Node.js 26.3.0 llega con buffers más rápidos, una advertencia para macOS y nuevas herramientas de seguridad

  • 17 Jun 2026 08:19 PM

El equipo de Node.js ha lanzado la versión 26.3.0 de su entorno de ejecución JavaScript, una actualización que optimiza el rendimiento de los buffers, refuerza la seguridad de WebCrypto y añade un control más estricto sobre las cabeceras HTTP. La versión también incluye una importante advertencia para los usuarios de Mac: la compatibilidad con los binarios universales para Intel y Apple Silicon podría no mantenerse durante toda la vida útil de Node.js 26.

La nueva versión 26.3.0, disponible desde el 1 de junio de 2026, se posiciona como una actualización de mantenimiento con mejoras significativas para entornos de producción y desarrolladores.

Como es habitual en las versiones "Current" de Node.js, esta no es una versión LTS, por lo que se recomienda su uso en entornos de desarrollo y pruebas, no en producción crítica.

Novedades y mejoras clave

Tamaño de buffer optimizado para un mejor rendimiento

Una de las mejoras más notables es el incremento del valor por defecto de Buffer.poolSize de 32 KiB a 64 KiB. Este cambio, aunque pequeño, reduce la sobrecarga de las llamadas al sistema durante operaciones de alta demanda, lo que se traduce en un rendimiento más fluido para servidores que manejan muchas solicitudes de red o procesan grandes cantidades de datos.

Seguridad y control reforzados

  • Validación de cabeceras HTTP: Se ha añadido una nueva opción httpValidation que permite a los desarrolladores controlar cómo se validan los valores de las cabeceras HTTP, bloqueando solicitudes malformadas antes de que lleguen a la lógica de la aplicación.

  • Nuevas capacidades de permisos: La función permission.drop permite a las aplicaciones eliminar permisos de forma irreversible en tiempo de ejecución. Por ejemplo, un proceso puede empezar con acceso de lectura a ciertos archivos y, una vez completada su tarea, eliminar ese permiso para reducir su superficie de ataque.

  • Endurecimiento de WebCrypto: Se han aplicado parches para prevenir ataques de contaminación de prototipos (prototype pollution) en el módulo WebCrypto, fortaleciendo la seguridad de las operaciones criptográficas.

Mejoras en la red y los protocolos

  • QUIC más estable: La implementación del protocolo QUIC ha recibido una actualización masiva con mejoras en la gestión de errores, verificación de certificados, limitación de tasa de conexiones y manejo de timeouts para streams.

  • Actualización de dependencias: NPM se ha actualizado a la versión 11.16.0 y los certificados raíz se han actualizado a NSS 3.123.1.

Una advertencia para los usuarios de macOS

Un anuncio importante de esta versión es la advertencia sobre el futuro de los binarios universales para macOS.

El proyecto Node.js ha comunicado que, debido a que Apple está abandonando gradualmente la arquitectura Intel, es posible que no puedan mantener los binarios universales (que funcionan tanto en Apple Silicon como en Intel) durante todo el ciclo de vida de Node.js 26.

Actualmente, planean seguir ofreciéndolos "mientras sea práctico". La arquitectura macOS x64 ha sido degradada a Tier 2 , lo que significa que su soporte ya no es tan prioritario.

Disponibilidad

Node.js 26.3.0 ya está disponible para su descarga. Puedes obtenerlo desde el sitio web oficial de Node.js o actualizarlo a través de nvm con el comando nvm install 26.3.0.