Dos años después de los estándares NIST finales, la migración post-cuántica ya no es hipótesis. Qué se ha migrado de verdad, qué sigue atascado, dónde están los problemas operativos reales y cómo se ven los plazos desde abril de 2026.
Cuatro años y medio después de la entrada oficial de Rust en el kernel Linux 6.1, con drivers reales de GPU Apple y NVMe en producción y tras varios conflictos mediáticos entre mantenedores, toca hacer balance técnico sin histrionismo. Qué funciona, qué cuesta y hacia dónde va la próxima fase.
Con 1.34 liberado en agosto de 2025 y el ciclo de 1.35 en su última fase de congelación de funciones, qué llegará estable, qué quedará en beta, qué nos interesa a quienes mantenemos clústeres pequeños o medianos y qué podemos ignorar sin culpa hasta el siguiente ciclo.
gVisor interpone un kernel en espacio de usuario entre el contenedor y el anfitrión. Después de años en producción en Google y adopción creciente en plataformas serverless, merece una lectura honesta sobre cuándo compensa frente a microVMs y runtimes clásicos.
OSV-Scanner se ha convertido en una referencia silenciosa para escanear dependencias open source. Su valor no está en el escaneo en sí, que muchas herramientas ofrecen, sino en su conexión directa con OSV.dev como fuente de verdad. Un análisis de por qué esto importa más de lo que parece.
La gestión de superficie de ataque basada en CVE ha pasado de lista abstracta a práctica de ingeniería con prioridad real. Repasamos cómo funciona cuando EPSS, KEV y contexto de exposición entran en la misma ecuación.
La criptografía post-cuántica dejó de ser un tema académico cuando Cloudflare, Google y Apple pusieron híbridos ML-KEM en producción. En 2025 ya es mayoritaria en tráfico web real. Repaso de cómo está la adopción, dónde siguen apareciendo fricciones y qué conviene revisar en una infraestructura propia.
OpenSSH añadió intercambio de claves híbrido post-cuántico con ML-KEM en la versión 9.9 y lo hizo el algoritmo por defecto en la 10.0. La pregunta ya no es si migrar SSH a post-cuántica, sino cómo hacerlo sin romper clientes antiguos: activar el híbrido, mantener un fallback clásico y verificar con ssh -v que el algoritmo activo es el correcto.
WireGuard es simple por cable, pero montar una malla de varios nodos a mano se convierte rápido en un enredo de claves y rutas. Patrones que funcionan, cuándo merece WireGuard puro y cuándo conviene apoyarse en Tailscale o Headscale.
Después de años acumulando SBOMs, el cuello de botella es filtrar qué CVEs afectan de verdad. VEX aparece como la pieza que convierte el ruido en señal, y en 2025 empieza a tener adopción real en pipelines de supply chain.
Semgrep ha crecido hasta convertirse en uno de los análisis estáticos más pragmáticos del ecosistema. Reflexión sobre por qué funciona donde otros SAST fracasan y cómo meterlo en un pipeline sin que se convierta en ruido.
Dos años después de que Zero Trust dejase de ser palabra de marketing, toca mirar cómo conecta con el SIEM del día a día. Reflexión sobre señales útiles, ruido evitable y decisiones que de verdad cambian la postura de seguridad.
CodeQL lleva años siendo el motor de análisis estático de GitHub, pero su alcance real no siempre está claro. Balance de qué detecta bien, qué se le escapa y cómo conviene integrarlo en el flujo de revisión.
Dependabot y Renovate persiguen lo mismo pero con filosofías distintas. Comparo ambos tras años usándolos en proyectos propios y de cliente, y repaso cuándo uno aprieta mejor y cuándo el otro se adapta más al flujo del equipo.
El NIST publicó los estándares definitivos de criptografía post-cuántica en agosto de 2024. Medio año después, toca pasar de la noticia al plan: inventario, cripto-agilidad, cronograma realista y los errores típicos de quien se lanza ya.
SLSA v1.0 divide la seguridad de la cadena de suministro en tres pistas (Build, Source y Dependencies), de las que solo Build está estabilizada, con tres niveles: L1, L2 y L3. Si compilas en GitHub Actions, llegar a L2 con procedencia firmada por Sigstore lleva pocas horas y es el punto de partida que recomiendo a cualquier equipo.
En agosto de 2024, el NIST publicó los primeros estándares definitivos de criptografía post-cuántica: FIPS 203 (ML-KEM) para intercambio de claves, FIPS 204 (ML-DSA) para firmas digitales y FIPS 205 (SLH-DSA) como alternativa basada en hash. Sustituyen a RSA y ECDSA antes de que un ordenador cuántico pueda romperlos, y ya hay implementaciones híbridas activas en Chrome y Cloudflare.
CrowdSec se instala en Debian o Ubuntu con un script oficial y el paquete crowdsec; después se activan las collections de Traefik, WordPress y Gitea, se configura la acquisition para leer los logs correctos, y se añade el bouncer de Traefik como middleware para bloquear o mostrar captcha a las IPs marcadas por la LAPI en tiempo real.
Zero Trust no es un producto, es una arquitectura de seguridad. Descarta la suposición de que la red interna es confiable y verifica cada acceso explícitamente, con el mínimo privilegio posible, asumiendo que ya existe un compromiso activo. Los cinco principios: verificar explícitamente, mínimo privilegio, asumir compromiso, validar el dispositivo y visibilidad continua.
Podman es la alternativa a Docker sin daemon central y sin privilegios de root. Cada contenedor corre como proceso hijo directo del usuario que lo lanza, con soporte rootless desde la versión 1.0. El resultado: si un contenedor escapa, no obtiene root del host. Cuándo conviene usarlo y qué diferencias reales encontrarás en el camino.
Trivy y Grype son las dos herramientas open-source líderes para escanear imágenes de contenedor en pipelines CI/CD. Ambas detectan CVE en paquetes de sistema operativo y dependencias de lenguaje con menos del 5% de diferencia de cobertura. Trivy destaca en el escaneo de IaC; Grype integra de forma nativa el flujo SBOM con Syft.
HashiCorp Vault centraliza la gestión de secretos con rotación automática, auditoría de cada acceso y políticas granulares por servicio. Genera credenciales efímeras que caducan en minutos, no en años. Para equipos que trabajan con ficheros .env en servidores, Vault ofrece secretos dinámicos, trazabilidad completa y control de acceso real.
eBPF (Extended Berkeley Packet Filter) es una tecnología del kernel de Linux que ejecuta programas verificados directamente en el kernel, sin módulos ni cambios de código fuente. El verificador rechaza cualquier programa inseguro antes de ejecutarlo, y permite monitorizar llamadas al sistema, tráfico de red y operaciones de E/S con menor coste de CPU que las sondas externas tradicionales.
Microsoft PC Manager es una herramienta gratuita y oficial de Microsoft que reúne en un panel la limpieza de archivos temporales, la gestión del inicio de Windows, un acceso directo a Windows Defender y un mapa visual del uso del disco. Funciona en Windows 10 y Windows 11, pero no sustituye a un antivirus completo ni a herramientas dedicadas de recuperación de datos.
5 min3144,4
Usamos cookies propias y de terceros para analizar el tráfico del sitio. Puedes aceptarlas, rechazarlas o configurar tu elección.
Más información sobre las cookies
Preferencias de cookies
NecesariasImprescindibles para el funcionamiento del sitio. Siempre activas.
AnalíticasNos ayudan a entender cómo se usa el sitio (Google Analytics).