Fernando Garcia

Diego Carlos fue fichado por el Sevilla FC en el verano de 2019. El proceso, que contó El Confidencial, no fue caprichoso: de unos 4.000 defensas centrales controlados por el club, empezaron a acotar, uso de enormes bases de datos mediante, a aquellos que tenían mejores promedios que el de LaLiga en duelos aéreos ganados (62%) y pases largos completados (43%), entre otras variables, y finalmente, entre opciones viables por edad, personalidad, coste y demás, el brasileño fue el elegido. Costó 15 millones, rindió tres temporadas a un gran nivel ganando algún título por el camino, y hace unos días fue traspasado al Aston Villa inglés, ya cerca de la treintena, por unos 33 millones de euros.

La persona que instauró ese modelo en el Sevilla FC dos décadas atrás fue el célebre Ramón Rodríguez Verdejo, 'Monchi', exportero del club sevillista que pasó a leyenda por su labor en los despachos. Por su metódico sistema de scouting y su absoluta fe en el uso de los datos para tomar mejores decisiones.

El de Diego Carlos es el último ejemplo, pero hay decenas de grandes negocios que contextualizan el éxito del club de Nervión —más allá de los trofeos— en lo que llevamos de siglo. Ahora, con el Sevilla FC como referencia mundial del uso de macrodatos, la búsqueda de un mejor algoritmo para procesarlos sube de nivel: el equipo hispalense lanza un hackaton de fútbol para crear un algoritmo que ayude a desglosar, entender y evaluar el rendimiento de los jugadores para seguir mejorando la calidad de su plantilla. Lo hace de la mano del Bengaluru United, un club indio con el que cerraron un acuerdo quinquenal de colaboración. El hackaton, cuyos registros están abiertos, se celebrará el fin de semana del 10 a 12 de junio.

Algoritmizar el scouting

En estas dos décadas —las que lleva Monchi al frente de la dirección deportiva del Sevilla FC— trabajando en el uso de datos para la toma de decisiones ha habido no solo mejores resoluciones, sino ponderaciones más refinadas y definiciones detalladas sobre qué se busca.

Lo cuenta el propio Monchi: "Hemos caracterizado individualmente los perfiles interesantes en cada posición, tanto a nivel táctico como técnico como físico. Por ejemplo, el lateral izquierdo. ¿Qué creemos que debe tener? Uno contra uno, centro, pase horizontal, dribbling... Es un simple ejemplo. Que la diferencia con el central sea siempre de diez metros, que pueda hacer esfuerzos continuados, etc. Así tenemos caracterizada cada posición en el campo con lo que creemos más relevante para ella. Hay otras que no tienen peso, por ejemplo en un central no buscamos dribbling, pero sí importa que sea bueno en el uno contra uno o que tenga un buen despeje lateral".

Llevar ese scouting al siguiente nivel pasa también por este hackaton. Lo detalla Elías Zamora, Chief Data Officer del Sevilla FC: "Llevamos muchos años midiendo el desempeño, el dato objetivo y el subjetivo. Así que tenemos muchos jugadores tanto con su descripción subjetiva como objetiva. ¿Podría yo explicar la percepción subjetiva del desempeño de este jugador en base al rendimiento empírico sobre el campo? Esa es la pregunta que llevamos al hackaton. Queremos entender qué datos son importantes para afinar mis modelos basados en datos empíricos, para que sean capaces de reconocer la calidad como lo hace un scout, y estar más cerca de que mi modelo aprenda a convertirse en un scout de primera categoría".

Ese objetivo sería un primer paso para poder scoutear muchos más partidos. "Estaría creando un algoritmo que ve los partidos como los ve un determinado scout, de la misma forma. Pero en vez de poder ver cuatro al día, como mucho, podría ver cuatrocientos", explica Elías. "Al final la gran pregunta es qué significa ser un buen jugador siendo delantero, siendo portero, etc. Eso lo saben nuestros técnicos, que tienen 30 o 40 años de experiencia, y es lo que quiero que mi algoritmo comprenda. Ya entiende los pases que da un jugador, los goles que mete, sus uno contra uno... Pero son medidas particulares para una pregunta mucho más global: ¿qué significa que un lateral derecho juega bien? Eso quiero que el algoritmo me responda".

En Xataka

"Gracias a la OTT recibimos un montón de datos que podemos interconectar": Fabio Gallo, de la Liga Tech, habla sobre LaLiga Pass

El aspecto individual no es el único que cuenta a la hora de valorar a un jugador para su posible fichaje. También está el análisis contextual: "Cuando lo fichas, has de comprender en qué condiciones rinde muy bien. ¿En qué circunstancias? ¿En qué sistema? ¿Rodeado de qué jugadores? ¿Con qué rivales? ¿Es independiente de eso, o no? ¿Soy capaz de reproducir las condiciones donde ese jugador rinde bien? Y hablamos de lo que ocurre dentro del terreno de juego... Pero también de lo que ocurre fuera de él", comenta Elías.

Ese aspecto es crucial, y aunque a día de hoy es algo que no puede contemplar un modelo algorítmico, es otro obstáculo que se acabará superando. O eso cree Monchi: "Ya hay algoritmos que mediante el uso de redes sociales, de declaraciones en medios, etc, te empiezan a crear perfiles subjetivos de cada jugador. Creemos que se superará esa barrera".

Lo mismo cree Elías: "Comprender al jugador como persona y tener perfiles psicológicos de futbolistas es básico. Yo vengo del sector financiero. Cuando fichas a un alto ejecutivo, esa persona pasa por una serie de screenings bastante profundos para poder caracterizarlo y evaluar sus capacidades técnicas, pero también psicológicas. Eso será clave en el scouting dentro de diez años. Que no fiches a un jugador que sea un melón por calar, sino buscar perfiles de disciplina, liderazgo, resiliencia... Para tener gente que sea más eficiente desde ese punto de vista".

La hemeroteca es una gran aliada para determinar esa huella psicológica, y también la cantidad de opiniones que se vierten en torno al fútbol. "La gran mina no es entender lo que dice un jugador, sino lo que la gente opina sobre él. Esa quizás sea la principal fuente de información. Un análisis profundo de esas opiniones nos pueden ayudar mucho a caracterizar la mente de un determinado jugador", comenta Elías. Actualmente esa capa psicológica se conforma con un informe subjetivo.

La clave a diez años vista será sistematizarla. Aunque sin llevarlo a un extremo que tampoco se ha dado con la capa objetiva: "El dato solo es una orientación, no me ubico en los extremos, sino en las zonas intermedias", explica Monchi. "El dato te da dos ventajas: te recorta el tiempo y te reduce el margen de error. Hemos echado para atrás fichajes que el dato nos daba como un nivel alto, y al revés. Buscamos el equilibrio entre dato y subjetividad. El dato no llegará a explicar la interrelación con sus compañeros, coordinación y comunicación con ellos, situaciones del partido en que su equipo esté sufriendo...".

Y más allá de los jugadores

El modelo del Sevilla basado en el apoyo de los datos para la toma de decisiones no se aplica solo a la confección de la plantilla, sino a muchos más ámbitos. "El modelo clásico de Monchi se trata de competir al límite para ser más fuerte deportivamente de lo que su capacidad económica permitiría. Ahora está enriquecido por las capas de inteligencia y tecnología, y estamos en la misma dirección en el resto de aspectos del club: ticketing, fans, etc. Todo lo que implique generar recursos, activos". Muy similar a lo que lleva años poniendo en práctica LaLiga.

Al contrario que otras empresas, un club de fútbol tiene varias líneas de negocio muy dispares entre ellas. Desde la puramente deportiva con competiciones y derechos televisivos hasta la venta de merchandising, la compraventa de jugadores o la búsqueda de patrocinadores.

En Xataka

Un chaval lleva tanto tiempo jugando a su partida de 'Football Manager' que supera ya las 416 temporadas

Ahí entra el machine learning. Por ejemplo, para segmentar a los fans que el club ya tiene identificados en su CRM (customer relationship management, un tipo de software para gestionar relaciones con clientes), minar a los que llegan por las redes sociales, perfilando los nuevos en función de su afinidad para asignarlos a uno u otro grupo... "Eso da lugar a la construcción de journeys distintos, de caminos de fidelización diferentes", comenta Elías.

Esos journeys son los mismos de los que hablaban portavoces de LaLiga entrevistados por Xataka meses atrás y esa segmentación del fan en grupos de afinidad es la misma de la que hablaba Dídac Lee, el hombre que digitalizó al Barça, en otra entrevista con Xataka del verano de 2020. Una tendencia común.

Es la forma de ofrecer productos y servicios que se alineen con el nivel de interés y capacidad de cada uno, en lugar de ofrecer un mismo producto a todo el mundo. Elías cuenta una experiencia similar en un puesto anterior: "En trabajos en financieras alemanas análizabamos usando machine learning veíamos que un club de la Bundesliga quizás solo tenía un 30% de fans hardcore, digamos, y el 70% restante era muy heterogéneo. En esa línea va uno de nuestros principales proyectos a medio plazo".

Aunque como recuerda Monchi, no todo pasa por perseguir el dato. "Siempre hay también oportunidades de mercado, o jugadores que el entrenador ya entrenó antes y conocen bien, etc. Intentamos buscar el equilibrio. ¿Dónde encontramos el mirlo, la gran oportunidad? Cuando el dato y la información subjetiva coinciden. Intentamos cuadrar el círculo. Y ponderar el nivel de influencia en la toma de decisión con todo lo demás, como la adaptación que pensamos que pueda tener al Sevilla". El algoritmo que quiere pulir este hackaton, si todo va bien, ayudará a descargar de trascendencia la decisión humana para que el dato sea todavía más completo.

-
La noticia Monchi y el hackaton del Sevilla FC: "Queremos que el algoritmo responda a qué es un buen jugador posición por posición" fue publicada originalmente en Xataka por Javier Lacort .

"Cuando mi hijo tenía un año, me pedía que lo sostuviera en brazos para poder accionar los interruptores de la luz. Cada vez que pulsaba el interruptor, movía la cabeza para comprobar la habitación y confirmar que las luces se habían encendido correctamente.

El niño hubiera podido "hacer esto durante horas, si mis brazos también hubiera aguantado". Esto ha explicado Chase Roberts para contar cómo le ha dado por lanzar un libro de ingeniería informática para bebés.

En Genbeta

Menos de la mitad de los programadores tienen títulos universitarios. Cada vez más desarrolladores aprenden por su cuenta

Además de esto, cuando el bebé se aburría en los típicos encuentros de adultos que dan poca oportunidad a los bebés de hacer cosas propias de los bebés, Chase se dio cuenta de que no encontraba la manera de conseguir que estuviera entretenido. Y pensó que, si le encantaban los interruptores y ver cómo tocar uno tenía su efecto (como una luz encendida), podía llevar esa dinámica fuera de la casa.

Libro con esquemas básicos

La idea era la de crear un libro con esquemas de encendido y apagado, pensado para bebés. Un libro con conceptos de ingeniería informática para pequeños.

Dice que trabajó cinco años en esta idea (ha fabricado al menos ocho prototipos y rediseñado la placa de los circuitos media decena de veces) y ahora el resultado ya está disponible para comprar en Internet por 33 dólares, tras haberlo financiado a través de Kickstarter. La publicación constan de seis páginas de cartón, gruesas porque cada una recoge una pieza de ingeniería dentro. Y muestra lógicas de la informática básica, como AND, NOT, OR y XOR.

Para Chase es muy importante que estos conceptos básicos se nos muestren desde que somos pequeños. "Estudié ingeniería informática en la escuela, pero no me presentaron ninguno -de los conceptos básicos de la lógica que hay detrás- hasta después del instituto". Recuerda que los ordenadores se componen de señales de encendido y apagado para hacer cosas interesantes.

El libro incluye dos interruptores, una luz LED y seis páginas, cada una con una función diferente: WIRE, OR, NOT, AND, XOR y LATCH. Hay unos sensores que permiten al sistema central de este libro saber qué página está abierta y, de esta forma, el botón adopta una u otra función. Si el libro está abierto en AND la bombilla solo se encenderá cuando se pulsen ambos interruptores a la vez.

En Xataka

Repensando la carrera de ingeniería informática: hablan los profesionales

Además, para llamar más la atención del bebé, cada página ilumina el LED con un color distinto. El libro incorpora una batería que, calcula su creador, debería aguantar alrededor de un año, aunque puede reemplazarse.

Imágenes | Computer Engineering for babies y Kickstarter

-
La noticia "Ingeniería Informática para bebés": este libro, muy dinámico, muestra conceptos básicos de WIRE, OR, NOT, AND, XOR y LATCH fue publicada originalmente en Genbeta por Bárbara Bécares .

La vulnerabilidad Follina, de la que te hablábamos ayer y que afecta a todas las versiones de Word desde Office 2013 en adelante, es mucho más grave de lo que se creía. Y es que, si bien ha empezado a generar titulares sólo durante esta última semana, lo cierto es que viene siendo explotada por cibercriminales al menos desde el pasado 12 de abril (según informa Hacker News), cuando fue detectado su uso en ciberataques procedentes de Rusia.

Sin embargo, lo más chocante es que ese mismo día Microsoft recibió la información sobre la existencia de dicha vulnerabilidad… y decidió no hacer nada al no considerarlo un problema de seguridad, alegando que la utilidad MSDT requería una clave proporcionada por un técnico de soporte antes de poder ejecutar código PowerShell arbitrario desde Word.

Lo cierto es que la vulnerabilidad se basa en un defecto del esquema URI del protocolo "ms-msdt:", y que el malware que se aprovecha del mismo (y que lleva difundiéndose durante un mes y medio) "está diseñado para eludir los productos de seguridad y volar por debajo del radar" de los sistemas antimalware, según revela Jeroe Segura, de Malwarebytes.

En Xataka

Microsoft corrige 17 años después una vulnerabilidad crítica de gravedad 10 sobre 10 encontrada en los servidores de Windows

Peor aún: ahora sabemos que ni siquiera es necesario que lleguemos a abrir el archivo Word para que se ejecute el código malicioso: si alguien renombra el documento con la extensión de archivo .RTF (formato de texto enriquecido) las salvaguardas de Vista Protegida para archivos potencialmente peligrosos no se activarán, por lo que podremos infectarnos meramente por previsualizar el documento en el Explorador de Windows.

Microsoft, que ha terminado por reconocer el problema que tenía entre manos, aún no ofrece ningún parche oficial (aunque te recordamos que 0patch sí ha lanzado uno no oficial): por ahora, su recomendación pasa por desactivar el panel de vista previa del Explorador de Windows, así como el protocolo MSDT.

El mejor consejo que Microsoft tiene para nosotros pasar por desmarcar esa opción.

Una nueva vulnerabilidad que se combina con Follina para aumentar su peligrosidad

Para terminar de redondear el desastre, ha salido a la luz otra vulnerabilidad similar que afecta en este caso a otro protocolo interno de Windows, search-ms, usado normalmente para realizar búsquedas locales en el equipo, pero que también puede ser usado para hacer lo propio con archivos compartidos en un host remoto.

Los ciberdelincuentes han encontrado un método para eludir la advertencia de seguridad que debería mostrarse de forma predeterminada, por lo que resulta muy sencillo para ellos engañar a una víctima potencial para que haga clic en una URI de search-ms.

Así, combinando Follina con la nueva vulnerabilidad, un experto en ciberseguridad ha logrado mostrar que es posible usar un archivo de Word malicioso para abrir una ventana de búsqueda remota en el equipo de la víctima. Si al recurso compartido remoto se le da un nombre engañoso, es posible convencer al usuario de que se trata de actualizaciones de software importantes que debe descargar e instalar:

Here's how exploitation looks to the user when opening ;-) pic.twitter.com/4wlvbPJ2oZ

— hackerfantastic.crypto (@hackerfantastic) June 1, 2022

De nuevo, en este caso sólo podemos recurrir a soluciones provisionales y no-oficiales:

Steps for mitigation:
1. Run Command Prompt as Administrator.
2. To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\search-ms filename“
3. Execute command “reg delete HKEY_CLASSES_ROOT\search-ms /f”. pic.twitter.com/NYDp3txiIb

— hackerfantastic.crypto (@hackerfantastic) June 1, 2022

-
La noticia Basta con previsualizar un DOC malicioso para infectar un PC Windows 10/11: Microsoft lleva 51 días sin parchear la vulnerabilidad fue publicada originalmente en Genbeta por Marcos Merino .

En los últimos meses hemos visto como el proyecto Asahi Linux ha logrado que sea posible instalar Linux en los Mac con el chip M1. Ahora hay quien está trabajando para hacer algo así, pero en los viejos iPad que se lanzaron antes de 2014.

Estas tabletas ya no cuentan con soporte oficial de Apple y es probable que ya no estén disponibles muchas de las aplicaciones que los usuarios querrían usar, pero siguen pudiendo ser aprovechados  para pequeños servidores caseros o, por qué no, para montar tabletas de retro-gaming.

Ese iPad que tenías en un cajón sigue siendo útil

Un desarrollador de Linux llamado Konrad Dybcio ha colaborado con un entusiasta que tiene como alias en Twitter "quaack723" y han logrado que sea posible iniciar un iPad Air 2 con el kernel Linux 5.18, un hito singular teniendo en cuenta que este dispositivo fue diseñado para correr solo el sistema operativo iOS (ahora iPadOS) de Apple.

Took us >1 year (way too long) but, @quaack723 and I got it working after I realized we were missing a oneliner 😎

A7-A8X.

Writeup son.#Linux #AsahiLinux #checkm8 pic.twitter.com/H5A9ZA8xyf

— Konrad Dybcio ✝️ (@konradybcio) June 1, 2022

Para el proyecto han usado una distribución Linux llamada postmarketOS basada en Alpine Linux. La elección es lógica ya que esa "distro" está pensada para dispositivos Android.

Para lograr superar los mecanismos de seguridad del iPad Dybcio parece haber usado el exploit 'Checkm8' que se descubrió en 2019. De momento han logrado ejecutar Linux en varios iPads que usan los chips A7 y A8 —como el iPad Air, el iPad Air 2 y algunas viejas generaciones del iPad mini".

Todo apunta a que pronto será posible replicar el proceso en cualquier dispositivo con esos chips, incluidos los iPhone 5S e incluso el HomePod original.

Este singular proyecto aún sigue en fases preliminares y tiene limitaciones importantes. De momento no es posible montar un sistema de ficheros, y no existe soporte USB ni Bluetooth. También será difícil lograr que la conectividad a redes, el audio o la aceleración de los gráficos —que está dando mucha guerra a los desarrolladores de Asahi— funcionen, pero el proyecto va por buen camino.

Es cierto que a estas alturas los chips A7 y A8 son modestos y que normalmente estaban acompañados de 1 o 2 GB de RAM. Eso limita las opciones, pero si esta iniciativa sigue dando buenas noticias sería perfectamente posible reaprovechar esos viejos iPad para crear pequeños servidores domésticos, pantallas inteligentes o consolas de retrogaming.

Vía | Ars Technica

-
La noticia Alguien está resucitando los viejos iPad y dándoles una nueva vida. Y lo está haciendo con Linux fue publicada originalmente en Xataka por Javier Pastor .

Photopea se ha convertido en una de las aplicaciones que más estoy utilizando desde hace unos cuantos años. Se trata de una potente herramienta de edición de fotografía basada en web y fácil de utilizar. Si bien es tremendamente parecida a Photoshop en la superficie, la realidad es que la proporcionada por Adobe cuenta con una variedad más completa de funciones. Sin embargo, eso no me ha impedido a abandonar esta última y decantarme por la alternativa gratuita.

No me dedico a la edición de fotos de manera profesional, y por ende, hay funciones de Photoshop que no he usado en mi vida. Cuando descubrí Photopea, vi dos ventajas frente a Photoshop que me hicieron dar el salto: es gratuita, y no hay que realizar una pesada instalación en el equipo.

Photopea es gratis y no requiere de instalaciones, dos factores que me han hecho quedarme en ella

A pesar de que mi trabajo no depende de ello, utilizo la herramienta casi a diario, ya que su compatibilidad con prácticamente cualquier archivo de imagen y funciones que proporciona, hace que ni me lo piense dos veces en abrir el navegador e ir directamente a ella, casi como de un fenómeno de memoria muscular se tratara. Si bien esto no es más que una preferencia personal dadas mis circunstancias, la herramienta a día de hoy es muy popular, y son cada vez más los que le dan una oportunidad.

En Genbeta

Las mejores webs para editar fotos online

La interfaz de Photopea es muy similar a la de Photoshop, algo que ayuda a probar esta herramienta, pues aquel que haya utilizado la aplicación de Adobe encontrará de forma más o menos intuitiva la mayoría de las opciones más utilizadas. Así pues, las funciones de gestión de capas, recorte, borrador de fondos, máscaras, y un buen número de filtros, entre otras opciones, son utilizables en Photopea. Además, la herramienta permite también abrir archivos desde URL, algo que nos puede agilizar el proceso de edición.

Compatibilidad con un buen número de formatos

La herramienta, tal y como hemos mencionado, es compatible con todo tipo de archivos. Esto incluye formatos como PSD, RAW, AI, SKETCH, etc. Lógicamente, también nos será fácil abrir archivos de tipo JPG, PNG, GIF, SVG, y otros tantos. Si bien la edición de formato RAW es algo más completa en Photoshop, gestionar los archivos vectoriales de imágenes en dicho formato también es posible en Photopea, permitiendo editar ciertos parámetros de la imagen. Además, no es lo habitual, pero también he editado algún que otro PDF desde esta herramienta.

Photopea permite además exportar el trabajo en un buen número de formatos, además de poder escoger la calidad en la que queremos guardar el archivo, obteniendo una estimación de lo que puede llegar a pesar. De esta forma, podemos exportar en formatos como PSD, BMP, GIF, JPG, PNG, RAW, SVG, y algunos más.

Una buena alternativa para aprender a editar

Si te encuentras en la situación de querer aprender a editar mediante este tipo de herramientas, pero prefieres evitar pagar hasta obtener un conocimiento más amplio, Photopea es una gran alternativa, aunque no la única, pues también contamos con opciones gratuitas como GIMP o Darktable, entre otras. Sin embargo, tal y como contábamos, una de las grandes ventajas de Photopea es que se encuentra basado en web (quién iba a decir que esto podía ser una ventaja).

La app además nos concede una gran respuesta en dispositivos móviles con Android y iOS, pudiendo obtener una forma rápida de editar sin depender de instalaciones. Es cierto que Adobe ya brinda opciones web en aplicaciones como Photoshop e Illustrator, pero éstas son muy limitadas, y requiere de una suscripción de pago para utilizarlas.

No hay duda que la experiencia que nos puede brindar Photoshop será bastante más completa, sobre todo por la capacidad de ampliar su experiencia con pluggins adicionales. Sin embargo, su elevado precio puede echar para atrás a algunos. De esta forma, si crees poder prescindir de algunas de sus características como ciertas enfocadas al 3D, o funciones avanzadas de máscaras, entre otras, Photopea puede ocupar ese hueco con cierta solvencia. La herramienta cuenta con opciones premium para desactivar los anuncios, aunque cabe decir que la publicidad no es demasiado invasiva.

-
La noticia Llevo tres años usando Photopea en vez de Photoshop y no creo que vuelva: estas son mis razones fue publicada originalmente en Genbeta por Antonio Vallejo .

Cuando contactamos con el servicio de soporte de Microsoft, en caso de que se requiera y dependiendo de nuestro problema, pueden obtener toda la información que necesitan de forma directa a través de la herramienta MSDT (Microsoft Support Diagnostic Tool). Al proporcionarle a esta herramienta la clave que nos concede el representante técnico, podremos ejecutar ciertas herramientas de diagnóstico y enviar la información a Microsoft para su análisis.

Si bien esta herramienta puede ser muy útil para que la compañía detecte el problema que tengamos con nuestro equipo, también puede suponer un grave riesgo para nuestra seguridad según un nuevo exploit detectado. Y es que a través de una entrada en el blog de Microsoft centrado en la seguridad, han ofrecido información acerca de un nuevo método de ejecución de código en remoto (RCE) que hace uso de esta herramienta.

Un peligroso exploit aún sin solución

Debido a la gran disponibilidad de la herramienta de diagnóstico que ofrece Microsoft, el exploit es aprovechable en un gran número de sistemas de la compañía, entre ellos Windows 7, 8.1, 10, 11, y Windows Server 2008, 2012, 2016, 2019 y 2022. Localizado como CVE-2022-30190, se trata de un problema de seguridad de alto nivel. Además, debido a los pocos detalles que ha ofrecido la compañía, es probable que el problema aún no haya sido parcheado.

En Genbeta

Qué es el "Modo Dios" y cómo activarlo en Windows 10 y 11

El exploit parece ser aprovechable a través del protocolo URL de la llamada de una aplicación como Microsoft Word. Según explica la compañía, el atacante que logre aprovechar esta vulnerabilidad podrá ejecutar código arbitrario con los mismos privilegios que la aplicación de llamada. De esta manera, si Word se estuviese ejecutando con privilegios de administrador, esto significa que el atacante podría obtener esos mismos privilegios.

Desde Microsoft han recomendado deshabilitar la herramienta MSDT mediante una serie de sencillos pasos hasta que encuentren una solución al problema. Para desactivarla, tenemos que hacer lo siguiente:

• Abrir el Símbolo del sistema como administrador
• Ejecutar el comando "reg export HKEY_CLASSES_ROOT\ms-msdt nombre del archivo" (sin comillas).
• Ejecutar el comando "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" (sin comillas).

En 'nombre del archivo' sustituimos por el nombre que le queremos dar al archivo para exportar la información de ese registro.

Para revertir los cambios y volver a disponer de esta herramienta, hacemos lo siguiente:

• Ejecutamos Símbolo del sistema como administrador
• Ejecutamos el siguiente comando para restaurar la clave del registro: "reg import nombre del archivo" (sin comillas).

La compañía recomienda también activar la protección basada en la nube y el envío de muestras automático en Windows Defender.

-
La noticia Microsoft advierte ante un peligroso exploit de Windows 10 y 11 que permite ejecutar código en remoto: esta es la solución temporal fue publicada originalmente en Genbeta por Antonio Vallejo .

Un ataque informático contra la red de ANIMSA en Navarra (Asociación Navarra de Informática Municipal, empresa pública que gestiona los servicios online de 179 entidades de la Comunidad foral), ha llevado a muchísimos ayuntamientos y entidades públicas a verse forzadas a trabajar fuera de la red desde hace varios días (aquí puedes ver la larga lista de organismos afectados).

Concretamente, todo empezó el 18 de mayo. Eso ha llevado a que muchísimas entidades públicas navarras lleven días trabajando offline (si eso es posible con todos los datos acumulados en la red informática). Desde hace días, desde ANIMSA dicen que "en la reconstrucción se debe priorizar la seguridad frente a la rapidez". Y de hecho, la solución está llevando tiempo.

Aunque aún no tengamos la fecha exacta de vuelta a la normalidad, seguimos trabajando para recuperar cuanto antes los servicios caídos por el ciberataque. #compromiso #colaboración #vocaciondeserviciopublico #ANIMSA

— Animsa (@Animsa) May 21, 2022

Se sabe que el ataque ha llegado desde Lituania. La empresa pública está trabajando con el Centro Criptológico Nacional (CCN), que depende del Ministerio de Defensa, y el Gobierno foral para evitar la propagación del ransomware (el ciberataque que exige el pago de un rescate para poner fin al control de los datos), recibido desde Lituania. "Respecto al tiempo de recuperación de un ciberataque, no hay un tiempo definido", dicen desde ANIMSA.

Cambio de contraseñas

Uno de los principales cambios en la recuperación del ciberataque, y que se realizará en los próximos días, "será el cambio de contraseñas de los usuarios en los diferentes servicios afectados". Se facilitará a las Entidades Locales nuevas credenciales de un solo uso. Posteriormente cada usuario debe generar su propia clave.

La red navarra también está contando con apoyo desde la Oficina de Seguridad del Internauta, para saber qué contraseñas implementar.

En Genbeta

Ocho consejos para proteger tu PC frente a ransomware

Recuerdan desde la OSI que se deben crear contraseñas robustas, que estén formadas por al menos 11 caracteres (mayúsculas, minúsculas, números, caracteres especiales), no utilizar la misma contraseña en diferentes servicios o tener cuidado con las preguntas de seguridad (si las utilizas, que sólo tú y nadie más sepa las respuestas). Además, no se deben compartir contraseñas con nadie y cambiar periódicamente las contraseñas.

ANIMSA tiene más de 30 años de trayectoria para impulsar el desarrollo de las tecnologías de la información en las entidades locales de Navarra.

-
La noticia Los ayuntamientos navarros llevan 13 días caídos: un ransomware ha dejado a toda la administración como hace 20 años fue publicada originalmente en Genbeta por Bárbara Bécares .

Llevamos años teniendo muy claro que empresas como Google o Microsoft recolectan un buen montón de datos cuando usamos sus buscadores en internet. Viven en buena parte de ello, después de todo, así que cuando surgió una alternativa como DuckDuckGo enfocada a proteger nuestra privacidad, muchos acabamos por usarla y nos sentimos algo más protegidos. Ahora resulta que ellos también han acabado traicionando en cierta medida esa promesa.

Qué ha pasado. La semana pasada se descubrió que DuckDuckGo (DDG) tiene un acuerdo con Microsoft que les impide bloquear ciertos 'trackers' de Microsoft. El propio CEO de la empresa, Gabriel Weinberg, explicaba que en su navegador no pueden bloquear todos los de Microsoft por un "acuerdo de sindicación de búsquedas" que les impide hacerlo.

Ese acuerdo tiene otro problema: no permite que en DuckDuckGo den más detalles sobre lo que pueden y no pueden bloquear, así que no podemos estar seguros de hasta dónde nos protege realmente el servicio en esa relación con los de Redmond.

Pero sigues siendo anónimo. La polémica suscitada hizo que Weinberg quisiese aclarar más el tema, y destacó que al usar su buscador, el usuario sigue siendo anónimo incluso para los anuncios que se pueden presentar entre los resultados. Las cookies de terceros también se bloquean en su navegador "incluyendo las de plataformas de Microsoft".

Hay otros mecanismos de protección que DDG también aplica incluso a Microsoft, como el sistema anti-fingerprinting. la expiración de cookies de terceras partes o el manejo de consentimiento de cookies. Lo único que hacen por ese acuerdo es evitar !que se carguen scripts propios de Microsoft", aunque incluso ahí dicen que aplican protecciones post-carga, como el bloqueo de esas citadas cookies de terceras partes. Como admitía Weinberg "nuestro producto no es perfecto".

En Xataka

DuckDuckGo: qué es y principales diferencias con Google

En realidad esto ya se sabía (un poco). La propia DuckDuckGo explica desde hace tiempo en su web de soporte cómo "nos hemos asociado con muchas fuentes de información para proporcionar los resultados de DuckDuckGo Search (por ejemplo, Microsoft para la publicidad, Apple para los mapas, etc).

Allí destacaban cómo "Microsoft y DuckDuckGo han colaborado para proporcionar una solución de búsqueda que proporciona publicidad relevante mientras se protege tu privacidad". En ese sistema, dependiente de Microsoft Advertising, se usa nuestra dirección IP y la cadena 'user-agent' que identifica nuestro equipo para "procesar correctamente el click en el anuncio y cobrar al anunciante".

¿Es grave? La diferencia, explican en DDG, es que otros motores de búsqueda asocian tu comportamiento al clicar en publicidad con un perfil sobre ti que puede ser usado más tarde para ofrecerte anuncios en ese buscador en internet. En el sistema de Microsoft y DDG, el sistema de Microsoft Advertising "no asocia tu comportamiento al cliar en publicidad con un perfil de usuario. Tampoco almacena o comparte información más allá de "objetivos de contabilidad" (para cobrar al anunciante, como decíamos antes).

La privacidad total no existe. Weinberg terminaba diciendo que "nada te puede proteger al 100%" y comentaba cómo al final las limitaciones de cada plataforma hacen difícil el trabajo de DuckDuckGo. "Por eso", concluía, "siempre hemos tenido mucho cuidado de no prometer nunca el anonimato cuando se navega fuera de nuestro motor de búsqueda, porque francamente no es posible. Sin embargo, creo que lo que ofrecemos es lo mejor que hay para los usuarios comunes que quieren una protección de la privacidad sencilla sin romper nada, y esa es nuestra visión del producto."

Pérdida de confianza. Ese mensaje y la rápida respuesta de Weinberg es bienvenida, pero muchos usuarios en redes sociales se quejaban de que al final "el tracking es el tracking" y criticaban que DuckDuckGo no hubiera hecho más públicos los términos de ese acuerdo con Microsoft, que acabaron siendo descubiertos por un experto en ciberseguridad.

En DDG añadieron que están trabajando para eliminar esa excepción que hacen con Microsoft, pero no se sabe cuándo y si podrán hacerlo de forma efectiva. Al final, como explicaba este usuario, ha habido cierta pérdida de confianza y decepción con un buscador y una empresa que no ha sido 100% honesta con el funcionamiento de su buscador y su navegador.

Imagen | Dawit

-
La noticia DuckDuckGo no era tan privado: un acuerdo secreto con Microsoft empaña la imagen del proyecto fue publicada originalmente en Xataka por Javier Pastor .

Mercadona ha vuelto a ser multada por un caso de videovigilancia, aunque esta vez sin el polémico reconocimiento facial. Todo empezó a finales de 2020 cuando una clienta solicitó a Mercadona acceso a sus datos personales, en concreto un vídeo captado por las cámaras de seguridad de un accidente que tuvo.

Pasó más de un mes y la clienta no obtuvo respuesta. Tras ello decidió escribir el Delegado de Protección de Datos (DPD) de Mercadona, quien le respondió que esas imágenes habían sido borradas. Este hecho sorprendió a la clienta que decidió presentar una demanda ante la Agencia Española de Protección de Datos (AEPD), que ahora ha decidido multar a Mercadona con 170.000 euros por distintos motivos.

Si alguien pide acceso a un vídeo, mejor no borrarlo aunque haya pasado un mes

La Ley de Protección de Datos española establece la obligación a las empresas de borrar las imágenes grabadas por las videocámaras de seguridad en un tiempo máximo de un mes, salvo que haya denuncia, en cuyo caso se podrá conservar durante más tiempo. El que sea necesario para que las autoridades investiguen los hechos. Esta disyuntiva entre el periodo de un mes y el tiempo "que sea necesario" para esclarecer qué ha pasado es precisamente lo que ha derivado en la multa a Mercadona.

Frente a la demanda, Mercadona alegó fundamentalmente tres argumentos. El primero es que la reclamación no podía entenderse como un ejercicio del derecho de acceso, ya que se realizó a través del canal de denuncias de Mercadona y no por la vía de Protección de Datos. Sin embargo, la AEPD entiende que ese derecho sí se realizó correctamente.

El segundo punto es que si el vídeo se borró, es por "un error humano". Porque pasó demasiado tiempo en llegar al Delegado de Protección de Datos de Mercadona. La razón es que las reclamaciones al Departamento de Protección de Datos se transmiten manualmente desde Atención al Cliente. Y esto provocó que pasara demasiado tiempo, excediendo el periodo de un mes.

Frente a esto, la AEPD argumenta que es una falta de diligencia por parte de Mercadona y que, al ocurrir dentro de las vías de la empresa, el supermercado tiene responsabilidad sobre ello. Es decir, que inicialmente pasara en un departamento que no está acostumbrado a tratar estos temas de protección de datos no es excusa* para que la empresa no fuera consciente y no responda por ello.

Según explica la AEPD: "los argumentos que opone Mercadona tienen un presupuesto erróneo, como es el considerar que dicha entidad no tuvo constancia de la solicitud de acceso. Sin embargo, según ha quedado expuesto, la solicitud de ejercicio del derecho de acceso fue recibida correctamente por la citada entidad".

El último punto que ha sido desestimado es que Mercadona argumenta que ya había alcanzado un acuerdo con la reclamante para indemnizarla. Sin embargo, la AEPD entiende que esto no supone un archivo del procedimiento.

Una multa que sirve como lección

La resolución de la AEPD es que se impone una multa de 170.000 euros, dividida en dos partes. Por un lado 70.000 euros como vulneración del derecho de acceso. Los 100.000 euros restantes van más allá del caso particular, pues la agencia considera que Mercadona ha realizado una mala praxis y ha vulnerado el artículo 6 de la Instrucción 1/2006, sobre la legitimación del tratamiento.

Por un lado Mercadona borró el vídeo en un plazo de un mes, cuando debería haberlo mantenido ya que estaba siendo investigado y se había solicitado su acceso. El argumento de Mercadona de que no había sido notificada no es válido, ya que la AEPD considera que al supermercado ya le constaba el interés de la demandante. Y aún así lo borró.

En Xataka

El reconocimiento facial de Mercadona acaba en multa de 2,5 millones de euros: qué dice la Agencia de Protección de Datos y qué lecciones se pueden extraer

Esta multa no es precisamente elevada, pero sí es fácilmente aplicable a otros supermercados y negocios. En España todavía no estamos muy acostumbrados a solicitar acceso a nuestros datos personales y, cómo se ha comprobado en el caso de Mercadona, los departamentos de Protección de Datos y el resto no tienen suficiente conexión. Con esta multa, la AEPD deja reflejada su posición sobre cómo deben gestionarse estos casos.

Desde Xataka hemos contactado con Mercadona para conocer más detalles sobre su posición. Actualizaremos cuando obtengamos respuesta.

En Xataka: Las 15 multas más cuantiosas que se han puesto por GDPR hasta ahora

Super ofertas disponibles hoy

Fire TV Stick con mando por voz Alexa

Fire TV Stick con mando por voz Alexa (incluye controles del TV), dispositivo de streaming HD

PVP en Amazon 24,99€

Repetidor Xiaomi Mi WiFi Range Extender Pro

Xiaomi repetidor MI WiFi Range Extender Pro*300mbps Repetidor*hasta 64 dispositivos*Dos potentes antenas externas*Plug and play

PVP en Amazon 9,99€

Bomba de aire portátil Xiaomi 1S

Xiaomi Bomba de Aire Portátil 1S, Compresor de Batería Digital Portátil con Sensor de Presión para Scooters, Motocicletas, Bicicletas, Automóviles, Pelotas

PVP en Amazon 38,99€

-
La noticia Mercadona se negó a entregar a una clienta el vídeo de vigilancia que pedía. Ha sido multada con 170.000 euros fue publicada originalmente en Xataka por Enrique Pérez .

Hace pocos días se dio a conocer el lanzamiento de la nueva versión de la popular distribucion de Linux, Kali Linux 2022.2, diseñado para probar sistemas en busca de vulnerabilidades, realizar una auditoría, analizar información residual e identificar las consecuencias de los ataques de intrusos.

Kali incluye una de las colecciones más completas de herramientas para profesionales de la seguridad informática, desde pruebas de aplicaciones web y pruebas de penetración de redes inalámbricas hasta lectores RFID. El kit incluye una colección de exploits y más de 300 herramientas de seguridad especializadas como Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap, p0f.

Principales novedades de Kali Linux 2022.2

En esta nueva versión que se presenta se destaca que el espacio de usuario de GNOME se ha actualizado a la versión 42, ademas de que se habilita una nueva versión de dash-to-dock junto con Temas claros y oscuros actualizados.

El escritorio KDE Plasma se ha actualizado a la versión 5.24, ademas de que la utilidad Xfce Tweaks ofrece la posibilidad de habilitar un nuevo panel simplificado para dispositivos ARM que, a diferencia del panel Xfce estándar, se adapta a pantallas pequeñas con baja resolución (por ejemplo, 800×480).

Por otra parte se destaca que se agregaron nuevos íconos para evil-winrm y bloodhound, y se actualizaron íconos para nmap, ffuf y edb-debugger. KDE y GNOME proporcionan sus propios iconos para aplicaciones GUI especializadas.

Ademas de ello, tambien se destaca que los archivos de configuración básicos del directorio /etc/skel se copian automáticamente al directorio de inicio, pero sin reemplazar los archivos existentes.

Tambien se destaca la versión actualizada de Win-Kex (Windows + Kali Desktop EXPerience) para ejecutar en Windows en un entorno WSL2 (Subsistema de Windows para Linux) en la cual se proporcionó la capacidad de ejecutar aplicaciones GUI como root usando sudo.

De los demás cambios que se destacan de esta nueva versión:

• Opciones extendidas para trabajar en la consola.
• Los paquetes python3-pip y python3-virtualenv están incluidos.
• Resaltado de sintaxis ligeramente modificado para zsh.
• Se agregaron opciones de autocompletado para John The Ripper.
• Se implementó el resaltado del tipo de archivo en los paquetes de recursos (listas de palabras, recursos de Windows, Powersploit).
• Se han agregado herramientas para trabajar con instantáneas en el sistema de archivos Btrfs : creación de instantáneas de arranque, evaluación de diferencias de instantáneas, visualización de contenido y creación automática de instantáneas.
• Nuevas utilidades:
• BruteShark es un programa para inspeccionar el tráfico de la red y resaltar los datos confidenciales, como las contraseñas.
• Evil-WinRM : shell de WinRM.
• Hakrawler es un bot de búsqueda para descubrir puntos de entrada y recursos.
• Httpx es un conjunto de herramientas para HTTP.
• LAPSDumper : guarda las contraseñas de LAPS (Solución de contraseña de administrador local).
• PhpSploit es un marco de inicio de sesión remoto.
• PEDump : crea un volcado de archivos ejecutables de Win32.
• SentryPeer – honeypot para VoIP.
• Sparrow-wifi – Analizador wifi.
• wifipumpkin3 es un marco para crear puntos de acceso ficticios.

Al mismo tiempo, se preparó el lanzamiento de NetHunter 2022.2, un entorno para dispositivos móviles basado en la plataforma Android con una selección de herramientas para probar sistemas en busca de vulnerabilidades.

Usando NetHunter, es posible verificar la implementación de ataques específicos a dispositivos móviles, por ejemplo, a través de la emulación del funcionamiento de dispositivos USB (BadUSB y HID Keyboard – emulación de un adaptador de red USB que puede usarse para ataques MITM, o un teclado USB que realiza sustitución de caracteres) y creación de puntos de acceso falsos (MANA Evil Access Point).

NetHunter se instala en el entorno de la plataforma Android estándar en forma de una imagen chroot que ejecuta una versión especialmente adaptada de Kali Linux. La nueva versión ofrece una nueva pestaña Ataques WPS que le permite usar el script OneShot para llevar a cabo varios ataques en WPS.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener Kali Linux 2022.2

Para los interesados en poder obtener esta nueva versión, deben saber que se han preparado varias variantes de imágenes iso para su descarga de 471 MB, 2.8 GB, 3.5 GB y 9.4 GB de tamaño.

Las compilaciones están disponibles para i386, x86_64, arquitecturas ARM (armhf y armel, Raspberry Pi, Banana Pi, ARM Chromebook, Odroid). El escritorio Xfce se ofrece de forma predeterminada, pero KDE, GNOME, MATE, LXDE y Enlightenment e17 son opcionales.

El enlace es este.

Código Facilito es una de las mayores plataformas online de aprendizaje de programación en lengua española. En funcionamiento desde 2010, cuenta en su plataforma con aproximadamente 300 cursos de desarrollo web y de software, con multitud de lenguajes.

Aunque cuentan con algunos cursos básicos gratuitos, y una parte del material que compone sus otros cursos está disponible en su siempre recomendable canal de YouTube, lo cierto es que la mayor parte de su oferta formativa está accesible únicamente mediante suscripción a sus planes de pago.

Aunque ahora han decidido hacer una excepción, lanzando una 'Feria de cursos gratis', con la que Código Facilito va a ir desbloqueando, desde hoy al próximo 24 de junio, un nuevo curso premium cada día, concediendo 72 horas para cursarlo gratuitamente.

Por ahora, sólo conocemos cuatro de los 25 cursos que se desbloquearán en las próximas semanas (igualmente, irán desvelando uno nuevo cada día). Todos ellos son lo suficientemente breves como para permitir que los cursemos en el espacio de tiempo en que permanecerán 'en abierto'… si no tenemos la agenda muy ocupada. Por ejemplo, el primero del listado —'Curso profesional de JavaScript', disponible desde hoy— tiene una duración total de casi 9 horas.

En Genbeta

Aprende a programar en Python creando tu propia versión del buscaminas de Windows

¿Cuántos de los 25 cursos conocemos?

Repasemos los cursos anunciados hasta ahora:

Captura de pantalla del curso de JavaScript.

• 'Curso profesional de JavaScript': Un curso exhaustivo que nos permite empezar JavaScript por los cimientos, y seguir repasando aspectos como las funciones, los objetos, las clases, el formato JSON, las expresiones regulares o la programación asíncrona. // 8h y 51 minutos de duración. Disponible desde el lunes 30 de mayo hasta el 2 de junio.

• 'Taller para crear tu propio paquete con Python': Un taller con el que podremos aprender a crear y gestionar nuestros propios paquetes con Python para compartir nuestros proyectos con la comunidad haciendo uso del gestor de paquetes PIP. // 2h y 18 minutos de duración. Disponible desde el martes 31 de mayo hasta el 3 de junio.

• 'Curso de matemáticas discretas': Un curso que forma parte del Bootcamp de Introducción a la Programación, y que está dirigido a todos los desarrolladores que quieran mejorar su lógica de programación recurriendo al conocimiento de las matemáticas discretas (tablas de verdad, teoría de conjuntos, teoría de grafos). La última unidad del curso está dedicada a implementar lo aprendido en lenguaje Python. // 5h y 17 minutos. Disponible desde el miércoles 1 de junio hasta el 4 de junio.

• 'Curso profesional de Dart': Este curso nos permite aprender ?"desde 0 y a fondo"? las bases de este lenguaje creado por Google con el fin de facilitar la programación de apps móviles con Flutter; el temario cubre hasta la programación asíncrona y la orientada a objetos. // 3h y 11 minutos de duración. Disponible desde el jueves 2 de junio hasta el 5 de junio.

-
La noticia La plataforma online Código Facilito lanzará gratis un curso premium de programación, cada día desde hoy hasta el 24 de junio fue publicada originalmente en Genbeta por Marcos Merino .

Si quieres montar una página web, ya sea un blog, una tienda online o para cualquier otro uso que se le quiera dar, es fundamental contar con un dominio y también con un hosting. Si queremos un dominio .es, .com o cualquier otro, necesitaremos comprar el dominio y realizar una renovación anual, aunque podemos comprar el dominio para 2 años e incluso más. También necesitaremos un hosting donde alojar nuestra página web, tanto la propia web como la base de datos. En el caso de que quieras tener una web para un uso doméstico donde anunciarte, y que no sea demasiado importante (que no dependas económicamente de la web), puedes recurrir a un hosting gratuito o que tú mismo alojes la web en un servidor que tengamos en casa. Si quieres alojar tu página web en un sitio gratis, a continuación, os mostramos cómo puedes hacerlo.

Qué es un hosting y para qué sirve

Un hosting es un servicio de alojamiento online para las páginas web, nos permitirá alojar tanto los sitios web, bases de datos, aplicaciones que tengamos, el correo electrónico a través de los servidores del propio hosting y mucho más. Si vas a montar una página web, es fundamental contar con un hosting que se encargue de «alojar» nuestra web y mostrarla a los diferentes usuarios que introduzcan nuestro dominio en la barra de direcciones o lo busquen en Google. Es muy recomendable que un hosting cuente con unas características mínimas, a continuación, puedes ver las características que consideramos fundamentales:

• Buen soporte técnico. En el caso de que tengamos algún problema técnico, nuestra web no cargue, se haya corrompido la base de datos o cualquier otro fallo, nos ayudarán a resolverlo cuanto antes.
• Espacio disponible. Dependiendo del uso que le vayamos a dar, es importante contar con mucho espacio de almacenamiento donde alojar las fotos, vídeos, la base de datos etc.
• Ancho de banda disponible. Generalmente el ancho de banda de los hosting ronda los 500Mbps aproximadamente, por lo que si no tenemos cientos de miles de visitas diarias, no tendremos ningún problema.
• Transferencia de datos mensual. Este aspecto es muy importante, significa cuánto tráfico podemos intercambiar con los usuarios sin que nos limiten la velocidad de la cuenta, e incluso que nos cobren un dinero adicional por pasarnos de este ancho de banda disponible.
• Cuentas de correo. Hay hosting que disponen de cuentas de correo gratuitas, en otras ocasiones hay que pagar más dinero por este servicio.
• Seguridad. Es muy importante que el hosting incorpore seguridad, protección contra ataques DoS y DDoS a través de un firewall. Hoy en día la seguridad es fundamental, y cualquier hosting, o si lo alojas tú mismo, debería tener un mínimo de seguridad para evitar problemas. También es muy importante que el hosting realice copias de seguridad de nuestra web, por si acaso hay algún problema con algún cambio que realicemos.

Una vez que ya conocemos las principales características que debería tener cualquier hosting de pago, sería bastante interesante que los gratuitos también incorporen la mayoría de estas características.

Listado de hosting con planes gratuitos

Hay muchos hostings que disponen de planes completamente gratuitos pero muy limitados, el objetivo de estos hostings es que los clientes prueben la versión gratuita del servicio, y si todo le funcione bien, adquirir posteriormente la versión de pago con el hardware que nosotros queramos, para que cumpla perfectamente con nuestras necesidades. A continuación, os vamos a enseñar todos los hostings gratuitos que existen, la mayoría de ellos también disponen de una versión de pago con mejores características.

260MB

Este es uno de los mejores hosting gratuitos que podemos adquirir por sus especificaciones técnicas, es un hosting gratuito bastante profesional, por lo que es muy recomendable. Aunque personalmente no lo hemos probado, viendo sus características, es el mejor de todos los que hemos probado hasta el momento, por lo que no pierdes nada por intentarlo. A continuación, tenéis todas las características:

• Ancho de Banda Mensual: Ilimitado
• Espacio de almacenamiento en disco: Ilimitado
• Agregar Dominios: Ilimitado
• Dominios Aparcados: Ilimitado
• Sub Dominios: Ilimitado
• PHP Sendmail: Limitado, sólo para mensajes de correo electrónico de activación
• Bases de Datos MySQL: Ilimitado
• Cuentas FTP: una cuenta
• Dominio gratuito tudominio.260mb.net

Este servicio dispone de base de datos MySQL, también tenemos PHP y PHPMyAdmin para la gestión. Por supuesto, disponemos de correo electrónico con cuentas de correo, https con certificados autofirmados, aunque podemos utilizar nuestro propio certificado SSL. También cuenta con protección de firewall y mucho más. Aunque en muchos casos no tenemos limitaciones, el servicio se reserva el derecho de clausurar las cuentas si se realizan cargas excesivas en el servidor.

Podéis acceder a la web 260mb.net desde aquí para acceder a toda la información.

Hostinger

Hostinger es uno de los hostings más baratos y competentes que podemos contratar, este hosting tiene una versión completamente gratuita pero tiene bastantes limitaciones, de hecho, a medida que pasa el tiempo han ido limitando más sus características a favor de las versiones de pago del servicio. Si quieres algo sencillo para tu web personal, podría ser una opción muy interesante, además, podrás adquirir posteriormente la versión de pago y disfrutar de mejores condiciones.

Las características de este hosting gratis son las siguientes:

• 1 sitio web.
• 300MB de almacenamiento en SSD.
• Transferencia de datos limitado a 3GB.
• Permite hasta 300 visitas mensuales aproximadamente.
• 1 base de datos
• Protección de Nameservers
• Garantía del 99% de uptime.
• 1 cuenta de FTP
• 1 Cronjobs

Tal y como podéis ver, este hosting gratis tiene importantes limitaciones, y casi siempre va a merecer la pena adquirir una versión de pago aunque sea muy barata.

AwardSpace

AwardSpace es uno de los hosting más populares para los usuarios que quieren tener un hosting totalmente gratis pero que funciona realmente bien. Este hosting gratuito tiene mejores prestaciones que el anterior de Hostinger, por lo que es una alternativa realmente buena y muy recomendable. Por supuesto, también contamos con versiones de pago que son muy baratas y con unas buenas prestaciones. No obstante, si estás buscando solamente hosting gratis, aquí tienes las principales características:

• Hasta 4 sitios web con subdominios.
• 1GB de almacenamiento web.
• 5GB de tráfico mensual.
• 1 base de datos con MySQL
• Incorpora PHP MyAdmin
• Garantía del 99,9% de uptime.
• Gestión de los archivos vía web con el navegador.
• Soporte técnico 24/7.

Aunque este servidor ofrece un rendimiento excelente, a la hora de trabajar con el FTP es bastante lento e inestable y se suele perder la conexión bastante a menudo. En otro artículo explicamos cómo migrar una página web.

Byet Internet Services

Este servicio de hosting Byethost también es ampliamente conocido en el mundo de los hosting completamente gratuitos. Tiene unas características bastante parecidas al anterior, por lo que es una muy buena alternativa si estás interesado. Si quieres conocer todos los detalles de este servicio, a continuación, os explicamos las principales características:

• Hasta 5 sitios web con sus dominios, también permite 5 subdominios.
• 1GB de almacenamiento web.
• 5GB de tráfico mensual.
• Hasta 5 base de datos con MySQL.
• Incorpora PHP MyAdmin
• Garantía del 99,9% de uptime.
• Gestión de los archivos vía FTP, permite hasta 10MB de tamaño máximo.
• Permite cron jobs, redirecciones y otras muchas características.

Este servicio también nos permite crear dominios totalmente gratuitos, ideal para hacer pruebas o montar una web con un dominio que no sea personalizado.

000webhost

Una alternativa también muy interesante es 000webhost, un servicio que lleva muchos años ofreciendo hosting completamente gratis, aunque con bastantes limitaciones en comparación con los anteriores servicios que os hemos comentado. Este servicio también ha ido reduciendo sus características, y ahora mismo son muy similares a las de Hostinger, por lo que ofrece bastante menos que byethost o AwardSpaces. Si quieres conocer todos los detalles de este servicio, a continuación, os explicamos las principales características:

• 1 sitio web.
• 300MB de almacenamiento.
• Transferencia de datos limitado a 3GB.
• 1 base de datos MySQL.
• 1 cuenta de FTP
• 1 cronjob
• No permite cuenta de correo ni tampoco soporte técnico.
• Sí tiene protección de Cloudflare.
• Garantía del 99% de uptime.

Si necesitas más prestaciones para tu hosting, está claro que este servicio no es el que debes utilizar, porque está bastante limitado.

Alternativas a un hosting gratis

Si quieres alojar tu página web, otra opción que deberías considerar es utilizar un servidor doméstico para casa, donde alojar tu página web y que sea accesible a través de Internet. Si ya tienes un servidor NAS en casa o en la oficina, puedes utilizarlo para alojar tu propia página web, no obstante, si no tienes un NAS, entonces no merece la pena la inversión inicial, y es mejor que directamente uses un hosting gratuito o compres uno «premium».

Servidor NAS en tu casa u oficina

Un servidor NAS tiene una grandísima cantidad de usos que le puedes dar, y uno de ellos es usarlo como un servidor web con Apache o Nginx, además, también admite instalar una base de datos con MySQL, MariaDB e incluso PostgreSQL, lo que tú prefieras configurar. Por ejemplo, en los modelos de QNAP tenemos disponible un servidor web de forma predeterminada, con el que podremos realizar configuraciones avanzadas, ya sea a través de la interfaz gráfica de usuario o a través de comandos vía SSH.

Si queremos instalar la base de datos de MariaDB, lo podemos hacer de forma nativa, tal y como tenemos en el App Center:

No obstante, siempre vas a poder montarte una máquina virtual completa con Debian o Ubuntu donde instalar todo manualmente, además, también tienes la posibilidad de montarte una web en un Docker con los dockers que tú quieras, de hecho, hay dockers ya hechos donde solamente tienes que modificar ciertas cosas para levantar tu web. Sin lugar a dudas, si tienes un NAS es la alternativa ideal, porque tendrás potencia y almacenamiento más que suficiente para tus proyectos personales.

Usar servicios almacenamiento en la nube

Existen algunas plataformas de almacenamiento en la nube que nos permiten compartir un HTML a modo de hosting. Lógicamente no vamos a tener características avanzadas como la base de datos, pero sí podremos subir un archivo HTML con sus fotos vinculadas internamente, y mostrar una página web muy sencilla para uso doméstico y personal.

Si estás interesado en esta posibilidad, debes saber que pCloud es uno de los servicios de almacenamiento en el Cloud más recomendables, porque podemos comprar el plan de 500GB o 2TB de almacenamiento con un único pago, no es una suscripción mensual o anual, sino que es de por vida. De esta forma, podremos almacenar no solamente nuestra página web, sino también nuestras copias de seguridad, programas, archivos, música, vídeos y todo lo que quieras. Por ejemplo, la versión de 2TB de almacenamiento dispone de 2TB de tráfico mensual, más que de sobra para una página web personal.

Existen otros servicios de almaceneamiento en la nube que también nos permiten esta misma funcionalidad, como Dropbox, Google Drive y muchos otros. Puede ser una opción para cosas muy básicas donde no necesitemos base de datos, y simplemente necesitemos el archivo .html con las correspondientes imágenes y el CSS para los estilos.

Conclusiones

Hoy en día tenemos bastantes opciones para tener un hosting completamente gratis, dependiendo de nuestras necesidades tendremos que elegir entre una alternativa u otra, no obstante, debes tener en cuenta que todos los gratuitos tienen sus correspondientes limitaciones tanto en espacio, transferencia de tráfico mensual como también opciones tan básicas como el servicio de correo.

Si vas a empezar en el mundo de Internet y no te quieres gastar mucho dinero, es una muy buena opción para empezar, aunque posiblemente en muy corto espacio de tiempo se te quedará realmente corto, por lo que mira también si las versiones de pago de las alternativas gratis son competitivas, porque así no tendrás que hacer una migración a otro hosting.

En el caso de que necesites más recursos y tengas un NAS, es una muy buena opción alojar tu web personal en tu propia casa, aunque en este caso necesitarás una buena conexión a Internet, un SAI por si se va la luz, y un servidor con un hardware decente para servir la web. De lo contrario tu web podría no estar disponible siempre, o que funcionase con bastante lentitud.

Por último, la posibilidad de usar servicios de almacenamiento en la nube como hosting también está ahí, aunque de forma muy limitada porque solamente podemos subir archivos HTML con sus correspondientes fotos enlazadas, y debes estar en la carpeta pública para que funcione todo correctamente.

El artículo Aloja tu web en los mejores hosting gratis y ahorra dinero se publicó en RedesZone.

Hace poco más de dos años, un juez dio la razón Telefónica Audiovisual Digital en un caso contra las grandes operadoras, y la habilitó para que pudiera ordenar el bloqueo de lo que la sentencia denomina "webs piratas" de emisión de fútbol online, todo ello sin supervisión judicial previa.

El mecanismo articulado para ello se basaba en la remisión semanal de listados de URLs, dominios y direcciones IP, por parte de Telefónica, a las operadoras, que quedaban obligadas a bloquear dichos contenidos en el plazo máximo de tres horas.

El mecanismo escogido estuvo, meses después, detrás de la polémica 'caída' de Twitch durante varias horas en toda España: nadie reparó que, al incluir la compañía en el listado un canal de Twitch, el modo en que se introducen las direcciones causaría el bloqueo completo de la plataforma.

Quedaba así en evidencia el problema que generaba la sentencia al no articular procedimientos legales para desbloquear las IP afectadas. Algo que también afectaba a casos en los que, tras el bloqueo de una IP, si el servicio web o IPTV que provocó dicho bloqueo se traslada a otro hosting, la persona que adquiera posteriormente dicha dirección vería su web —totalmente legal— bloqueada hasta la finalización de la vigencia legal de este listado.

En Genbeta

Cómo saltarse el bloqueo de las operadoras a un sitio web de descargas desde España

Otra solicitud ante un juez aún podría igualar el marcador y mandar este mecanismo a la prórroga

Una vigencia que —sorpresa— finalizó el pasado 25 de mayo; un segundo listado, añadido en diciembre de 2021 tras una demanda conjunta de Movistar+ (también propiedad de Telefónica) y LaLiga, caducará también en las próximas semanas. Esta disparidad se debe a que la primera sentencia mencionaba el 25 de mayo como límite, mientras que el segundo remitía al "final de la temporada".

La conclusión de esto es que el tándem LaLiga/Movistar acaba de perder su principal arma contra las emisiones no autorizadas de fútbol online. Por supuesto, las operadoras podrían optar por mantener bloqueadas las direcciones proporcionadas hasta ahora por Telefónica, e incluso plegarse a la actualización del listado de bloqueos, pero la obligación legal ha desaparecido por completo…

…al menos hasta que los actuales titulares de los derechos de emisión del fútbol vuelvan a recurrir a los tribunales para obtener una nueva autorización judicial con vistas a la próxima temporada. Con el actual precedente, y dada la no oposición de las operadoras al mismo hace dos años, lo esperable es que el mecanismo basado en listados vuelva a entrar en vigor.

Vía | BandaAncha.eu

-
La noticia Telefónica ya no podrá (por ahora) bloquear listas IPTV y otras emisiones online de fútbol: el permiso judicial ha caducado fue publicada originalmente en Genbeta por Marcos Merino .

Hace ya cinco años, cuando comenzaba el auge de los ataques de ransomware, investigadores de Google y de las universidades de Nueva York y San Diego decidieron seguir el rastro del dinero de los rescates pagados por algunas de las empresas afectadas.

El objetivo de su estudio era echar un vistazo al ecosistema creado en torno a esta forma de cibercrimen. El resultado fue chocante: descubrieron que los grupos de crackers que venían usando malware como Locky y Cerber en sus ataques habían empezado a tomar nota del funcionamiento de las grandes empresas tecnológicas.

Y entre los cambios introducidos destacaba el tratamiento de sus víctimas como 'clientes', para lo cual llegaba a dotarse de personal de atención al ídem, para dar soporte en caso de problemas con la puesta en marcha de su 'producto'. Por supuesto, el funcionamiento de esta clase de 'soporte técnico', cuando es necesario, es algo que suele permanecer lejos del conocimiento del público…

…hasta ahora, pues hace unos días, Felipe Cañizares, CEO de la empresa de administración de redes DMNTR Network Solutions, utilizaba su cuenta corporativa para mostrar paso a paso cómo un cliente español tuvo que recurrir a esta clase de servicio.

En Genbeta

Un grupo de cibercriminales libera las claves de desencriptado de su antiguo ransomware… para celebrar el lanzamiento del nuevo

Ojalá todos los servicios de asistencia al cliente fueran así

El hilo en el que lo expuso (con gran repercusión) se titula "ransomware, un rescate pagado y la asistencia técnica más eficaz que te vas a encontrar en años" y es la historia del cliente de un profesional de la ciberseguridad que se puso en contacto con él tras sufrir un ataque ransomware y que, ante la perspectiva de carecer de backups con menos de 10 años de antigüedad, había decidido pagar el 'rescate' de su disco duro.

Hasta este punto, nada —por desgracia— fuera de lo normal. Hasta que algo sale mal: tras pagar el citado rescate, recibir dos archivos (el eliminador de virus y el desencriptador) y seguir los pasos indicados, el profesional en cuestión descubre que, tras reiniciarse el PC, los datos vuelven a encriptarse.

Vía @weareDMNTRs

Aquí es donde Cañizares decide darle un consejo a su amigo, medio broma y medio en serio:

"Usa la asistencia técnica de los [autores] del ransom[ware], no es coña, escríbeles a los artistas que han cobrado y diles lo que te pasa a ver si te dan solución, alguna vez hace años he tenido que hacerlo también".

Ante la falta de opciones, su amigo decide hacerle caso, y… los crackers responden con un enlace de Telegram. ¡Y allí le piden acceso mediante Anydesk para solucionar el problema! Más tarde (con pausa de dos horas mediante por problemas con la conexión) piden también acceso a ratón y teclado.

Tras 6 horas conectados en remoto al equipo, el problema persiste, y el 'técnico' decide traspasar la labor de asistencia 'al jefe'. Varias horas (y reinicios) más tarde, parecen dar con la clave del asunto, nunca mejor dicho: había ficheros que respondían a la clave de desencriptado antes mencionada, y otros vinculados a una segunda clave.

Finalmente, tras 14 horas y 58 minutos, cierran la conexión vía Anydesk… habiendo logrado recuperar todos los ficheros. 'Incidencia cerrada'. En palabras del amigo del autor del hilo, "brindan mejor servicio que muchas empresas".

-
La noticia Así funciona la 'atención al cliente' de los cibercriminales si pagas rescate pero sigues teniendo problemas para recuperar tu PC fue publicada originalmente en Genbeta por Marcos Merino .

“Un mundo sin contraseñas”. Oímos esa frase cada vez con más frecuencia. ¿Cómo entraríamos a nuestras cuentas y nuestros perfiles de Internet? ¡Si eso es como se quitaran la llave de mi casa! En ese caso, sólo nos quedaría llamar a un cerrajero o romper la ventana para entrar y abrir desde dentro. Los nuevos estándares tecnológicos para eliminar las contraseñas se basan un poco en este último punto, salvo que ahorrándonos los cristales rotos. Es el caso de FIDO, un sistema de autenticación sin contraseñas por el que nos habéis preguntado.

Un sistema para desechar las contraseñas que está a punto de cumplir una década

Antes qué nada, ¿qué es FIDO? No son las siglas de un sistema tecnológico, si es eso lo que os estáis preguntando, sino de una alianza entre varias empresas tecnológicas y bancarias, como Amazon, American Express, Intel, Meta, Visa o Samsung. También forman parte organizaciones como Mozilla o Red Hat y departamentos gubernamentales como el Ministerio de Transformación Digital de Australia y el departamento de Seguridad de la Información de Alemania.

FIDO lleva en marcha desde 2013, pero ha vuelto a ser noticia porque en mayo de 2022 tres gigantes tecnológicos han anunciado que también lo implementarán en sus sistemas: Apple, Microsoft y Google. Tampoco significa que la función ya esté disponible; por el momento, sólo se ha anunciado su intención de implementar el protocolo. 

El objetivo de esta alianza es crear un sistema de autenticación digital que no se base en introducir una contraseña de creación propia. Según sus datos, las contraseñas son la raíz del 80% de las brechas de seguridad. Año tras año, se ve que seguimos usando las mismas claves fáciles y simples que pueden averiguarse en apenas unos minutos, pese a las advertencias de los especialistas en ciberseguridad. Empresas como Nord Security realizan ránkings anuales de las contraseñas más usadas que han aparecido en filtraciones de datos: “123456”, “qwerty”, “password” o “11111” siguen estando entre ellas.

Contraseñas, códigos PIN, datos biométricos... No hay una sola forma de identificarnos

Las contraseñas no son la única manera de identificarnos en un servicio digital, pero sí la más común. “Existen tres modos de saber que eres un usuario legítimo: por algo ‘que sabes’ (una contraseña o un pin), por algo ‘que tienes’ (la llave de tu casa) o por algo ‘que eres’ (una identificación biométrica como la huella o la cara)”, nos explica nuestro maldito Carlos Tomás, que nos ha prestado sus superpoderes como especialista en ciberseguridad y criptografía. Siguiendo con el ejemplo, expone que a veces “se usan combinaciones (por ejemplo, para sacar dinero de un cajero se usa una tarjeta (algo que tienes) y algo que sabes (el pin), y si sacas el dinero en ventanilla se usa algo que tienes (un DNI) que se comprueba con algo que eres (que te pareces a la foto de ese DNI)”. 

¿Dónde entra el sistema de FIDO, en ese caso? La idea es sustituir las contraseñas por algo que tenemos. “En este caso, es un almacenamiento de claves criptográficas como es una tarjeta contactless o el DNI electrónico. De esa manera, alguien que no tenga ese almacén criptográfico no se podrá autenticar”, continúa Tomás.

Tal y como lo presenta FIDO, en este caso no tendríamos que acordarnos de una contraseña, sino que el sistema funciona como una especie de ‘caja fuerte’ (un almacén criptográfico) que se abre cada vez con una ‘llave’ (una clave criptográfica) nueva que se guarda en el propio móvil u ordenador. Para que se nos dé esa ‘llave’, bastaría con que nos identificásemos con otro método de nuestra elección, como un PIN o un escaneo de nuestra cara o nuestra huella dactilar (datos biométricos). 

“A día de hoy ya estamos usando algo parecido por ejemplo en las aplicaciones móviles que permiten delegar la autenticación al sensor de huella del teléfono, donde tenemos un almacén de claves criptográficas cuya llave es la huella”, señala Tomás. Si usas un gestor de contraseñas, te puede sonar este método: guardamos todas nuestras contraseñas en la ‘caja fuerte’ de la aplicación, y fijamos una clave maestra para abrirla. Sin esa contraseña maestra, nos quedamos sin acceso a todas las demás. 

Una 'caja fuerte' con varias 'llaves' que solo podrá tener cada usuario, y nadie más

En la práctica, el sistema FIDO evita tener que crear y escribir una contraseña complicada y difícil de memorizar cada vez que nos registramos en un sitio nuevo (y sí, de momento estos son los pasos que deberías seguir), sino que al hacerlo desde un dispositivo que ya tengamos configurado, directamente nos deje entrar a la web o la aplicación a la que queramos ingresar. La diferencia que guarda con un gestor de contraseñas o con el sistema de autoguardado de un navegador, según Tomás, es que, al final, existe la posibilidad de que consigan adivinar nuestra clave maestra a través de ingeniería social o fuerza bruta, y con ello acceder a todas nuestras claves. 

“Para iniciar sesión, los usuarios tendrán que hacer lo mismo que ya hacen a diario para desbloquear sus dispositivos, como indicar el código PIN o utilizar un sistema de reconocimiento facial o de huella dactilar. Este nuevo enfoque protegerá del phishing y será mucho más seguro que las contraseñas y las tecnologías multifactor, como los códigos de un solo uso enviados por SMS”, señalaba Apple sobre este sistema. 

¿Suena más fácil, no? ¿Es seguro? También nos contesta Tomás: “El sistema FIDO se basa en claves criptográficas, por lo que atacarlas por fuerza bruta es imposible en un tiempo razonable. La limitación es que dependemos de un elemento que podemos perder, por lo que siempre tendremos que autorizar otros métodos de reserva en caso de pérdida, ya que si no podríamos perder el acceso para siempre”. O sea, que la seguridad real del sistema depende de que los métodos que autoricemos para que se nos dé la ‘llave’ de la ‘caja fuerte’ de FIDO que decíamos al principio sean también seguros.

En este artículo ha colaborado con sus superpoderes el maldito Carlos Tomás, especialista en criptografía y ciberseguridad. 

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Las contraseñas siguen siendo la forma por excelencia de autenticación en diferentes servicios online, en los últimos años se está popularizando e incluso obligando a configurar un segundo factor de autenticación, con el objetivo de que tengamos que introducir una contraseña (algo que sabemos) y un código generado por una aplicación autenticadora (algo que tenemos). Con el objetivo de proteger las identidades digitales, el equipo de Eleven Paths de Telefónica desarrolló la herramienta Latch, un añadido de seguridad para proteger cuentas de bancos, redes sociales, servidores SSH y OpenVPN que tengamos instalados en casa o la empresa, y otros muchos servicios que podemos configurar. Hoy en RedesZone os vamos a explicar cómo configurar una capa más de seguridad, y bloquear el acceso a los diferentes servicios bajo demanda o en un determinado horario.

Qué es Latch y para qué sirve

Latch es un sistema que permite añadir una capa adicional de protección a las identidades digitales, tenemos una aplicación para smartphones que nos permite generar códigos temporales de un solo uso, como cualquier otra aplicación autenticadora (Temporal One Time Password), pero también nos permite bloquear por completo el acceso a la cuenta bajo demanda. Por ejemplo, imaginemos que por la noche no nos vamos a conectar a un determinado servicio, como el servidor SSH o el servidor OpenVPN, podemos programar Latch para que esté bloqueado el acceso (aunque se introduzcan las credenciales correctamente) hasta que desbloqueemos ese «pestillo» de seguridad. Lo mismo ocurre si integramos este sistema en nuestro WordPress, Drupal y una gran cantidad de software con los que es compatible.

Si un ciberdelincuente es capaz de hacerse con nuestros credenciales, usuario y contraseña, y tiene alguna forma de «capturar» el código temporal de un solo uso, ni siquiera así podrá iniciar sesión hasta que «abramos» el pestillo con la aplicación. Además, en el caso de que se detecte un intento de acceso, nos saltará una notificación Push en nuestro smartphone indicándonos que ha habido un intento de inicio de sesión, ya sea legítimo (hemos sido nosotros) o no legítimo (ha sido alguien que no somos nosotros).

El funcionamiento de esta herramienta es similar a la autenticación en dos pasos, pero no es lo mismo, porque Latch nos permite bloquear por completo el acceso al servicio hasta que nosotros decidamos desbloquear el servicio y que se pueda iniciar sesión. A través de un programador, tenemos la posibilidad de encender o apagar el acceso a los diferentes servicios, para mantenerlos «bloqueados» cuando no necesitemos acceder a ellos, disminuyendo la superficie de exposición. La app oficial para Android y iOS nos permite generar un código OTP (One Time Password) para añadir una seguridad adicional, además, también tenemos la posibilidad de dar de alta diferentes códigos TOTP de Google, Microsoft y cualquier servicio que utilice la autenticación en dos pasos.

En el siguiente esquema podéis ver cómo funciona Latch de forma simplificada:

Actualmente Latch es compatible con una gran cantidad de software para añadirles esta capa de seguridad, por ejemplo, podemos configurarlo en los siguientes sistemas operativos para iniciar sesión:

• Linux
• Unix
• FreeBSD
• Windows en sus versiones Home, Pro y de servidor
• MacOS
• OpenBSD

También podemos integrarlo en los siguientes servicios:

• Drupal
• Jira
• Jenkins
• Joomla
• Moodle
• OpenLDAP
• OpenVPN
• ownCloud
• OpenSSH
• phpMyAdmin
• PrestaShop
• WordPress

Tal y como podéis ver, tenemos compatibilidad completa con una gran cantidad de software, por lo que podremos proteger una gran cantidad de servicios y equipos, añadiendo esta capa de seguridad adicional.

Registro como desarrollador

Para poder utilizar Latch como cliente, simplemente tenemos que descargar la app para Android y iOS, las tenemos disponibles en las tiendas oficiales de Google Play y la App Store. Una vez descargada, tendrás que seguir los pasos del servicio para emparejar la cuenta con la aplicación.

Descargar QR-Code

Latch

Developer: Telefonica Digital España S.L.U

Descargar QR-Code

Latch by ElevenPaths

Developer: Telefonica Digital Espana S.L.U.

Si vas a integrar este servicio en tu sistema operativo o en tus propios servicios, entonces tendrás que registrarte como desarrollador, para ello es necesario que accedas a la web oficial de desarrolladores de Latch. Una vez dentro, podréis ver las últimas noticias sobre el servicio y también qué suscripción queremos adquirir, no obstante, tenemos una versión «Community» que es totalmente gratuita para uso personal y con ciertas limitaciones en comparación con las versiones «Silver», «Gold» y «Platinum».

El registro es completamente gratuito y necesario para la puesta en marcha del sistema, aunque debes tener en cuenta las limitaciones de la cuenta de «Community» que es al única que es completamente gratuita, incluye lo siguiente:

Simplemente tenemos que pinchar en el botón de «Regístrate ahora» y entonces seguiremos los pasos de registro, una vez realizado, tenemos que iniciar sesión con las credenciales que acabamos de crear:

Una vez que ya estamos registrados, si queremos configurar Latch en nuestros servidores, ya sea OpenSSH, OpenVPN o en un WordPress que nosotros tengamos, debemos crear «una aplicación» desde el panel de control, debes tener en cuenta que este servicio soporta casi todos los sistemas operativos y una gran cantidad de software, esto lo podéis ver directamente en la sección de «Plugins y SDK»:

Crear una aplicación con Latch

En la parte izquierda de la web de administración tenemos una opción que se llama «Mis Aplicaciones«. En esta sección es donde podemos crear una nueva aplicación, editarla y también eliminarla cuando nosotros queramos.

Lo primero que debemos hacer es pinchar en «Añadir una nueva aplicación«, para posteriormente utilizarla en el servicio que nosotros queramos.

Ahora tenemos que indicar un nombre de la aplicación que queramos que tenga el servicio, por ejemplo, si vamos a proteger el servidor SSH de OpenSSH en nuestro servidor, tenemos que darle un nombre descriptivo para localizarlo fácilmente, en nuestro caso, hemos llamado a la aplicación «OpenSSH-RedesZone».

Al pinchar en añadir aplicación, nos llevará a un nuevo menú donde podemos darle una imagen, configurar si es obligatorio un segundo factor de autenticación (One Time Password) y también nos mostrará el ID de la aplicación, el secreto que debemos usar, y también el nombre que le hemos dado a la aplicación.

Lo más importante de aquí es la posibilidad de elegir un segundo factor de autenticación, una clave OTP (One Time Password) donde se nos pedirá la clave generada aleatoriamente en el terminal móvil. Esto es ideal para añadir una capa de seguridad a nuestro servicio, pero no siempre funcionará, depende del servicio donde lo vayamos a integrar. Por ejemplo, en OpenVPN no podemos usar este OTP debido a la arquitectura del propio servidor de red privada virtual, pero en OpenSSH sí es posible hacerlo sin problemas.

En la parte inferior podemos poner los datos de contacto del administrador, su email y teléfono de contacto, para mostrarlo en las alertas que recibe el usuario final, no obstante, estos datos son totalmente opcionales.

Cuando hayamos configurado la aplicación como nosotros queramos, pinchamos en «Guardar cambios» y accederemos al menú principal donde tendremos las diferentes aplicaciones. Vamos a poder editar la aplicación, eliminarla o acceder al panel de control donde veremos los intentos de inicio de sesión y otra información relacionada con la seguridad.

Respecto al panel de control, nos mostrará datos bastante importantes como el número de usuarios pareados con esa aplicación en concreto, también podemos ver los intentos de acceso bloqueados y mucha más información importante para mantener nuestras cuentas protegidas.

Una vez que hemos creado nuestra aplicación, tan sólo tenemos que implementar la funcionalidad en nuestro servicio, ya sea WordPress, OpenSSH, OpenVPN o cualquier otro compatible.

Usar Latch para proteger el sistema Linux

Ahora que ya sabemos cómo funciona Latch, sabemos crear una aplicación y ver el estado de la misma en el panel de control, vamos a proceder a configurar un sistema operativo Linux, ya sea Debian, Ubuntu o derivados, con este servicio para tener bajo control el acceso a la hora de autenticarnos en el sistema operativo. Debemos tener en cuenta que este servicio es una medida de seguridad adicional, no sustituye a una buena política de contraseñas ni a una buena política de seguridad en el sistema, es un añadido más.

Una vez que nos hemos registrado, debemos entrar en el GitHub oficial de Telefónica donde está el plugin para la autenticación en sistemas operativos Unix (Linux también, como Debian o Ubuntu).Una vez que descargamos el .ZIP, procedemos a copiarlo y descomprimirlo en el sistema donde vayamos a asegurar la autenticación del sistema operativo. Lo primero que debemos hacer es instalar el típico gcc, make y por supuesto las librerías necesarias.

Instalación y puesta en marcha

Todos los comandos que vamos a ejecutar es completamente necesario hacerlo con permisos de superusuario, por lo que ponemos «sudo» en todos ellos. También tienes la posibilidad de ejecutar «sudo su» y así ejecutamos todo como root sin el «sudo» delante. Instalamos gcc, make y todas las librerías relacionadas:

Cuando instalemos todo lo necesario, nos vamos a la carpeta de Latch para la autenticación en el sistema operativo, nos metemos en la carpeta de «Python» y renombramos el archivo latch-model.conf a latch.conf

Ahora ejecutamos el archivo llamado «install» de la siguiente forma:

Empezará a compilar lo necesario para nuestra distribución y posteriormente lo instalará, en la siguiente captura de pantalla se puede ver este proceso:

Es recomendable reiniciar el sistema operativo una vez que se ha instalado:

Una vez reiniciado el sistema, procedemos con la configuración.

Ahora tenemos que editar el fichero de texto de latch.conf con la información del ID de aplicación y el secreto que tenemos en la web de desarrolladores.

Y editamos el fichero con la siguiente información:

A continuación, podéis ver una captura de pantalla de cómo quedaría editado:

Una vez editado guardamos y cerramos, ahora tenemos que parear el dispositivo móvil con Latch y el sistema empezará a funcionar.

Enlazar la aplicación con el sistema

Una vez que hemos instalado la app en nuestro dispositivo móvil, la ejecutamos y nos aparecerá un asistente que nos dirá cómo funciona y para qué sirve la aplicación. Después de este asistente, podemos iniciar sesión en la app o registrar un nuevo usuario si es que no nos hemos registrado anteriormente.

Ahora nos saldrá un asistente de configuración para parear el primer servicio, pinchamos en la parte inferior para que nos proporcione un código y parear el teléfono con el servicio de autenticación del sistema operativo Linux.

En el sistema tenemos que teclear por terminal la siguiente orden:

En nuestro caso estamos en /python/ por lo que hemos introducido la siguiente orden:

Una vez que ejecutamos esta orden en el ordenador nos aparecerá que el servicio se ha pareado correctamente, a continuación podéis ver el mensaje exacto:

Y de forma instantánea y automática, en nuestro terminal móvil nos aparecerá la confirmación de que se ha pareado correctamente.

En estos momentos ya tendremos pareado nuestro sistema operativo con la app, si entramos en el panel de control vamos a poder verlo:

En la aplicación móvil podremos bloquear y desbloquear el servicio cuando queramos, simplemente tenemos que arrastrar el candado del servicio a bloquear. Esto nos permite bloquear el ordenador o servidor basado en Linux si no lo estamos usando. Si pinchamos sobre el nombre vamos a poder ver las principales opciones que nos proporciona la aplicación Latch para móviles, como programar los bloqueos a unas determinadas horas del día y otras opciones.

Tal y como podéis ver, tenemos una gran cantidad de opciones de configuración disponibles.

Probando el funcionamiento y la seguridad

Ahora vamos a simular que somos un usuario malintencionado que quiere acceder a nuestro sistema operativo, nosotros siempre tenemos el pestillo cerrado para tener la mejor seguridad posible, por lo que nos avisará que ha habido un intento de acceso. Si entramos al login del sistema e introducimos la contraseña, en el smartphone nos aparecerá un aviso diciendo que alguien ha intentado acceder con el pestillo cerrado.

Si no desbloqueamos el servicio no podremos iniciar sesión, nos saldrá un error con la autenticación, indicando que la contraseña es incorrecta, por lo que aunque pongamos bien la clave no nos va a dejar acceder.

Si entramos en el panel de control de Latch veremos los intentos de intrusión que hemos tenido, aquí no tenemos ninguna clave OTP para iniciar sesión, solamente tenemos configurado el «pestillo» para tener seguridad.

Este bloqueo solamente ocurre cuando vamos a iniciar sesión en el sistema operativo, no sirve si ya hemos iniciado sesión y estamos usando el equipo normalmente. Pero sí tendremos que volver a desbloquear el servicio si necesitamos entrar otra vez. Si intentamos hacer login a través del terminal, ya sea en una consola local o en el SSH, tampoco nos dejará si tenemos el pestillo bloqueado.

Desparear la app y eliminarlo del sistema operativo

Si queremos desemparejar la app y eliminarlo del sistema operativo, basta con ejecutar la siguiente orden:

En la app podremos ver que el servicio se ha despareado correctamente, y que ya no estará disponible. Para desinstalar Latch del sistema basta con irnos a la carpeta python y ejecutar la siguiente orden:

Y a continuación deberemos reiniciar el sistema operativo para que los cambios se apliquen correctamente.

Tal y como podéis ver, el funcionamiento de Latch en sistemas operativos Linux como Debian o Ubuntu es realmente bueno, ideal para añadir una capa más de seguridad.

Configuración para el servidor OpenVPN

El popular servicio OpenVPN también es compatible con Latch, por lo que podremos proteger nuestro servidor de manera muy fácil y rápida gracias a este servicio. Lo primero que debemos hacer es entrar en el GitHub oficial de Telefónica donde tenemos el mismo plugin que hemos usado antes, y es que necesitaremos exactamente el mismo para hacerlo funcionar. El proceso es exactamente igual que antes, lo primero que tenemos que hacer es instalar todo lo necesario para poder instalarlo (si es que no lo has hecho antes).

Instalamos gcc, make y a continuación las librerías necesarias:

Una vez que hemos instalado todo lo necesario, procedemos a irnos a la carpeta de Latch para SSH que hemos descomprimido y ejecutamos el archivo llamado «install» de la siguiente forma:

Empezará a compilar lo necesario para nuestra distribución y posteriormente lo instalará, en la siguiente captura de pantalla se puede ver este proceso:

Es recomendable reiniciar el servicio OpenVPN una vez que se ha instalado:

Ahora tenemos que proceder a la misma configuración de antes, renombramos el archivo latch-model.conf a latch.conf y lo editamos para incorporar el ID de la aplicación y la clave secreta que hemos creado en la sección de «Mis aplicaciones».

Quedaría algo como esto:

A continuación podéis ver una captura de pantalla de cómo quedaría editado:

Una vez editado guardamos y cerramos. Ahora sólo nos quedaría parear nuestro dispositivo móvil con Latch en el sistema para empezar a funcionar. El proceso es exactamente el mismo de antes para sistemas Linux.

Una vez que lo tengamos pareado, es obligatorio realizar una configuración adicional en el archivo OpenVPN.conf que nosotros tengamos para conectarnos, tenemos que añadir la siguiente línea:

En nuestro caso, tiene el siguiente aspecto ya que le hemos cambiado el nombre:

No importa en qué sección del archivo de configuración insertes esta línea, lo normal es hacerlo al final del archivo. Una vez que está todo instalado y configurado, si alguien intenta conectarse al servidor OpenVPN con el pestillo cerrado, le dará error en la conexión y nos avisará al móvil de un intento de acceso. Por supuesto, debemos tener en cuenta que esto funcionará única y exclusivamente si tenemos autenticación PAM en el sistema, si nos estamos dando de alta con certificados digitales TLS no funcionará porque no se usa PAM.

Si alguien intenta conectarse al servidor OpenVPN, nos saldrá lo siguiente si tenemos el pestillo cerrado, error en la autenticación.

En el panel de control de Latch también veremos este intento de intrusión:

Si queremos configurar un segundo usuario con Latch y OpenVPN, lo podemos hacer sin problemas, simplemente tenemos que seguir nuevamente los pasos con el otro usuario nuevo que vamos a crear.

Si quieres dar de baja el usuario pareado y desinstalar todo, simplemente tienes que seguir estos pasos:

Y a continuación, deberemos reiniciar el servicio OpenVPN para que todo funcione correctamente de nuevo.

En el caso de que quieras configurar el servidor OpenSSH con Latch, el procedimiento es exactamente el mismo que para Linux en general, porque el propio OpenSSH utiliza también la PAM para autenticar a los clientes.

Conclusiones

Latch es una medida de seguridad adicional para nuestras identidades digitales, aunque actualmente no contamos con muchos servicios públicos que lo usen como un segundo factor de autenticación, sí tenemos los plugins y todo lo necesario para incorporarlo en nuestros propios servidores, con el objetivo de añadir una capa más de seguridad. Gracias a la compatibilidad con sistemas operativos Linux o FreeBSD entre otros, vamos a poder proteger adecuadamente estos sistemas añadiendo un segundo factor, además, también es compatible tanto con OpenSSH como con OpenVPN, los dos software por excelencia para montar un servidor SSH y VPN respectivamente.

Otro aspecto muy positivo de Latch es que tenemos la posibilidad de dar de alta diferentes servicios en la sección de TOTP (Temporal One Time Password), por ejemplo, podemos dar de alta la cuenta de Google, Dropbox, PayPal, Facebook o cualquier otro servicio en el que necesitemos una app autenticadora como segundo factor de autenticación. Lo bueno de todo es que con nuestra cuenta de Latch vamos a poder acceder a todos los token, no necesitamos volver a reconfigurar todo si cambiamos de móvil, simplemente con nuestra cuenta en el servicio los tendremos, ya que se sincronizan directamente con la nube en Telefónica.

El artículo Qué es Latch, para qué sirve y ejemplos de uso en Linux, VPN y más se publicó en RedesZone.

Broadcom acaba de anunciar que adquirirá VMware por unos 61.000 millones de dólares. Esta cantidad hace de esta adquisición una de las mayores de la historia del software e impulsa la estrategia de Broadcom para construir una empresa líder mundial en tecnología de infraestructuras.

Además, Broadcom Software Group cambiará de marca y operará como VMware. La nueva VMware, como parte de Broadcom, ofrecerá a los clientes empresariales software que busca dar "flexibilidad para abordar los retos más complejos de la infraestructura de TI".

En Xataka

Estas han sido las 11 mayores adquisiciones en el mundo del software

Broadcom es una empresa que diseña, desarrolla y suministra soluciones de software de semiconductores e infraestructura. VMware es experta en software empresarial y en la nube. Es muy reconocida por su tecnología de virtualización, una innovación que transformó positivamente la informática basada en servidores x86.

Cambio de marca

En la actualidad, la cartera multicloud de VMware abarca la modernización de aplicaciones, la gestión de la nube, la infraestructura de la nube, las redes, la seguridad y los espacios de trabajo en cualquier lugar,según Broadcom que ha recordado en su comunicado que tras el cierre de la transacción, el Grupo de Software de Broadcom cambiará de marca y operará como VMware, incorporando las soluciones de software de seguridad e infraestructura existentes de Broadcom como parte de una cartera ampliada de VMware.

La compañía combinada proporcionará a los clientes empresariales una plataforma ampliada de soluciones de infraestructura crítica: desde el centro de datos, a cualquier nube y a la computación edge.

-
La noticia Broadcom anuncia una compra récord en la historia del software: pagará 61.000 millones de dólares por VMware fue publicada originalmente en Genbeta por Bárbara Bécares .

Para tener una empresa en Estonia no hace falta irse a vivir allí. Es una idea sencilla, pero para llevarla a cabo hace falta un país totalmente digitalizado. Un país donde los trámites se puedan hacer desde el móvil y no haga falta pedir cita en distintas oficinas para dar cualquier paso. Estonia tiene el 99% de sus servicios públicos online y esto tiene una ventaja clara: las tareas administrativas se pueden hacer desde cualquier parte del mundo. Y si no hace falta estar allí, ¿por qué hace falta ser estonio para disfrutar de estas ventajas?

e-Residency, una genial idea dentro del mundo digital. En 2014, Taavi Kotka, ex-CIO (Chief Information Officer) de la República de Estonia, encontró la solución a uno de los problemas que tenía su país. Siendo tan pocos habitantes y estando tan lejos del centro de Europa, ¿cómo podían crecer en empresas? La respuesta fue el programa e-Residency. Consiste en permitir a cualquier persona del mundo hacerse residente digital de Estonia, con la posibilidad de acceder a sus servicios, poder crear una empresa allí y gestionarla como cualquier otro ciudadano del país.

Inicialmente se pensó en emprendedores de Latinoamérica o de Asia para que pudieran crear una empresa en un país europeo y acceder a todos los beneficios de las empresas con residencia en la Unión Europea. Sin embargo, al cabo de poco tiempo se dieron cuenta que el 70% de las personas que se apuntaron provenían de la propia Unión Europea. ¿Por qué un español, por ejemplo, querría crear una empresa en Estonia? La respuesta otra vez estaba en la facilidad de crear y gestionar una empresa allí, en comparación con la extenuante burocracia de aquí.

Si no tienes trabajadores propios, búscalos en otros país. El programa empezó siendo un nicho, pero con el paso de los años han alcanzado una fuerza notable. A mediados de 2023 cuentan con más de 103.000 e-residentes, distribuidos entre 181 países. Puede parecer un número pequeño, pero teniendo en cuenta la población activa de Estonia, que no alcanza las 650.000 personas, este programa ha permitido al país incrementar en casi un 10% su fuerza laboral.

No todos los e-residentes tienen una empresa activa en el país. Según los datos del gobierno de Estonia, aproximadamente un tercio de ellos sí la tiene. Esto es, unas 26.300 empresas han sido creadas en Estonia, pero en realidad son gestionadas por personas extranjeras.

Unos 120 españoles al mes se hacen e-residentes. En total hay 4.758 e-Residentes desde España. Personas que han decidido que era más fácil crear una empresa digital directamente desde Estonia que no tener que hacerlo en España. Lauri Haav, Director General del Programa de e-Residencia, explica a Xataka que "desde la pandemia hemos detectado un gran número de solicitudes de residentes españoles". Un número que se ha incrementado este último año, donde se ha pasado de los 90 a los 120 españoles al mes que se apuntan al programa.

De hecho, en 2023 España es el primer país del mundo que apuesta por este programa, con datos de los últimos tres meses. Seguidos de Ucrania, Alemania, Turquía y Francia.

España sigue lejos de Rusia, Finlandia, Ucrania, Alemania y China, que respectivamente son los países donde hay más e-Residentes. Nuestro país se sitúa en el puesto nº13, pero somos el sexto país que más empresas crea a través del programa, dejando evidencias de que si un español se apunta a este programa, es por su interés en crear una empresa allí.

Crear una empresa en Estonia son unos pocos clics. En 2002 todo cambió en Estonia, con la introducción de la firma digital cualificada. Desde entonces, toda la administración está preparada para realizar procesos oficiales a través de la web. Este sistema permite que, entre otras cosas, crear una empresa sea cuestión de un par de clics. Según nos describen algunos e-residentes, es cuestión de ir al portal de registro de compañías y solicitar la licencia en el registro de actividades económicas. Un proceso totalmente online que no requiere mucho más de 10 minutos.

¿Lo puede hacer cualquiera? No tan rápido. Aquí es donde entra el programa de e-Residency. Y es que la creación de una empresa por esta vía está reservada a los ciudadanos de Estonia o a aquellos que sean e-residentes.

Cuánto se tarda en conseguir la e-residencia. Este tipo de trámites sería una locura describir aquí, pero el proceso es relativamente fácil. El primer paso es registrarse en la web de e-Residency. En unos minutos y tras dar algunos datos personales, será cuestión de esperar a que la Policía Fronteriza de Estonia acepte la solicitud.

Teóricamente tienen 30 días para contestar, pero Haav apunta que la media se encuentra en unos 20 días, con una tasa de aprobación del 85%. Habitualmente suele ser incluso superior, pero debido a la guerra de Ucrania, desde el gobierno de Estonia están revisando con más atención las distintas aplicaciones para evitar que se creen empresas en Europa que puedan ser problemáticas. En esta línea, Haav explica que desde hace unos meses han bloqueado las solicitudes provenientes de Rusia.

Si todo va bien, la persona podrá recoger su tarjeta de e-Residency en una embajada de Estonia cercana en un periodo de entre 2 y 5 semanas. Este es el único punto donde la persona debe asistir presencialmente, ya que se requiere la huella dactilar para confirmar la solicitud. Una vez se tenga el kit de e-Residency, la persona ya podrá acceder a los distintos servicios del gobierno de Estonia, entre ellos la creación de una empresa digital.

"La Embajada de Estonia en Madrid es uno de los lugares de recogida de tarjetas de identificación más concurridos del mundo", explica Lauri. Esto es debido a que muchas personas de Latinoamérica no tenían otra más cercana, hasta que en 2021 se abrió la sucursal de Brasil.

El único requisito presencial es recoger la tarjeta física de la eResidency, en alguna de las embajadas de Estonia repartidas por el mundo.

¿Y la letra pequeña? Solicitar la e-Residency tiene un coste de 120 euros, sin tasas anuales, aunque al cabo de cinco años hay que pagar la misma cantidad para renovarlo. La tarjeta física tampoco la podremos perder, ya que la necesitaremos para hacer los trámites online. En caso de perderla, también habrá que pagar.

Para crear una empresa, además de aplicar en el registro necesitaremos una cuenta bancaria. Esta puede ser abierta totalmente online y también se puede optar por una fintech. Sin embargo, distintos e-residentes nos explican que, de todos los procesos online, este quizás es el más conflictivo si no tenemos previamente una cuenta en otro banco.

Abrir una empresa en Estonia supone un pago de 190 euros y un pago de entre 200 y 400 euros al año en mantener la dirección legal. Pero el nivel de tasas es muy bajo y el país se enorgullece de tener el primer puesto en el Índice de Competitividad Fiscal Internacional; no existiendo el impuesto de sociedades ni tasas en beneficios reinvertidos.

"Es la libertad de poder llevar tu negocio contigo". Ignacio Nieto Carvajal, e-residente español y fundador de la empresa Companio, cuenta a Xataka su visión sobre el programa.

"Al principio dije suena demasiado bueno para ser verdad. Pero investigué sobre el tema y dije wow. Era algo serio soportado por el gobierno", relata Carvajal, quien decidió en 2016 junto a su socio cerrar su empresa en España y abrirla en Estonia. "El cambio fue como de la noche a la mañana. No había papeleo, era todo super sencillo incluso para alguien como yo".

Tras descubrir e-Residency, Carvajal apostó por crear una empresa de soporte en español para quienes buscaran abrir una empresa en Estonia. "Ofrecemos dirección legal en Estonia, apoyo con todo lo relacionado con negocios, shareholders, contabilidad...".

"e-Residency está pensado para una persona cuyo negocio es digital y no quiere estar atado a una localización física. Encaja muy bien con esta tendencia de empresas con teletrabajo total", apunta Carvajal. ¿A quién le recomendarías el programa?, le preguntamos. "Pienso en dos perfiles. Por un lado emprendedores con experiencia que ya estén cansados en España y aprecien las ventajas del sistema estonio. Por otro gente joven, a quienes les da urticaria pensar en ir a una administración y les fascina todo lo online".

En Estonia no existe la cuota de autónomos. Carvajal nos describe cómo funciona el tema de los impuestos: "en Estonia no se pagan casi 300 euros al mes de cuota de autónomos. Se paga cuando se distribuyen dividendos, además de las tasas por tener empleados. Si tú eres español y tienes la empresa en Estonia, lo normal es que pagues impuestos allí salvo con los dividendos". Entre España y Estonia existe un acuerdo de doble tasación. En Estonia se paga un fijo de un 20%. Si en España toca pagar, supongamos, un 23%. El 20% inicial se paga en Estonia y el 3% restante debe declararse aquí.

Ejemplos de trámites online que en España son impensables. "En España parece que vamos hacia atrás", reflexiona Carvajal. "Cuando en Estonia están pensando cómo simplificar todavía más y que por ejemplo no necesites una dirección legal, en España están pensando cómo complicar todavía más las cuotas de autónomos".

El e-residente español describe algunas ventajas y diferencias. "Allí todo está en estonio, ruso e inglés. Y si necesitas por ejemplo el número EOI para vender mercancías, en cinco segundos lo obtienes". En el caso de las bajas del médico también hay diferencias: "si uno de mis empleados se pone malo, me llega un correo del médico firmado digitalmente por el médico y el empleado, con los detalles que este último haya decidido compartir. Yo solo tengo que clickar y firmar digitalmente y la baja ya está tramitada".

Otro caso más complejo que también se resolvió en un par de clics es cuando uno de sus empleados no superó el periodo de prueba pero se llevó el portátil de la empresa. "Puse una denuncia online en un formulario y al cabo de unas semanas me llegó un correo diciendo que ya habían obtenido el portátil y podía recogerlo".

De fondo, todo se basa en un sistema de firma digital certificada y un sistema de permisos. "Cuando se dice que es transparente es porque la información de toda la empresa es pública. Desde nombres, apellidos hasta los porcentajes de la empresa que tenemos". Todo gira en torno a una firma digital que, en palabras de Carvajal, "preocupa muchísimo al gobierno", pero que en su opinión "la respuesta es super rápida" en materia de seguridad y corrección de vulnerabilidades.

En Xataka

España tiene al fin su esperadísima Ley de Startups: en qué consiste y cómo va a cambiar el ecosistema

No es lo mismo una empresa de Brasil o Sri Lanka, que una de la Unión Europea. Cada historia es diferente, pero los distintos e-residentes coinciden en la facilidad de gestión de una empresa en Estonia, en comparación con las innumerables trabas administrativas de sus países de origen. Un ejemplo lo da Alagan Mahalingam, fundador de RootCode. En Sri Lanka disponía de unos 20 empleados, pero hacerse e-residente y abrir la empresa en Estonia le permitió acceder al mercado europeo y crecer hasta los 90 empleados.

Cuando se le pregunta sobra la importancia de e-Residency es bastante contundente: "decir que somos una empresa de Estonia en vez de Sri Lanka nos permitió hacer muchos negocios que de otra manera no habrían sido posibles". Mahalingam explica que Sri Lanka cuenta con muy mala fama, debido a malas prácticas bancarias. En cambio tener una entidad legal en la Unión Europea fue muy bueno no solo para los negocios en Europa, también para los de Estados Unidos. "Nunca he firmado un papel. Todo es muy transparente y puedes ver los documentos necesarios online", describe el CEO de RootCode.

Alagan Mahalingam, CEO de RootCode y original de Sri Lanka, explica cómo se hizo eResident para poder tener una empresa europea fácilmente. Imagen: Raigo Pajula.

Michele García, experta de marketing en HubSpot, explica que se hizo e-residente porque dos amigos se lo comentaron. "Brasil es un país muy burocrático", apunta. Sin embargo, ella valora especialmente la comunidad y la marca de Estonia. "Allí no hay apoyo del gobierno, ni incubadoras que te apoyen, ni acceso a abogados ni apoyo de una comunidad activa de emprendedores. A veces se ve a los emprendedores de Brasil como personal barato. El programa e-Residency es una gran oportunidad de networking y de posicionarse como una empresa internacional".

En Xataka

Cada vez más países en Europa emiten visados para nómadas digitales: estos son y así funcionan

"Mientras el resto de países no haga nada, tenemos una gran ventaja". Estonia fue pionera en permitir a emprendedores foráneos crear una compañía sin poner pie en territorio estonio, pero no es el único país. Georgia, Lituania, Azerbaiyán, Dubai y Portugal disponen de programas similares, pero ninguno de ellos está tan desarrollado.

Lauri Haav, director del programa e-Residency, cree que Estonia tiene varios años de ventaja sobre el resto de países. "No se trata que otros países vayan a conseguir más emprendedores. Tampoco es una cuestión de porcentajes, tasas ni tener una aplicación en concreto. Es contar con un ecosistema digital sólido. Que todo el mundo utilice nuestros servicios es el gran reto".

Este ecosistema donde casi todos los trámites se pueden hacer online es lo que más diferencia a Estonia del resto de países. "¿De qué sirve dar una e-residencia si luego no puedes hacer ningún trámite a distancia?", apunta Haav. Y nos da un ejemplo. "Portugal en su programa no permite conseguir a distancia una identificación de la empresa. Nuestra parte de la firma digital cualificada es la más importante".

El propio fundador del programa e-Residency cree que el gobierno de Estonia podría acelerar su funcionamiento. La mentalidad de gran parte del gobierno de Estonia es muy parecida a la de una startup de Silicon Valley. Se busca la agilidad, se abraza lo digital y no hay muchos reparos en externalizar los servicios a empresas privadas. Un ejemplo de esta forma de pensar la tenemos en Taavi Kotka, padre fundador del programa e-Residency mientras.

"Nuestro objetivo inicial eran 10 millones de e-residentes. Pero ni en Estonia el Gobierno es suficiente rápido", explica Kotka. ¿De dónde sale esta cifra? "Básicamente nos fijamos en la población de Suecia y dijimos que no podíamos ser menos", comenta entre risas. El programa e-Residency se creó con la idea de que Estonia tuviera un número enorme de empresas, sin estar limitado por la baja población. Sin embargo, casi 10 años después de su puesta en marcha, las cifras están muy lejos.

"El gobierno tiene demasiado miedo al fraude. Va demasiado lento por temor a que haya quien lo utilice mal", expone Kotka, quien pese a ser consejero del programa, ya no forma parte del gobierno. "Me gusta el programa, pero ciertos pasos todavía requieren mucho tiempo. Cambiar las huellas dactilares por el reconocimiento facial permitiría poder realizar todo el proceso a distancia, sin necesidad de perder el tiempo enviando el kit físico a las embajadas. Pero esto requeriría estudiar una nueva ley, que pase por el Parlamento, por el Gobierno, que vuelva al Parlamento.."

Atraer emprendedores digitales ya se nota en la economía del país. El coste del programa e-Residency para Estonia es muy pequeño en comparación con los beneficios. Son poco más de un equipo de 30 personas, con un presupuesto de unos 5 millones de euros anuales, pero han logrado generar, solo en tasas de empleados contratados, unos 35 millones de euros.

Lauri Haav apunta a la importancia del programa e-Residency para la economía de Estonia: "Pese a que el potencial de crecimiento es muy grande, e-Residency ya supone la tercera fuente de ingresos directos para el país, solo por detrás de la energía y los bosques estatales".

En Xataka | Dentro del "Silicon Valley europeo": Estonia, el país donde la fe en lo digital es el único recurso

-
La noticia "El cambio fue como de la noche a la mañana": hay españoles cerrando sus empresas y abriéndolas en Estonia por internet fue publicada originalmente en Xataka por Enrique Pérez .

Enlarge / A selection of apps from the Microsoft Store. (credit: Microsoft)

Among the announcements made at Microsoft's Build developer conference yesterday was a new service for organizations that want to offer preconfigured, virtualized developer workstations on demand. Microsoft Dev Box is intended to simplify the process of getting new developer workstations up and running quickly, with all necessary tools and dependencies installed and working out-of-the-box (so to speak), along with access to up-to-date source code and fresh copies of any nightly builds.

Dev Box is built on Windows 365, a service that IT admins can use to provide preconfigured virtual PCs to users. Admins can build operating system images and offer hardware configurations with different amounts of CPU power, storage, and RAM based on what particular users (or workloads) need. Windows 365 virtual machines, including but not limited to Dev Box VMs, can be accessed from other Windows PCs, or devices running macOS, iOS, Android, Linux, or ChromeOS.

Virtualized development environments could offer many benefits to developers and testers beyond the ability to access a preconfigured dev box from anywhere. If you install software or make a change that breaks your development environment, you could easily roll back to a known-working version. Your administrator could offer different environments for different apps to prevent software conflicts or offer multiple environments for different versions of your app so you could easily maintain, test, and provide support for multiple versions at a time.

Read 2 remaining paragraphs | Comments

FreeSSHd es un completo software que nos permitirá montar en nuestro sistema operativo Windows un servidor SSH y SFTP. Este programa es completamente gratuito, y es la forma más fácil y rápida para levantar un servidor SSH en nuestro equipo, además, en el caso de que quieras transferir archivos de forma segura utilizando AES para la transferencia de archivos, podrás usar el servidor SFTP integrado en este software. Hoy en RedesZone os vamos a explicar cómo descargarlo, instalarlo y utilizarlo, ya que tenemos bastantes opciones de configuración avanzadas, ideal para configurar el servidor con todo detalle.

Descarga e instalación

Lo primero que debes hacer es descargar el software FreeSSHd de la página web oficial. Una vez que estés en el menú de descarga del programa, vais a poder ver la versión de FreeSSHd que es la 1.3.1, también podéis descargar el popular servidor FTP muy fácil de instalar y utilizar que se llama FreeFTPd. En la siguiente imagen podéis ver la descarga de ambos software:

El asistente de instalación de este programa es exactamente igual que cualquier otro software. Tenemos que pinchar en «Next», definir la localización de la instalación, si queremos la instalación completa, darle un nombre para la sección de programas, si queremos crear un icono en el escritorio y un resumen de las configuraciones anteriormente realizadas. Finalmente, tenemos que pinchar en la sección de «Install» para proceder con la instalación.

El asistente de instalación nos preguntará si queremos crear las claves privadas para el SSH, pinchamos en «Sí» para crearlas automáticamente y sin que tengamos que hacer nada más. También nos preguntará si queremos utilizar este programa como servicio del sistema, pinchamos en «Sí» para que se inicie con el sistema operativo, de lo contrario, podemos pinchar en «No».

Tal y como podéis ver, la descarga y la instalación de este programa es realmente sencilla. Ahora vamos a ver todas las opciones de configuración que tenemos disponibles en este programa tan completo.

Opciones de configuración

En el primer menú de FreeSSDd vamos a encontrarnos el estado del servidor SSH y Telnet, de forma predeterminada, el protocolo Telnet se encuentra desactivado por cuestiones de seguridad, y no os recomendamos activarlo bajo ninguna circunstancia, siempre hay que usar SSH porque todo el tráfico va correctamente cifrado y autenticado.

En la pestaña de «Telnet» podemos configurar dónde queremos que escuche el servidor Telnet, el puerto TCP utilizado, el máximo número de conexiones concurrentes, el timeout en caso de no enviar comandos, y también si queremos poner un mensaje de bienvenida. Finalmente, tenemos la posibilidad de elegir la shell, por defecto es cmd.exe pero también podemos elegir Powershell, además, podemos habilitar Telnet al inicio del programa.

En la pestaña de «SSH» es donde tenemos todo lo relacionado con el protocolo SSH, podemos realizar las siguientes configuraciones:

• Dirección de escucha: por defecto está escuchando en todas las interfaces de red físicas y virtuales, aquí podemos elegir que solamente escuche en una determinada interfaz.
• Puerto: por defecto el puerto es el TCP 22, pero podemos cambiarlo al puerto que nosotros queramos.
• Máximo número de conexiones: si lo dejamos en 0 significa número de conexiones ilimitadas.
• Idle timeout: el tiempo que espera el servidor hasta cortar la conexión si no intercambiamos datos, por defecto es ilimitado (0).
• Mensaje de banner: podemos poner un mensaje para los clientes SSH que se conecten al servidor.
• Command Shell: consola de comandos a utilizar, por defecto es cmd.exe aunque también podemos usar Powershell. Otras opciones son las de iniciar el servidor SSH cuando iniciemos freeSSHd.
• Keys: podemos configurar nuevas claves criptográficas, ya sean RSA, DSA y también ECDSA si así lo queremos. Lo más recomendable es utilizar las claves ECDSA que son las más seguras y rápidas.

En la pestaña de «Authentication» tenemos la ubicación de las claves criptográficas públicas que se intercambiarán con los clientes, también tenemos la posibilidad de configurar la autenticación basada en contraseña (deshabilitada, permitida o requerida), además, también tenemos la posibilidad de configurar la autenticación de clave pública. En «Encryption» tenemos los diferentes cifrados que permitimos a los clientes SSH, lo más seguro es utilizar AES en cualquiera de sus versiones, el resto de algoritmos de cifrado simétrico no os recomendamos usarlo, porque son inseguros o no lo suficientemente seguros para algo tan importante como el protocolo SSH. En la sección de «Tunneling» tenemos la posibilidad de habilitar el local port forwarding y también el remote por forwarding, esto nos permitirá hacer túneles SSH que es como una especie de VPN pero usando el protocolo SSH en lugar de una red privada virtual tipo OpenVPN o Wireguard. En el menú de «SFTP» es donde tenemos la ruta de la carpeta que nos aparecerá al conectarnos con cualquier cliente SFTP como FileZilla.

La gestión de los usuarios es uno de los aspectos más importantes, en este caso, en la sección de «Users» es donde podemos agregar, cambiar o eliminar los diferentes usuarios que tengamos. Al agregar un nuevo usuario, tenemos que introducir el nombre, el tipo de autorización (autenticación NT, contraseña o clave pública para el SSH únicamente). También podemos configurar si queremos que el usuario utilice la shell, use el SFTP o el Tunneling. Generalmente se debe dar permisos de Shell y SFTP, aunque de forma opcional también puedes hacer túneles SSH.

En la sección de «Host restrictions» tenemos la posibilidad de permitir solamente las direcciones IP que tengamos en el listado, podemos configurar wildcard sin problemas. También podemos configurar la lista negra, todas las IP de la lista serán bloqueadas automáticamente. En la pestaña de «Logging» tenemos la posibilidad de configurar los registros del programa freeSSHd, e incluso podemos resolver las direcciones IP en hostnames para facilitar la lectura de los registros. En el menú de «Online Users» tenemos la posibilidad de ver en tiempo real qué usuario o usuarios están actualmente conectados al servidor SSH del programa.

Ahora que ya hemos visto todas las opciones de configuración del programa, y hemos creado un usuario para conectarnos de forma local o remota a nuestro ordenador con el servidor SSH, os vamos a enseñar cómo conectarnos con el popular programa PuTTY.

Conexión a SSH y SFTP

PuTTY es uno de los programas más populares y usados para cliente SSH, cliente Telnet e incluso también para conectarnos por consola a un router o switch. En nuestro caso, hemos introducido la dirección IP privada del ordenador donde hemos configurado freeSSHd como servicio del sistema, también hemos introducido el número de puerto, el 22, el puerto predeterminado. El nombre de usuario y clave sí lo hemos tenido que configurar, y proporcionar permisos de «Shell» y también de «SFTP» tal y como os hemos explicado anteriormente.

Al conectarnos nos indicará que debemos aceptar la clave pública, y que no se reconoce dicha clave porque nunca nos hemos conectado, que tengamos cuidado al aceptar la clave. Una vez aceptada, procedemos a introducir el nombre de usuario y contraseña que hemos dado de alta anteriormente en el programa, una vez que nos conectemos, ya podremos ver la terminal (cmd.exe) vía SSH en nuestro cliente PuTTY.

El proceso para conectarnos vía SFTP es similar, en este caso podemos usar un programa como WinSCP que soporta el protocolo SCP y SFTP, o bien utilizar el popular programa FileZilla Client que también soporta SFTP. En este caso, introducimos la dirección sftp://IP, ponemos el nombre de usuario y contraseña que hemos creado anteriormente, el número de puerto 22 y pinchamos en «Conexión rápida». Una vez que nos hemos conectado, podremos ver el árbol de directorios y proceder con la copia de los archivos.

Tal y como habéis visto, la conexión de un cliente SSH y SFTP al servidor configurado con FreeSSHd es muy fácil y rápida, tan solo necesitaremos configurar ciertos parámetros en el servidor para que los clientes se conecten fácilmente y sin problemas.

El artículo FreeSSHd para Windows, configura un servidor SSH y SFTP fácilmente se publicó en RedesZone.

La Policía Nacional ha anunciado que está inspeccionando 166 establecimientos por distribución ilícita de señal de televisión de partidos de fútbol. Los establecimientos están repartidos por muchas ciudades de toda España: Sevilla, Málaga, Córdoba, Zaragoza, Valladolid, Murcia, Palma de Mallorca, Gijón, Madrid, Vigo, Las Palmas, Bilbao y Barcelona.

En Genbeta

LaLiga quiere que la UE prohíba estas apps de IPTV. El problema es que son totalmente legales

Los 166 imputados figuran como presuntos responsables de un delito contra la propiedad intelectual. La Policía Nacional calcula que el perjuicio económico ocasionado a los titulares del contenido audiovisual, distribuido ilegalmente, asciende a más de 1.000.000 de euros.

Investigación tras una denuncia de LaLiga

La investigación se inició en enero de 2022 tras una denuncia interpuesta por LaLiga contra establecimientos de hostelería de diferentes ciudades españolas. La denuncia era por la posibilidad de que estuvieran distribuyendo ilícitamente la señal de partidos de fútbol de equipos españoles, sin la autorización de los propietarios de dicho contenido.

Hay que recordar que hace poco se supo que LaLiga ha usado en el pasado herramientas ilegales para saber qué bares emiten contenidos en estas circunstancias. Las personas que hace 4 años tenían instalada en el móvil la app oficial de LaLiga para estar al tanto de las novedades de las competiciones de fútbol, posible que activaran también una función que convertía el móvil en 'espía' para la Liga de Fútbol Profesional. Ya hay una sentencia al respecto que multa a LaLiga. Ahora no se sabe que suceda algo similar, pero vemos que tampoco sería la primera vez.

En Genbeta

LaLiga quiere que la UE prohíba estas apps de IPTV. El problema es que son totalmente legales

Las retransmisiones ilegales en partidos de fútbol, así como en cualquier otro deporte, es algo que lleva años perjudicando a LaLiga y demás instituciones. Por ello, forma en detectar y tumbar aquellos dominios web que ofrecen los partidos de manera gratuita ha evolucionado considerablemente. La última de sus tecnologías es Blackhole. Entre sus tareas se encuentra la de extraer información de las plataformas de IPTV y Cardsharing, junto con el listado de servidores que hacen funcionar los sitios web.

En el transcurso de la investigación los agentes llevaron a cabo las comprobaciones oportunas de los establecimientos comerciales que emitían partidos de fútbol de las competiciones La Liga Santander y UEFA Champions League. Según información oficial, en el operativo se inspeccionó de manera coordinada a todos los operativos.

Tras esto, "se desarticuló toda la infraestructura que permitía la visualización ilegal del contenido multimedia de pago" y se ha acabado con este servicio.

Delito contra la propiedad intelectual

A los titulares de los establecimientos comerciales investigados, se les imputa un delito contra la propiedad intelectual como presuntos responsables de distribuir el contenido audiovisual de manera fraudulenta. Lo que se sabe es que los bares accedían de manera ilícita a contenido protegido emitido por canales codificados, a través de decodificadores o microcontroladores. La disputa entre LaLiga y las plataformas que muestran el fútbol gratis es histórica.

"Con esto obtenían un beneficio económico fraudulento, ya que ofrecían la posibilidad de ver eventos deportivos, únicamente emitidos a través de canales codificados que les hacía poseedores de un servicio extra que otros establecimientos no ofrecían". Para los titulares del contenido audiovisual originales se calculan pérdidas de 1.066.386 de euros.

Los abogados que dicen lo contrario

Dicen desde el bufet de abogados Almeida que ni en España ni en Europa el fútbol tiene derechos de autor. El Cuerpo Nacional de Policía no debería trabajar para la Liga: no hay delito contra la propiedad intelectual.

Ni en España ni en Europa el fútbol tiene derechos de autor. El Cuerpo Nacional de Policía no debería trabajar para la Liga: no hay delito contra la propiedad intelectual. https://t.co/ncZYfQJt7J

— Almeida (@bufetalmeida) May 23, 2022

De hecho, este grupo de abogados recuerda que "la única aplicación ilícita fue la que desarrolló la Liga para monitorizar el fútbol en los bares. Fue sancionada por la Agencia de Protección de Datos". Y con ello, añaden que si permitimos que los gerifaltes del fútbol censuren el software, la información se contará en campos de fútbol y no en gigas.

Eso sí, la diferencia entre que el fútbol sea propiedad intelectual o no son 6 años de cárcel para el dueño del bar. Según explican, los lobbies del fútbol en Europa quieren legislarlo, pero el fútbol sigue sin tener derechos de autor.

-
La noticia La Policía Nacional cierra un servicio IPTV con el que 166 bares veían LaLiga fue publicada originalmente en Genbeta por Bárbara Bécares .

iptables es el firewall que se utiliza en sistemas operativos basados en Linux. Aunque en los últimos años tenemos instalado de forma predeterminada nftables, aún se puede utilizar la sintaxis de iptables para configurar el cortafuegos en nuestro sistema operativo, como Debian, Ubuntu e incluso el firewall del router si está basado en Linux. Conocer iptables es muy importante para mantener protegida nuestra red local de intrusiones, esto se debe a que iptables nos dará la posibilidad de permitir o denegar el tráfico que nosotros queramos. Hoy en RedesZone os vamos a explicar cómo funciona iptables, y ejemplos de utilización avanzados.

Principales características de iptables

iptables es un software que se encarga de actuar como un firewall o cortafuegos en nuestra red. Es una parte muy importante de los sistemas operativos, y es que está específicamente diseñado para permitir el acceso autorizado y bloquear el acceso no autorizado. Un firewall establece un punto de control, tanto de entrada como salida de los paquetes, además, es muy importante indicar que un cortafuegos protege del tráfico que atraviesan diferentes redes, pero no protege la red local de ataques que se produzcan dentro de una misma subred.

iptables es el cortafuegos incluido en sistemas Linux desde la versión 2.4, por lo tanto, está incorporado de forma predeterminada en sistemas como Debian, Ubuntu, Linux Mint y muchos otros, aunque actualmente de forma interna se utiliza nftables, porque iptables se considera antiguo, aunque hoy en día todavía se utiliza iptables ampliamente en el mundo de la administración de sistemas Linux y también en el mundo de la administración de redes.

Este cortafuegos dispone de varias tablas creadas de forma predeterminada, con el objetivo de facilitar enormemente la posibilidad de añadir diferentes cadenas y reglas. Un detalle muy importante, es que de forma predeterminada tenemos todo en «aceptar», es decir, todo el tráfico se permite, no hay ninguna regla para denegar el tráfico, por lo tanto, en un primer momento este firewall es permisivo, pero podemos cambiar la política predeterminada de forma muy fácil y rápida.

Una vez que ya conocemos las principales características, os vamos a enseñar el funcionamiento y la arquitectura de este cortafuegos.

Funcionamiento y arquitectura

Este cortafuegos se basa en reglas que iremos introduciendo una tras otra, su funcionamiento se basa en aplicar reglas que el propio firewall se encargue de ejecutar. Aunque en un primer momento iptables pueda parecer sencillo de usar, si quieres hacerlo de forma avanzada, es más complicado. A continuación, podéis ver un esquema resumido del funcionamiento de iptables.

La estructura de iptables se basa en tablas, muchas de ellas ya están creadas de forma predeterminada. Dentro de las tablas tenemos las cadenas, que también tenemos algunas creadas de forma predeterminada. Finalmente, dentro de las cadenas tenemos las diferentes reglas que podemos configurar. En la siguiente foto podéis ver un pequeño esquema de cómo quedaría la arquitectura del firewall:

De forma predeterminada tenemos un total de cuatro tablas:

• Tabla filter: es la tabla por defecto, si no definimos una tabla para añadir una regla, siempre se irá a la tabla filter. En esta tabla tenemos un total de tres cadenas por defecto, dependiendo de lo que nos interese, tendremos que usar una cadena u otra: INPUT (son los paquetes en sentido entrante, al propio firewall), OUTPUT (son los paquetes en sentido saliente, desde el servidor hacia fuera), y FORWARD (sirve para filtrar los paquetes que van de una interfaz de red a otra).
• Tabla nat: esta tabla se encarga de hacer el NAT, transformar la IP privada en pública y al revés. Dentro de NAT tenemos tres cadenas: PREROUTING (altera los paquetes antes de enrutarlos, aquí se hace el DNAT o reenvío de puertos), POSTROUTING (altera los paquetes después de enrutarlos, aquí se hace el SNAT o MASQUERADE) y OUTPUT (paquetes generados por el firewall que atravesará el NAT configurado).
• Tabla mangle: esta tabla se encarga de hacer la alteración de los paquetes, es donde se configura el QoS para la calidad del servicio, alterar cabeceras TCP etc. En esta tabla tenemos las cinco cadenas: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING.
• Tabla raw: esta tabla no se suele usar porque los paquetes viajan sin estado de conexión. Tenemos la cadena PREROUTING y OUTPUT.

En la siguiente imagen podéis ver un pequeño resumen de las cadenas que tenemos en las diferentes tablas:

El funcionamiento a la hora de añadir una regla es el siguiente:

• Las reglas que incorporamos a las cadenas siempre tienen un objetivo (-j en la regla).
• Cuando el firewall recibe un paquete, comprueba si el paquete concuerda con una regla que hayamos dado de alta. Si concuerda, se ejecuta la orden objetivo, sino, pasa a la siguiente regla hasta el final de la cadena.
• Las reglas se verifican en un orden secuencial, desde la primera regla hasta la última. Es muy importante el orden, si bloqueamos todo primero y luego permitimos algo más específico, bloquearemos todo el tráfico y la regla más específica no se comprobará.
• En el caso de que ninguna regla satisfaga el paquete, entonces se utilizará la política de la cadena que tengamos (regla global).

Los objetivos que tienen las diferentes reglas son las siguientes:

• ACCEPT: acepta el paquete y lo pasa al siguiente nivel, un servidor web, SSH, FTP etc.
• DROP: bloquea el paquete y no lo pasa al siguiente nivel.
• QUEUE: es un objetivo especial, que pasa al paquete en una cola destinada al procesamiento en espacio de usuario. Esto se puede usar para utilizar otros programas externos.
• RETURN: tiene el mismo efecto que si hubiésemos llegado al final de la cadena. Si la regla estaba en una cadena de las que hay por defecto, entonces se ejecuta la política de la cadena. Para una regla que esté en una cadena definida por el usuario, se sale de ella, y se continúa atravesando la cadena anterior al salto, justo después de la regla con la que se saltó.

Una vez que ya conocemos el funcionamiento y su arquitectura, vamos a ver diferentes comandos para realizar diferentes acciones.

Comandos imprescindibles para usar iptables

Lo primero que debemos tener en cuenta a la hora de configurar este firewall, es que necesitamos permisos de superusuario para realizar las diferentes órdenes. Es totalmente necesario para que se ejecuten, de lo contrario no funcionará. Las siguientes órdenes no llevan «sudo» porque suponemos que ya estás con el superusuario (sudo su).

En las últimas versiones de Linux no es posible parar el servicio de iptables, para poder permitir todo el tráfico de red y dejar el firewall con los parámetros por defecto, tenemos que ejecutar las siguientes órdenes:

• sudo iptables -F
• sudo iptables -X
• sudo iptables -t nat -F
• sudo iptables -t nat -X
• sudo iptables -t mangle -F
• sudo iptables -t mangle -X
• sudo iptables -P INPUT ACCEPT
• sudo iptables -P FORWARD ACCEPT
• sudo iptables -P OUTPUT ACCEPT

Una vez que hayamos hecho esto, ya tendremos el firewall «reseteado» y con el permitir todo. Ahora que ya sabemos cómo resetearlo, vamos a ver las diferentes órdenes.

Visualizar las tablas actuales

Si quieres ver el contenido de las diferentes cadenas y reglas que tenemos en una determinada tabla, a continuación, puedes ver cómo se verían:

• iptables -t filter –list
• iptables -t mangle –list
• iptables -t nat –list
• iptables -t raw –list

Argumentos principales y para qué sirven

• -t, –table table Selecciona la tabla que queramos
• -A, –append chain rule-specification Añadimos una nueva regla en una determinada cadena
• -C, –check chain rule-specification Comprobamos que existe una determinada regla en una determinada cadena
• -D, –delete chain rule-specification Borramos la regla que pongamos en una determinada cadena
• -D, –delete chain rulenum Borramos la regla número X en una determinada cadena
• -I, –insert chain [rulenum] rule-specification Insertamos una nueva cadena con un número en una determinada tabla
• -R, –replace chain rulenum rule-specification Reemplaza una determinada cadena en una tabla, sirve para moverla de número.
• -L, –list [chain] Muestra el listado de reglas de una cadena
• -F, –flush [chain] Elimina todas las reglas de una determinada cadena.
• -Z, –zero [chain [rulenum]] Pone los contadores de una determinada regla a 0.
• -N, –new-chain chain Creamos una nueva cadena en una determinada tabla
• -X, –delete-chain [chain] Borramos una determinada cadena (vacía) en una determinada tabla
• -P, –policy chain target Aplicamos la política por defecto, se cumple cuando ninguna regla de las cadenas se cumplen.
• -E, –rename-chain old-chain new-chain Renombra una cadena añadida anteriormente
• -h, muestra la ayuda
• -v, –verbose Salida que se usa en conjunto con –L, sirve para mostrar más información que lo que proporciona el comando –L.
• -n, –numeric Las direcciones IP y los números de puertos aparecerán con números. Por ejemplo si filtramos el puerto 80, con el –L típico aparecerá www, y no 80.
• -x, –exact Muestra el valor exacto del contador de paquetes y bytes, en lugar de usar K, M o G para los valores.
• –line-numbers Al mostrar el listado de reglas, mostrará el número exacto de la regla. Ideal para usar –D y el número (eliminar) o –I para introducir delante o detrás de dicha regla.

Condiciones principales

• -p, –protocol protocol. Filtra el paquete por protocolo, el protocolo especificado puede ser: tcp, udp, Idplite, icmp, esp, ah, sctp.
• -s, –source address[/mask][,…] Dirección IP de origen del paquete. Podemos tener una IP o una subred (indicando la máscara en formato CIDR). También podemos poner nombres de host (dominios, webs etc), pero es una mala idea porque no es eficiente. Se pueden especificar varias direcciones de origen, (192.168.1.1,192.168.1.2) pero creará diferentes reglas para satisfacerlas.
• -d, –destination address[/mask][,…] Dirección IP de destino del paquete. Se comporta exactamente igual que -s.
• -m, –match match. Especifica si queremos llamar a los módulos extendidos de iptables, para realizar determinadas acciones como:
  • Poner múltiples puertos de origen y destino (módulo multiport).
  • Controlar conexiones (módulo conntrack).
  • Evitar fuerza bruta (módulo recent, ideal para SSH).
  • Limitar el número de conexiones (módulo limit y connlimit).
  • Rango de direcciones IP (iprange).
• -j, –jump target. Especifica el objetivo de la regla, si queremos aceptar, denegar e incluso reenviar el paquete a otra cadena para su posterior tratamiento. Siempre en cualquier regla vamos a tener un –j para decirle qué queremos hacer. Si no incorporamos un –j se añadirá la regla y contará los paquetes, pero no hará nada. Si utilizamos –j para reenviar a otra cadena, una vez que en la otra cadena haya terminado, volverá a la original.
• -g, –goto chain. Sirve para reenviar el tráfico a otra cadena, pero a diferencia de jump, no volverá a la cadena original por donde entró.
• -i, –in-interface name. Nombre de la interfaz por donde un paquete se recibe. Solo vale para las cadenas de entrada como INPUT, FORWARD y PREROUTING. Si ponemos ! Significa todas menos esa interfaz. Si ponemos un + al final del nombre, cualquier interfaz con el inicio del nombre la cogerá para comprobarla. Imaginemos eth0, eth1 y eth2. Si queremos poner las tres simplemente con poner eth+ es suficiente.
• -o, –out-interface name. Nombre de la interfaz por donde un paquete sale. Solo vale para las cadenas de salida como OUTPUT, FORWARD y POSTROUTING.

Condiciones solamente si usas TCP o UDP

Si utilizas el protocolo TCP o UDP, es posible que quieras filtrar por número de puerto origen y/o destino, a continuación, tenéis los dos argumentos que puedes usar:

• –sport –source-port. Selecciona puertos de origen para permitir o denegar. Si usamos ! excluye.
• –dport –destination-port. Selecciona puertos de destino para permitir o denegar. Si usamos ! excluye.

Existen muchas mas condiciones para una configuración avanzada del firewall, pero las elementales ya las tenemos listadas.

Configurar la política por defecto

Las políticas sirven para que cuando no se encuentra una regla dentro de la cadena, se ejecute la política por defecto. La política por defecto de todas las cadenas es ACCEPT, pero hay dos opciones: ACCEPT o DROP

-P, –policy chain target

Ejemplos:

• iptables -P INPUT DROP
• iptables -P FORWARD DROP
• iptables -P OUTPUT DROP

Con esto nos quedaremos sin internet, por lo que a continuación debemos empezar a crear reglas permisivas.

A continuación, podéis ver todas las políticas que tenemos en las diferentes tablas:

• iptables -t filter -P (INPUT | OUTPUT | FORWARD) (ACCEPT | DROP)
• iptables -P (INPUT | OUTPUT | FORWARD) (ACCEPT | DROP)
• iptables -t mangle -P (INPUT | OUTPUT | FORWARD | PREROUTING | POSTROUTING) (ACCEPT | DROP)

Ver el estado del firewall

El parámetro -L muestra las reglas que tenemos configuradas. V permite recibir más información sobre las conexiones y N nos devuelve las direcciones IP y sus correspondientes puertos sin pasar por un servidor DNS.

• iptables -L -n -v

Este es uno de los comandos más importantes para ver el estado del cortafuegos.

Módulos (-m match) de iptables

Multiport

Es una extensión de iptables que nos da la posibilidad de agrupar reglas similares con diferentes puertos TCP y UDP en una sola. Multiport permite poner varios puertos salteados, y también varios puertos seguidos, el máximo es de 15 argumentos de puertos. Ejemplo:

• iptables –A INPUT –p tcp –m multiport –dports 80,81,1000:1200 –j ACCEPT

Gracias a este módulo, tenemos la posibilidad de usar varios puertos en la misma regla.

iprange

iprange nos permite poner varias direcciones IP de origen o destino de una vez, sin necesidad de poner decenas de reglas. También permite poner tanto IP de origen como de destino, la sintaxis es la siguiente:

• [!]–src-range ip-ip
• [!]–dst-range ip-ip

El funcionamiento de esta regla es bastante sencilla, simplemente ponemos IP inicio e IP final.

Connlimit

El módulo connlimit se encarga de restringir el número de conexiones simultáneas realizadas por una dirección IP, es ideal para limitar el número de conexiones para evitar DoS.

• –connlimit-upto n . Marcamos si el número de conexiones es igual o menor que N (luego podemos permitir o denegar).
• –connlimit-above n . Marcamos si el número de conexiones es mayor que N (luego podemos permitir o denegar).
• –connlimit-mask prefix_length . Marcamos por rango de subred (es igual que un host haga 2 conexiones, que dos host de la misma subred hagan 1 conexión cada uno).
• –connlimit-saddr . Aplicar la limitación al grupo de origen, es la de por defecto si no se especifica nada.
• –connlimit-daddr . Aplica la limitación al grupo de destino.

Por ejemplo, imaginemos que queremos permitir dos conexiones SSH por cliente únicamente:

• iptables -A INPUT -p tcp –dport 22 -m connlimit –connlimit-above 2 -j DROP

No obstante, podemos hacer la regla complementaria, poniendo un accept hasta 2 conexiones.

Conntrack

Este módulo sirve para realizar un tracking de las conexiones, sirve para gestionar la entrada y salida de paquetes antes y después del establecimiento de la conexión. Dentro de este módulo hay varias opciones, pero la más importante es -ctstate que nos permite aceptar o denegar diferentes tipos de paquetes. Dentro de ctstate tenemos varios estados, destacan los siguientes:

• INVALID: El paquete recibido es inválido y no pertenece a ninguna conexión.
• NEW: Conexiones nuevas que se realizan, o que está asociado a una conexión que aún no es bidireccional.
• ESTABLISHED: Conexiones establecidas, pasan primero por NEW ya que han tenido respuesta
• RELATED: Paquete que está relacionado a una conexión existente, pero que no es parte de ella, como FTP pasivo.

Imaginemos que queremos acceder a cualquier sitio, sin embargo, no queremos que absolutamente nadie acceda a nosotros.

• iptables –P INPUT DROP
• iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT

Limit

El módulo limit nos permite limitar, tanto tráfico, como número de logs a escribir en el syslog como intentos de conexión. Tiene dos argumentos principalmente:

• –limit N . Este argumento especifica el número máximo de coincidencias de media por segundo (N/s), minuto (N/m), hora (N/h) o día (N/d) a permitir. N especifica el número
• –limit-burst N . Indica la ráfaga más larga que se puede producir antes de comprobar el límite –limit.

El valor por defecto si no se especifica nada es 3 coincidencias por hora, a ráfagas de 5. Imaginemos la siguiente regla: «iptables -A INPUT -m limit -j LOG», el funcionamiento es el siguiente:

• La primera vez que se alcanza esta regla, se registran los primeros cinco paquetes.
• Después, pasarán veinte minutos antes de que vuelva a registrarse un paquete con esta regla (3 coincidencias entre 60 minutos igual a 20 minutos, ya que es MEDIA).
• Además, cada veinte minutos que pasen sin que un paquete alcance la regla, la ráfaga recuperará un paquete.
• Si no sucede nada durante 100 minutos, la ráfaga quedará completamente recargada; de vuelta entonces a la situación inicial.

Recent

El módulo recent sirve para limitar el número de conexiones por segundo a nivel de IP, esto es ideal para protegernos de ataques al puerto SSH porque un atacante probará múltiples contraseñas. Por ejemplo, si queremos proteger nuestro SSH, podríamos ejecutar la siguiente regla:

• iptables -A INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m recent –set –name ssh –rsource
• iptables -A INPUT -p tcp –dport 22 -m state –state NEW -m recent –rcheck –seconds 60 –hitcount 4 –name ssh –rsource -j DROP

Esta regla permite solamente hacer cuatro intentos de conexión al cabo de 60 segundos, es una ventana «deslizante».

NAT

Este firewall también se encarga de hacer NAT de nuestra conexión. Para hacer el NAT de nuestra IP pública (o interfaz que tenga esta IP pública), debemos poner:

• SNAT Estático: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 –o eth1 -j SNAT –to IP_eth1
• SNAT Dinámico: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

Lo normal es usar MASQUERADE para hacer NAT independientemente de la dirección IP que tenga la interfaz física o lógica.

Para abrir puertos tenemos que añadir una regla en la cadena PREROUTING de la tabla NAT.

• iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 22 -j DNAT –to-destination 192.168.1.1

La tabla PREROUTING también nos permite modificar los puertos al vuelo, de tal forma que si recibimos paquetes en el puerto 2121, lo podemos transformar al 21.

• iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 2121 -j DNAT –to-destination 192.168.1.1:21

Una vez que ya conocemos en detalle este cortafuegos, vamos a ver los ejemplos básicos de utilización y también los más avanzados.

Ejemplos básicos de utilización

Este firewall es muy completo y tenemos cientos de comandos que podemos ejecutar para realizar diferentes acciones. En RedesZone os vamos a poner unos ejemplos fáciles de entender para un primer acercamiento a este cortafuegos.

Bloquear la dirección IP 192.168.1.10 para que no realice ninguna comunicación a nuestro servidor:

• iptables -A INPUT –s 192.168.1.10 –j DROP

Bloquear las direcciones IP 192.168.1.20, 192.168.1.30, 192.168.1.40, 192.168.1.50 para que no realicen ninguna comunicación a nuestro servidor:

• iptables -A INPUT –s 192.168.1.20,192.168.1.30,192.168.1.40,192.168.1.50 –j DROP

Bloquear toda la subred 192.168.2.0/24 para que no realicen ninguna comunicación a nuestro servidor, excepto la dirección IP 192.168.2.20 que sí se permitiría:

• iptables –A INPUT –s 192.168.2.20 –j ACCEPT
• iptables –A INPUT –s 192.168.2.0/24 –j DROP

Bloquear la dirección IP de 192.168.4.50 para que nosotros no podamos hacer ninguna comunicación:

• iptables –A OUTPUT –d 192.168.4.50 –j DROP

Bloquear las direcciones IP 192.168.4.51 y 192.168.4.52 para que nosotros no podamos hacer ninguna comunicación:

• iptables –A OUTPUT –d 192.168.4.51,192.168.4.52 –j DROP

Bloquear el acceso a www.google.es desde iptables:

• iptables –A OUTPUT –d www.google.es –j DROP

Queremos bloquear el acceso a nuestro servidor de la MAC 00:01:02:03:04:05, y el resto permitir todo:

• iptables -A INPUT -m mac –mac-source 00:01:02:03:04:05 -j DROP

Queremos permitir el acceso a nuestro servidor a la dirección MAC MAC 00:01:02:03:04:06, y el resto denegar todo:

• iptables -A INPUT -m mac –mac-source 00:01:02:03:04:05 -j ACCEPT
  iptables -A INPUT -j DROP

Bloquear la dirección IP 192.168.1.10 para realizar ping desde nuestro nuestro servidor:

• iptables -A INPUT -s 192.168.1.10 -p icmp -j DROP

Bloquear las direcciones IP 192.168.1.20, 192.168.1.30, 192.168.1.40, 192.168.1.50 para que no realicen PING a nuestro servidor (en una sola regla):

• iptables -A INPUT -s 192.168.1.20,192.168.1.30,192.168.1.40,192.168.1.50 -p icmp -j DROP

Bloquear toda la subred 192.168.2.0/24 para que no realicen PING a nuestro servidor, excepto la dirección IP 192.168.2.20 que sí se permitiría:

• iptables -A INPUT -s 192.168.2.20 -p icmp -j ACCEPT
  iptables -A INPUT -s 192.168.2.0/24 -p icmp -j DROP

Bloquear la dirección IP de 192.168.4.50 para que nosotros no podamos hacer ping.

• iptables -A OUTPUT -d 192.168.4.50 -p icmp -j DROP

Bloquear las direcciones IP 192.168.4.51 y 192.168.4.52 para que nosotros no podamos hacer ping.

• iptables -A OUTPUT -d 192.168.4.51,192.168.4.52 -p icmp -j DROP

Bloquear el acceso a www.google.es desde iptables.

• iptables -A OUTPUT -d www.google.es -p icmp -j DROP

Tal y como podéis ver, el funcionamiento es bastante sencillo con las reglas basadas en IP con origen y destino. También podríamos usar el módulo iprange para configurar un rango de IPs:

Bloquear un rango de direcciones IP que van desde 192.168.5.1 hasta la dirección 192.168.5.50 para que no puedan hacer ping desde nuestro servidor.

• iptables -A OUTPUT -m iprange –dst-range 192.168.5.1-192.168.5.50 -p icmp -j DROP

También podemos filtrar de forma más avanzada el protocolo ICMP. Imaginemos que tenemos un usuario que quiere poder hacer ping a cualquier host, pero sin embargo, no quiere que NADIE le pueda hacer ping a él. ¿Cómo lo podemos hacer con iptables si el propio PING tiene comunicación bidireccional?

• iptables -A INPUT -s IP -p icmp –icmp-type echo-request -j DROP

Bloquear cualquier acceso entrante por la interfaz eth0 (únicamente), por lo tanto permitir el acceso eth1.

• iptables -A INPUT -i eth0 -j DROP
• iptables -A INPUT -i eth1 -j ACCEPT

Bloquear el tráfico saliente por la interfaz eth0 (únicamente), por lo tanto permitir el acceso eth1.

• iptables -A OUTPUT -o eth0 -j DROP
• iptables -A OUTPUT -o eth1 -j ACCEPT

Permitir cualquier tipo de tráfico entrante y saliente por eth0, y denegar cualquier tráfico entrante o saliente por eth1.

• iptables -A INPUT -i eth0 -j ACCEPT
• iptables -A OUTPUT -o eth0 -j ACCEPT
• iptables -A INPUT -i eth1 -j DROP
• iptables -A OUTPUT -o eth1 -j DROP

Si quieres empezar a ver cómo funciona el protocolo TCP y UDP, a continuación tenéis algunos ejemplos:

Bloquear el acceso web a www.google.es y permitir todo lo demás (ping) por ejemplo.

• iptables -A OUTPUT -d www.google.es -p tcp –dport 80 -j DROP

Bloquear el acceso FTP a cualquier IP o dominio, y permitir todo lo demás.

• iptables -A OUTPUT -p tcp –dport 21 -j DROP

Bloquear el acceso SSH a la IP 192.168.1.50, y permitir todo lo demás.

• iptables -A OUTPUT -d 192.168.1.50 -p tcp –dport 22 -j DROP

Bloquear el acceso Telnet a la subred 192.168.2.0, y permitir todo lo demás.

• iptables -A OUTPUT -d 192.168.2.0/24 -p tcp –dport 23 -j DROP

Bloquear el acceso de 192.168.1.50 a nuestro servidor web.

• iptables -A INPUT -s 192.168.1.50 -p tcp –dport 80 -j DROP

Bloquear el acceso de 192.168.1.150 y 192.168.1.151 a nuestro servidor SSH.

• iptables -A INPUT -s 192.168.1.150,192.168.1.151 -p tcp –dport 22 -j DROP

Bloquear el acceso de toda la subred 192.168.2.0/24 a nuestro servicio telnet

• iptables -A INPUT -s 192.168.2.0/24 -p tcp –dport 23 -j DROP

Bloquear el acceso de todo el mundo al servidor OpenVPN, excepto la dirección IP 77.77.77.77 que sí se permite.

• iptables -A INPUT -s 77.77.77.77 -p tcp –dport 1194 -j ACCEPT
• iptables -A INPUT -p tcp –dport 1194 -j DROP

Bloquear el acceso DNS a 8.8.8.8 y permitir todo lo demás (ping) por ejemplo.

• iptables -A OUTPUT -d 8.8.8.8 -p tcp –dport 53 -j DROP
• iptables -A OUTPUT -d 8.8.8.8 -p udp –dport 53 -j DROP

Bloquear el acceso al puerto 1194 a cualquier IP o dominio, y permitir todo lo demás.

• iptables -A INPUT -p udp –dport 1194 -j DROP

Tenemos un servidor DNS en nuestro servidor. Queremos que solo los equipos de la subred 192.168.1.0/24 se puedan comunicar con él, y bloquear todos los demás accesos.

• iptables -A INPUT -s 192.168.1.0/24 -p tcp –dport 53 -j ACCEPT
• iptables -A INPUT -s 192.168.1.0/24 -p udp –dport 53 -j ACCEPT
• iptables -A INPUT -p tcp –dport 53 -j DROP
• iptables -A INPUT -p udp –dport 53 -j DROP

Bloquear el acceso a nuestro servidor web, del rango de IP 192.168.100.0/24, que proviene de la interfaz eth0.

• iptables -A INPUT -s 192.168.100.0/24 -i eth0 -p tcp –dport 80 -j DROP

Bloquear el acceso a nuestro servidor ssh, del rango de IP 192.168.100.0/24, que proviene de la interfaz eth1.

• iptables -A INPUT -s 192.168.100.0/24 -i eth1 -p tcp –dport 22 -j DROP

Ejemplos avanzados de uso

Si quieres aprender más sobre iptables, a continuación, tenéis algunos ejemplos donde hacemos uso del módulo connlimit.

Permitir únicamente 10 conexiones Telnet por cliente.

• iptables -A INPUT -p tcp –dport 23 -m connlimit –connlimit-above 10 –connlimit-mask 32 -j DROP

Denegar hasta la conexión número 5 en web que realice un cliente (no tiene mucho sentido pero es un ejemplo).

• iptables -A INPUT -p tcp –dport 80 -m connlimit –connlimit-upto 5 –connlimit-mask 32 -j DROP

Permitir únicamente 10 conexiones Telnet por cliente (hacerlo de otra manera al anterior).

• iptables -A INPUT -p tcp –dport 23 -m connlimit –connlimit-upto 10 –connlimit-mask 32 -j ACCEPT
• iptables -A INPUT -p tcp –dport 23 -j DROP

Permitir únicamente 10 conexiones web en el rango de IP 10.0.0.0/8, y denegar si supera este número.

• iptables -A INPUT -s 10.0.0.0/8 -p tcp –dport 80 -m connlimit –connlimit-above 10 –connlimit-mask 8 -j DROP

Permitir únicamente 20 conexiones HTTP por cada cliente, en cuanto se supere mandamos un TCP Reset.

• iptables -A INPUT -p tcp –dport 80 -m connlimit –connlimit-above 20 –connlimit-mask 32 -j REJECT –reject-with tcp-reset

O este forma:

• iptables -A INPUT -p tcp –syn –dport 80 -m connlimit –connlimit-above 20 –connlimit-mask 32 -j REJECT –reject-with tcp-reset

Tal y como podéis ver, este firewall es realmente completo y podremos hacer una gran cantidad de configuración muy avanzadas, para controlar en detalle todas las conexiones entrantes y salientes.

El artículo Configura el firewall de Linux con IPtables y protege tu servidor se publicó en RedesZone.

Una turbia empresa de vigilancia privada vendió el acceso a casi media docena de fallos de seguridad poderosos en Chrome y Android el año pasado a hackers afiliados al gobierno, reveló Google el lunes.

Read more...

WhatsApp redobla su apuesta por el cliente profesional y apunta a los negocios de menor tamaño, clave en un tejido empresarial como el español. El CEO de Meta, Mark Zuckerberg, ha avanzado que su API basada en la nube quedará al alcance de cualquier compañía a nivel global para que pueda beneficiarse de sus servicios, lo que abre la puerta a startups, desarrolladores y pymes.

La app de mensajería dispone ya desde hace tiempo de un servicio pensado para la comunicación empresarial, WhatsApp Business, y una plataforma de negocios que —entre otras cosas— permite generar un sistema de respuestas automáticas, bots, para facilitar el contacto entre los negocios y sus clientes. Otra de las funciones son los mensajes de alerta o recordatorios.

¿El problema? Que en la práctica la API de WhatsApp Business no era accesible a todas las empresas. La plataforma quedaba al alcance únicamente de negocios con un tamaño grande o mediano. Eso cambiará ahora, o al menos es lo que ha deslizado Zuckerberg.

De meses a minutos

Meta asegura que el tiempo de acceso para las pequeñas empresas pasará de “meses a minutos”.

“Ya hay más de mil millones de usuarios que se conectan con una cuenta comercial a través de nuestros servicios de mensajería cada semana. Buscan ayuda, encuentran productos y servicios, compran cualquier cosa. Y hoy me complace anunciar que estamos abriendo WhatsApp a cualquier negocio de cualquier tamaño en todo el mundo con WhatsApp Cloud API”, señaló Zuckeberg. La nueva API basada en la nube ofrece además servicios de alojamiento de forma gratuita.

En la práctica la API permitirá a las empresas facilitar el contacto con sus clientes, estandarizar respuestas, generar plantillas o derivar consultas cuando sea necesario, entre otras funciones.

En Xataka

API: qué es y para qué sirve

La compañía ha aprovechado el mismo evento para anunciar también la herramienta de notificaciones recurrentes para negocios, que busca facilitar que las empresas pueda ofrecer promociones o avisos de otro tipo a clientes con los que ya haya contactado antes.

-
La noticia WhatsApp abre su API en la nube a todas las empresas: qué se viene y podemos esperar a partir de ahora fue publicada originalmente en Xataka por Carlos Prego .

La lectura es parte importante de nuestra vida, ya sea a la hora de estudiar o bien para leer uno de los tantos libros disponibles de grandes escritores. Dado los avances de la tecnología, a día de hoy es posible leer un libro desde un dispositivo de manera sencilla y sin tener que adquirirlo en una tienda.

Amazon gracias a Kindle ha ido ocupando una parte importante de los libros electrónicos, pero no es la única que daba este paso, también otras reconocidas empresas. Los eReaders han sobrevivido pese al tiempo, además pueden ser llevados de un lugar a otro sin que te ocupen mucho espacio.

A día de hoy es factible compartir libros de Kindle, puedes hacerlo con tu propia cuenta o con la familiar, por ello es aconsejable seguir unos pocos pasos para ello. A la hora de cederlo, no va a poder leerlo hasta que pase el tiempo de préstamo, que suele ser de unas dos semanas aproximadamente.

Formas de compartir un libro en Kindle

De disponer un lector Kindle puedes prestar uno de los tantos libros en tu biblioteca, lo puedes hacer de dos fórmulas, la primera de ellas es usando el modo básico. El préstamo de ese eBook tendrá un tiempo máximo, por lo que la persona tiene un tiempo para leerlo antes de devolverlo.

La segunda opción es usando la biblioteca familiar, para ello tocará hacer una multicuenta con varias personas, entre ellas al menos uno o dos adultos y entre uno o dos niños. Esto es concebido como unidad, por lo que Amazon decide llamarlo «Biblioteca Familiar» y es sencillo de hacer.

Las dos son fórmulas que valen si quieres que ese libro pase a la cuenta de una persona, puedes enviarlo rápidamente y haciendo unos pocos pasos. No hará falta tener un lector Kindle, gracias a la app de Kindle puedes leer un libro si es prestado por el poseedor de ese libro digital.

Cómo prestar un libro Kindle

A la hora de prestar un libro, tienes que iniciar sesión en la página de Amazon, pero aparte de eso seguir unos pocos pasos para el envío del archivo. El préstamo tiene un máximo de duración, solo pudiendo prestar el mismo una vez a la misma persona, por lo que si lo quiere tendrá que adquirirlo.

Puedes avisar a la persona en concreto que le vas a enviar un libro de Kindle, la aplicación para abrirlo está disponible en la Play Store y recibe el nombre original, Kindle. El formato en el que llegará es el utilizado por la propia Amazon, que es AZW3 (anteriormente conocido como AZW).

Para prestar un libro a una persona, haz lo siguiente:

• Lo principal es abrir la página de Amazon, haz clic en este enlace para ir directamente
• Accede a la pestaña «Gestionar contenidos y dispositivos», una vez dentro pulsa en «Contenido»
• Haz clic sobre el libro que quieres compartir, ya en la casilla de acciones, selecciona la opción que dice «Prestar este título»
• Te pedirá introducir la dirección de correo electrónico, aquí no debes fallar, pon de manera completa y si necesitas copiarla, hazlo para que llegue al remitente y dale a «Enviar»

Después de estos pasos, verifica que tu amigo ha recibido el libro por parte tuya, tiene hasta 7 días para aceptarlo, después de ese período no podrá abrirlo al haber caducado. 14 días son lo que dura el préstamo por libro en Kindle, una vez pasado ese tiempo lo vas a volver a ver en tu biblioteca.

Los libros de Kindle serán leídos por los dispositivos móviles, tablets y ordenadores, toca recordar que los PCs pueden usar herramientas de Android con emuladores. Abrir un archivo AZW3 es posible si usas el lector Kindle de la tienda Play Store.

Configurar la biblioteca familiar para prestar un libro

Lo principal es ser parte de un hogar de Amazon, si no lo has configurado, tranquilo, lo puedes hacer en unos pocos pasos si accedes a tu cuenta. La biblioteca familiar estará compuesta por varios integrantes, por ello es importante decidir los componentes de esta mencionada unidad.

Para configurar la bibliote familiar, realiza los siguientes pasos:

• Entra en la página de Amazon a través del siguiente enlace y pulsa en «Configuración»
• Ahora ve a la opción «Invitar a un adulto», está situada debajo de «Hogares y biblioteca familiar»
• La persona adulta tiene que iniciar sesión, tiene que aceptar la invitación, compartir el método de pago y gestionar el contenido de los más pequeños
• Pulsa en «Crear hogar»
• Después de que te salte una ventana emergente, pulsa en «Sí», esto hará compartir la biblioteca familiar
• Vuelve a «Gestionar cuentas y dispositivos» y haz clic en el libro que quieres compartir y pulsa en «Añadir a la biblioteca» seguido de «Añadir a la biblioteca familiar»
• Por último, elige el perfil con el que quieres compartirlo, ya sea la persona o con uno de los niños

Descarga la aplicación Kindle

La persona que recibe el libro prestado por ti puede hacer uso de la aplicación Kindle para leer el libro, puede hacer uso del teléfono móvil, tablet o un ordenador. En el último hará falta que instale un emulador y baje la aplicación, aunque también existe la opción de poder leerlo sin utilizar la app.

Además, la aplicación Kindle te da acceso a millones de libros de Amazon, se necesita una cuenta creada en la página si quieres tener acceso a todos ellos. Kindle ocupa relativamente poco espacio, no requiere de muchos permisos y tiene numerosas opciones para leer un libro de manera cómoda, incluido zoom de lectura.

La app abre los formatos compatibles con Kindle, que son hasta cuatro, que son AZW3, AZW, MOBI y PRC, los dos primeros son propiedad de la compañía, además el tercero fue adquirido por Amazon. MOBI es usado por otras empresas al ser un formato bastante universal, similar a ePUB.

Una vez hayas descargado la aplicación, puedes dirigirte al libro y abrirlo como cualquiera app, puedes disfrutar de dos semanas de los libros prestados por las personas de tu entorno. La misma da acceso a millones de libros, por lo que puedes tenerla y no desinstalarla si vas a hacer uso más adelante.

Amazon Kindle (Free, Google Play) →

Y llegó el lunes, y con él, “Un podcast para TI” donde una semana más intentamos traer contenido chispeante para todos los públicos, y en esta ocasión hablaremos de Raspberry Pi y de sus posibles usos en las empresas, en la oficina… Como siempre, junto a mi compi Fede Cinalli; en esta ocasión intentaremos sacarle […]

OpenMediaVault: Nueva versión 6 de la Distro para crear Servidores NAS

A inicios de este mes, los desarrolladores de la «Distro OpenMediaVault», han anunciado el lanzamiento de la nueva versión 6 (Shaitan). Versión que incluye, entre muchas novedades que ya conoceremos, el estar basada en Debian-11 (Bullseye) y una nueva interfaz de usuario escrita desde cero.

Y para aquellos que les gustan conocer, de donde vienen los nombres códigos de los programas y distros, vale acotar que, el nombre de Shaitan hace referencia a personaje de la película y juego llamado Dune. Shaitan fue originalmente el término Fremen para una poderosa encarnación del mal, como el diablo o un demonio. Y en menor medida, también fue un nombre dado a los gusanos de arena de Arrakis, ciertamente menos que Shai-Hulud.

Y como de costumbre, antes de entrar de lleno en el tema de hoy sobre las novedades de la última versión disponible de la Distribución GNU/Linux OpenMediaVault, es decir, la «versión 6», también conocida como Shaitan, dejaremos para aquellos interesados los siguientes enlaces a algunas anteriores publicaciones relacionadas. De manera tal, de que puedan explorarlas fácilmente, en caso de ser necesario, luego de finalizar de leer esta presente publicación:

“OpenMediaVault (OMV) es una distribución gratuita de Linux diseñada para almacenamiento conectado a la red (NAS). OpenMediaVault se basa en el sistema operativo Debian y tiene licencia a través de la licencia pública general GNU v3. Y contiene servicios como SSH, (S) FTP, SMB / CIFS, servidor de medios DAAP, rsync, BitTorrent y muchos más”. Ya fue liberada la nueva versión de Java SE 18 y estas son sus novedades

OpenMediaVault: Distro GNU/Linux para crear Servidores NAS

¿Qué Novedades incorpora la nueva versión 6?

Entre las principales novedades de OpenMediaVault 6 (OMV 6) se encuentran de forma resumida las siguientes:

Básicas

1. Viene con un instalador ISO mejorado.
2. Ahora está basado en Debian 11 (Bullseye).
3. No permite la instalación (coexistencia) de entornos gráficos.
4. Mejora la configuración de tiempos de trabajos programados.
5. Mejora la configuración de monitoreo de temperatura SMART.
6. Usa systemd watchdog en lugar de un demonio (daemon) separado.
7. Agrega soporte de papelera de reciclaje para directorios de inicio SMB.
8. Incluye una Interfaz de usuario completamente nueva escrita desde cero.
9. Viene deshabilitada la compatibilidad con SMB NetBIOS de forma predeterminada.
10. Admite claves públicas ed25519 SSH en el cuadro de diálogo de configuración del usuario.
11. Agrega la capacidad de copiar y aplicar los permisos de una carpeta compartida a una página ACL.

Avanzadas

1. Por defecto, incluye que los servidores DNS estáticos tendrán prioridad sobre los servidores DNS recibidos del servidor DHCP.
2. Los archivos de dispositivo del sistema de archivos /dev/disk/by-label ya no son compatibles, porque no son únicos ni predecibles.
3. Trae algunos complementos nuevos que se basan en contenedores. Tales como: S3, OwnTone, PhotoPrism, WeTTY, FileBrowser, Onedrive.
4. Elimina la capacidad de limpiar los registros del sistema. Esto ya no es posible porque los datos ahora se obtienen del diario systemd, que no se puede limpiar por unidad.
5. Permite deshabilitar el botón «Lista de control de acceso» en la página de la carpeta compartida si la entrada seleccionada se encuentra en un sistema de archivos que no es compatible con POSIX.
6. La página del sistema de archivos solo mostrará los sistemas de archivos configurados por OMV a partir de ahora. Este es el comportamiento estándar de la interfaz de usuario que utilizan todas las demás páginas.

Y muchas otras más, que pueden verse de manera más detallada en el siguiente enlace.

Resumen

En resumen, esta nueva versión 6 de «OpenMediaVault» incluye muchísimas novedades (mejoras y correcciones) que seguramente permitirán mejores configuraciones, optimizaciones y usos sobre equipos usados como Servidores NAS (Dispositivos de almacenamiento conectado en red). Para así, poder disfrutar de mejores plataformas de almacenamiento y nubes caseras o de trabajo propias.

Esperamos que esta publicación, sea de mucha utilidad para toda la «Comunidad de Software Libre, Código Abierto y GNU/Linux».  Y no dejes de comentarla más abajo, y de compartirla con otros en tus sitios webs, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería. Por último, visita nuestra página de inicio en «DesdeLinux» para explorar más noticias, y únete a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema.

Kali Linux es sin duda la distribución de Linux más popular en cuanto a ciberseguridad. Acaban de lanzar la nueva versión Kali Linux 2022.2 y en este artículo vamos a mostrar cuáles son sus principales novedades. Como ocurre con cada nueva edición, suelen mejorar ciertos errores detectados en la anterior y también incluir algunas características y herramientas nuevas para aprovechar al máximo este sistema operativo.

Disponible Kali Linux 2022.2

Uno de los cambios principales que presenta Kali Linux 2022.2 está relacionado con el escritorio. La nueva versión se actualiza a Gnome 42 y ofrece un aspecto más pulido, además de contar con una herramienta para realizar capturas y grabación de pantalla de una manera sencilla.

El tema principal ahora tiene un aspecto más moderno, con menús emergentes y utiliza bordes redondeados. Aunque es un cambio principalmente estético, desde el equipo de Kali Linux indican que han logrado que se integre mejor y también han solucionado ciertos errores que habían detectado.

También han actualizado los temas Kali-Dark y Kali-Light, además de una actualización a KDE Plasma 5.24, con un mejor diseño y ajustes en la interfaz.

Otro cambio importante es que ahora las aplicaciones GUI de WSL pueden ejecutarse como root. Hasta ahora, los que ejecutaban esta distribución bajo el subsistema de Windows tenían que usar Win-KeX y así poder iniciar aplicaciones GUI a través de WSL-G. Pero esto no permitía iniciar aplicaciones con permisos root y ahora, al actualizar Win-KeX a la versión 3,1, sí es posible.

Nuevas herramientas

Con cada nueva versión de Kali Linux, uno de los puntos más esperados por los usuarios es qué nuevas herramientas va a incorporar. En esta ocasión también hay varias novedades interesantes. En total son 10 herramientas nuevas que amplían así el abanico de posibilidades que ofrece esta distribución de Linux para hacking ético.

Esta es la lista con las nuevas herramientas que podrás usar en Kali Linux 2022.2:

• BruteShark: es una herramienta de análisis forense de red
• Evil-WinRM: es un Shell sobre WinRM para pentesting en sistemas Windows
• Hakrawler: permite rastrear webs y descubrir posibles puntos débiles
• Httpx: es un kit de herramientas HTTP muy completo
• LAPSDumper: una herramienta para volcar contraseñas de LAPS
• PhpSploit: framework de control remoto para conexiones tipo Shell sobre HTTP
• PEDump: permite volcar archivos ejecutables de Win32
• SentryPeer: lista distribuida de direcciones IP y números de teléfonos
• Sparrow-wifi: herramienta gráfica para analizar redes Wi-Fi
• wifipumpkin3: sirve para atacar puntos de acceso

Además de estas herramientas novedosas que vienen con Kali Linux 2022.2, también incluye algunas actualizaciones y mejoras de otras aplicaciones ya presentes. Ha aplicado también parches en el firmware del Wi-Fi, que pasa de la versión 7.45.154 a la 7.45.206, así como solventar problemas en la conexión Bluetooth.

En definitiva, estas son las principales novedades de Kali Linux 2022.2. Desde RedesZone recomendamos siempre contar con las últimas versiones, no solo para poder usar las herramientas más novedosas sino también para corregir posibles problemas de seguridad que puedan aparecer. Desde el sitio web oficial puedes acceder a las últimas versiones disponibles y descargarlas, aunque también lo puedes hacer directamente si ya tienes una versión previa en el sistema. Es una de las distribuciones de hacking ético más populares y vas a contar con muchas opciones.

El artículo Estas son las novedades de la nueva versión Kali Linux 2022.2 se publicó en RedesZone.