Si el futuro de los automóviles realmente va a ser eléctrico, y en este momento así es como parece, entonces las baterías deberían ser fácilmente reemplazables. Sé que la mayoría de la industria es reacia a hacer esto, con grandes empresas como Tesla que definitivamente se oponen a ello, pero la verdad es que incluso…
Scratch es un lenguaje de programación creado por el MIT y que se basa en una interfaz visual por bloques, de forma que facilita muchísimo la programación de niños y gente sin conocimientos. Está recomendado para edades de 8 a 16 años.
Todo esto está soportado por la Scratch Foundation, organización sin ánimo de lucro cuya misión es:
Nuestra misión es brindar a todos los niños, de todos los orígenes, oportunidades para imaginar, crear y colaborar, para que puedan dar forma al mundo del mañana.
Pero a los importante, qué se puede hacer con Scratch.
Muchos usos , para esta programación de bloques.
Es uno de los principales usos de este lenguaje. Crear animaciones y juegos que son compartidos en su plataforma y a través de los cuáles puedes seguir aprendiendo a programar.
Desde que se se empezó a utilizar en Reino Unido para enseñar a programar, su ascenso ha sido imparable y hoy en día es la forma preferida por padres y educadores para empezar a enseñar a programar a los niños.
Se supone que los niños que han aprendido Scratch tienen más facilidades en ciertas áreas matemáticas. me gustaría encontrar papers que hablen de esto y de la correlación entre aprender a usar Scratch y aprende a programar en otros lenguajes. Si conoces alguno, por favor, déjalo en comentarios.
Se han creado diferentes IDEs y software basado en Scratch para programar con Arduino. Al igual que en los casos anteriores la ide a es simplificar el trabajo de programación
Si tienes un kit de robótica de LEGO puedes añadir bloques adicionales a Scratch en la plataforma oficial para controlar y programar tu robot.
En la APP de LEGO Boost ya encontramos programación en bloques basada en Scratch
He visto a gente utilizándolo en usos dispares y que no tienen nada que ver con los usos habituales que siempre imaginemos. Así que deja volar tu imaginación y saca todo el provecho que puedas.
¿Podemos controlar dispositivos IoT? ¿Raspberrys? ¿Domótica? ¿Inteligencia Artificial y machine learning?
Hay que investigar y aprender. Como siempre.
Pues empiezo a utilizarlo ahora para 2 cosas.
Por un lado mi hija me ha pedido que hagamos videojuegos. Hemos anotado en una libreta lo que queremos que haga y veo Scratch la herramienta perfecta para que pueda dar vida a esos juegos.
No lo hago con la intención de que aprenda a programar, que no lo veo e momento necesario, sino como una herramienta para hacer lo que se ha propuesto.
Por otro lado, tenemos el LEGO Boost y queremos darle más usos de los montajes que vienen por defecto. Y estamos trabajando en ello.
De momento no lo utilizo para nada más. Quiero probar el Scratch para Arduino, pero no creo que yo lo use. No sé mis hijas.
No tengo claro que éste lenguaje sea el correcto para aprender a programar. Ni creo que se tenga que adentrar a los niños demasiado pronto si no es que están realmente interesados.
Es una versión de Scratch, más simple, con menos bloques, y con el interfaz y los gráficos pensados para niños pequeños. Está recomendada para niños de entre 5 y 7 años.
Se trata de una aplicación par iOS o para Android que podrás usar en smartphones o tablets.
Puedes ver más sobre Scratch Jr o Junior en su web Oficial
Puedes descargar la aplicación para Windows, Mac y Android, pero dejaron de dar soporte para Linux :( y es algo que me entristece mucho.
He buscado alternativas y si eres usuario de Linux (yo uso Ubuntu) te cuento más en otro post.
Si no te apetece instalarlo, sólo quieres echar un vistazo puede usarlo navegando hasta la web. Y utilizar la plataforma online. Todo es gratis.
La ventaja de las aplicaciones frente al modo online es que podemos eguir utilizando la aplicación sin necesidad e tener que estar conectados a Internet, y esto, muchas veces se agradece.
Además de lenguaje Scratch define a toda la comunidad que utiliza este lenguaje. Encontramos gran cantidad de información en formato de tutoriales paso a paso, estudios, papers y sobre todo unos foros dónde poder preguntar nuestras dudas y relacionarnos con más gente.
Todo es abierto en Scratch, así que cuando publiques un proyecto todo el mundopodrá ver ese código y aprender de él. Así mismo puedes explorar proyectos para averiguar cómo se hace algo que desconoces.
The post Qué es Scratch y para qué sirve appeared first on Ikkaro.
Si estás leyendo esto es probable que uses Google a diario o casi a diario, y puede que hayan resultados de sitios que quisieras no ver aparecer nunca más. Sean cuales sean tus razones para ello, esta extensión te vendrá más que genial.
Su nombre es uBlacklist y su único propósito es bloquear sitios web específicos para que no aparezcan en tus resultados de búsqueda de Google. Es además un proyecto open source que ofrece extensiones para todos los navegadores principales.
Puedes descargar uBlocklist para Google Chrome desde la Chrome Web Store, y por ende para todos los navegadores basados en Chromium como Edge, Opera, Brave o Vivaldi. También cuentas con extensión para Firefox, e incluso hay una versión para Safari tanto en iOS como en macOS desde la App Store.
Una vez que instales la extensión podrás bloquear sitios directamente desde la página de resultados de Google, ya que aparecerá la opción "Block this site" directamente junto a cada resultado, lo que hará que las URLs de ese dominio no vuelvan a aparecer cuando busques lo que sea.
También puedes ir a las opciones de la extensión para añadir reglas a las páginas de resultados de búsqueda o sobre los sitios que deben bloquearse. Las reglas pueden especificarse mediante patrones de coincidencia (* ://* .ejemplo.com/*) o mediante expresiones regulares (/ejemplo.(net|org)/).
Por más que existan algunos raritos que usamos Bing, o que motores de búsqueda pro privacidad como DuckDuckGo cada vez crezcan más, Google es indiscutiblemente el rey de las búsquedas online, cuando la mayoría de la gente piensa en buscar algo en Internet, piensa en "googlearlo".
Algunos saben y otros no, que Google nos encierra en una burbuja de resultados que están personalizados según nuestras búsquedas anteriores, ubicación y hábitos de navegación, pero esto no quiere decir que esos resultados vengan de fuentes respetadas o que siquiera queramos ver en la lista de enlaces azules.
Esta extensión te devuelve al menos un poco de control sobre lo que verás aparecer ahí. Casi todos tenemos sitios que no desearíamos ver en nuestros resultados, o que más de una vez hemos comprobado salen al tope de Google y no nos ofrecen nada bueno. Con uBlocklist puedes desaparecerlos de tu Google en un click.
-
La noticia
uBlacklist: la extensión para Chrome, Edge, Firefox y Safari que te deja bloquear cualquier sitio de tus resultados de Google
fue publicada originalmente en
Genbeta
por
Gabriela González
.
Cada año recibimos en nuestra bandeja de entrada más mails que el anterior. Statista calcula que mientras en 2017 se enviaron 269.000 millones de mails en 2020 fueron 306.400 millones. Y de esos miles de millones unos cuantos han caído en tu propia bandeja de entrada.
Gmail ya cuenta con ciertos filtros automáticos que te clasifica estos correos: entre promociones, correos sociales, notificaciones y tu bandeja principal, un gran acierto que ya comenzó en 2013 y ha ido mejorando. Además de que cuando recibes mails de alguien que has marcado como destacado (la estrella amarilla en un lateral) y también tiene la capacidad de ubicar el spam (aunque una parte se le escape).
Ahora aquí te enseñamos a aplicar un filtro más, muy sencillo y que te será muy útil. Sobre todo si en tu misma cuenta de mail recibes correos tanto personales como profesionales o si eres freelance y cuentas con diversos clientes con los que interacciones con la misma dirección. Se trata de las etiquetas y te permitirán ver clasificados según tu selección, todos tus mails.
Primero, para crear tus etiquetas, tienes que ir a la columna izquierda de tu página del correo de Gmail. Donde peudes elegir si ver los recibidos, la papelera o el spam. Baja el cursor hasta abajo (pon ver más) y aàrece la opción de "+ nueva etiqueta". Pulsa ahí. Y tú tienes que bautizar la etiqueta.
Tras esto, tienes la opción de agrupar todos los mails relacionados con esa etiqueta con un par de clics. No tienes que hacerlo uno por uno, sino que tienes la opción de hacerlo con todos los correos al mismo tiempo.
Para ello, selecciona, en el recuadro que hay al lado de cada mail en la bandeja principal, todos los mails que quieras agrupar. Lo mejor que haces es buscar las palabras clave en el buscador que acompaña a tu bandeja de entrada, lo que te va a ayudar identificar a estos correos.
Cuando estén seleccionados todos los mails que quieres unir bajo una sola etiqueta, pulsa con el botón derecho sobre uno de ellos y aparece una lista de cosas que puedes hacer. Abajo verás la opción de etiquetar como. Pon el ratón encima y aparecen las etiquetas disponibles. No solo las qjue has creado tú, sino también las que vienen por defecto en Gmail. Todas las conversaciones y mails seleccionados previamente, se agruparán ahí.
-
La noticia
Así de fácil es organizar todos tus mails de Gmail por temáticas: ponles una etiqueta
fue publicada originalmente en
Genbeta
por
Bárbara Bécares
.
Si tienes un servidor NAS de Western Digital, concretamente algún modelo de WD My Cloud, deberás actualizar cuanto antes tu equipo antes de que finalice su soporte. El fabricante WD ha lanzado un aviso indicando que todos los clientes deben actualizar sus servidores NAS cuanto antes, concretamente antes del 15 de abril de 2022, porque de lo contrario ya no podrán actualizarlo ya que el soporte oficial se terminará para esta gama de dispositivos. ¿Tienes un NAS de WD My Cloud? Presta mucha atención a esto.
El popular fabricante de discos duros y servidores NAS WD, ha lanzado un aviso importante a todos sus clientes que han comprado un servidor My Cloud. El sistema operativo My Cloud OS incluyendo la versión My Cloud OS 3 finalizará su soporte el 15 de abril de 2022, por lo tanto, si tu dispositivo no es compatible con el sistema operativo My Cloud OS 5 perderá el acceso remoto desde Internet y solamente funcionará el acceso local, es decir, nos quedaremos sin la principal característica de un servidor NAS que es acceder desde cualquier lugar de Internet.
Un detalle muy importante es que los dispositivos con las versiones de firmware más antiguas no recibirán ni las correcciones de seguridad ni tampoco soporte técnico, por lo que deben actualizar a la última versión disponible cuanto antes. WD recomienda a todos los clientes proteger sus datos de posibles ciberdelincuentes, realizando una copia de seguridad externa a la del servidor NAS, con el objetivo de que aunque los hackeen no se pierda ninguna información valiosa. El fabricante también recomienda deshabilitar el acceso remoto del servidor, para tener más seguridad, desconectándolo directamente desde Internet o bloqueando el acceso a Internet directamente desde el router. Por supuesto, es muy recomendable elegir una contraseña de acceso que sea única y segura.
La versión de firmware My Cloud OS 5 es una versión con actualizaciones de seguridad muy importantes, y es fundamental que tengas instalada esta última versión con el objetivo de que no te hackeen el servidor NAS desde Internet, tal y como ha ocurrido en el pasado con diferentes ataques específicamente diseñados para borrar toda la información a los servidor NAS de WD.
Si tienes un servidor WD My Cloud que no es compatible con el nuevo sistema operativo WD My Cloud OS 5, el fabricante te proporcionará un cupón de descuento del 20% para que compres un nuevo modelo que sí sea compatible con el nuevo sistema operativo. Para saber si tu dispositivo es compatible con My Cloud OS 5 deberás irte a la página de soporte de tu NAS, y mirar si hay disponible un nuevo firmware y qué dispositivos son compatibles. En enero de 2022 empezará la campaña de envío de los cupones del 20% a todos los clientes con dispositivos que no sean compatibles, esto se realizará de forma completamente automática. WD ha aclarado que no nos pedirá de vuelta el servidor NAS anterior para usar el cupón, y tendremos un máximo de 3 meses para canjearlo por uno de los nuevos equipos de WD:
Teniendo en cuenta que la solución que proporciona WD para seguir con las actualizaciones es comprar un nuevo modelo, seguramente los clientes de WD se pasen a otros fabricantes que sí proporcionan actualizaciones de firmware durante muchos años, como QNAP, Synology o ASUSTOR, equipos que son mucho más completos a nivel de funcionalidades, y con un mejor soporte en base a actualizaciones de forma continua. Si estás interesado en un servidor NAS doméstico, os recomendamos el modelo QNAP TS-253D y también el Synology DS720+, ambos modelos son muy potentes y con un sistema operativo realmente completo.
El artículo ¿Tienes un NAS WD My Cloud? Actualiza antes de que te quedes sin soporte se publicó en RedesZone.
Contar con una contraseña fuerte y segura es fundamental. Las utilizamos constantemente para iniciar sesión en redes sociales como Facebook o Twitter, abrir el correo de Gmail o cualquier otro proveedor, entrar en la cuenta bancaria, etc. Si la clave de acceso se filtra, nuestros datos pueden verse comprometidos y tener problemas de seguridad y privacidad. Hay diferentes herramientas que pueden servir para que alguien averigüe una contraseña a través de fuerza bruta. Una de ellas es Hydra, de la que vamos a hablar en este artículo.
Hay diferentes métodos por los que pueden robar nuestras contraseñas y uno de ellos es lo que se conoce como fuerza bruta. Consiste básicamente en probar una tras otra diferentes combinaciones hasta dar con la que realmente permite iniciar sesión en una cuenta.
Estos ataques de fuerza bruta se basan en diccionarios, donde se almacenan palabras o números más comunes. De esta forma pueden combinar las posibles claves y tener mayor oportunidad. Si un usuario ha puesto una contraseña débil, como podría ser una palabra, un nombre o una fecha, es mucho más sencillo explotarla.
Hay diferentes programas que pueden actuar para lograr romper una clave, como es el caso de Hydra. Es una de las aplicaciones más utilizadas y conocidas en hacking ético para poner a prueba contraseñas. No obstante, también puede ser usada por un atacante que realmente tenga el objetivo de robar nuestra clave.
Hydra es totalmente gratuito y además de código abierto. Cuenta con más de 30 protocolos compatibles (sistemas operativos, páginas web, bases de datos, etc.) donde podemos probar y ver si una contraseña es explotable o es realmente fuerte y vamos a estar seguros.
Hydra – Protocolos compatibles
Una peculiaridad de Hydra es que ha sido diseñado de forma modular. Esto quiere decir que cualquier programador podría crear sus propios módulos que le añadan nuevas funciones y características. Utiliza la fuerza bruta al combinar una serie de opciones registradas en bases de datos o tablas rainbow. En caso de que alguien utilice una clave que sea corta, predecible o repetida, podría romperla.
Hydra es una aplicación gratuita y de código abierto que podemos descargar desde GitHub. Allí veremos que la versión más actual es la 9.2. Está disponible para Windows (a través de Cygwin), macOS y también en Linux (y otros sistemas UNIX). También incluyeron compatibilidad con sistemas operativos móviles, como Android o iOS.
Si estás familiarizado con Kali Linux, la popular distribución para hacking ético, debes saber que una de las herramientas que tiene incorporada es Hydra. No tendríamos que llevar a cabo ninguna instalación, ya que viene junto al sistema de serie.
Cuando descarguemos Hydra en el ordenador, tendremos que ejecutar el comando “hydra” para las principales opciones con las que cuenta. Si estamos utilizando Linux podemos también ejecutar “./xhydra” para ver la interfaz gráfica.
Ofrece una gran cantidad de opciones, por lo que podemos ver la documentación de GitHub para ver todas las opciones. La principal va a ser explotar una contraseña, algo que nos ayudará a comprender si nuestra clave de acceso es segura o deberíamos utilizar otra para evitar problemas.
Hay que tener en cuenta que esta herramienta ha sido diseñada con el objetivo de poner a prueba contraseñas y ver su seguridad. Está orientada al hacking ético, pero lógicamente puede ser utilizada por terceros para malos fines y buscar robar claves de acceso ajenas. Es por ello que debemos tomar siempre precauciones y estar protegidos.
Entonces, ¿Qué podemos hacer para proteger nuestras contraseñas y evitar ataques cibernéticos? Vamos a dar una serie de consejos para que nuestras claves de acceso estén seguras y no sean explotadas por aplicaciones como Hydra y otras similares.
Lo principal de todo es crear contraseñas que sean realmente fuertes. Para evitar ataques con Hydra o cualquier aplicación de fuerza bruta, lo mejor es crear claves que no sean “comunes”. Es decir, nunca debemos utilizar nuestro nombre, apellidos, palabras básicas, fechas, números de teléfono… Todo esto es lo que va a formar parte de los diccionarios que utilizan estas herramientas.
Lo ideal es que sea totalmente aleatoria y larga. Debemos utilizar letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Un ejemplo de buena contraseña podría ser 3dU/-rl(eMb49&”. Como vemos, son caracteres totalmente aleatorios, sin relación entre ellos. Es justo eso lo que va a hacer que los ataques de fuerza bruta fracasen.
Otro punto muy importante es no utilizar una misma contraseña en varios lugares. Sería un error, por ejemplo, tener la misma clave para Facebook que para la cuenta de Gmail. En caso de que lograran averiguar la de alguno de estos servicios, se podría producir un efecto dominó y que terminen por acceder a otras cuentas.
Por tanto, siempre hay que crear una clave exclusiva para cada registro en Internet. Podemos ayudarnos de gestores de contraseñas para poder tener todas almacenadas correctamente y no tener necesidad de memorizar tantas.
Un complemento muy interesante a las contraseñas es la autenticación en dos pasos. Es básicamente una capa extra de seguridad. Es un segundo paso que vamos a necesitar para poder iniciar sesión, más allá de tener que poner la contraseña típica.
Esta autenticación doble suele ser un código que recibimos por SMS o a través de una aplicación. Esto sirve para identificarnos. Si alguien lograra robar la contraseña, no podría iniciar sesión sin ese segundo paso. Por tanto, es una manera más de estar protegidos en Internet.
También hay que indicar la importancia de cambiar la contraseña de vez en cuando. Esto va a hacer que siempre tengamos una clave fiable y en caso de que se filtre por algún error, disminuyamos el riesgo de que pueda terminar en malas manos.
Siempre que cambiemos la clave debemos tener en cuenta los consejos anteriores. Es importante que sea segura, única y que cumpla con todos los requisitos para estar protegidos frente a ataques con aplicaciones como Hydra y otras similares que pueda haber.
En definitiva, Hydra es una herramienta que podemos usar para poner a prueba nuestras contraseñas. No obstante, también puede ser utilizada por un tercero para llevar a cabo ataques y comprometer nuestra seguridad. Necesitamos crear siempre claves fiables.
El artículo Pon a prueba tus contraseñas con Hydra se publicó en RedesZone.
El equipo de investigación de Wiz detectó un problema de seguridad en Azure App Service. Este exponía el código fuente de las aplicaciones de los clientes escritas en PHP, Python, Ruby o Node, que se desplegaban utilizando "Local Git", como anunció públicamente hace tres días. La vulnerabilidad, bautizada como "NotLegit", existe desde septiembre de 2017 y probablemente ha sido explotada, según los investigadores de Wiz, la cual informó a Microsoft de este problema en octubre de este año.
Wiz dijo que todas las aplicaciones PHP, Node, Ruby y Python que se desplegaron usando "Local Git" en una aplicación limpia por defecto en Azure App Service desde septiembre de 2017 están afectadas. Además, aquellas que se desplegaron en Azure App Service desde septiembre de 2017 utilizando cualquier fuente Git, después de que se creó o modificó un archivo en el contenedor de la aplicación, también lo están.
El Centro de Respuesta de Seguridad de Microsoft ha informado en su blog cómo ha sido su respuesta al fallo "NotLegit" en Azure. Según la de Redmond, esto solo ha afectado a los clientes de App Service en Linux. Explicaron que esto sucede "porque el sistema intenta preservar los archivos actualmente desplegados como parte del contenido del repositorio, y activa lo que se conoce como despliegues en el lugar por el motor de despliegue (Kudu)".
"No todos los usuarios de Local Git se vieron afectados. Los clientes que desplegaron el código en App Service Linux a través de Local Git después de que los archivos fueran generados en la aplicación fueron los únicos clientes afectados", dicen desde Microsoft. Azure App Service en Windows no se ha visto afectado, ya que se ejecuta en un entorno basado en IIS.
El director de tecnología de Wiz, Ami Luttwak, es un antiguo directivo del grupo de seguridad en la nube de Microsoft y no es la primera vez que esta empresa descubre fallos en software de la de Redmond.
En agosto, esta compañía descubrió una vulnerabilidad que les permitía acceder a una gran cantidad de datos de los clientes de servicios cloud de Azure de Microsoft, concretamente a través de la base de datos Cosmos. La empresa pudo acceder a sus bases de datos y en su descubrimiento tenían la capacidad no solo de ver el contenido, sino también de cambiar y eliminar información de su base de datos Cosmos de Microsoft Azure.
Microsoft ha dicho que las imágenes utilizadas para el tiempo de ejecución de PHP estaban configuradas para servir todo el contenido estático en la carpeta raíz del contenido. Después de conocer este problema,** Microsoft ha actualizado todas las imágenes de PHP para que no sirvan la carpeta .git como contenido estático** como medida de defensa.
Por su parte, para Node, Python, Java y Ruby, "ya que el código de la aplicación controla si sirve contenido estático", la empresa recomienda a los clientes que revisen el código para asegurarse de que sólo se sirve el código relevante.
Microsoft afirma que ha notificado a los clientes que se vieron afectados sobre cómo mitigar el problema. También se informó a los clientes que tenían la carpeta .git cargada en el directorio de contenido. La firma ha actualizado su documento de recomendaciones de seguridad con una sección adicional sobre la seguridad del código fuente.
-
La noticia
Microsoft soluciona un bug que exponía el código fuente de las apps escritas en PHP y Python en Azure App Service para Linux
fue publicada originalmente en
Genbeta
por
Bárbara Bécares
.
Las retransmisiones ilegales en partidos de fútbol, así como en cualquier otro deporte, es algo que lleva años perjudicando a LaLiga y demás instituciones. No obstante, la forma en detectar y tumbar aquellos dominios web que ofrecen los partidos de manera gratuita ha evolucionado considerablemente.
La lucha por la retransmisión ilegal de sus contenidos es un caso un tanto complejo, sobre todo por los servicios de IPTV. Y es que si LaLiga decide echar por tierra uno de estos servidores, acaban apareciendo de nuevo como si nada. No obstante, esta organización ha avanzado considerablemente en sus tecnologías para acabar con este tipo de servicios, y prueba de ello son sus herramientas tales como Marauder, Lumière y la reciente Blackhole, de las cuales hablamos en este artículo.
LaLiga ya lo expresaba en un post de su blog oficial, alabando las herramientas propias desarrolladas por su división Content Protection. La primera de ellas fue Marauder. Su tecnología permitía geolocalizar y dibujar un mapa donde se situaban la mayor parte de los sitios web ilegales. Tras ella le siguió Lumière, encargada de dar soporte a la investigación, extrayendo evidencias y firmando electrónicamente todos los datos obtenidos. Su relevancia fue tal que se cedió incluso al Ministerio de Cultura y Deporte del Gobierno de España y al INDECOPI de Perú.
Sin embargo, el equipo está muy orgulloso con la última de sus tecnologías; Blackhole. Entre sus tareas se encuentra la de extraer información de las plataformas de IPTV y Cardsharing, junto con el listado de servidores que hacen funcionar los sitios web. Además, también es capaz de almacenar todas las imágenes de estas plataformas en tiempo real. Emilio Fernández del Castillo, responsable de Protección Tecnológica del Contenido, se refería a Blackhole de la siguiente manera:
"El mayor logro de esta temporada ha sido el desarrollo del software Blackhole, que nos ha ayudado a trazar mapas de IPTVs a nivel nacional e internacional que nos ha servido para definir nuestra estrategia".
Estas no son las únicas tecnologías que LaLiga tiene en mano para tomar cartas en el asunto de las retransmisiones ilegales. Muy pronto llegará también NEKO, una nueva herramienta que permitirá a la institución 'denunciar manualmente en redes sociales de una manera más rápida y eficaz'.
LaLiga tiene incluso el poder de detectar automáticamente si alguien está viendo un vídeo ilegal en Twitter. Y es que si hablamos de cifras, el pasado año acabaron la temporada con más de un millón de vídeos de YouTube eliminados, 400.000 vídeos detectados en redes sociales, más de 500 aplicaciones cerradas para acceder a los IPTV, y casi 40.000 páginas web ilegales tumbadas. Aquel que quiera ver los partidos de forma ilegal lo tendrá aún más complicado.
Tanto a nivel nacional como internacional, LaLiga sigue patrones muy similares a la hora de proceder a tomar acción. Primero realizan una detección de las plataformas que retransmiten contenido de manera ilegal, ya sean IPTVs, Cardsharing, o sitios web. Tras ello se realiza un análisis y después se toman las medidas pertinentes para el bloqueo o eliminación del contenido.
El software que posee LaLiga causa también el interés a nivel internacional, y empresas tales com Dorna Sports, que son los encargados de organizar el mundial de motociclismo, junto con la primera división belga, o Sky Sports, han anunciado sus planes para utilizar este tipo de tecnologías y proteger así sus retransmisiones.
-
La noticia
Así es el software de LaLiga para detectar la retransmisión ilegal de los partidos de fútbol
fue publicada originalmente en
Genbeta
por
Antonio Vallejo
.
El Gobierno tiene un plan para hacer más eficientes las inspecciones laborales. La idea es utilizar un software en el que se apoyará de herramientas como la inteligencia artificial y el análisis masivo de datos. La Seguridad Social comenzará a utilizar este software a partir del próximo sábado 1 de enero de 2022.
Entre las características más destacadas que se esperan de esta herramienta, se encuentran la detección automática de las malas prácticas más frecuentes de algunas empresas y la emisión de actas sancionadoras.
Así como informa El País, esta medida se encuentra dentro del Plan Estratégico de la Inspección de Trabajo y Seguridad Social (ITSS). Si bien el Ministerio de Trabajo y Seguridad Social aún no ha especificado cuáles serán las actuaciones propias de los inspectores de trabajo que serán automatizadas, esta medida está causando cierta intranquilidad en las empresas nacionales, sobre todo al conocer que desde el pasado 1 de octubre las cuantías de las sanciones subieron un 20%.
Los expertos estiman que dicha herramienta tendrá el poder de rastrear aquellos errores más comunes, como pueden ser el alta o la baja de los empleados en la Seguridad Social, los registros en contratos, o el incumplimiento del horario laboral. De esta manera, el empleo de este software descongestionará el trabajo de inspección de las tareas más básicas para que la labor humana tome asuntos 'más complejos'. Sin embargo, habrá que esperar a que el Gobierno aclare todos los detalles para confirmar la tarea de esta herramienta.
Detectar el fraude de una forma más veloz es uno de los principales objetivos de esta herramienta, pudiendo acelerar el trabajo de los inspectores laborales. Si se detecta una sanción mediante este software, las empresas tendrán la posibilidad de reclamar en caso de que consideren que el programa informático haya errado en su análisis. De esta manera, un inspector de trabajo se encargará de revisar la petición. Sin embargo, si ocurre esto, la empresa no podrá reducir su sanción si se abona el pago en un breve plazo.
Aunque su incorporación entre en vigor nada más dé comienzo el año, desde El País indican que es posible que la herramienta no entre en funcionamiento de manera plena hasta pasados unos meses. Este software entra como una de las medidas que tiene el Gobierno para la digitalización de varias de las gestiones por parte de la Seguridad Social. Todas ellas vienen recogidas en el BOE.
-
La noticia
Llegan las inspecciones de trabajo mediante IA: el Gobierno utilizará un software para detectar y emitir sanciones automatizadas
fue publicada originalmente en
Genbeta
por
Antonio Vallejo
.
Los AirTags de Apple y su servicio “Find My” (Encuentra mi…) pueden ser útiles para encontrar cosas que pierdes, pero también presentan un gran problema de privacidad. Si bien los usuarios en iOS hemos tenido algunas herramientas para combatir esos problemas, Apple dejó a los usuarios de Android sin muchas…
La división Project Zero de Google tiene una tarea difícil: descubrir y atajar nuevos tipos de ciberataques. Los malos suelen ir por delante de los buenos en el ámbito de la seguridad que es básicamente un eterno juego del gato y el ratón, y el último descubrimiento de ese equipo les ha dejado aterrorizados.
El último descubrimiento ha sido el exploit ForcedEntry para iOS, desarrollado por el grupo de hackers israelí NSO Group. El mecanismo de ataque es tan avanzado que en Google lo califican como "uno de los exploits más sofisticados técnicamente que hemos visto jamás, y que está al nivel de ataques de los espías de las naciones-estado más avanzadas".
El equipo de investigadores de Project Zero ha logrado obtener el código del exploit a partir de Citizen Lab, un organismo interdisciplinar de la Universidad de Toronto. En su análisis descubrieron que mientras que el exploit original de NSO necesitaba que el usuario hiciera clic en un link, esta última versión ya ni siquiera necesita eso.
El exploit, que como decimos se conoce como ForcedEntry, se aprovecha de la forma en la que iMessage interpreta ficheros como los GIF y consigue abrir un PDF sin que se requiera ninguna intervención por parte del usuario. Lo hace además usando una vieja herramienta de compresión de los años 90 que se usaba a la hora de procesar texto para el reconocimiento óptico de caracteres en los escáneres de imágenes.
Una vez que el malware está en el dispositivo, puede crear una especie de máquina virtual en la que ejecutar código similar a javascript. No necesita conectarse a ningún servidor externo, y a partir de ahí puede enviar al ciberatacante acceso a las contraseñas, el micrófono o más recursos de la máquina de la víctima.
Este exploit no solo es dificilísimo de detectar: según Project Zero "es un arma contra la que no hay defensa". Apple ya parcheó iMessage en septiembre y octubre para mitigar el problema, pero en Project Zero están aterrorizados y destacan que esto "te hace preguntarte qué se estará usando actualmente y qué está esperando ser descubierto. Si este es el tipo de amenazas a las que la sociedad se está enfrentando, es realmente una emergencia".
Más información | Project Zero
-
La noticia
El último exploit del iPhone es "increíble y terrorífico": en Google están alucinados con un ataque sofisticado como pocos
fue publicada originalmente en
Xataka
por
Javier Pastor
.
De la grave vulnerabilidad Log4Shell (que afecta a la librería open source Log4J permitiendo ataques de ejecución de código remoto) hemos hablado ya en esta última semana: desde las condiciones en que trabajan los desarrolladores encargados de parchearla, hasta la presencia de la vulnerabilidad en uno de los vehículos de la NASA que está explorando ahora mismo marte.
El problema al que se enfrenta Internet con Log4Shell es que al contrario que otros ciberataques relevantes de los últimos tiempos, que afectaban a un número limitado de productos de software (en muchos casos sólo a uno), Log4j está integrado en prácticamente cada servicio web basado en Java.
El pasado lunes los expertos ya hablaban de un "potencial de daño incalculable", y Adam Meyers, vicepresidente de la compañía de ciberseguridad Crowdstrike, declaraba que
"Internet está en llamas en este momento. Hay gente que está luchando para parchear [la vulnerabilidad] y aún más gente que está luchando para explotarla".
De modo que, una vez se hizo pública la vulnerabilidad (por cortesía de un ingeniero de Alibaba), comenzaron los escaneos masivos en Internet (sobre todo procedentes de la red Tor), con el objetivo de encontrar plataformas vulnerables. Prácticamente todos los grupos de cibercriminales y de hackers al servicio de estados han estado ocupados en ello durante esta última semana.
🚨⚠️New #0-day vulnerability tracked under "Log4Shell" and CVE-2021-44228 discovered in Apache Log4j 🌶️‼️ We are observing attacks in our honeypot infrastructure coming from the TOR network. Find Mitigation instructions here: https://t.co/tUKJSn8RPF pic.twitter.com/WkAn911rZX
— Deutsche Telekom CERT (@DTCERT) December 10, 2021
El pasado viernes —el día siguiente a la difusión de la existencia de Log4Shell—, Cloudflare ya estaba detectando una media de 5.483 escaneos por minuto es busca de servicios web vulnerables. La cifra fue creciendo progresivamente hasta este lunes, cuando ya se superaban los 24.600 por minuto (casi 35.500.000 al día).
En resumen: lo más probable es que todas aquellas plataformas vulnerables que no hayan implementado medidas de protección, a estas alturas ya habrán sido detectadas y atacadas.
Y lo peor no es que estén haciendo uso del primer exploit difundido por Chen Zhaojun, sino que en las primeras horas de difusión se crearon más de 60 nuevos exploits que utilizan las vulnerabilidades de Log4J con el fin de extraer datos.
Según explicaba a comienzos de esta semana la empresa de ciberseguridad Check Point Software,
"El gran número de combinaciones disponibles para explotar Log4Shell proporciona al atacante muchas alternativas para eludir las últimas protecciones introducidas".
"Esto significa que una capa de protección no es suficiente, y solo una estrategia basada en el uso de varias capas de seguridad proporcionaría una protección resistente. Tres días después del brote, lo que estamos viendo es claramente una ciberpandemia del que aún no hemos visto su punto máximo".
De hecho, según los datos que maneja la compañía el 48,1% de todas las redes corporativas del mundo se habían visto afectadas durante los primeros días tras salir a la luz la vulnerabilidad (el 51,2% en el caso de Europa).
Vía | Cloudflare & Check Point & Sky News
-
La noticia
"Internet está en llamas": Cloudflare ha detectado más de 24.600 ataques por minuto que explotaban la vulnerabilidad Log4Shell
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
El mundo de los sistemas UNIX y GNU/Linux tiene un buen puñado de herramientas increibles, que facilitan el día a día de las personas administradoras de sistemas. Una de ellas es logrotate. Esta utilidad...
La entrada Logrotate: Administra los registros de tu sistema Linux se publicó primero en ochobitshacenunbyte.
En los últimos días hemos sido testigos de una nueva y grave vulnerabilidad que afecta a la popular librería de registro de Java Log4j. En este artículo nos hacemos eco de cómo los piratas informáticos están comenzando a explotar una segunda vulnerabilidad de Log4j. Una vez más, se hace imprescindible que los usuarios actualicen los sistemas y puedan corregir lo antes posible estas vulnerabilidades para evitar así ser víctimas de ataques.
Cloudflare ha alertado de que los ciberdelincuentes están empezando a explotar una segunda vulnerabilidad de Log4j. Indican que es imprescindible que los usuarios cuenten con la última versión 2.16.0, ya que de lo contrario serían vulnerables. Hay que tener en cuenta que la versión 2.15.0 llegó para corregir el fallo inicial, pero ya tampoco es suficiente.
Esta nueva vulnerabilidad ha sido registrada como CVE-2021-45046. Un hipotético atacante podría llevar a cabo denegación de servicio. Este nuevo problema llega después de que la solución original para la vulnerabilidad Log4Shell estuviera incompleta en ciertas configuraciones no predeterminadas.
Pero el problema parece que no queda ahí. Según indican los investigadores de seguridad de Praetorian, existe una tercera vulnerabilidad de Log4j independiente. Este fallo, que tampoco lo corrige la versión 2.15.0, puede permitir la filtración de datos confidenciales. No han dado por el momento más datos técnicos para evitar su explotación.
Estos fallos que mencionamos pueden poner en riesgo a industrias de todo tipo a nivel mundial. Se trata de una librería de registro ampliamente utilizada, por lo que son muchos los que pueden verse afectados.
Una vez más, instalar la última versión es la mejor solución posible para estar protegidos frente a esta nueva vulnerabilidad de Log4j. Se trata de la segunda que vemos en cuestión de días y, como hemos explicado, hace que el anterior parche lanzado, la versión 2.15.0, no sea efectiva para corregir este nuevo problema.
Entonces, ¿Qué podemos hacer para estar protegidos? No queda más remedio que volver a actualizar, esta vez a la versión 2.16.0. Esto nos protegerá de este segundo ataque que puede provocar denegación de servicio y comprometer el buen funcionamiento.
No obstante, como hemos visto puede haber una tercera vulnerabilidad que empiece a ser explotada. Va a ser necesario volver a instalar próximamente una nueva actualización que, una vez más, corrija esta vulnerabilidad.
En definitiva, Log4j vuelve a estar presente en una nueva vulnerabilidad. Se trata de un fallo que está siendo explotado activamente, pero para el que ya existe parche con la actualización 2.16.0 que todos los usuarios deberían instalar cuanto antes y evitar así problemas.
Anteriormente publicamos un tutorial donde explicamos por qué es esencial actualizar los equipos. Hablamos de todos los puntos imprescindibles de contar con las últimas versiones y de qué puede ocurrir si en un momento dado nuestro sistema está desactualizado y aparece un fallo de seguridad. Esto lo hemos podido comprobar con la vulnerabilidad de la que hemos tratado en este artículo y que puede ser explotada.
El artículo Una segunda vulnerabilidad de Log4j obliga a actualizar se publicó en RedesZone.
Enlarge (credit: Matejmo | Getty Images)
Hackers including Chinese state-backed groups have launched more than 840,000 attacks on companies globally since last Friday, according to researchers, through a previously unnoticed vulnerability in a widely used piece of open-source software called Log4J.
Cyber security group Check Point said the attacks relating to the vulnerability had accelerated in the 72 hours since Friday, and that at some points its researchers were seeing more than 100 attacks a minute.
Perpetrators include “Chinese government attackers,” according to Charles Carmakal, chief technology officer of cyber company Mandiant.
Read 11 remaining paragraphs | Comments
Log4Shell es la última vulnerabilidad que trae de cabeza a muchos administradores que han visto cómo sus servidores son vulnerables a ataques remotos. Se trata de un fallo de seguridad severo, que puede ser explotado de una manera sencilla. Además, puede afectar a una gran cantidad de usuarios. Se ha descubierto que afecta a servicios en la nube como Apple iCloud o Steam. En este artículo explicamos qué es exactamente, cómo funciona y por supuesto qué hacer para solucionar este problema.
Se trata de una vulnerabilidad que afecta a la popular librería de registro de Java Log4j, desarrollada por Apache. Es muy utilizada en todo tipo de servicios y software. Por ejemplo en juegos como Minecraft, además de servicios en la nube. Sirve para que las aplicaciones almacenen un registro o log durante su funcionamiento.
Podemos decir que este problema afecta a millones de servidores en todo el mundo. Todos ellos son vulnerables y pueden sufrir ataques remotos. Al aprovechar el fallo Log4Shell, un atacante podría colar malware y tomar el control total de ese servidor. Básicamente tendría vía libre para hacer lo que quisiera.
La vulnerabilidad ha sido registrada como CVE-2021-44228 y una puntuación CVSS de 10. El atacante, para poder explotarla, simplemente necesita que la aplicación registre una cadena especial, una serie de caracteres. El investigador de seguridad informática Matthew Prince, en su perfil de Twitter, informa de evidencias de que el exploit estaba disponible al menos 9 días antes de su publicación, aunque no hay evidencias de que se haya utilizado ampliamente hasta entonces.
No obstante, ahora sí que hay muchos atacantes que están explotando la vulnerabilidad Log4Shell y poder llevar a cabo sus ataques. Pueden, por ejemplo, instalar mineros de criptomonedas en un servidor o convertir los dispositivos afectados en una botnet.
Se calcula que Java está presente en unos 3.000 millones de dispositivos en todo el mundo. La gran mayoría de programadores utilizan Log4j, por lo que son muchos los que pueden ser vulnerables a este problema. ¿Es posible saber si un sistema es vulnerable a Log4Shell? Hay varias formas de hacerlo y una de las más sencillas es conocer la versión de Log4j que tiene instalada. Las vulnerables van desde la 2.0-beta9 hasta la 2.14.1.
Además, en GitHub podemos encontrar los pasos para ejecutar comandos y detectar si la vulnerabilidad registrada como CVE-2021-44228 está presente o no. Este escáner basado en Python actúa como detector de la vulnerabilidad Log4Shell.
Podemos decir que la forma más sencilla de detectar si un punto final remoto es vulnerable es activar una consulta de DNS. Lo que hace el exploit es que el hipotético servidor vulnerable intente obtener código remoto. Si usamos la dirección de una herramienta gratuita de registro de DNS en la cadena de explotación, podremos detectar cuándo se activa la vulnerabilidad. Como explican en Lunasec, podemos usar CanaryTokens para ello.
Si sabes que tu sistema es vulnerable y quieres protegerlo, hay diferentes formas. La más recomendable ahora mismo es actualizar la versión de Log4j a la 2.15.0, que corrige el problema. Lo puedes descargar de la web oficial de Apache. Es muy importante siempre contar con las últimas versiones y este es un ejemplo claro de ello.
También puedes consultar el anuncio oficial de seguridad de Log4j, donde encontrarás toda la información de los pasos para corregir la vulnerabilidad e instalar los parches necesarios.
No obstante, debido a la enorme importancia que tiene este fallo de seguridad, han surgido diferentes opciones que actuaban como “parches momentáneos” y poder así corregir o al menos disminuir el problema. Un ejemplo es el script lanzado por Cybereason, que se basa en la propia vulnerabilidad para desactivar una configuración en una instancia remota y vulnerable de Log4Shell.
Además, otra mitigación temporal hasta que hubiera parche fue la de establecer el parámetro log4j2.formatMsgNoLookups; en True al iniciar la máquina virtual Java.
En definitiva, la vulnerabilidad Log4Shell es muy peligrosa y ha puesto en riesgo a millones de dispositivos en todo el mundo. Es esencial corregir el problema lo antes posible y no hay nada mejor que actualizar a la última versión.
El artículo Log4Shell: conoce si eres vulnerable y soluciona este grave fallo se publicó en RedesZone.
Estamos ya tan acostumbrados a hablar de robos de datos, fallos de seguridad y vulnerabilidades que hacerlo otra vez parece trivial, pero no lo es. No al menos en el caso de Log4Shell, una vulnerabilidad zero-day que algunos han calificado como la peor de la historia.
El problema reside en Log4j, una librería Java que se usa masivamente en sistemas empresariales y aplicaciones web. El problema ha afectado ya a servidores de Minecraft que se hackearon con un sencillo mensaje en el chat de la partida, pero la amenaza es enorme para todo tipo de plataformas. Afortunadamente existe parche, así que los administradores de sistemas deberían corregir el problema cuanto antes.
Log4j es un entorno de trabajo para registro de actividad en Apache y que permite monitorizar la actividad en una aplicación. El CEO de Cloudflare, Matthew Prince, avisó hace unos días de que el problema era tan gordo que su empresa trataría de desplegar ciertos mecanismos para mitigarlo incluso para clientes de su servicio gratuito.
Todo lo que tenía que hacer un atacante para explotar el problema es enviar un pedazo de código malicioso: ese código acabará siendo registrado por Log4j si está en su versión 2.0 o superior, y al hacerlo dará acceso al atacante al sistema, que podrá ejecutar código de forma remotamente.
Free Wortley, CEO de la plataforma de seguridad LunaSec, explicaba que este es "un fallo de diseño de proporciones catastróficas" en la librería, y el problema se explotó por ejemplo en los servidores de Minecraft.
In the case of Minecraft, attackers were able to get remote code execution on Minecraft Servers by simply pasting a a short message into the chat box.
— Marcus Hutchins (@MalwareTechBlog) December 10, 2021
Varias agencias nacionales de ciberseguridad publicaron alertas sobre el tema, y los expertos avisaban de lo fácil que era exponer especialmente a grandes empresas que usan esa librería de forma habitual. La propia Apache Software Foundation calificó la vulnerabilidad —corregida en Log4j 2.15.0— con un índice de peligrosidad de 10 sobre 10.
Lo contaban nuestros compañeros de Genbeta ayer al hablar de cómo la vulnerabilidad era peculiar por muchas cosas pero también por una muy llamativa: esa librería, que como decíamos es crítica para muchas plataformas, estaba siendo mantenida por solo tres desarrolladores... en su tiempo libre.
Esos tres desarrolladores lograron atajar el problema y ya han publicado los parches que permiten a cualquiera administrador de sistema actualizar ese componente de sus sistemas para evitar que el problema pueda afectar a sus servicios.
Los usuarios finales poco pueden hacer salvo que tengan servidores en los que tengan instalados servicios y aplicaciones que puedan usar ese componente. En ese caso, como los administradores de grandes plataformas y servicios, la clave está en actualizar los sistemas para que ese componente se corrija con el parche publicado por esos tres desarrolladores.
Vía | Wired
Más información | CCN-CERT
-
La noticia
Log4Shell es la vulnerabilidad crítica 'de proporciones catastróficas' que amenaza con destrozar internet
fue publicada originalmente en
Xataka
por
Javier Pastor
.
Hace poco se dio a conocer el lanzamiento de la nueva versión del kit de herramientas Nzyme 1.2.0, el cual está diseñado para monitorear las redes inalámbricas con el fin de detectar actividad maliciosa, implementar puntos de acceso falsos, conexiones no autorizadas y realizar ataques típicos.
La nueva versión se destaca por implementar la funcionalidad de informes a nzyme, ademas de que puede programar diferentes tipos de informes que, opcionalmente, también se enviarán por correo electrónico.
Para quienes desconocen de nzyme, deben saber que esta es una herramienta que utiliza adaptadores WiFi en modo monitor para escanear las frecuencias en busca de comportamientos sospechosos, específicamente puntos de acceso no autorizados y plataformas de ataque WiFi conocidas. Cada trama inalámbrica grabada se analiza y, opcionalmente, se envía a un sistema de administración de registros Graylog para un almacenamiento a largo plazo que le permite realizar análisis forenses y respuesta a incidentes.
El tráfico se captura cambiando el adaptador inalámbrico al modo de monitor para las tramas de la red de tránsito. Las tramas de red capturadas se pueden enviar a Graylog para su almacenamiento a largo plazo en caso de que los datos sean necesarios para analizar incidentes y acciones maliciosas. Por ejemplo, el programa le permite identificar la aparición de puntos de acceso no autorizados, y si se detecta un intento de comprometer la red inalámbrica, mostrará quién fue el objetivo del ataque y qué usuarios se vieron comprometidos.
El sistema puede generar varios tipos de alertas y también admite varios métodos para detectar actividad anómala, incluida la verificación de los componentes de la red mediante identificadores de huellas dactilares y la creación de trampas. Soporta la generación de alertas cuando se viola la estructura de la red (por ejemplo, la aparición de un BSSID previamente desconocido), cambios en los parámetros de red relacionados con la seguridad (por ejemplo, cambio de modos de cifrado), detectando la presencia de dispositivos típicos para realizar ataques. (por ejemplo, WiFi Pineapple ), arreglando un acceso trampa o detectando cambios anormales en el comportamiento.
Además de analizar la actividad maliciosa, el sistema se puede utilizar para el monitoreo general de redes inalámbricas, así como para la detección física de la fuente de anomalías detectadas mediante el uso de rastreadores, que permiten identificar progresivamente un dispositivo inalámbrico malicioso en función de su especificidad.
En esta nueva versión, tal y como se comentó al inicio se destaca que se agregó soporte para generar y enviar informes por correo electrónico sobre anomalías detectadas, redes registradas y estado general.
Ademas, tambien se destaca que se agregó soporte para alertas sobre la detección de intentos de ataques para bloquear el funcionamiento de las cámaras de vigilancia en función del envío masivo de paquetes de desautenticación.
Se ha agregado una página con el perfil del atacante, que brinda información sobre los sistemas y puntos de acceso con los que interactuó el atacante, así como estadísticas sobre el nivel de señal y tramas enviadas.
Y tambien se destaca que se agregó la capacidad de configurar controladores de devolución de llamada para responder a una advertencia (por ejemplo, se puede usar para escribir información sobre anomalías en un archivo de registro).
De los demás cambios que se destacan:
Finalmente para quienes estén interesados en poder conocer más al respecto, pueden consultar los detalles en el siguiente enlace.
Tambien vale la pena mencionar que el código del proyecto está escrito en Java y distribuido bajo la licencia SSPL (Server Side Public License), que se basa en AGPLv3, pero no está abierto debido a los requisitos discriminatorios sobre el uso del producto en los servicios en la nube.
En ocasiones resulta interesante tener un control sobre los cambios de un sitio web. Puede que tengamos una página propia y queramos monitorizar que todo funciona bien o puede que simplemente estemos pendientes de algún cambio en una web que solemos visitar. En este artículo vamos a hablar de una serie de servicios online con los que podemos monitorizar páginas web. Podremos, por ejemplo, recibir alertas cuando haya una variación.
Puede que te preguntes para qué sirven realmente estos servicios y por qué puede ser importante monitorizar un sitio web para detectar cualquier cambio. Hay diferentes motivos, como vamos a ver. Van desde estar informados hasta poder solucionar posibles problemas lo antes posible.
Una de las razones para querer monitorizar una página web es poder detectar cambios en cuanto se produzcan. Por ejemplo si estamos esperando que publiquen un determinado artículo o que suban algún contenido nuevo, este tipo de herramientas nos avisarán en cuanto detecten ese cambio.
También puede que no se trate de un nuevo artículo, sino simplemente de algo que ya existe y que va a recibir una actualización. Una nueva versión de un programa que esté disponible, un cambio en un texto, etc. Igualmente vamos a estar informados permanentemente de si se ha producido o no.
Por otra parte, si tenemos una página personal y queremos que todo funcione bien, que no haya ningún problema y detectar cualquier variación que pueda haber, vamos a poder contar con este tipo de servicios. Todo ello, además, de una forma automatizada para no tener que estar constantemente abriendo una página.
Existen diferentes herramientas online que podemos usar para todo esto que mencionamos. Vamos a poder monitorizar una página web que nos interese y recibir alertas en caso de que haya algún cambio o incluso problema como podría ser un ataque cibernético que cambie el aspecto de ese sitio.
El primer servicio que queremos mostrar es Visualping. Es una herramienta muy popular, que cuenta con muchos usuarios particulares y también empresas que confían en ella para monitorizar sus páginas web. Destaca por su sencillez. Podemos entrar en su página web y encontrar toda la información.
Podemos seleccionar un área para que Visualping actúe sobre ella. En cuanto detecte que ha habido un cambio, como podría ser un nuevo artículo, que hayan cambiado una imagen o lo que sea, nos enviará un correo electrónico para que estemos informados de ello.
Cuenta con un gran abanico de opciones, como por ejemplo una herramienta avanzada para detectar si una palabra o frase en concreto aparece en una página. Podemos monitorizar hasta 14 sitios semanales de forma gratuita y también configurar si queremos que analice una página cada 15 minutos, 30 minutos, cada día, cada semana, etc.
Otra opción con la que vamos a poder monitorizar sitios web es OnWebChange. Está más enfocado a poder hacer un seguimiento de una información en concreto. También es sencillo y cuenta con una función de seguimiento público. Esto significa que vamos a poder añadir un botón en nuestra página web y permitir que los visitantes puedan monitorizar una zona determinada de la página.
Además, ese informe lo vamos a poder compartir con terceros. Va a rastrear cualquier tipo de cambio en el contenido, como podrían ser imágenes, documentos, archivos PDF… De todo ello vamos a ser avisados una vez detecte una variación que aparezca en los sitios seleccionados.
De forma gratuita vamos a poder monitorizar tres páginas web. Puede ser más que suficiente para usuarios que solo quieran analizar su sitio web o alguna página en concreto. No obstante, podremos utilizar la versión de pago en caso de que necesitemos más.
El servicio ChangeTower también permite monitorizar hasta tres sitios web de forma gratuita. Es una herramienta que se basa en la nube y es capaz de mostrar cualquier cambio visible que haya en una página determinada, como podría ser el cambio de un titular, una imagen, un nuevo artículo…
Nos permite realizar un seguimiento para detectar posibles actualizaciones que haya en el código, palabras o cualquier variación visible en el sitio. Además, nos permite conocer cuál es el estado de una página web. De esta forma podremos recibir alertas si aparece algún cambio o error.
Si necesitamos exportar los datos a un Excel para poder gestionarlos mejor, es posible hacerlo sobre los datos de hasta tres meses de antigüedad. Podemos entrar en su página web y probar el servicio.
Dentro de las herramientas más populares para monitorizar un sitio web debemos mencionar a Wachete. Es bastante completa y tiene como punto destacable que es capaz de monitorizar también páginas web que estén protegidas por una contraseña. Incluso podemos monitorizar aquello que requiere de hacer algún clic.
Como en otras opciones que hemos visto, Wachete también permite monitorizar solo una sección concreta de una página. Por ejemplo si solo nos interesa un apartado determinado de una web como sería RedesZone, podemos simplemente marcarlo y empezar a monitorizarlo.
Otra característica es que envía información en tiempo real. Podemos configurarlo para que nos envíe información a través del correo electrónico o mediante aplicación para el móvil. Lo podemos hacer sobre cinco páginas web de forma gratuita. También podemos bajar todo el registro en un archivo Excel y poder gestionarlo mejor.
Un servicio que también podemos utilizar para monitorizar una página web es Sken. Nos permite insertar una URL, sobre la que nos interese detectar cambios, y automáticamente comenzará a analizar cualquier variación que pueda ocurrir mientras no estamos pendientes.
También nos permite seleccionar únicamente una parte de ese sitio. Solo tendremos que marcar lo que nos interesa y actuará sobre esos elementos. Posteriormente configuraremos el intervalo de tiempo que queremos que pase para que detecte cambios y el método para que nos notifique.
Con Fluxguard vamos a tener una herramienta similar para poder detectar posibles cambios que aparezcan en una página web. Permite crear filtros y alertas, además de poder comprobar hasta 50 sitios en la versión gratuita y miles en la versión de pago. Es ideal para responsables de páginas web que quieran potenciar el SEO.
En su página web podemos encontrar toda la información para empezar a usarlo. Veremos que muestra información sobre cambios en las cookies, código HTML, textos e incluso píxeles. Podremos tener todo tipo de detalles para lograr un control total.
En definitiva, estas son algunas opciones que tenemos disponibles para monitorizar un sitio web de forma gratuita. Hemos visto algunas herramientas que nos permiten detectar cualquier cambio que aparezca y también evitar ciertos problemas que puedan aparecer en nuestro sitio.
El artículo Monitoriza los cambios de una web con estos servicios se publicó en RedesZone.
Una configuración fundamental en GLPI será normalmente el integrarlo con un servicio de directorios como pueda ser el Directorio Activo de una organización. La idea será estandarizar, que los usuarios, clientes, proveedores, técnicos… puedan usar el mismo usuario que utilizan de manera habitual en sus equipos. Primero, en GLPI configuraremos un conector LDAP contra […]
La entrada Integración de GLPI con Directorio Activo apareció primero en Blog Bujarra.com.
Enlarge (credit: Getty Images)
As many as 300,000 routers made by Latvia-based MikroTik are vulnerable to remote attacks that can surreptitiously corral the devices into botnets that steal sensitive user data and participate in Internet-crippling DDoS attacks, researchers said.
The estimate, made by researchers at security firm Eclypsium, is based on Internet-wide scans that searched for MikroTik devices using firmware versions known to contain vulnerabilities that were discovered over the past three years. While the manufacturer has released patches, the Eclypsium research shows that a significant proportion of users has yet to install them.
“Given the challenges of updating MikroTik, there are large numbers of devices with these 2018 and 2019 vulnerabilities,” Eclypsium researchers wrote in a post. “Collectively, this gives attackers many opportunities to gain full control over very powerful devices, positioning them to be able to target devices both behind the LAN port as well as target other devices on the Internet.”
Read 5 remaining paragraphs | Comments
Enlarge (credit: Getty Images)
Exploit code has been released for a serious code-execution vulnerability in Log4j, an open source logging utility that's used in countless apps, including those used by large enterprise organizations, several websites reported last Thursday.
Word of the vulnerability first came to light on sites catering to users of Minecraft, the best-selling game of all time. The sites warned that hackers could execute malicious code on servers or clients running the Java version of Minecraft by manipulating log messages, including from things typed in chat messages. The picture became more dire still as Log4j was identified as the source of the vulnerability, and exploit code was discovered posted online.
“The Minecraft side seems like a perfect storm, but I suspect we are going to see affected applications and devices continue to be identified for a long time,” HD Moore, founder and CTO of network discovery platform Rumble, said. “This is a big deal for environments tied to older Java runtimes: Web front ends for various network appliances, older application environments using legacy APIs, and Minecraft servers, due to their dependency on older versions for mod compatibility.”
Read 15 remaining paragraphs | Comments
 |
|
Figura 2: Libro de Hacking Web Technologies en 0xWord de los autores: Amador Aparicio, Chema Alonso, Pablo González, Enrique Rando y Ricardo Martín. |
Tenemos muchas plataformas para alojar contenido en la nube, pero sin duda una de las más populares es Google Drive. Allí podemos almacenar archivos de todo tipo, crear copias de seguridad, tener documentos disponibles para abrir y editar desde cualquier lugar o compartirlos entre dispositivos. En este artículo vamos a hablar de un programa gratuito que amplía las posibilidades de este servicio. Concretamente se trata de google-drive-ftp-adapter, que convierte a Google Drive en un servidor FTP.
En primer lugar queremos hablar de qué es exactamente un servidor FTP. Se trata de un servicio que se utiliza para la transferencia de archivos, ya sea subir o descargar, entre dos equipos conectados de forma remota. Lo normal es que sea entre el equipo local de un cliente y el servidor de un proveedor.
Para que esto sea posible es necesario contar con un cliente FTP y un servidor FTP. Básicamente es el software que va a permitir esta transferencia de archivos entre dos equipos. La conexión es bidireccional, por lo que al mismo tiempo podremos enviar y recibir datos. Por ejemplo sirve para subir imágenes, archivos de vídeo, documentos de texto… Cualquier tipo de archivo que tengamos y que nos interese compartir con otro dispositivo.
Este tipo de servicios los podemos utilizar con un usuario y contraseña. Es lo que nos permite autenticarnos y verificar una cuenta en concreto para tener acceso a un servidor y poder transferir archivos. No obstante, también es posible el acceso como invitado, lo cual podría ser de forma anónima.
Después de haber explicado brevemente qué es el protocolo FTP, cómo actúa el cliente y el servidor, vamos a explicar cómo podemos usar Google Drive para ello. Vamos a hacer referencia a google-drive-ftp-adapter, que es la aplicación necesaria para lograr nuestro objetivo. Tendremos que descargarla en nuestro equipo, configurarla y comenzar a usarla con nuestro usuario para poder subir o bajar archivos.
Lo primero que tenemos que hacer es descargar en nuestro equipo el programa google-drive-ftp-adapter. Es un software gratuito, de código abierto, y que podemos bajar de GitHub. Eso sí, es necesario tener instalado Java previamente en el equipo para que funcione correctamente.
En GitHub veremos toda la información referente a google-drive-ftp-adapter, así como el botón para descargar el archivo ZIP que contiene lo que es el programa en sí y todo el contenido que vamos a tener que descargar en nuestro equipo y ejecutar posteriormente.
Dentro de la información veremos que la misión de este programa es poder utilizar el protocolo FTP a través de Google Drive. Esto, como veremos, va a dar una serie de posibilidades a los usuarios que tengan cuenta en este popular servicio de Google.
Una vez hayamos descargado el archivo ZIP desde GitHub y lo descomprimamos en el ordenador, veremos que hay diferentes carpetas. Una de ellas es google-drive-ftp-adapter-master. Es justo ahí donde tenemos que entrar. Allí dentro hay que ejecutar el archivo jar que veremos para poder iniciar el programa.
Adicionalmente, también veremos que hay una herramienta llamada PoweredBy.Cloud. Esto es lo que permite configurar Drive como CDN.
*Nota: cuando lo ejecutamos por primera vez este archivo dio un error indicando que no se podía leer correctamente. Es algo que puede ocurrir, pero se soluciona fácilmente solo con volver a ejecutarlo una segunda vez.
Cuando hayamos ejecutado google-drive-ftp-adapter, nos solicitará que lo vinculemos a nuestra cuenta. Tenemos que dar los permisos necesarios para que pueda funcionar correctamente. Además, Windows Defender, el antivirus de Microsoft, nos lanzará un mensaje para que permitamos utilizar esta aplicación. Tendremos que darle a aceptar, ya que de lo contrario podría bloquear el programa y que no funcione correctamente.
Hay que iniciar sesión en Drive con nuestro usuario y contraseña. Esto es esencial para realmente vincular la cuenta y poder acceder al contenido que ya tengamos guardado o poder subir nuevos archivos que queramos a la plataforma.
Desde ese momento ya tendremos configurado Google Drive para que funcione como cliente FTP. Esta herramienta que hemos instalado automatiza todo el proceso. Solo necesitaremos cualquier programa FTP. Por ejemplo en nuestro caso hemos decidido utilizar WinSCP, que funciona muy bien. Sería similar con cualquier otra opción.
Por tanto, el siguiente paso será abrir el programa FTP, que en este caso será WinSCP. Nos pedirá una serie de datos que serán necesarios para poder conectarnos a Google Drive. Tenemos que poner en nombre de host Localhost. En el apartado de usuario ponemos user y de contraseña también user.
El puerto que va a utilizar es 1821. Este es el puerto que nos configura google-drive-ftp-adapter de forma predeterminada. En las opciones que nos aparecerán arriba tenemos que seleccionar FTP y sin cifrado.
Una vez hayamos configurado todos estos parámetros que hemos mencionado, ya solo queda comenzar a utilizar google-drive-ftp-adapter. Cuando le demos a conectar, apenas tardará unos segundos en aparecer la lista de todos nuestros archivos que tenemos almacenados en el servicio de Google.
Con esto lograremos un control total y accesible de todas las carpetas. Vamos a poder subir y descargar archivos de una manera sencilla y rápida. Por ejemplo podremos transferir documentos de texto, imágenes, archivos de vídeo, carpetas ZIP… Cualquier cosa que queramos tener en Drive. Al ser bidireccional, podremos tanto cargar como descargar contenido sin ningún problema.
En definitiva, con estos pasos que hemos mostrado podemos configurar Google Drive como servidor FTP. Es un proceso sencillo, rápido y que solo requiere de instalar una herramienta como es google-drive-ftp-adapter, que es totalmente gratuita y de código abierto, y configurarla adecuadamente. También tendremos que contar con un programa FTP, que en nuestro caso hemos usado WinSCP pero se puede usar cualquier otro con un funcionamiento similar.
¿Qué te parece el programa google-drive-ftp-adapter? ¿Crees que es útil poder utilizar Drive como servidor FTP y transferir archivos de una manera rápida y sencilla gracias a esta herramienta?
El artículo Así puedes usar Google Drive como servidor FTP gratis se publicó en RedesZone.
Hay muchos métodos que pueden utilizar los ciberdelincuentes para infectar un equipo, robar información, contraseñas o provocar cualquier mal funcionamiento. Sin embargo no siempre hace falta un programa malicioso o usar algún software determinado. En este artículo vamos a hablar de Bash Bunny, un USB hacking que es capaz de atacar sistemas informáticos. Una manera diferente por la cual nuestros equipos pueden verse comprometidos.
Para muchos es considerado como uno de los dispositivos de este tipo más avanzados para el hacking. Es capaz de realizar múltiples ataques informáticos y tiene una apariencia de pendrive normal. Sin embargo, tiene la capacidad de ser mucho más peligroso que una memoria normal y puede robar información de cualquier sistema al que se conecte.
Pero, ¿cómo logra engañar al sistema operativo y que no lo detecte como una amenaza? Esto lo consigue ya que emula ser un dispositivo USB fiable, de confianza, como podría ser cualquier memoria, una tarjeta de red Ethernet o un teclado. Esto le permite tener acceso a los archivos del equipo, recibir contraseñas de los usuarios e incluso instalar software malicioso. Todo ello, además, en cuestión de segundos.
Los responsables de Bash Bunny cuentan también con una gran variedad de scripts listos para usar. Esto permite atacar prácticamente cualquier sistema informático. Incluso cualquier usuario podría crear sus propios scripts a través de un editor de texto.
Por su aspecto físico, la facilidad de transportar de un lugar a otro y la versatilidad que tiene, lo convierten en un USB hacking realmente potente y que puede suponer un riesgo de seguridad importante.
Si miramos su aspecto físico, el USB hacking Bash Bunny no es muy diferente a cualquier memoria USB que tengamos por casa. El objetivo precisamente es pasar desapercibido y permitir que cualquiera lo utilice y pueda atacar a otro dispositivo sin llamar la atención.
Pero si entramos en el aspecto más técnico y en su interior, hay que mencionar que es como si fuera un pequeño ordenador. Cuenta con el sistema operativo Linux, un procesador de cuatro núcleos y un chip SSD para el almacenamiento, que es de 8 GB. Nada mal para un aparato de estas dimensiones. Según el modelo, la memoria RAM es de 512 MB o de 1 GB. También tiene Bluetooth LE para controlar de forma remota en la versión más avanzada, por funcionalidades, esta versión más avanzada sería la más recomendable porque nos permite tener control remoto de forma fácil y rápida.
En cuanto a los lenguajes de programación que es capaz de interpretar, podemos mencionar los más habituales como Python, Perl y Ruby, pero cuenta con otros más con los que también tiene compatibilidad. Esto dará flexibilidad a los usuarios que quieran crear scripts y probarlos con este aparato.
Por otra parte, hay que destacar especialmente la velocidad para estar en pleno funcionamiento. De hecho tarda apenas 7 segundos en arrancar, por lo que una vez lo enchufemos a un ordenador no tardará mucho en poder ejecutar comandos y llevar a cabo las tareas para las que está configurado.
Cuenta además con diferentes modos de funcionamiento y lo podemos ver gracias a un LED personalizable. Esto nos permitirá saber si está o no funcionando y además en qué modo lo hace.
Si te preguntas cómo puedes comprar un USB hacking Bash Bunny y cuánto cuesta, la respuesta es que resulta sencillo adquirirlo por Internet. Podemos hacerlo a través de la página de Hak 5 y también está disponible en Amazon donde además encontraremos la posibilidad de adquirir también un libro con información de su uso.
Su precio quizás no sea tan económico como podamos pensar, ya que hablamos de un dispositivo que cuesta algo más de 100 euros, pero no deja de ser una opción muy interesante para aquellos usuarios que quieran hacer pruebas de penetración, poner a prueba la seguridad de los equipos, aprender más sobre estos temas, etc.
En su libro, que podemos adquirir junto al dispositivo, encontraremos una gran cantidad de opciones para ello. Allí nos explicarán más sobre su funcionamiento y las diferentes opciones que vamos a tener con este USB Bash Bunny, con una gran colección donde podemos elegir qué carga útil nos interesa para cualquier prueba o ataque que queramos realizar.
Aunque este tipo de dispositivos son muy útiles para los entusiastas de la seguridad informática y poder realizar pruebas, lo cierto es que un atacante con malas intenciones podría robar nuestros datos o poner en riesgo nuestro equipo con un dispositivo de este tipo. Es por ello que debemos tomar ciertas precauciones.
Lo primero de todo es el sentido común. Esto nos ayudará a estar protegidos frente ataques de Bash Bunny y cualquier dispositivo similar. No debemos nunca confiar en un pendrive que hemos encontrado en la calle o ha aparecido en algún lugar determinado y no sabemos realmente su procedencia. Se han dado muchos ataques de este tipo en los que sueltan memorias USB en lugares como bibliotecas y universidades, con la esperanza de que la víctima lo recoja y lo ponga en su equipo.
Pero además, siempre es importante contar con programas de seguridad. Un buen antivirus va a evitar la entrada de virus y malware en general que pueda comprometer nuestra seguridad y privacidad. Va a ayudar también a detectar posibles cargas útiles maliciosas que puedan suponer un riesgo para los sistemas.
Por otra parte, también es esencial tener los equipos actualizados. A través de un pendrive o cualquier archivo que llegue a nuestro equipo podrían aprovecharse de vulnerabilidades y explotarlas. Esto podría hacer que roben datos personales o recopilen información muy variada. Gracias a los parches y actualizaciones de seguridad podemos lograr que nuestra protección sea mayor.
En definitiva, si buscas un dispositivo USB hacking completo, sencillo de utilizar y que cuente con una gran variedad de opciones, Bash Bunny es una opción interesante. Es ideal para llevar a cabo pruebas de penetración, comprobar la seguridad de los equipos y crear scripts capaces de recopilar datos o instalar software de forma automática al conectar el aparato.
El artículo Conoce Bash Bunny, un USB para atacar sistemas se publicó en RedesZone.
Localizar a una persona a través de su móvil, es algo que siempre hemos visto en las películas y que, en ocasiones, nos hemos llegado a plantear como podríamos llevar a cabo esa tarea con las herramientas que los usuarios tenemos a nuestro alcance. En este caso sería un móvil.
Cuando los más pequeños de la casa comienzan a crecer y nos vemos obligados a darle un teléfono móvil, no hay que verlo como un aspecto negativo, sino todo lo contrario, ya que, gracias a él, podemos tenerlo localizado en todo momento, para así, poder estar más tranquilos. Si tienes hijos, lo entenderás.
Desde casi una década, la mayoría de los smartphones incluyen un chip GPS, chip que pone en contacto nuestro smartphone con los satélites de geolocalización para poder utilizarlo como si un dispositivo GPS tradicional se tratara, unos dispositivos que se vendían como churros antes de la llegada de los smartphones.
Pero, gracias a este chip, no solo podemos ubicarnos en un mapa y conocer nuestra localización exacta, sino que, además, también lo podemos utilizar para localizar cualquier smartphone, siempre y cuando, tengamos acceso a la cuenta que está asociada al dispositivo.
Si quieres saber cómo localizar un móvil, a continuación, te muestro dos opciones completamente gratuitas y que no requieren de ningún tipo de suscripción.
Cuando configuramos un smartphone con una cuenta de Google, este se asocia automáticamente a nuestra cuenta, para que, de esta forma, podemos gestionarlo de forma remota, en caso de pérdida o robo.
Pero, además, también nos permite localizar el dispositivo en todo momento, siempre y cuando tenga conexión a internet. Si no es así, nos mostrará la última ubicación en la que el dispositivo se ha conectado a internet, ya sea vía Wi-Fi o a través de los datos móviles del terminal.
A no ser que, manualmente, desactivemos los servicios de localización de nuestro dispositivo, esta función siempre se encuentra activada y hasta que no olvidas tu terminal en algún sitio, no te das cuenta de lo útil que puede llegar a ser.
Para localizar un dispositivo móvil asociado a una cuenta, Google pone a nuestra disposición dos opciones: aplicación para Android y la página web de Google.
Google pone a nuestra disposición la aplicación Encontrar mi dispositivo, una aplicación que podemos instalar de forma gratuita en nuestro smartphone o cualquier otro y con la que podemos localizar un móvil asociado a una cuenta.
Encontrar mi dispositivo (Free, Google Play) →
Si no tenemos el smartphone a mano, porque precisamente lo hemos perdido, podemos hacer uso de la esta web de Google, cuyo funcionamiento es el mismo que la aplicación para Android.
Como he comentado más arriba, la aplicación nos permite localizar el móvil asociado a una cuenta, no necesariamente el dispositivo donde se instala. De esta forma, si queremos localizar un móvil, tan solo debemos introducir los datos de la cuenta del dispositivo para que la aplicación / web, nos muestra la localización.
Nos mostrará la localización en tiempo real si el dispositivo tiene conexión a internet. Si no es así, porque está apagado o no tiene cobertura, nos mostrará la última ubicación que tenía el dispositivo en el último momento que se conectó a internet.
Lo primero que debemos tener en cuenta a la hora de localizar a nuestros hijos haciendo uso de esta aplicación / servicio de Google, es que el dispositivo a buscar, mostrará una notificación en la que se le informa que el dispositivo ha compartido su ubicación.
Es decir, que alguien ha utilizado la función Encontrar mi dispositivo con la cuenta del terminal con lo que ello puede suponer para el menor y la relación con los padres, donde no voy a entrar.
Localizar un móvil con los datos de la cuenta de Google es posible conociendo el usuario y la contraseña y siempre y cuando, no tenga activada la autenticación en dos pasos.
Si es así, el usuario del dispositivo, recibirá una notificación con un código de verificación que debe introducir en la aplicación o web de Google, dependiendo del método utilizado para localizar el dispositivo.
Sin ese número, nunca podrás localizar el dispositivo asociado a la cuenta. Como podemos ver, esta función está diseñada para ser utilizada por uno mismo con sus propios dispositivos, no para localizar el dispositivo de otras personas, ya sean hijos, parejas, familiares, amigos…
Si quieres tener localizados en todo momento a nuestros hijos, la otra opción que Google pone a nuestra disposición es Family Link.
Family Link es la aplicación de control parental de Google, una aplicación que, no solo nos permite localizar el móvil del menor en todo momento, sino que, además, también nos permite conocer el uso que hace del móvil y de las aplicaciones instaladas, además de limitar su uso durante ciertas horas del día.
La plataforma Family Link de Google, funciona a través de dos aplicaciones:
Google Family Link (Free, Google Play) →
Family Link child and teen (Free, Google Play) →
Para poder gestionar el dispositivo del menor, debemos crearle una cuenta, cuenta que debemos vincular previamente al núcleo familiar a través de este enlace antes de instalar y configurar Family Link.
El funcionamiento de Family Link es muy sencillo. Una vez abrimos la aplicación, debemos seleccionar la cuenta del menor que corresponde al dispositivo a localizar.
Al acceder a la cuenta del menor que queremos localizar, se mostrará un resumen del tiempo que ha utilizado el dispositivo, su ubicación, las aplicaciones que ha instalado, los límites de uso establecido (que podemos cambiar) …
En la Play Store tenemos interesantes alternativas a las que nos ofrece Google con Family Link, sin embargo, todas ellas son de pago y no están orientadas al control parental, única razón de peso para querer la localización de una persona.
GPS Localizador de móviles y Life360 son aplicaciones orientadas a localizar dispositivos móviles, pero, al igual que Family Link, es necesario instalar una aplicación en todos los dispositivos que queremos conocer su ubicación.
Estas aplicaciones son ideales para empresas, para saber donde se encuentran sus trabajadores para así gestionar las tareas de una forma mucho más eficiente y evitar desplazamientos innecesarios si un trabajador se encuentra cerca.
Esta aplicación, al igual que todas las que permiten localizar móviles, funcionan únicamente a través del chip GPS en combinación con una conexión a internet para enviar la información.
Eso de triangular la posición de un móvil basándose en las torres de telefonía móvil cercanas, únicamente lo puede hacer la policía en combinación con los operadores de telefonía.
Enlarge / Technology that can track stolen property can also be used to track property to steal. (credit: Getty Images)
When Apple debuted its new AirTag tracker earlier this year, part of our review focused on the privacy implications of the device. We called the device "a rare privacy misstep from Apple." This week, Canadian police announced that car thieves have been using AirTags to track vehicles they want to steal.
York Regional Police (which serves an area north of Toronto) revealed that it has investigated five incidents in the past three months in which thieves have hidden AirTags on vehicles parked in public. Later, the thieves tracked down their targets to steal the cars at their leisure.
Other Bluetooth-based trackers have been available for some time now, but the ubiquity of Apple devices (which communicate with AirTags via Apple's Find My app) means it's generally faster and more accurate to track something remotely via an AirTag than a rival device like a Tile. And while they undoubtedly make it easier for users to recover lost stuff, the tags are being exploited by criminals.
Read 1 remaining paragraphs | Comments
La Justicia está dando la razón a los afectados del conocido como el Cártel de los Coches. El caso se inició en 2015 cuando la CNMC decidió multar a los principales fabricantes automovilísticos por aliarse para intercambiar información "secreta, futura y estratégica" con la que frenar el desarrollo de coches menos contaminantes. Debido a esto, aquellos consumidores que compraron un coche entre el año 2006 y el 2013 puede llegar a corresponderles una indemnización que se calcula entre 2.000 y 9.000 euros por comprador, en función del valor del vehículo.
En juego hay más de 40.000 millones de euros en las reclamaciones. Tras varios años de disputas legales, el Supremo ha dictado varias resoluciones dando la razón a los consumidores y está obligando a los distintos fabricantes a aportar esta recompensa económica. Aquí os explicamos todos los detalles del caso del Cártel de los Coches, desde qué marcas se han visto afectadas hasta cómo podemos reclamar de forma sencillasi nos hemos visto afectados.
Las distintas organizaciones que están liderando las reclamaciones de los consumidores han creado sencillas herramientas para comprobar si nos afecta. Básicamente se trata de varias aplicaciones web donde introducimos la marca de coche, el modelo y el año y nos avisan de si se incluye en el listado. Una de ellas es la creada por la Agrupación de Afectados por el Cártel de Coches (AACC). Otra opción es la creada por la Organización de Consumidores y Usuarios (OCU).
Herramienta de la Agrupación de Afectados por el Cártel de Coches (AACC). En total, las asociaciones calculan que hay millones de afectados en España. La CNMC multó a un total de 21 fabricantes de coches, 130 concesionarios y 2 consultoras. En total, el 91% de la cuota de mercado de por entonces.
Estas son las marcas implicadas y cuyos vehículos podrían encajar en la demanda, en caso de haber sido adquiridos entre 2006 y 2013:
Algunas de estas compañías ya no operan en nuestro país. Tampoco se incluye Mazda, que aunque fue investigada finalmente quedó absuelta. Es importante señalar que cada marca de coches tiene su propio calendario y aunque las fechas concretas van de febrero de 2006 a agosto de 2013, el periodo de infracción de algunos fabricantes terminó unos meses antes.
Si estás entre los afectados es posible presentar una reclamación, sea de manera individual o colectiva a través de plataformas como la OCU o la AACC. En su día, la OCU ya formalizó una demanda colectiva donde participaron 160.000 consumidores.
Entre la documentación que hará falta aportar está la factura de la compra o el resguardo de la transferencia bancaria. Cuanta más información tengamos más fácil será. También será necesaria la ficha técnica del coche donde se especifican los datos del vehículo, para así poder comprobar que está entre los afectados.
Según calcula el bufete de abogados Cremades & Calvo-Sotelo, la indemnización puede ser unos 2.500 euros de media. Aquí la cantidad depende del informe pericial y el estudio económico de cada coche, aunque las organizaciones que están llevando a cabo las demandas colectivas estiman que se sitúa entre un 10 y un 15% del valor del coche, más los intereses legales.
Si el coche nos costó 15.000 euros, podrían correspondernos unos 1.500 euros, que más intereses podría situarse por encima de los 2.200 euros. Para vehículos más caros, la cuantía puede llegar a ser de hasta 9.000 euros, según apuntaba Frank Rodríguez Trouwborst, director general de Consultores Técnicos, en La Información.
Desde Almacén en Derecho, el profesor Jesús Alfaro, apunta la "ausencia de explicación sobre el cálculo que se realiza para alcanzar las cifras que se indican en las citadas propuestas".
El primer movimiento de los distintos fabricantes fue apelar la decisión de la CNMC, pero el Tribunal Supremo ya ha confirmado múltiples multas, llegando a castigar a cerca del 80% de las empresas del 'Cártel de los coches' o 'Cártel de los concesionarios'. Salvo los de Mazda, Kia y Toyota, todos los recursos de las empresas del cártel han sido desestimados.
Progresivamente van surgiendo sentencias a favor de las agrupación de afectados por el Cártel de Coches, obligando a las marcas a indemnizar a los compradores con cifras alrededor del 10% y el 15% del coste del coche. Debido a esto, existen altas posibilidades que los demandantes consigan un resultado favorable.
Inicialmente el plazo para reclamar era de un año a partir de la sentencia del Tribunal Supremo para cada una de las marcas, pero el Tribunal de Justicia de la Unión Europea resolvió en una sentencia en junio de 2022 que ampliaba el plazo para reclamar a cinco años. Debido a esta decisión, el plazo para reclamar por este Cártel de los Coches termina en 2026.
En Xataka | Qué (y cómo) puedo reclamar si un fabricante "brickea" un dispositivo que he comprado
-
La noticia
Si compraste un coche entre 2006 y 2013 puedes tener hasta 9.000 euros por el Cártel de los Coches: cómo reclamar la indemnización
fue publicada originalmente en
Xataka
por
Enrique Pérez
.
