Creé un runtime JS/TS en Rust donde nada se ejecuta sin tu permiso

Descubre 3va, un runtime JS/TS en Rust que bloquea toda ejecución no autorizada. Seguridad, post-quántico y DDoS integrados. Sin configuración adicional.

15 jun 2026 • 3 min de lectura • Equipo Q2BSTUDIO

Seguridad radical: aislamiento de permisos en tiempo de ejecución

En los últimos años, la cadena de suministro del software ha sido escenario de ataques cada vez más sofisticados. Incidentes como el backdoor en xz, el compromiso de event-stream o el protest-ware de node-ipc demostraron un patrón común: los entornos de ejecución confiaban ciegamente en los paquetes instalados. Estos ataques explotaban scripts postinstalación que se ejecutaban sin supervisión, un comportamiento por defecto en gestores como npm, pnpm, Yarn y Bun. La industria necesitaba un cambio de paradigma, y ha llegado de la mano de 3va, un runtime para JavaScript y TypeScript escrito en Rust que bloquea toda capacidad no autorizada desde el inicio.

La propuesta de 3va es radical pero simple: ningún script, ya sea de una dependencia directa o anidada, puede acceder al sistema de archivos, la red, las variables de entorno, los procesos hijo o los addons nativos sin un permiso explícito. Este enfoque de aislamiento por defecto elimina la frontera entre código confiable y no confiable, cerrando la puerta a ataques que se aprovechan de la ejecución automática de scripts. Además, el gestor de paquetes integrado no ejecuta scripts postinstalación bajo ninguna circunstancia, ni siquiera como opción configurable. Para el desarrollador, la experiencia es transparente: se añade una clave '3va' al package.json para declarar los permisos necesarios, y el runtime se encarga del resto, funcionando como reemplazo directo de Node.js, Deno o Bun sin necesidad de migraciones complejas.

Más allá de la seguridad, 3va incorpora funcionalidades que tradicionalmente requerían herramientas externas. Incluye un gestor de procesos integrado que reinicia automáticamente las aplicaciones tras un fallo y mantiene el estado incluso después de reinicios del sistema, eliminando la dependencia de pm2. Su capa HTTP ofrece protección DDoS nativa con un límite de conexiones concurrentes de 1.024 y mitigación de Slowloris, algo que ni Node.js ni Bun proporcionan. En pruebas de estrés, mientras Node.js colapsaba con 2.000 conexiones, 3va rechazaba el exceso de forma ordenada manteniéndose operativo. También incorpora criptografía post-cuántica mediante ML-KEM-768 y ML-DSA-65, expuestas directamente a JavaScript, con planes para TLS híbrido completo en producción.

Es cierto que 3va no supera a Bun en rendimiento bruto ni en velocidad de arranque; sus benchmarks lo confirman honestamente. Pero el intercambio es claro: a cambio de una menor velocidad, se obtiene un aislamiento de permisos en tiempo de ejecución que ningún otro runtime ofrece. Este equilibrio es particularmente valioso en entornos empresariales donde la seguridad y la integridad del software son críticas. En Q2BSTUDIO, entendemos que la adopción de herramientas como 3va debe ir acompañada de una estrategia global de protección. Por eso ofrecemos servicios de ciberseguridad y pentesting que ayudan a las organizaciones a evaluar y fortalecer sus sistemas frente a amenazas reales.

El desarrollo de aplicaciones modernas exige no solo rapidez, sino también confianza en la cadena de suministro. La capacidad de ejecutar código de terceros sin riesgo de efectos secundarios no deseados es un habilitador importante para equipos que trabajan con aplicaciones a medida y necesitan integrar múltiples dependencias sin comprometer la seguridad. La IA para empresas, los agentes IA y los servicios cloud AWS y Azure se benefician de entornos donde el principio de mínimo privilegio se aplica de forma nativa. Del mismo modo, la inteligencia de negocio con Power BI o los procesos automatizados requieren plataformas que no dejen puertas abiertas a ataques en tiempo de ejecución. En Q2BSTUDIO acompañamos a las empresas en la implementación de estas tecnologías, combinando innovación con prácticas robustas de seguridad.

3va representa un paso adelante hacia runtimes que integran la seguridad como requisito fundamental, no como añadido posterior. Su arquitectura, basada en Rust y con permisos granulares, obliga a repensar cómo confiamos en el código abierto y cómo protegemos nuestros sistemas. Aunque todavía es un proyecto joven, su hoja de ruta promete funcionalidades como detección de ataques RUDY y limitación adaptativa de tasa. Para quienes valoran la seguridad por encima de la velocidad punta, 3va abre un camino que otros runtimes probablemente terminarán recorriendo.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.

Live Chat