En los últimos años, la cadena de suministro del software ha sido escenario de ataques cada vez más sofisticados. Incidentes como el backdoor en xz, el compromiso de event-stream o el protest-ware de node-ipc demostraron un patrón común: los entornos de ejecución confiaban ciegamente en los paquetes instalados. Estos ataques explotaban scripts postinstalación que se ejecutaban sin supervisión, un comportamiento por defecto en gestores como npm, pnpm, Yarn y Bun. La industria necesitaba un cambio de paradigma, y ha llegado de la mano de 3va, un runtime para JavaScript y TypeScript escrito en Rust que bloquea toda capacidad no autorizada desde el inicio.

La propuesta de 3va es radical pero simple: ningún script, ya sea de una dependencia directa o anidada, puede acceder al sistema de archivos, la red, las variables de entorno, los procesos hijo o los addons nativos sin un permiso explícito. Este enfoque de aislamiento por defecto elimina la frontera entre código confiable y no confiable, cerrando la puerta a ataques que se aprovechan de la ejecución automática de scripts. Además, el gestor de paquetes integrado no ejecuta scripts postinstalación bajo ninguna circunstancia, ni siquiera como opción configurable. Para el desarrollador, la experiencia es transparente: se añade una clave '3va' al package.json para declarar los permisos necesarios, y el runtime se encarga del resto, funcionando como reemplazo directo de Node.js, Deno o Bun sin necesidad de migraciones complejas.

Más allá de la seguridad, 3va incorpora funcionalidades que tradicionalmente requerían herramientas externas. Incluye un gestor de procesos integrado que reinicia automáticamente las aplicaciones tras un fallo y mantiene el estado incluso después de reinicios del sistema, eliminando la dependencia de pm2. Su capa HTTP ofrece protección DDoS nativa con un límite de conexiones concurrentes de 1.024 y mitigación de Slowloris, algo que ni Node.js ni Bun proporcionan. En pruebas de estrés, mientras Node.js colapsaba con 2.000 conexiones, 3va rechazaba el exceso de forma ordenada manteniéndose operativo. También incorpora criptografía post-cuántica mediante ML-KEM-768 y ML-DSA-65, expuestas directamente a JavaScript, con planes para TLS híbrido completo en producción.

Es cierto que 3va no supera a Bun en rendimiento bruto ni en velocidad de arranque; sus benchmarks lo confirman honestamente. Pero el intercambio es claro: a cambio de una menor velocidad, se obtiene un aislamiento de permisos en tiempo de ejecución que ningún otro runtime ofrece. Este equilibrio es particularmente valioso en entornos empresariales donde la seguridad y la integridad del software son críticas. En Q2BSTUDIO, entendemos que la adopción de herramientas como 3va debe ir acompañada de una estrategia global de protección. Por eso ofrecemos servicios de ciberseguridad y pentesting que ayudan a las organizaciones a evaluar y fortalecer sus sistemas frente a amenazas reales.

El desarrollo de aplicaciones modernas exige no solo rapidez, sino también confianza en la cadena de suministro. La capacidad de ejecutar código de terceros sin riesgo de efectos secundarios no deseados es un habilitador importante para equipos que trabajan con aplicaciones a medida y necesitan integrar múltiples dependencias sin comprometer la seguridad. La IA para empresas, los agentes IA y los servicios cloud AWS y Azure se benefician de entornos donde el principio de mínimo privilegio se aplica de forma nativa. Del mismo modo, la inteligencia de negocio con Power BI o los procesos automatizados requieren plataformas que no dejen puertas abiertas a ataques en tiempo de ejecución. En Q2BSTUDIO acompañamos a las empresas en la implementación de estas tecnologías, combinando innovación con prácticas robustas de seguridad.

3va representa un paso adelante hacia runtimes que integran la seguridad como requisito fundamental, no como añadido posterior. Su arquitectura, basada en Rust y con permisos granulares, obliga a repensar cómo confiamos en el código abierto y cómo protegemos nuestros sistemas. Aunque todavía es un proyecto joven, su hoja de ruta promete funcionalidades como detección de ataques RUDY y limitación adaptativa de tasa. Para quienes valoran la seguridad por encima de la velocidad punta, 3va abre un camino que otros runtimes probablemente terminarán recorriendo.