Debian 13.6 revoca un certificado Secure Boot vencido desde 2013, AlmaLinux lleva a producción el parche de GhostLock aunque su primera versión introdujo una regresión, Linux encabeza el conteo mundial de CVE del semestre, y COSMIC, KDE y Wine suman actualizaciones de escritorio y compatibilidad.
La nueva versión de mantenimiento de Trixie llega con la revocación del certificado Secure Boot de Microsoft emitido en 2013 y el retiro forzado de la base de datos GeoIP por un conflicto de licencia con MaxMind.
El proyecto Debian publicó el 11 de julio de 2026 la versión 13.6 de Trixie, con 124 correcciones de errores y 120 actualizaciones de seguridad que tocan paquetes tan variados como Apache, Curl, Dolphin, FreeCAD, GIMP, LibreOffice, Mesa, Postfix, Python 3.13, QEMU, Samba, Wireshark y XZ Utils, según el aviso oficial publicado en debian.org. La misma tanda de parches corrige fallas de uso de memoria después de liberada, ejecución de código y denegación de servicio en Apache, y llega acompañada del lanzamiento de Debian 12.15, la última versión de mantenimiento planeada para la rama anterior, Bookworm, antes de que pase a soporte de largo plazo. El cambio más relevante para administradores de sistemas es la actualización de fwupd a la versión 2.0.20, que por primera vez permite renovar desde el propio sistema operativo la autoridad certificadora, la clave de intercambio y la base de revocación de Secure Boot, según reportó Phoronix. La medida responde a un problema concreto: el certificado de autoridad Secure Boot de Microsoft emitido en 2013 —instalado por defecto en la inmensa mayoría de las computadoras con firmware UEFI— ya venció, lo que sin este parche podría dejar sin arranque seguro a equipos que dependen de él. Debian 13.6 también revirtió el paquete geoip-database a una instantánea de finales de 2019, luego de que las versiones más recientes de la base de datos GeoLite de MaxMind resultaran incompatibles con las Directrices de Software Libre de Debian (DFSG), según documentó Linuxiac. Debian no detalló cuántos sistemas en producción dependen todavía del certificado Secure Boot de 2013, aunque la ventana de riesgo ya está abierta para cualquier equipo que no aplique el parche. La actualización llega diez días antes de que la comunidad Debian se reúna en Santa Fe, Argentina, para DebCamp y DebConf26 —el encuentro que El Pisuika cubrió el 9 de julio—, y sirve de recordatorio directo para las empresas de hosting y las universidades costarricenses, como la UCR y el TEC, que corren Debian en sus laboratorios: quien no actualice fwupd corre el riesgo de que un cambio de placa madre o firmware deje el equipo sin poder arrancar en modo seguro.
Los núcleos corregidos contra la falla de escalamiento a root ya están en los repositorios de producción de AlmaLinux, pero la primera versión del parche introdujo un fallo de bloqueo total del sistema que exige un segundo commit.
El proyecto AlmaLinux confirmó que los núcleos parchados contra GhostLock (CVE-2026-43499) —la falla de uso de memoria después de liberada en el código de futex del kernel que El Pisuika cubrió el 8 de julio— ya no están únicamente en el repositorio de pruebas, sino disponibles en producción para las tres ramas activas del proyecto: kernel-4.18.0-553.141.2.el8_10 para AlmaLinux 8, kernel-5.14.0-687.24.1.el9_8 para AlmaLinux 9 y kernel-6.12.0-211.32.1.el10_2 para AlmaLinux 10, según el aviso oficial del proyecto. Rocky Linux 9 y Oracle Linux 9 seguían en el repositorio de pruebas al cierre de esta edición, con el paso a producción esperado en cuestión de horas, de acuerdo con Linux Compatible. El parche original, sin embargo, no resolvió el problema de una sola vez. La primera corrección de GhostLock introdujo una regresión registrada como CVE-2026-53166: una desreferencia de puntero nulo en la función remove_waiter() que ocurre cuando FUTEX_CMP_REQUEUE_PI reubica a un proceso en espera que ya es dueño del futex de destino, y que puede colgar por completo el sistema en lugar de solo escalar privilegios, según describió el aviso técnico publicado por Ubuntu. La corrección completa exige dos commits acoplados —3bfdc63936dd y 74e144274af3— y un administrador que solo aplicó el primero queda con un sistema que ya no es vulnerable a la escalada de privilegios original, pero sí expuesto a una caída forzada del kernel con una simple llamada de futex mal ordenada. Es el mismo patrón de dos parches acoplados que ya se vio con Januscape, la falla de KVM que El Pisuika cubrió el 8 de julio: la primera respuesta a una emergencia de seguridad del kernel rara vez es la respuesta completa. Empresas costarricenses de hosting que migraron de CentOS a AlmaLinux tras el fin de soporte de CentOS en 2021 —una decisión común entre proveedores locales de infraestructura, según documentó El Pisuika el 10 de julio— deberían confirmar con el comando uname -r no solo que el kernel incluye el commit original de GhostLock, sino también el commit de seguimiento que corrige la regresión, antes de dar por cerrado el incidente.
El mantenedor del kernel estable Greg Kroah-Hartman compartió a inicios de julio de 2026, a través de su cuenta en social.kernel.org, el desglose de vulnerabilidades reportadas por proveedor durante el primer semestre del año: Linux encabeza la lista con 2.308 CVE, seguido de Google con 1.752, una categoría sin clasificar ("n/a") con 1.308, Microsoft con 843 y Red Hat con 340, según recogieron Linuxiac y PBXScience esta semana en coberturas que retomaron el dato en momentos en que el kernel acumula una ola de fallas críticas —Bad Epoll, Januscape y GhostLock, todas cubiertas por El Pisuika entre el 8 y el 9 de julio. Kroah-Hartman sostiene que la cifra no mide inseguridad, sino disciplina de reporte: desde que el kernel Linux se convirtió en su propia Autoridad Numeradora de CVE, el proyecto adoptó la política de asignar un identificador a prácticamente cualquier corrección que atienda un comportamiento inesperado, en lugar de reservar los CVE solo para fallas con impacto de seguridad claro. "En seguridad, las cifras incómodas suelen ser más útiles que los silencios tranquilos", argumentó Kroah-Hartman, según recogió Linuxiac —una postura que choca de frente con la lectura más intuitiva de que encabezar la lista de CVE es una mala noticia, y que ningún otro proveedor de la lista, empezando por Microsoft o Apple, adoptó el mismo criterio de reporte exhaustivo. Los datos originales de Kroah-Hartman no distinguen impacto geográfico, por lo que no hay forma de saber qué proporción de esas 2.308 fallas afectó directamente a servidores costarricenses; la nota se incluye en esta edición como contexto de una semana en la que tres fallas críticas de escalamiento a root golpearon distribuciones que sí corren en el país. Al cierre de esta edición no hay una respuesta pública de Google, segundo en la lista con 1.752 CVE, sobre si comparte la lectura de Kroah-Hartman.
cat /feed/winenotatcnica.md
> El proyecto Wine publicó el 10 de julio de 2026 la versión de desarrollo 11.13, con 22 correcciones de errores puntuales sobre juegos clásicos de Windows que fallaban en Linux, entre ellos el bloqueo al inicio de Grand Theft Auto: Vice City, un error de inicialización en Age of Mythology y problemas de compatibilidad de Tales of Zestiria con el runtime más reciente de Steam, según reportó Phoronix. La actualización también mejora el manejo de punteros de entrada y el mapeo de códigos de teclado bajo X11, además de optimizaciones de FFmpeg para la arquitectura ARM64EC.
> Wine 11.13 es una versión de desarrollo, no la rama estable: los usuarios que buscan la experiencia más confiable para uso diario deben seguir con la serie 11.0, mientras que 11.13 sirve como vidriera de lo que llegará en la próxima versión mayor, según recogió Linuxiac. Cada corrección puntual de este tipo reduce fricción para quien depende de Wine o de Proton —su variante empaquetada por Valve para Steam Play, que El Pisuika cubrió el 9 de julio— para jugar títulos que ya no reciben soporte oficial en Windows moderno.
> La comunidad costarricense de jugadores de PC con Linux, activa en foros locales y en canales de Discord dedicados a Proton y Steam Deck, se beneficia de forma directa de cada corrección de compatibilidad como esta, en particular con juegos de dos décadas de antigüedad como Vice City que rara vez reciben parches oficiales de sus estudios originales.
System76 habilitó el estilo visual "Frosted Glass" para el escritorio COSMIC en Pop!_OS 24.04, disponible desde Configuración > Escritorio > Apariencia > Estilo, según reportaron Phoronix y 9to5Linux el 11 de julio de 2026. El efecto difumina el fondo detrás de ventanas, paneles y widgets en lugar de simplemente volverlos transparentes, con controles independientes para activar el difuminado en paneles, applets, elementos del sistema y ventanas de aplicación por separado, además de deslizadores de grosor de escarcha y opacidad del cristal. El director ejecutivo de System76, Carl Richell, adelantó que la próxima versión etiquetada de COSMIC llegará el martes 14 de julio, después de lo cual el paquete actualizado empezará a distribuirse a otras distribuciones que ya incluyen el escritorio, según recogió Linuxiac. COSMIC es el escritorio propio que System76 construyó desde cero en Rust para reemplazar a GNOME en Pop!_OS, y el efecto de cristal esmerilado —que varios medios comparan con el diseño Liquid Glass de Apple— es la actualización visual más visible del proyecto desde su lanzamiento estable. Pop!_OS y COSMIC tienen una base de usuarios pequeña pero activa entre desarrolladores costarricenses que compran hardware System76 por pedido especial ante la falta de distribuidor local; para ese grupo, y para cualquier usuario de otras distribuciones que empaquetan COSMIC, el nuevo estilo visual llega sin necesidad de reinstalar el sistema, solo con la actualización de paquetes.
— El estilo, ya disponible en Pop!_OS 24.04, difumina el fondo detrás de ventanas y paneles en lugar de volverlos transparentes, con una llegada a otras distribuciones con COSMIC prevista para después del 14 de julio.
El equipo de KDE confirmó en la entrada semanal "This Week in Plasma", publicada el 11 de julio de 2026 en el blog oficial del proyecto, que Spectacle —la herramienta integrada de captura y grabación de pantalla de Plasma— ya permite elegir si una grabación captura el audio del micrófono, el audio de salida del sistema, o ambos a la vez, según confirmaron también Phoronix y Linuxiac. El cambio llega a la rama de desarrollo con vistas a Plasma 6.8, programado para mediados de octubre de 2026. La función responde a una de las quejas más repetidas sobre Spectacle: hasta ahora, grabar un tutorial o una demostración con narración exigía recurrir a una aplicación externa de captura de audio y sincronizarla manualmente con el video. Los desarrolladores aprovecharon además la misma ronda de cambios para eliminar la dependencia de la biblioteca OpenCV en el efecto de desenfoque de Spectacle, tras encontrar una forma de implementarlo sin esa dependencia, según documentó XDA Developers, lo que reduce el peso de instalación de la herramienta en distribuciones que empaquetan Plasma. La función todavía no está disponible para usuarios finales —Plasma 6.8 no llega hasta octubre— por lo que ningún usuario costarricense de KDE puede probarla todavía fuera de una compilación de desarrollo; el interés de la nota, para la comunidad de KDE activa en foros hispanos y en los laboratorios de la UCR y el TEC, está en seguir de cerca una función que sí van a usar en unos meses.
La empresa australiana BrisbaneSilicon lanzó el 11 de julio de 2026 en la plataforma de financiamiento colectivo Crowd Supply el ELM11-Feather, una placa de desarrollo compatible con el formato Feather de Adafruit que integra una FPGA Gowin GW1NR programable simultáneamente en tres lenguajes: Lua para la capa de aplicación, C para la capa de controladores y VHDL o SystemVerilog para la capa de hardware, según reportaron It's FOSS y CNX Software. La compañía llama a este enfoque "programabilidad de pila completa", con una "superposición de hardware" (Hardware Overlay) intercambiable que permite reconfigurar la FPGA sin recompilar el resto del sistema. La campaña arrancó con una meta simbólica de financiamiento de apenas un dólar —una técnica habitual en Crowd Supply para señalar que el producto ya está listo para producción, no en fase de prototipo— y ofrece la placa desde $29 sin cabezales soldados, o en un kit de $39 con dos cabezales de 24 pines y un cable USB-C, con envíos previstos a partir de noviembre de 2026, según el detalle publicado en la propia campaña. El proyecto se suma a una tendencia de placas de bajo costo que buscan bajar la barrera de entrada al diseño de hardware programable, un terreno tradicionalmente dominado por herramientas propietarias y flujos de trabajo complejos en VHDL puro. Ningún distribuidor costarricense vende hoy placas FPGA de este tipo de forma local, por lo que cualquier interesado en el país tendría que importar el ELM11-Feather directamente desde Crowd Supply; el atractivo para estudiantes de electrónica e informática de la UCR y el TEC está en poder programar la capa de aplicación en un lenguaje de alto nivel como Lua sin abandonar el control de bajo nivel que ofrece la FPGA subyacente.