eBPF (extended Berkeley Packet Filter) es un subsistema del kernel Linux que permite ejecutar programas personalizados en hooks del kernel de forma segura y eficiente. Originalmente diseñado para filtrado de paquetes de red, eBPF se ha convertido en la base de herramientas de observabilidad, seguridad y networking de nueva generación.
Los programas eBPF se escriben en un subconjunto de C, se compilan a bytecode, pasan por un verificador estático en el kernel (que garantiza terminación y seguridad de memoria), y se ejecutan en una VM JIT dentro del kernel. Herramientas como Cilium (networking en Kubernetes), Falco (seguridad runtime), y bpftrace (profiling) usan eBPF extensivamente.
Para un arquitecto, eBPF importa porque permite observabilidad de alta resolución (trazas a nivel de kernel sin overhead de userspace), políticas de red programables sin iptables, y detección de amenazas en runtime sin agentes pesados. Es la tecnología detrás de gran parte de la innovación actual en infraestructura cloud-native.