mismo día; la corrección definitiva se fusionó en el kernel 7.1-rc7, y RHEL 8, 9 y 10, Debian 13 y todas las versiones de Ubuntu desde la 18.04 hasta la 26.04 quedaron marcadas como afectadas. Pedit COW es, según el recuento de la firma Security Affairs, la cuarta falla de escalamiento de privilegios a root descubierta en el kernel en seis semanas, después de Dirty Frag, Fragnesia y DirtyClone —esta última también explotable manipulando el caché de páginas compartido, sin dejar rastro en las herramientas de monitoreo de integridad de archivos. La seguidilla contrasta con el argumento que el mantenedor Greg Kroah-Hartman defendió esta semana: que un conteo alto de CVE refleja transparencia y no necesariamente inseguridad; cuatro fallas de root explotables en poco más de un mes son, en cambio, el tipo de patrón que los equipos de seguridad miden sin importar cómo se cuenten los CVE. Los parches de pedit COW ya están disponibles para Ubuntu y en proceso de distribución para Debian y RHEL. Las empresas costarricenses que operan infraestructura Linux en zonas francas —muchas certificadas bajo estándares PCI para procesar pagos— deben tratar esta corrección con la misma urgencia que aplicaron a Dirty Frag y Fragnesia el 1 de julio, dado que la técnica de explotación es prácticamente idéntica en las cuatro fallas.
cat /feed/kernelnotatcnica.md
> Linus Torvalds publicó el 5 de julio de 2026 la segunda candidata a lanzamiento del kernel Linux 7.2, y la calificó de "muy normal" en su anuncio recogido por Phoronix: el volumen de cambios es similar al de ediciones recientes y ligeramente menor que el de la rc2 de la versión 7.1 en la misma etapa del ciclo. El cambio más notorio de esta ronda es la división de mod_devicetable.h, la cabecera monolítica que agrupaba los identificadores de dispositivos de decenas de subsistemas, en cabeceras más pequeñas y específicas por subsistema —un cambio que tocó más de 1.500 archivos, según reportó 9to5Linux.
> La cabecera única obligaba a recompilar buena parte del árbol del kernel cada vez que alguien la modificaba, un costo de tiempo de compilación que los mantenedores arrastraban desde hace años; dividirla elimina, en palabras de Torvalds citadas por Phoronix, uno menos de esos "encabezados monstruosos" que provocan que casi todo se recompile si se los toca. La rc2 también trae un lote pesado de correcciones al subsistema gráfico DRM, según OSTechNix.
> El ciclo de Linux 7.2 sigue el calendario habitual de siete candidatas semanales antes del lanzamiento estable, previsto para las próximas semanas si el ritmo actual se mantiene. El beneficio de esta reorganización interna llega a los usuarios de Linux en Costa Rica solo cuando las distribuciones integren la versión 7.2 estable, un proceso que —como en ciclos anteriores— toma entre dos y tres meses tras el cierre del desarrollo.
Canonical dejará de enviar parches de seguridad y acceso a los repositorios oficiales para la versión interina 25.10 este jueves, y recomienda saltar directo a la nueva Ubuntu 26.04 LTS.
Ubuntu 25.10 "Questing Quokka" llega al final de su vida útil el 9 de julio de 2026, según el aviso oficial publicado en la lista de correo ubuntu-announce y confirmado por 9to5Linux y OMG Ubuntu. A partir de esa fecha, Canonical deja de distribuir parches de seguridad, controladores nuevos y acceso al repositorio oficial de paquetes para quienes se queden en esa versión interina. El salto recomendado es directo a Ubuntu 26.04 LTS "Resolute Raccoon", que recibe cinco años de soporte estándar —diez con una cuenta gratuita de Ubuntu Pro—, frente a los nueve meses de vida de una versión interina como la 25.10. Canonical ya había retirado el soporte de la versión anterior, Ubuntu 25.04, el 15 de enero de 2026, con el mismo patrón de ciclo corto que caracteriza a sus lanzamientos de abril y octubre. Quienes no migren antes del jueves se exponen a dependencias rotas y actualizaciones de paquetes ausentes en cuanto los espejos oficiales dejen de servir contenido para la 25.10. Empresas costarricenses de desarrollo de software que usan Ubuntu interino en servidores de prueba o estaciones de trabajo deberían ejecutar la actualización con sudo do-release-upgrade antes del 9 de julio; quienes ya corren la 24.04 LTS o la 26.04 no se ven afectadas.
El equipo de Debian LTS publicó el 3 y 4 de julio de 2026 avisos de seguridad de emergencia que corrigen 40 vulnerabilidades del kernel Linux —versión 5.10.259-1 para Debian 11 "bullseye" y 6.1.176-1 para Debian 12 "bookworm"—, además de Nginx 1.22.1-9+deb12u9, que cierra fallas de desbordamiento de búfer y divulgación de memoria ligadas al manejo de HTTP/2, y seis CVE de OpenVPN, según el reporte de Linux Compatible basado en los avisos oficiales de Debian. El parche llega apenas una semana antes de que Debian 12 alcance el fin de su soporte estándar, fijado para el 11 de julio de 2026; después de esa fecha, bookworm deja de recibir actualizaciones de seguridad salvo que la instalación se mueva a Debian LTS extendido o se actualice a Debian 13 "trixie". Cuarenta CVE de kernel corregidos de una sola vez es un volumen alto incluso para un ciclo LTS, y coincide con la misma semana en que Ubuntu y Red Hat corrigieron por separado la falla pedit COW en el mismo subsistema de red del kernel. Administradores de sistemas costarricenses que ofrecen hosting o alojan servicios de gobierno electrónico sobre Debian 12 deberían aplicar el parche del 3 y 4 de julio de inmediato y planificar la migración a Debian 13 antes del 11 de julio, cuando finaliza el soporte estándar de bookworm; Debian es una de las distribuciones más usadas por proveedores de hosting en el país por su modelo de actualizaciones predecible.
La alpha "A Coruña", publicada el 6 de julio, suma una API para generar códigos QR y descargas de mapas sin conexión, mientras obliga a actualizar el controlador propietario a quienes usan tarjetas NVIDIA antiguas.
El proyecto GNOME publicó el 6 de julio de 2026 la alpha de la versión 51, bautizada "A Coruña", el primer hito público del ciclo de desarrollo que cierra en septiembre con el lanzamiento estable, según el anuncio recogido por Phoronix y 9to5Linux. El cambio de mayor impacto práctico es el retiro del soporte heredado para tarjetas NVIDIA en Wayland —las rutas EGLStream y EGLDevice—, reemplazado por el paso estándar de búferes DMA-BUF a través de GBM y KMS, el mismo mecanismo que usan el resto de controladores de video en Linux. La lista de novedades técnicas incluye una API para generar códigos QR, soporte para el portal de captura de entrada integrado con el portapapeles, mejoras de rendimiento en la grabación de pantalla que reducen las copias de búfer, y la opción de usar elogind como proveedor de libsystemd —relevante para distribuciones que no usan systemd, como Alpine o Void. GNOME Maps suma descarga de mapas sin conexión y Nautilus agrega un contador de archivos seleccionados al arrastrar varios elementos a la vez, según detalló UbuntuHandbook. El retiro del controlador heredado de NVIDIA llega un día después de que Mutter, el compositor de GNOME, sumara soporte de desenfoque de fondo para Wayland —la novedad que El Pisuika reportó ayer—, y confirma que el proyecto usa el ciclo de GNOME 51 para cerrar rutas de compatibilidad antiguas además de agregar funciones nuevas. Los laboratorios de cómputo de universidades públicas costarricenses que aún corren tarjetas NVIDIA de generaciones anteriores a la serie 495 del controlador propietario deberán actualizarlo antes de que la versión estable llegue en septiembre, o quedarse en el servidor gráfico Xorg como alternativa.
KDE Linux, la distribución inmutable del proyecto KDE, sumó en su reporte de progreso de junio de 2026 un modo desarrollador inicial que expone herramientas y opciones que normalmente permanecen ocultas para simplificar la experiencia del usuario final, según documentó Phoronix. Activar el modo requiere un solo comando, toggle-developer-mode, ejecutado desde la terminal Konsole. El mismo reporte describe collect-logs, una herramienta nueva de recolección de diagnósticos inspirada en el script de reporte de errores de CachyOS, que junta automáticamente la salida de kscreen-doctor, el tiempo de actividad del sistema, el archivo /etc/fstab y otros datos comunes que hoy los usuarios deben copiar a mano cuando reportan un fallo. Ambas herramientas forman parte de un esfuerzo más amplio de KDE Linux por mejorar su infraestructura de control de calidad mientras la distribución todavía está en fase temprana de adopción. La información de este avance proviene únicamente de Phoronix, sin cobertura cruzada de otro medio al cierre de esta edición. Para la comunidad costarricense de software libre que prueba distribuciones inmutables como KDE Linux —un perfil creciente entre estudiantes de la UCR y el TEC que documentan fallos en foros y canales de Matrix—, el modo desarrollador y collect-logs bajan la barrera técnica para enviar reportes útiles a los mantenedores del proyecto.
El empaquetador de Arch Linux Jonathan Grotelüschen notificó a mediados de junio de 2026 en la lista de correo del proyecto que el equipo cree haber eliminado todos los commits maliciosos conocidos de la campaña de malware bautizada Atomic Arch, que comprometió más de 1.500 paquetes del Repositorio de Usuarios de Arch (AUR) explotando la función que permite adoptar paquetes huérfanos, según reportaron SecurityWeek y FOSS Force. Los paquetes comprometidos distribuían un infostealer escrito en Rust y, en los casos más graves, un rootkit basado en eBPF capaz de ocultarse del sistema. Arch había suspendido el registro de nuevos mantenedores del AUR a mediados de junio como medida de contención, según documentó The Register, y esa restricción sigue vigente. La afirmación de que el incidente está bajo control proviene del propio proyecto Arch y no de una auditoría de seguridad independiente publicada al cierre de esta edición, una distinción relevante porque el AUR —a diferencia del kernel o de proyectos con financiamiento corporativo como los que cubre Akrites— depende casi por completo de voluntarios sin un equipo de respuesta a incidentes dedicado detrás. En paralelo, el gestor gráfico de paquetes Shelly llegó a la versión 2.4.1.2 el 6 de julio con correcciones para su integración directa con libalpm, la biblioteca de pacman, y ya es la herramienta gráfica por defecto en CachyOS 2604, según Linux Compatible. La comunidad Arch Linux costarricense, activa en foros y canales de Discord y Telegram locales, debería revisar los paquetes AUR instalados desde el 11 de junio y confirmar que sus mantenedores no cambiaron sin explicación durante la campaña Atomic Arch.