Curl apaga las alertas de seguridad durante julio 2026

Daniel Stenberg, creador de Curl, anunció que durante todo julio de 2026 no aceptará reportes de vulnerabilidad. El proyecto, usado por miles de millones de dispositivos, se toma un mes de silencio de seguridad.

Por qué importa

Curl es una de las bibliotecas de transferencia de datos más críticas del ecosistema digital. Está presente en sistemas operativos, servidores web, aplicaciones móviles y dispositivos IoT. Que su mantenedor principal decida ignorar vulnerabilidades durante 31 días es una señal clara: el ritmo de parcheo continuo no es sostenible.

La decisión no es técnica, es humana. Stenberg lleva más de dos décadas manteniendo Curl, y este descanso forzado busca prevenir el agotamiento. Pero la pregunta incómoda es: ¿qué pasa si durante julio aparece un fallo crítico?

Qué dice el contexto

• Stenberg afirma que no leerá correos de seguridad ni procesará reportes desde el 1 hasta el 31 de julio de 2026.
• El proyecto Curl tiene más de 500 contribuyentes y es mantenido por un equipo central pequeño.
• En 2025, Curl recibió un promedio de 2.5 reportes de vulnerabilidad por semana.
• Stenberg ha sido vocal sobre el estrés de mantener software crítico con recursos limitados.
• Otros proyectos open source como OpenSSL o systemd han implementado pausas similares en el pasado.

Lo que puedes hacer

1. Evalúa tu dependencia de Curl: si tu producto o servicio usa Curl, identifica versiones y planifica una ventana de actualización antes de julio.
2. Monitorea el canal de seguridad de Curl: aunque no se acepten reportes, las vulnerabilidades conocidas antes de julio seguirán siendo parcheadas.
3. Considera redundancia: si tu sistema es crítico, ten un plan B para julio, como usar otra biblioteca de transferencia o un proxy de seguridad intermedio.

En una frase

“

Curl, usado por miles de millones de dispositivos, no aceptará reportes de vulnerabilidad durante julio de 2026: un mes de silencio que expone los límites humanos del software crítico.