Creé un runtime JS/TS en Rust donde nada se ejecuta sin tu permiso

Descubre 3va, un runtime JS/TS en Rust que bloquea toda ejecución no autorizada. Seguridad, post-quántico y DDoS integrados. Sin configuración adicional.

15 jun 2026 • 3 min de lectura • Equip Q2BSTUDIO

Seguridad radical: aislamiento de permisos en tiempo de ejecución

En los últimos años, la cadena de suministro del software ha sido escenario de ataques cada vez más sofisticados. Incidentes como el backdoor en xz, el compromiso de event-stream o el protest-ware de node-ipc demostraron un patrón común: los entornos de ejecución confiaban ciegamente en los paquetes instalados. Estos ataques explotaban scripts postinstalación que se ejecutaban sin supervisión, un comportamiento por defecto en gestores como npm, pnpm, Yarn y Bun. La industria necesitaba un cambio de paradigma, y ha llegado de la mano de 3va, un runtime para JavaScript y TypeScript escrito en Rust que bloquea toda capacidad no autorizada desde el inicio.

La propuesta de 3va es radical pero simple: ningún script, ya sea de una dependencia directa o anidada, puede acceder al sistema de archivos, la red, las variables de entorno, los procesos hijo o los addons nativos sin un permiso explícito. Este enfoque de aislamiento por defecto elimina la frontera entre código confiable y no confiable, cerrando la puerta a ataques que se aprovechan de la ejecución automática de scripts. Además, el gestor de paquetes integrado no ejecuta scripts postinstalación bajo ninguna circunstancia, ni siquiera como opción configurable. Para el desarrollador, la experiencia es transparente: se añade una clave '3va' al package.json para declarar los permisos necesarios, y el runtime se encarga del resto, funcionando como reemplazo directo de Node.js, Deno o Bun sin necesidad de migraciones complejas.

Más allá de la seguridad, 3va incorpora funcionalidades que tradicionalmente requerían herramientas externas. Incluye un gestor de procesos integrado que reinicia automáticamente las aplicaciones tras un fallo y mantiene el estado incluso después de reinicios del sistema, eliminando la dependencia de pm2. Su capa HTTP ofrece protección DDoS nativa con un límite de conexiones concurrentes de 1.024 y mitigación de Slowloris, algo que ni Node.js ni Bun proporcionan. En pruebas de estrés, mientras Node.js colapsaba con 2.000 conexiones, 3va rechazaba el exceso de forma ordenada manteniéndose operativo. También incorpora criptografía post-cuántica mediante ML-KEM-768 y ML-DSA-65, expuestas directamente a JavaScript, con planes para TLS híbrido completo en producción.

Es cierto que 3va no supera a Bun en rendimiento bruto ni en velocidad de arranque; sus benchmarks lo confirman honestamente. Pero el intercambio es claro: a cambio de una menor velocidad, se obtiene un aislamiento de permisos en tiempo de ejecución que ningún otro runtime ofrece. Este equilibrio es particularmente valioso en entornos empresariales donde la seguridad y la integridad del software son críticas. En Q2BSTUDIO, entendemos que la adopción de herramientas como 3va debe ir acompañada de una estrategia global de protección. Por eso ofrecemos servicios de ciberseguridad y pentesting que ayudan a las organizaciones a evaluar y fortalecer sus sistemas frente a amenazas reales.

El desarrollo de aplicaciones modernas exige no solo rapidez, sino también confianza en la cadena de suministro. La capacidad de ejecutar código de terceros sin riesgo de efectos secundarios no deseados es un habilitador importante para equipos que trabajan con aplicaciones a medida y necesitan integrar múltiples dependencias sin comprometer la seguridad. La IA para empresas, los agentes IA y los servicios cloud AWS y Azure se benefician de entornos donde el principio de mínimo privilegio se aplica de forma nativa. Del mismo modo, la inteligencia de negocio con Power BI o los procesos automatizados requieren plataformas que no dejen puertas abiertas a ataques en tiempo de ejecución. En Q2BSTUDIO acompañamos a las empresas en la implementación de estas tecnologías, combinando innovación con prácticas robustas de seguridad.

3va representa un paso adelante hacia runtimes que integran la seguridad como requisito fundamental, no como añadido posterior. Su arquitectura, basada en Rust y con permisos granulares, obliga a repensar cómo confiamos en el código abierto y cómo protegemos nuestros sistemas. Aunque todavía es un proyecto joven, su hoja de ruta promete funcionalidades como detección de ataques RUDY y limitación adaptativa de tasa. Para quienes valoran la seguridad por encima de la velocidad punta, 3va abre un camino que otros runtimes probablemente terminarán recorriendo.

UNA PAUSA?

Juga una estona abans de marxar

ELS NOSTRES SERVEIS

Com et podem ajudar

Intel·ligència artificial

Agents d'IA, chatbots i assistents intel·ligents que automatitzen tasques i atenen els teus clients 24/7 per millorar l'eficiència del teu negoci.

Més info

Desenvolupament de programari

Aplicacions web, mòbils i d'escriptori, intranets, e-commerce, SaaS i plataformes de gestió dissenyades per a les necessitats concretes de la teva empresa.

Més info

Serveis cloud

Migració, infraestructura, hosting gestionat, alta disponibilitat i seguretat en Microsoft Azure i Amazon Web Services perquè el teu negoci escali sense límits.

Més info

Ciberseguretat i pentesting

Auditories de seguretat, test d'intrusió (pentesting) i protecció d'aplicacions, dades i infraestructura on-premise i cloud, amb hacking ètic i compliment normatiu.

Més info

Business Intelligence

Quadres de comandament i anàlisi de dades amb Power BI: integrem les teves fonts, dissenyem dashboards i KPIs i convertim les teves dades en decisions.

Més info

Automatització de processos

Automatitzem tasques repetitives i connectem les teves aplicacions amb n8n, Power Automate, Make i RPA, eliminant treball manual i augmentant la productivitat.

Més info

Formació per a empreses

Formem els teus equips en tecnologia amb criteri: desenvolupament web, bases de dades, Git, bones pràctiques i seguretat, automatització amb n8n, intel·ligència artificial per a empreses i creació de solucions d'IA amb Azure AI Foundry.

Més info

Auditoria de codi

Auditem el codi que creguis tu, el teu equip o una IA: et diem què està bé i què millorar, el securitzem i el deixem llest per a producció, web o app.

Més info

Generació d'imatges amb IA

Creem per tu les imatges que necessita el teu negoci amb intel·ligència artificial: producte, xarxes, publicitat, il·lustració i avatars. Tu ens dius què vols i t'ho lliurem llest per fer servir.

Més info

Generació de vídeos amb IA

Creem per tu vídeos amb intel·ligència artificial: promocionals, per a xarxes, presentadors virtuals, doblatge i animacions. Ens comptes la idea i t'ho lliurem muntat i llest per publicar.

Més info

Avatars conversacionals amb IA

Creem avatars conversacionals amb IA —humans digitals amb cara i veu— que atenen els teus clients i equips amb el coneixement de la teva empresa, a la teva web, monitors interactius, WhatsApp o Teams.

Més info

Màrqueting Online i IA

Google Ads, Meta Ads, LinkedIn Ads i posicionament en motors d'IA (GEO/AEO): captem clients i fem que la teva marca aparegui on et busquen, també a ChatGPT, Gemini i Perplexity.

Més info

Tens un projecte en ment?

Explica'ns la teva visió i la convertim en una solució de programari. Sigui quin sigui l'abast, fem realitat la teva idea.

Live Chat