Fernando Garcia

Read 8 remaining paragraphs | Comments

Un post bastante rapidito que creo que nos puede interesar a muchos, y no es algo más común que poder monitorizar cualquier evento del Visor de Eventos de Windows. ¿Os imagináis vigilando los eventos de los controladores de dominio? Pudiendo estar al tanto cuando un Usuario se ha creado, modificado, eliminado… o un Grupo, o […]

La entrada Monitorizando Eventos de Windows desde Centreon apareció primero en Blog Bujarra.com.

En enero de este año el Ministerio de Trabajo en España inició una macroinspección contra las conocidas como Big Four. Cuatro grandes consultoras a las que cuáles pusieron en duda el cumplimiento de las jornadas laborales y también el registro de las horas extra que realizaban los empleados. Ahora, el Ministerio ha concluido las investigaciones contra Deloitte, PwC, KPMG e EY notificando las sanciones que va a establecer (aunque no sean firmes).

Y es como era de esperar, las sospechas de Trabajo parece que se han terminado cumpliendo con las cuatro consultoras donde se han detectado diversas infracciones. La sanción impuesta por toda estas suman a día de hoy la cifra de 1,4 millones de euros. Una cifra que sin duda puede llegar a imponer a cualquiera de nosotros pero que a estas empresas multimillonarias no les hace mucho daño.

1,4 millones de euros a las Big Four en España

Estos 1,4 millones de euros en sanciones se basan principalmente en cuotas de la Seguridad Social que no han sido abonadas así como con no contar con el registro de horas extra que es obligatorio para cualquier empresa desde 2019. Si bien, esto es algo que todavía está abierto a poder ir en aumento tal y como han informado fuentes de la inspección a CincoDías.

Toda esta investigación comenzó ya en el año 2022 de oficio, cuando el ministerio arrancó con la recopilación de documentación de control de la plantilla. Pero todo acabó con una auténtica redada en las sedes de estas empresas de Madrid, aunque no fue sencillo recopilar toda la información. Ahora se puede afirmar que efectivamente nadie firmaba el registro horario.

Y decimos que no fue una tarea sencilla porque no se ofreció acceso a los archivos informatizados para el SEPE algo que ya conlleva una gran sanción por obstaculizar la investigación. Pero al menos, de esa "redada" salió como resultado que ya sí se estén registrando las horas de los trabajadores.

Aunque la sanción más importante se la lleva la empresa por no abonar las cuotas a la Seguridad Social que no habían sido abonadas. Pero con esto cerramos una de las grandes polémicas que ha existido en el sector al acordarse también entre representantes de los trabajadores y la patronal un salario de entrada acorde a la facturación millonaria de la empresa. Pero a las Big Four les sigue sin convencer que haya un sueldo base porque su actividad laboral depende de picos de producción. Y esto quiere decir que habrá meses que se trabaje más y otros que se trabaje menos. Y un sueldo fijo a ellos no les interesa.

Y es en estas horas extras, que en algunos casos querían que llegase a las 12 horas diarias, donde se encontraban las Big Four siendo acusadas de explotación laboral. Pero efectivamente, en este caso tenemos un resultado positivo para los trabajadores al ver como han recibido una sanción millonaria y que han implementado esos sistemas que antes se echaban tanto de menos.

Imágenes | Sean Pollock Clay LeConey

En Genbeta | Los trabajadores jóvenes son la generación a la que menos les importa el salario. Pero valoran mucho otras cosas de una empresa

-
La noticia Trabajo impone una multa millonaria a las Big Four tras comprobar que no respetaban la legislación laboral fue publicada originalmente en Genbeta por José Alberto Lizana .

A continuación se muestra una pequeña configuracion de un punto de acceso Cisco AIR-AP1131-AG-E-K9 para una configuración básica casera.


version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname AIR-AP1131
!
logging rate-limit console 9
enable secret clave_enable
!
no aaa new-model
led display alternate
ip name-server 8.8.8.8
ip name-server 8.8.4.4
!
!
dot11 syslog
!
dot11 ssid MiSSID
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii miclavewpa
!
power inline negotiation prestandard source
!
!
username admin password clave_de_usuario_admin
!
!
bridge irb
!
!
interface Dot11Radio0
no ip address
no ip route-cache
!
encryption mode ciphers aes-ccm
!
ssid MiSSID
!
channel 2452
station-role root
no dot11 extension aironet
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface Dot11Radio1
no ip address
no ip route-cache
shutdown
no dfs band block
channel dfs
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
bridge-group 1 spanning-disabled
!
interface FastEthernet0
no ip address
no ip route-cache
duplex auto
speed auto
bridge-group 1
no bridge-group 1 source-learning
bridge-group 1 spanning-disabled
hold-queue 160 in
!
interface BVI1
ip address 192.168.1.254 255.255.255.0
no ip route-cache
!
ip default-gateway 192.168.1.1
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
logging 10.0.0.1
snmp-server community public RO
snmp-server ifindex persist
snmp-server location Ubicacion
snmp-server contact Contacto
bridge 1 route ip
!
!
line con 0
line vty 0 4
login local
!
sntp server 150.214.94.5
sntp broadcast client
end

 

El cliente de correo electrónico en Windows lleva un buen tiempo siendo la opción por defecto del sistema operativo para que los usuarios puedan acceder a sus cuentas sin necesidad de descargar otra app o entrar desde el navegador. Sin embargo, desde el año pasado, Microsoft ha ido mostrando las capacidades del nuevo cliente de Outlook, que llega totalmente renovado a Windows.

Si bien en 2022 llegó al canal beta, no ha sido hasta este momento cuando el nuevo Outlook ha sustituido finalmente a la aplicación de Correo en Windows. Este nuevo diseño ya está llegando a todos los usuarios, aunque si echas en falta el diseño de la antigua app de Correo, todavía podrás volver atrás.

Un diseño que sustituye a la antigua app de Correo en Windows

La app nativa de Outlook para Windows se inspira ampliamente en la versión de este cliente de correo para navegadores. Y es que además de la bandeja de entrada y carpetas de nuestras cuentas de correo, también tendremos un acceso directo a las principales aplicaciones de Microsoft 365, entre ellas Word, Excel, To Do, PowerPoint y más.

Junto a ello, también tendremos acceso al propio calendario de Outlook para así tener todos los servicios de Microsoft 365 integrados en un único cliente. Eso sí, el acceso directo a estas aplicaciones nos llevará a sus respectivas versiones web.

Este nuevo cliente es prácticamente idéntico a la versión web de Outlook, ofreciendo un diseño muy similar. Sin embargo, al ser un cliente nativo, su funcionamiento es más eficaz. Además, dispone de algunas características que nos vendrán muy bien a la hora de gestionar nuestros correos y demás tareas.

Por ejemplo, la app te puede recordar responder a un correo que se haya considerado como importante. En este caso, el aviso aparecerá en lo más alto de la lista para no perderlo de vista hasta que hayamos completado la tarea o la hayamos ignorado.

Otra característica interesante es la función de 'Mi día', situada en la parte superior derecha de la app. Aquí, además de mostrarnos el calendario, también contamos con una lista de tareas donde podemos ir arrastrando correos a ella para tenerlos controlados, una función traída de la propia versión web.

El nuevo Outlook incorpora además el calendario integrado, siendo un ejemplo más de que Microsoft quiere ofrecer a sus usuarios una aplicación todo en uno a nivel laboral y productiva. La app de Correo necesitaba un cambio, y parece que Microsoft se lo ha dado por completo.

El principal inconveniente del nuevo Outlook en Windows es la integración de anuncios directamente en nuestras bandejas de entrada, apareciendo en forma de correos electrónicos que podríamos abrir por error. Para poder deshacernos de ellos, tendremos que adquirir alguno de los planes de Microsoft 365. 

Sin embargo, si lo que quieres es volver a la versión antigua de la app de Correo, puedes desactivar el interruptor de ‘Nuevo Outlook’ situado en la esquina superior derecha para volver a la anterior aplicación de Correo. Cabe decir que este botón es una forma de retrasar lo inevitable, ya que la compañía tiene intenciones de pasar a este nuevo cliente por completo y eliminar la antigua app de Correo a partir del próximo año.

Otra cuestión a tener en mente es el hecho de que Copilot llegará próximamente a este nuevo cliente para impulsar nuestra experiencia con los correos mediante la ayuda de la IA. El ChatGPT de Microsoft se integrará en dicho cliente para ayudarnos a hacer resúmenes, gestionar nuestro correo y mucho más.

En Genbeta | Ya no escribo en Microsoft Word, uso Google Docs: 11 funciones poco conocidas para sacarle todo el partido

-
La noticia El nuevo cliente de Outlook aterriza a todos los usuarios de Windows 10 y 11: Microsoft sustituye la antigua app de Correo fue publicada originalmente en Genbeta por Antonio Vallejo .

Hay 'anzuelos' como los 5GB gratis de iCloud que llené muy prontos, pero otros como los 15GB del correo de Gmail que van para largo. Llevo casi 20 años con mi dirección de correo electrónico y no solo nunca la he llenado, sino que a día de hoy pienso que nunca lo haré y lo mejor es que no he necesitado configuraciones avanzadas ni concienzudas limpiezas periódicas: bastan un par de trucos para mantener a raya el almacenamiento de Gmail. Y si ya es demasiado tarde, te dejo otra solución de emergencia fácil, rápida y gratis.

Unsubscribe es mi mejor amigo

Si hay algo que ha bombardeado mi email a lo largo de los años, eso es el spam, y no siempre es indeseado: a veces deseo recibir boletines, pero con el paso del tiempo van ocupando espacio hasta que toca meter la tijera. Además, mis gustos e intereses han cambiado con los años, por lo que algo a lo que me suscribí en 2010 quizás ahora mismo me es indiferente.

Por ley es obligatorio que este tipo de emails cuenten con la información para darse de baja, algo que generalmente se incluye en letra muy pequeñita en la parte inferior del email y hasta en gris, para que pase desapercibido. Si el correo está en castellano, es probable que aparezca algo como 'Date de baja' o 'Darse de baja', pero en otros servicios automatizados o en inglés, viene directamente 'Unsubscribe'. Al tocar, te llevan a otra pantalla donde puedes ejecutar la baja.

Un buen hábito que no lleva demasiado tiempo es precisamente darse de baja cuando llega algún email de algo que no nos interesa. Así, progresivamente nuestro correo electrónico se va llenando menos. El problema está en que cuando tienes una cuenta desde hace casi 20 años como yo, ya se han colado muchos emails indeseados ocupando espacio.

Tiene fácil solución: irse al cajetín de búsqueda y escribir 'Unsubscribe' (sin las comillas). Al ejecutar la búsqueda, veremos los correos que están en nuestra cuenta con esa palabra y que es altamente probable que sean promociones, boletines y demás. Ahora basta con seleccionarlos todos marcando el cuadro de la esquina superior izquierda y borrarlos. Al marcar esta casilla, verás que Gmail advierte que solo borra los 50 incluidos en la página, pero justo al lado y en azul verás la opción de 'Seleccionar todas las conversaciones que coincidan con esta búsqueda'. Después basta con tocar sobre borrar y confirmar. De un plumazo puedes borrar GBs de golpe.

Varias cosas a tener en cuenta: hay 30 días para recuperar cualquier email de la papelera y además, no implica borrarse de esas listas de difusión o eliminar tu cuenta, ni tampoco te impedirá darte de baja.

Esta simple acción es una buena y rápida forma de mantener a raya el espacio ocupado y a partir de aquí, cuando vuelva a llegarme un email de una de esas webs, tendré la opción de acudir al enlace para darme de baja de la parte inferior o directamente, buscarla en su propia web.

Adiós a los emails con grandes archivos adjuntos

La segunda acción que me ha ayudado a cuidar del espacio de almacenamiento de Gmail es eliminar aquellos emails con correos adjuntos grandes (lo máximo permitido son 25 MB), algo que puede hacerse tocando en el icono de ajustes del cajetín de búsqueda y seleccionando en tamaño 'mayor que' y aquí marcar por ejemplo un límite como 15 MB. Ahora puedes borrarlos todos o ir echando un vistazo a qué te interesa guardar y qué no. Recuerda asimismo que puedes configurar la fecha, por si quieres librarte de aquellos correos con adjuntos grandes que sean antiguos.

Tanto el truco de 'Unsubscribe' como este de los adjuntos grandes pueden automatizarse simplemente creando filtros en Gmail.

Si aún así te quedas sin espacio, hay un plan B gratis

Si por el motivo que sea tu correo acaba llenándose por completo, siempre te quedará un recurso al que acudir para no pagar: crear otra cuenta de Google y después configurarla para que la cuenta original reenvíe de forma automática los mensajes que recibe a la nueva, que será a la. En este tutorial te contamos cómo hacerlo paso a paso.

Portada | Foto de Solen Feyissa en Unsplash

En Genbeta | Este es el trucazo de Gmail que siempre uso para suscribirme a webs y controlar el spam

-
La noticia Llevo usando Gmail desde 2005 y nunca he tenido que pagar por almacenamiento: así lo he conseguido fue publicada originalmente en Genbeta por Eva Rodriguez .

Tanto como si el sistema operativo de tu Smart TV te limita a la hora de descargar aplicaciones como si no dispones de una tele con funciones inteligentes, adquirir un dongle HDMI o set-top-box puede ser la solución más recomendable a tus males. Entre estos dispositivos, el Fire TV Stick se encuentra entre los más destacados, y con el tiempo, Amazon ha ido dotándolo de características muy útiles.

Además, al estar basado en Android, también podrás instalar casi cualquier aplicación en formato APK. Para ello, existen aplicaciones que puedes instalar en tu teléfono móvil y que te permiten transferir cualquier archivo a tu Fire TV. En este artículo hablamos de una de las indispensables: Easy Fire Tools.

Una app multipropósito e indispensable para tu Fire TV

Con Easy Fire Tools puedes tanto transferir archivos a tu Fire TV, como gestionar cualquier archivo de tu televisor, y todo desde tu teléfono móvil y de forma inalámbrica. Aunque eso sí, para ello tendrás que preparar el terreno con una serie de procesos muy sencillos y que te mostramos a continuación.

Para poder instalar aplicaciones que no se encuentran en la tienda oficial de Amazon, lo primero que debes hacer es activar las opciones para desarrolladores y habilitar tanto la opción de ‘Instalar apps desconocidas’ como el ‘Depurado ADB’. Esto último será lo necesario para que la aplicación Easy Fire Tools, que descargaremos en nuestro móvil, pueda comunicarse inalámbricamente con el Fire TV Stick.

Una vez lo tengas todo listo, el siguiente paso es descargar la app de Easy Fire Tools en tu teléfono. Cabe destacar que solamente es compatible con Android. Una vez la tengas y confirmes que tu Fire TV se encuentra en la misma red WiFi que tu móvil y con el depurado ADB activo, en la app debemos presionar las opciones que aparecen en la esquina superior derecha para vincular la app con el Fire TV.

La app debería encontrar automáticamente nuestro Fire TV conectado a la red, por lo que cuando aparezca el dispositivo confirmamos la selección y ya tendremos la aplicación vinculada al Fire TV. Lo mejor es que no tendrás que instalar nada en el Fire TV para que funcione, ya que todo funcionará a través del protocolo ADB.

Easy Fire Tools es una herramienta multipropósito muy útil para Fire TV. Nos permite transferir archivos, hacer una gestión de todo lo que tenemos instalado en nuestro Fire TV desde el teléfono, editar archivos y mucho más.

La interfaz de la herramienta es muy sencilla e intuitiva, por lo que no nos perderemos demasiado. Junto a todo esto, también contamos con la opción de finalizar procesos del Fire TV desde la app, e incluso suspender o reiniciar el dispositivo.

La aplicación es totalmente gratuita y se encuentra disponible para su descarga a través de la Google Play Store. Sin embargo, si necesitas otras alternativas para transferir archivos desde el móvil al Fire TV y viceversa, siempre puedes confiar también en Send Files to TV.

En Xataka Smart Home | 17 trucos para los Fire TV Stick y Fire TV de Amazon

-
La noticia Esta app para tu Fire TV es indispensable para descargar archivos, gestionar tu almacenamiento y más: y todo desde tu móvil fue publicada originalmente en Xataka Smart Home por Antonio Vallejo .

Vamos a explicarte cómo puedes bloquear programas y aplicaciones concretas en Windows 11 sin necesidad de instalar nada. Además de esto, la función también te servirá para no poder lanzar programas que son funciones sensibles de Windows, como el registro del sistema.

Lo único que vas a tener que hacer es entrar en la función de editar directivas de grupo, y allí tienes una opción que es específica para bloquear el lanzamiento de aplicaciones. Aquí, tendrás que escribir el nombre del archivo .exe a bloquear, por lo que si no conoces el del programa que quieres bloquear tendrás que buscarlo primero.

Bloquea el lanzamiento de archivos .exe en Windows 11

Lo primero que tienes que hacer es lanzar la función de Editar directiva de grupo. Para eso, abre el menú de inicio y escribe gpedit.exe, y cuando lo hagas pulsa sobre la opción que aparece como resultado.

Entrarás en la pantalla del editor de directivas. Aquí, tienes que navegar en la columna de la izquierda entrando en Configuración de usuario, luego en Plantillas administrativas, y una vez aquí pulsa en Sistema. Dentro de Sistema, a la derecha busca la opción No ejecutar aplicaciones de Windows especificadas, que aparecerá casi abajo del todo.

Una vez aquí, tienes que hacer clic derecho en No ejecutar aplicaciones de Windows especificadas. Cuando lo hagas, en el menú contextual pulsa en la opción de Editar, para cambiar este valor.

Esto abrirá la pantalla con las opciones de No ejecutar aplicaciones de Windows especificadas. En ella, tienes que activarlo eligiendo la opción Habilitada en la parte de arriba. Cuando lo hagas, ahora pulsa en el botón Mostrar de la lista de aplicaciones no permitidas.

Esto abrirá una pantalla en la que simplemente tienes que escribir los nombres de archivos .exe que quieres bloquear en Windows 11. Los nombres de estos programas quedarán bloqueados en cualquier cuenta de este ordenador con Windows. Una vez escribas los que quieras, pulsa en Aplicar y reinicia el ordenador.

En Xataka Basics | Windows 11: 42 funciones y trucos para exprimir al máximo el sistema operativo

-
La noticia Cómo bloquear programas y aplicaciones en Windows 11 sin instalar nada fue publicada originalmente en Xataka por Yúbal Fernández .

Las apps en televisores y el envío de contenido desde nuestro teléfono o tablet ha hecho que los navegadores web en Smart TVs hayan pasado a un segundo plano. Sin embargo, si eres de los que utilizan el navegador web del televisor para algún sitio web en concreto o para disfrutar de contenido multimedia, en este artículo te vamos a hablar de uno de los navegadores web más fáciles de usar y con bloqueador de anuncios incorporado.

BrowseHere es un navegador web para televisores creado por TCL. No obstante, además de ser compatible con sus televisores, también se puede descargar desde la Play Store para cualquier otro televisor o dispositivo que incluya Android TV o Google TV como sistema operativo. Bajo estas líneas te contamos todo sobre este navegador.

Un navegador web sin anuncios y con IPTV incorporado

La mayoría de los navegadores web que se incluyen de serie en televisores suelen ofrecer una experiencia algo tediosa. Cargar contenido en la web no suele ser una de las acciones más eficaces en un televisor, y se hace notar. Sin embargo, hay una serie de navegadores que nos pueden salvar de más de una ocasión y que han demostrado ser bastante eficaces. Uno de ellos es BrowseHere.

Este navegador es muy fácil de usar. Lo único que tenemos que hacer es descargarlo de la Google Play Store y ya tendremos un navegador completamente funcional para nuestro televisor. Su sencillez es inmediatamente palpable, sobre todo al ver que el navegador está desprovisto de buena parte de las funciones que solemos encontrar en otros navegadores, precisamente para agilizar la experiencia que tengamos con este.

Además de contenido recomendado y noticias a las que podemos acceder desde la barra lateral del navegador, también hay una sección de películas, por lo que tendremos acceso directo a un buen puñado de películas gratis directamente desde el navegador, una función que nos recuerda a otras aplicaciones tales como Pluto TV, Rakuten TV, o los canales de Samsung y LG para ver contenido gratuito.

Una de las principales bondades de este navegador es que también ofrece un bloqueador de anuncios incorporado, por lo que podrás navegar sin interrupciones por cualquier sitio web. Lo mejor de todo es que podrás activar o desactivar el bloqueador de forma muy sencilla con tan solo presionar el icono de ‘Ad’ al lado de la barra de dirección. De esta manera, podrás desactivar el bloqueador en sitios web que creas conveniente hacerlo.

Buscar cualquier contenido también es fácil en BrowseHere, ya que dispone de una función por voz que podrás utilizar si tu mando cuenta con micrófono incorporado. Lo cierto es que la experiencia es bastante más ágil y eficiente, dándonos la posibilidad de navegar desde la tele con comodidad.

Junto a todas sus funciones, también incluye una que nos permitirá agregar listas IPTV al navegador y reproducir el contenido de las mismas directamente desde su app. Esto hace que el navegador acabe siendo un todo en uno, pudiendo usarlo como principal aplicación para el contenido en streaming y navegación web.

BrowseHere se puede conseguir totalmente gratis en Google Play Store. También es compatible con dispositivos móviles, aunque la descarga en móviles tiene menos sentido teniendo en cuenta el gran abanico de navegadores que tenemos disponible.

En Xataka Smart Home | Cómo ver todos los canales de televisión online sin instalar apps para seguir la TDT en directo

-
La noticia Este navegador web para teles es veloz, gratis y te bloquea todos los anuncios: así funciona fue publicada originalmente en Xataka Smart Home por Antonio Vallejo .

Llegas a un hotel y la recepción nos pide nuestro DNI para hacer una copia. Recibes un paquete importante y resulta que el repartidor nos pide fotografiar el DNI para tener registrado a quién se entregó. Pides un duplicado de la SIM y fotocopia del DNI. Se ha convertido en una práctica muy extendida el pedirnos una copia de nuestro documento de identidad. Y resulta que no debería ser así.

Protección de Datos está en contra de que se nos pida el DNI por defecto. La Agencia Española de Protección de Datos (AEPD) se ha pronunciado en distintas ocasiones sobre casos en los que se ha solicitado una fotocopia del DNI y bajo la visión del organismo era innecesario.

Recientemente la AEPD lo ha hecho en los casos de las entidades de mensajería. Concretamente en "la entrega de bienes adquiridos mediante financiación para cumplir la normativa de prevención de blanqueo de capitales; en la entrega de duplicados de tarjetas SIM, y en la entrega de dispositivos móviles".

¿Realmente lo necesitan? La conclusión es que "si existen otras medidas menos gravosas que cumplen ese fin de identificación, lo recomendable es abstenerse de usarlo". Nuestro DNI es una "información especialmente sensible" y "su uso indebido o sin las garantías suficientes puede tener múltiples efectos desfavorables para el titular de los datos".

"El método utilizado para la autenticación debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de datos", expone la AEPD. Este último concepto se repite una y mil veces y sirve bien para entender cuál es la filosofía generalmente adoptada. Sin embargo, es también uno de los que menos se cumple.

En el caso de hoteles, la AEPD sí recoge que hay determinados datos para el parte de viajeros que se remiten a la policía. Esa sería una justificación aceptada.

Si tienen tu DNI, se hacen ellos responsables. Fotocopiar el DNI "puede dar lugar a un tratamiento no autorizado o ilícito, por lo que debe considerarse inadecuado, salvo que sea estrictamente necesario, adecuado y conforme con el Derecho nacional". Y hay más, porque la AEPD también pone el foco en el negocio o la persona que nos pide el DNI. Estos se consideran "responsables del tratamiento" y por tanto deben "disponer de sistemas que garanticen un nivel de seguridad adecuado". ¿Se cumple? Difícilmente en todos los casos.

Como suele ser habitual en protección de datos, cada caso hay que analizarlo por separado. La Agencia explica que "la calificación como responsable o encargado debe evaluarse con respecto a cada actividad específica de procesamiento de datos". Esto es, las exigencias de pedir una fotocopia del DNI pueden variar, pero en general el Reglamento General de Protección de Datos exige múltiples obligaciones en el momento que se nos pide fotocopiar el DNI.

Ya han habido grandes multas. La AEPD ya ha sancionado a distintas empresas por solicitar fotocopias del DNI innecesariamente. Es el caso del hotel Marins Playa, a quienes se les multó con 30.000 euros.

Todavía mayor fue la multa a Orange en marzo de este año por valor de 100.000 euros, por la práctica de confirmar la identidad de clientes durante las entregas de paquete y fotografiar los DNI por ambas caras.

"Porque siempre se ha hecho así". Javier Sempere, delegado de Protección de Datos del CGPJ, explica a Xataka que "aunque hay que ver el caso concreto, en muchas ocasiones no resulta necesario; pero se hace "porque siempre se ha hecho así" o por "comodidad"".

El experto nos describe que "la AEPD defiende que no necesariamente hay que realizar la fotocopia, que además se suele hacer por ambas caras y que contiene más datos de los necesarios. Según cada caso,en unos valdrá la mera exhibición para identificarte; y otros, la toma de determinados datos, que son el nombre + apellidos + número de DNI. Por ejemplo, la fotografía no suele ser necesaria (que se captaría en caso de fotocopiar)".

En Xataka | Lo siento, no te voy a firmar la casilla de mis datos personales

-
La noticia Ya basta de fotocopiar nuestro DNI en todas partes: así pide la AEPD poner fin a esta innecesaria práctica fue publicada originalmente en Xataka por Enrique Pérez .

Microsoft no tiene que ir muy lejos para encontrar el culpable de la masiva filtración de documentos confidenciales sobre Xbox. Todo el material forma parte del juicio que enfrentó a Microsoft con la FTC por la compra de Activision Blizzard, y tanto la jueza del caso Jacqueline Scott Corley como el propio regulador estadounidense dicen que ha sido la tecnológica la que por accidente ha compartido la documentación sin censurar. Por su parte, Microsoft ya se ha pronunciado y asegura por boca de Phil Spencer que “han cambiado muchas cosas” y que compartirán “los planes reales” cuando… Leer noticia completa y comentarios »

El PDF es, hoy por hoy, el formato por excelencia a la hora de compartir e imprimir documentos. Y, pese a contar con una gran cantidad de alternativas muy válidas, el rey del PDF sigue siendo la compañía que lo creó: Adobe. Es por ello que sus herramientas para crear PDFs (Adobe Acrobat) y para visualizarlos (Adobe Reader) están tan presentes en PCs y Macs hoy en día.

Sin embargo, eso también significa que cuando una vulnerabilidad afecta a alguno de estos programas (o peor, a ambos), hay muchos usuarios que tienen un problema serio al que hacer frente.

Y ese es, precisamente, el caso: se ha detectado una vulnerabilidad 'de día cero' en ambos programas, identificada como CVE-2023-26369, lo que ha llevado a la compañía a lanzar una actualización crítica que solventa este problema de seguridad.

De hecho, la vulnerabilidad afecta tanto a las versiones de Windows como a las de macOS de Acrobat DC, Acrobat Reader DC, Acrobat 2020 y Acrobat Reader 2020. Concretamente, las versiones afectadas son éstas:

• 23.003.20284 y anteriores de Adobe Acrobat DC
• 23.023.20284 y anteriores de Adobe Reader DC
• 20.005.30516 y anteriores de Acrobat 2020 para Mac
• 20.005.30514 y anteriores de Acrobat 2020 para Windows
• 20.005.30516 y anteriores de Acrobat Reader 2020 para Mac
• 20.005.30514 y anteriores de Acrobat Reader Acrobat para Windows

Esta vulnerabilidad ha sido clasificada con una puntuación de 7,8 (sobre 10) en el sistema de puntuación CVSS, lo que la califica como "crítica". Pero lo que la hace aún más preocupante es que a los expertos ya les consta que los ciberdelincuentes están explotando activamente esta vulnerabilidad.

Así funciona

La brecha de seguridad entra en la categoría de las conocidas como "escritura fuera de límites" (out-of-bounds write), permitiendo la ejecución de código malicioso cuando se abre un documento PDF especialmente diseñado para ello. Adobe, por razones obvias, no ha proporcionado detalles adicionales sobre la naturaleza precisa de esta vulnerabilidad ni sobre los objetivos de los ataques.

Sin embargo, y pese a lo crítico del asunto, hay un dato positivo en todo esto: la vulnerabilidad sólo se puede explotar localmente: el atacante debe tener acceso físico al dispositivo objetiv… o la víctima debe interactuar con el documento malicioso para que se ejecute el código.

Estas restricciones disminuyen el riesgo en comparación con vulnerabilidades que pueden explotarse de forma remota sin interacción del usuario. Aunque ya sabemos que existen docenas de ciberestafas basadas precisamente en convencer al usuario de que ejecute documentos maliciosos.

En Genbeta | Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser

-
La noticia Si usas Adobe Reader o Adobe Acrobat, actualiza ya mismo para solventar esta grave vulnerabilidad fue publicada originalmente en Genbeta por Marcos Merino .

En muchos casos, programas que usamos en nuestro día a día pueden tener problemas de seguridad. Puede haber vulnerabilidades y fallos que van a permitir que los piratas informáticos roben datos personales, información o incluso controlen el dispositivo. En este caso, nos hacemos eco de un fallo que afecta a Adobe, concretamente a Acrobat y Reader. Es bastante popular usarlo para leer archivos PDF, por lo que podría afectar a muchos usuarios.

El objetivo siempre debe ser evitar este tipo de fallos de seguridad y estar protegidos. Normalmente, los propios desarrolladores lanzan parches y actualizaciones para evitar el problema. A veces, estas nuevas versiones se instalan solas, pero en otras ocasiones es necesario hacerlo de forma manual.

Fallo de seguridad en Adobe

Se trata de un fallo de día cero, del cual no se ha revelado información por el momento para no facilitar el trabajo a los ciberdelincuentes. Sí se sabe que afecta tanto a macOS como a Windows. Esta vulnerabilidad ha sido registrada como CVE-2023-26369. La propia compañía ha lanzado un mensaje de alerta informando.

Pero, ¿qué pasa exactamente si un atacante explota este fallo? Podría llegar a ejecutar código y, por tanto, afectar a la seguridad del sistema. Es un ataque que, además, no tiene una gran complejidad y lo pueden explotar sin necesitar tener privilegios. No obstante, la buena noticia es que esta vulnerabilidad solo se puede explotar a nivel local, por atacantes con acceso físico. Además, va a requerir de la interacción de la víctima.

Esto que hemos mencionado, hace que el fallo sea menos peligroso. Por ello, ha recibido una puntuación CVSS de 3,1. Lejos, por tanto, de otras vulnerabilidades mucho más graves que hemos visto en otras ocasiones. No obstante, esto no significa que haya que pasarla por alto y dejar de tomar medidas. De hecho, desde Adobe lo han calificado como de prioridad máxima.

Cómo solucionar el problema

Desde Adobe, recomiendan que los usuarios y administradores actualicen lo antes posible. Indican que lo ideal es hacerlo máximo en tres días. Por tanto, simplemente con asegurarte de tener tus programas actualizados a la última versión, vas a evitar este fallo de seguridad y protegerás correctamente tus dispositivos.

Una vez más, se demuestra la importancia de tener todo actualizado. Es clave contar con las últimas versiones, sin importar si estamos ante un programa como es Adobe Reader o Acrobat, así como cualquier otro software que puedas utilizar en tu día a día. Lo mismo debes aplicar al sistema operativo, drivers de tarjetas, etc.

Hay tres pilares fundamentales siempre para estar protegidos: sentido común, tener todo actualizado y contar con un buen antivirus. En este caso, lo que importa es tener la última versión y poder así corregir esta vulnerabilidad que han detectado. Siempre hay riesgos al bajar archivos Torrent, así como cualquier otro en Internet. Por ello, es clave que en todo momento utilices plataformas oficiales.

En definitiva, si utilizas Adobe Reader o Acrobat, te recomendamos que actualices lo antes posible. El objetivo es corregir un nuevo fallo de seguridad que han detectado. No obstante, te aconsejamos que siempre revises todas tus aplicaciones y te asegures de que las tienes actualizadas y poder así evitar problemas.

El artículo Si usas Adobe para abrir PDF, cuidado con este peligroso fallo se publicó en RedesZone.

Los nuevos contenedores con cerradura electrónica de la Mancomunidad de la Comarca de Pamplona (MCP) parecían un sistema eficaz y moderno, pero han acabado siendo un problema. La idea era mejorar la recogida separada de materia orgánica, pero tras la denuncia de varias organizaciones, la Mancomunidad finalmente ha tenido que cambiar el sistema.

Aquí os explicamos cómo funcionan estos contenedores y por qué han sido sancionados por la Agencia Española de Protección de Datos (AEPD). Uno de esos casos donde la tecnología puede acabar convertida en "un evidente sistema de control y de intromisión en la privacidad", según describían ediles del Ayuntamiento de Pamplona que no estaban de acuerdo.

Hace unas semanas, la AEPD publicó una resolución donde se iniciaba un procedimiento sancionador a la Mancomunidad de la Comarca de Pamplona. El motivo es la errónea implantación de estos contenedores con cerradura electrónica. Un sistema de basuras implementado en otoño de 2021 en el que se han invertido hasta 8 millones de euros y que, aunque ha servido para mejorar el reciclaje de orgánicos, supone un riesgo para la privacidad de las familias.

Los contenedores se abren mediante una tarjeta electrónica o aplicación móvil, asociada a cada dirección. Y permiten registrar los datos de su utilización. Este uso ha derivado en una infracción de hasta seis artículos del Reglamento General de Protección de Datos. No ha habido multa económica, pues en menos de 10 días la Mancomunidad ha paralizado su uso.

Lo que sí que hay es una resolución de 111 páginas donde se repasa exhaustivamente toda la política de privacidad del sistema de basuras con cerradura electrónica. Y las conclusiones es que son un desastre a nivel de privacidad. "Peor no se pudo hacer", define el experto en protección de datos Ángel Benito.

Los argumentos de la AEPD son muy variados. En general se critica que se recojan estos datos y se asocie a la dirección de la persona que tira la basura. El debate es sobre hasta qué punto estos datos de la basura asociada a una dirección son datos personales.

La AEPD se refiere a una sentencia del Tribunal Supremo donde apunta lo siguiente: "Los datos de consumo de energía eléctrica individualizados y con desglose horario, permiten a quien tenga acceso a esa información y la vincule con la identidad del titular del contrato de suministro, conocer los hábitos de conducta privados de dicho consumidor".

Uno de los argumentos por parte de la Mancomunidad es que la basura la puede bajar cualquier persona del domicilio. Sin embargo, a la hora de pedir una nueva tarjeta y en distintas gestiones, sí se piden datos personales como el DNI o la dirección de correo, por lo que el sistema sí permite identificar la persona detrás de cada uso de la cerradura.

Otro aspecto es si existe un posible interés público que justifique este tratamiento de datos. Sin embargo, aquí la posición de la AEPD es que "para la consecución de los objetivos de recogida separada y de evitación de impropios la normativa no prevé ni considera el tratamiento de datos personales".

Las extensas conclusiones del informe de la AEPD es que el sistema de contenedores "no era lícito para la sola consecución de los objetivos de separación de residuos" y "no realizaba un tratamiento de datos en relación con sus competencias de inspección".

Durante meses, desde principios de 2023, la AEPD ha mantenido conversaciones sobre cada uno de los matices de la política de privacidad del sistema. En el informe se observa que la Mancomunidad ha mantenido una actitud proactiva para el cumplimiento del RGPD, pero ha fallado en su aplicación, incumpliendo los artículos 6.1 (Licitud del tratamiento), 12.1 (transparencia), 13 - 14 (información), 30.1 (registro) y 35 (evaluación) del RGPD.

Cerradura electrónica sí, recogida de datos no

David Campión, presidente de la MCP, ha explicado que se dejarán de recoger los datos de aperturas vinculados a los domicilios, siguiendo la petición de la resolución de la AEPD.

Según remarcan los responsables: "la AEPD no descarta el tratamiento de datos personales en la gestión de residuos y, por lo tanto, no cuestiona el sistema de recogida, el argumento principal es que estos datos no están siendo utilizados actualmente ni para establecer un pago por generación ni para sancionar conductas inadecuadas". Es decir, el tratamiento de datos no está justificado.

En vez de intentar recurrir la resolución, la Mancomunidad ha optado por dejar de registrar el número. Al tiempo que los datos acumulados hasta la fecha serán encriptados para no poder ser utilizados.

Sí se explica que la intención de la MCP es seguir utilizando el sistema de contenedores con cerradura electrónica, pues se ha mostrado muy eficaz. Se seguirá necesitando la tarjeta para abrir los contenedores, pero no se recogerán datos. El siguiente paso de la MCP es trabajar con la AEPD para intentar encontrar un sistema que cumpla la normativa de protección de datos.

Imagen | Mancomunidad Comarca de Pamplona

En Xataka | Cinco cubos de basura "inteligentes" para deshacernos de los residuos higiénicamente

-
La noticia Pamplona colocó basuras con cerradura electrónica. Ha sido sancionada por ser un sistema demasiado controlador fue publicada originalmente en Xataka por Enrique Pérez .

Los programas de recompensas de viaje, como los que ofrecen las aerolíneas y los hoteles (Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy…), no son idénticos entre sí en funcionalidades, pero la mayoría de ellos sí hacen uso de una misma infraestructura digital al estar basados en la misma plataforma: la de Points.com.

Esta centralización ofrece ventajas, pero también tiene un lado negativo: toda la actividad del sector se puede ver comprometida si los hackers consiguen hacerse paso hasta los sistemas de la plataforma. Lo cual es exactamente lo que ha pasado.

Por fortuna para Points.com, han sido los 'hackers buenos'… que fueron notificando las vulnerabilidades detectadas entre marzo y mayo de este año —todas ellas han sido ya subsanadas—. Ayer mismo, este grupo de investigadores de ciberseguridad hizo públicas dichas vulnerabilidades de la API de Points.com, junto con los detalles técnicos de su intrusión.

Shubham Shah, uno de los investigadores, comentó que se sorprendió al descubrir que existía una entidad central para los sistemas de fidelización, utilizada por casi todas las grandes marcas del mundo. En su opinión, si los cibercriminales hubieran identificado antes que ellos los fallos en este sistema, podría haber tenido "un efecto en cascada".

Lo veo todo

Entre las vulnerabilidades encontradas, una de ellas permitía a los investigadores acceder a un apartado supuestamente interno de la infraestructura de la API de Points.com, para consultar los pedidos de los clientes del programa de recompensas.

Esto les otorgaba acceso a 22 millones de registros de pedidos, que contenían datos sensibles (código numérico de la cuenta, direcciones, números de teléfono, direcciones de correo electrónico y números parciales de tarjetas de crédito).

Aunque Points.com limitaba la cantidad de datos que podían extraerse a la vez, los investigadores señalaron que un atacante podría haber buscado personas específicas o extraer los datos lentamente a lo largo del tiempo, por lo que no suponía un obstáculo real.

Unas cuantas millas de este usuario, otras cuantas de ese otro…

Otra vulnerabilidad permitía que un atacante generara un token de autorización de cuenta para cualquier usuario con solo su apellido y el código numérico de la cuenta. Estos datos podrían haber sido obtenidos a través de brechas de seguridad anteriores… o, sencillamente, explotando la primera vulnerabilidad.

Con este token, los atacantes podían apoderarse de las cuentas de los clientes y transferir millas de vuelo u otros puntos de recompensa a otros usuarios (como ellos mismos), vaciando las cuentas de las víctimas.

El 'Modo Dios', y el secreto no tan secreto

Pero la tercera vulnerabilidad resultó ser mucho más significativa: en el sitio web de administración global de Points.com, las cookies encriptadas asignadas a cada usuario estaban 'protegidas' por una clave bien sencilla de adivinar: la palabra "secret".

Tras descubrir esto, los investigadores podían descifrar la cookie, otorgarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, a efectos prácticos, lograr poderes similares al "Modo Dios" de un videojuego, lo que les permitía acceder a cualquier sistema de recompensas vinculado a Points.com e incluso otorgar millas ilimitadas u otros beneficios a las cuentas (lo que hacía innecesario hacer uso de la segunda vulnerabilidad).

Vía | Slashdot

Imagen | Sam Curry & Pixabay

En Genbeta | Acaba de morir el hacker más famoso de la historia. Esto es lo que hizo

-
La noticia Estos hackers tuvieron a un clic conseguir millas de vuelo gratis ilimitadas en la mayoría de programas de fidelización del mercado fue publicada originalmente en Genbeta por Marcos Merino .

El administrador de tareas en Windows es una herramienta realmente útil que tiene como objetivo controlar todos los procesos que están sucediendo en el ordenador. Además, permite también consultar el porcentaje de uso del hardware como la CPU, la RAM o la gráfica. Pero a veces, trabajar con este administrador puede ser algo complicado de dominar cuando son muchos los procesos abiertos.

Y es que si en el día a día utilizas mucho el administrador de tareas, seguramente habrás visto como en la lista de procesos estos se van moviendo de manera constante. Esto se debe principalmente a que dependiendo del porcentaje de uso de este proceso va a ir variando en el orden de la lista.

Un truco que paralizará tu administrador de tareas

En el caso de que se quiera detener uno de los procesos que están en esta lista, puede ser algo complicado pulsarlo debido a este movimiento constante. Pero por suerte en Windows existen muchos trucos diferentes para poder mejorar considerablemente la experiencia, y en el administrador de tareas encontramos uno para poder seleccionar más fácilmente un proceso.

Este truco se basa simplemente en pulsar la tecla Control mientras se está en la lista con todos estos procesos. En ese momento la lista se detendrá y no variarán de posición todas las líneas al no actualizarse en tiempo real el consumo de recursos.

De esta manera, al pulsar la tecla control será más fácil seleccionar el proceso en cuestión para poder detenerlo o acceder a la ubicación del mismo. Esto es algo que hemos podido comprobar que funciona tanto en Windows 10 y 11 al reportarse en un hilo de Reddit. Y aunque no es un truco que pueda no interesar a quien lo usa de manera ocasional, si que es interesante para quien le da mucho uso en el día a día.

En Genbeta | Este viejo truco para ver en cualquier sitio el rendimiento del PC me sigue pareciendo imprescindible en Windows 10 y 11

-
La noticia Con este truco podrás 'congelar' el administrador de tareas: será mucho más fácil seleccionar uno de sus procesos fue publicada originalmente en Genbeta por José Alberto Lizana .

Existen múltiples alternativas al conocido Bloc de notas de Windows. Sin embargo, quizás la más utilizada sigue siendo Notepad++, ya que además de sus capacidades como básico procesador de texto, también dispone de funciones avanzadas para la escritura y modificación de líneas de código.

Esta herramienta es completamente gratuita y open-source, factores que nos parecen muy atractivos para su descarga. Sin embargo, quizás debas de reconsiderarlo, ya que recientemente se han descubierto una serie de vulnerabilidades que podrían hacer que la herramienta esté expuesta a diversos ciberataques.

Notepad++ cuenta con importantes vulnerabilidades

Estas vulnerabilidades, descubiertas por el investigador en seguridad Jaroslav Lobačevski, aún no han sido parcheadas, por lo que lo más recomendable sería desinstalar la aplicación si ya la tienes y esperar a que el equipo resuelva este problema lo antes posible.

Las vulnerabilidades tienen el identificador CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, y CVE-2023-40166. Básicamente se aprovechan del desbordamiento de lectura y escritura del búfer a partir de distintas funciones que utiliza Notepad++ para ejecutar diversas acciones.

Una de las vulnerabilidades hace referencia a la función denominada ‘Utf8_16_Read::convert’, la cual usa Notepad++ para convertir la codificación UTF16 en UTF8. Según afirma el investigador, esta función tiene un problema, ya que asume que cada dos bytes codificados en UTF16, son necesarios 3 bytes codificados en UTF8. De esta forma, si el chunk de bytes tiene un valor impar como 9, el cálculo se hace incompatible, resultando en un desbordamiento del búfer.

Este desbordamiento es provocado también cuando Notepad++ llama a la función ‘CharDistributionAnalysis::HandleOneChar’, ya que alguien con malas intenciones podría beneficiarse de un exploit que crease un archivo capaz de hacer desbordar el búfer de lectura global.

Como este tipo de vulnerabilidades existen otras que, al hacer que Notepad++ utilice las funciones ‘nsCodingStateMachine::NextState’ y ‘FileManager::detectLanguageFromTextBegining’, se desborde el búfer de lectura y escritura, permitiendo a los atacantes a ejecutar código arbitrario en el equipo.

GitLab ha publicado un completo informe de todas estas vulnerabilidades y están a la espera de confirmación por parte de Notepad++, por lo que te recomendamos esperar a la próxima versión de la herramienta, ya que se habrán corregido todos estos errores.

Vía | Cybersecuritynews

En Genbeta | Todas las razones por las que los PowerToys de Windows 10 y 11 son imprescindibles para mí

-
La noticia Esta conocida alternativa al Bloc de notas de Windows tiene importantes vulnerabilidades que dejan tu PC expuesto a ciberataques fue publicada originalmente en Genbeta por Antonio Vallejo .

Colocar una mirilla electrónica para saber quién está llamando o para grabar a cualquier sospechoso que se acerque a casa es muy habitual. Sin embargo, poner estas cámaras en la puerta de casa puede resultar conflictivo. El uso de las mirillas electrónicas es legal, pero hay que tener en cuenta una serie de aspectos. De lo contrario podemos tener problemas, como el que le ha pasado a este hombre que decidió colocar una mirilla electrónica en su domicilio sin avisar a la comunidad.

Es la primera vez que la Agencia Española de Protección de Datos (AEPD) decide aplicar una sanción económica por la instalación de una mirilla electrónica. Hasta ahora, la mayoría de casos se habían archivado. No es este caso, donde la AEPD ha decidido aplicar una multa de 300 euros.

Aquí os explicamos qué ha ocurrido, por qué se ha impuesto una sanción y qué debemos tener en cuenta a la hora de colocar una mirilla electrónica para que no nos pase lo mismo.

Se debe instalar la mirilla electrónica sin vulnerar la privacidad

El hombre multado colocó una mirilla digital en su puerta, como muchos otros. La cuestión es que la cámara captaba lo que pasa en la puerta, normal, y también la puerta del otro vecino. Esto provocó que el vecino lo denunciara por haber colocado la mirilla sin consentimiento expreso de la comunidad.

Una vez recibida la denuncia, la AEPD contactó con el hombre a través de correos que fueron contestados con un "Ausente". Como no hubo réplica ni respuesta para por ejemplo retirar amablemente la cámara o realizar la comunicación, la Agencia inició el procedimiento sancionador que finalmente ha derivado en la multa de 300 euros.

La explicación es que si hay un sistema de videovigilancia por en medio deben aplicarse las leyes de protección de datos. Y la cuestión es que si se apunta al vecino, debe haber un tratamiento adecuado. Si la cámara solo apunta a nuestra puerta no debería haber problema, pero si apunta al vecino, el primer paso es contar con su consentimiento, ya que sus datos personales (la imagen grabada) están en juego.

La AEPD explica la situación de la siguiente manera:

"En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación. Las cámaras instaladas no pueden obtener imágenes de espacio privativo de tercero y/o espacio público sin causa justificada debidamente acreditada, ni pueden afectar a la intimidad de transeúntes que transiten libremente por la zona".

Es decir, se pueden instalar cámaras pero no si apuntan a zonas comunes. En ese caso se necesita el permiso de la comunidad. Según el artículo 17 de la Ley de Propiedad Horizontal, se necesita al menos el 60% de los votos de la comunidad para instalar una mirilla electrónica que apunte a las zonas comunes. 

La Agencia ya se ha pronunciado en casos anteriores, pero en aquellas comentó que no era necesaria la autorización de los vecinos al no grabar imágenes. Cuando sí hay una cámara entonces hay tratamiento de datos. 

Los 300 euros son una multa administrativa que viene acompañada de la obligación, en un plazo de 30 días, de retirar la cámara o bien reorientarla para que no apunte al vecino ni a las zonas comunes. De no cumplirse, la AEPD se reserva abrir un procedimiento sancionador más severo. 

La cifra queda muy por debajo de lo que puede llegar a condenarse por una infracción de este tipo. En caso de ser una empresa, según el artículo 83.5 del RGPD, la infracción supondría hasta 20 millones de euros o el 4% de los ingresos globales anuales. 

Imagen | Blogging Guide

En Xataka | Cámaras en la puerta de casa que pueden grabar a los vecinos: cómo hay que usarlas para cumplir la ley

-
La noticia Un hombre pensó que colocar una mirilla electrónica era buena idea. Le han caído 300 euros de multa fue publicada originalmente en Xataka por Enrique Pérez .

Dentro del terreno de la ciberseguridad existen numerosas plataformas que nos pueden servir de gran ayuda para aprender en este sector. En este artículo te vamos a hablar de dos webs muy conocidas y que podrás aprender todo lo necesario sobre el hacking a través de casos reales y métodos para solucionar y prevenir situaciones que puedan comprometer la seguridad de un usuario o empresa.

Los sitios web en cuestión son TryHackMe y Hack The Box, y en este artículo te contamos qué es lo que puedes encontrar aquí y cómo registrarte para comenzar a aprender todo lo necesario sobre ciberseguridad.

TryHackMe, ideal para comenzar a aprender sobre ciberseguidad y hacking

TryHackMe es una web que te permitirá desarrollarte dentro del terreno del hacking y la ciberseguridad. Contiene innumerables ejercicios prácticos de casos reales para que puedas demostrar lo aprendido con los cientos de documentos teóricos y académicos.

Su experiencia gamificada y el hecho de ser una fuente de conocimiento tanto para principiantes como para experimentados, hace a TryHackMe un recurso esencial si quieres nutrirte de todo lo necesario sobre ciberseguridad.

En TryHackMe podrás comenzar a hackear desde el primer momento, y podrás ensayar tus lecciones en entornos y redes reales, aprendiendo a atacar y defender redes de equipos muy similares a las que las organizaciones y empresas utilizan a día de hoy.

TryHackMe ofrece un plan gratuito con instancias hackeables y retos. Sin embargo, se trata de una experiencia limitada en comparación a los planes Premium y Business. La versión Premium tiene un coste de 12 libras al mes (9 libras al mes si lo pagas anualmente).

Hack The Box, aprendizaje autónomo y academia para formarte en ciberseguridad y hacking

Otra alternativa a TryHackMe es sin duda Hack The Box. Esta web es también una mina de oro si quieres aprender todo sobre ciberseguridad y hacking de la manera más interactiva y fructífera posible. Hack The Box cuenta con más de 2,2 millones de usuarios registrados en todo el mundo, y sus lecciones son tremendamente útiles tanto para estudiantes, como para organizaciones y empresas.

La experiencia de Hack The Box también se centra en gran medida en la práctica y en el aprendizaje autónomo. Sin embargo, en Hack The Box también encontramos su academia, a la cual podemos acceder a través de una suscripción, donde además contaremos con exámenes para poner a prueba lo aprendido.

La academia de Hack The Box es accesible desde 8 euros al mes, un precio dedicado a estudiantes. Sin embargo, también puedes adquirir módulos de aprendizaje (llamados aquí cubes), que serán tuyos para siempre. El plan anual Silver tiene un coste de 490 dólares al año, pudiendo acceder a todos los módulos, especialidades, y mucho más.

Nuestra recomendación es probar la versión gratuita de ambas páginas web, y si ves que al final te pica el gusanillo y las ves de utilidad para tu formación, entrar de lleno con alguno de sus planes de pago.

La especialidad de TryHackMe es el aprendizaje autónomo por medio de sus ejercicios prácticos y la ayuda de otros miembros, mientras que Hack The Box, además de ello, y con planes gratuitos y Premium, también ofrece una academia virtual donde poder formarte en todo tipo de especialidades enfocadas a la ciberseguridad y al hacking.

En Genbeta | Algunas de las escenas de hacking más genialmente ridículas del cine y la TV: los guionistas de Hollywood no leen Genbeta

-
La noticia Estas webs son una mina de oro para aprender gratis sobre ciberseguridad y hacking: así funcionan TryHackMe y Hack The Box fue publicada originalmente en Genbeta por Antonio Vallejo .

La mayoría de nosotros usamos las VPN para conectarnos de forma remota a nuestro hogar, cuando estamos fuera de casa o para proteger la conexión si nos conectamos a una red WiFi pública. Lo mismo ocurre si usamos servicios de VPN como WARP de Cloudflare, o servicios de VPN comerciales que todos conocemos. Si utilizas VPN, debes saber que tus datos podrían estar en riesgo, ya que se ha descubierto una serie de vulnerabilidades que podrían filtrar información privada. TunnelCrack es el nombre de estas vulnerabilidades que se ha descubierto, y afectan a los clientes VPN, por lo que deberías revisar si realmente estás afectado o no.

Se supone que una VPN protege todos los datos que transmite el usuario, desde el cliente VPN hasta el servidor, de esta forma, se establecerá un túnel cifrado punto a punto. Estos ataques que se han descubierto, son capaces de eludir la protección de una VPN, por ejemplo, se podría filtrar y leer el tráfico de los usuarios, robar información confidencial e incluso atacar los dispositivos de los usuarios.

Cómo me afectan estas vulnerabilidades

Si utilizas un servicio de VPN, o te conectas al servidor VPN de tu hogar, podrían comprometer la comunicación supuesta cifrada. Según las pruebas realizadas, es muy probable que todos los clientes VPN para iOS y macOS estén afectados, también la mayoría de VPN para los sistemas operativos Windows y Linux están afectados, mientras que el sistema operativo Android es el más seguro, solamente una cuarta parte de las aplicaciones VPN son vulnerables en este sistema operativo.

El principal problema es que se pueden explotar estas vulnerabilidades independientemente del protocolo de seguridad usado, es decir, las VPN que disponen de «cifrado de grado militar» también están afectadas, ya que este ataque no se centra en la criptografía que hay en el túnel, sino en realizar varios ataques fuera de este túnel, y que provoca que se pueda exponer información privada a cualquier ciberdelincuente que te esté atacando.

Qué ataques se pueden hacer con estos fallos de seguridad

El equipo de investigadores de seguridad, ha descubierto un total de dos ataques, el primero es LocalNet que se puede explotar cuando un usuario se conecta a una red WiFi no confiable, y el segundo se llama ServerIP que se puede explotar también en redes WiFi no confiables, e incluso en operadores de Internet. Ambos ataques lo que hacen es manipular la tabla de enrutamiento de la víctima, para engañar al cliente VPN y enviar tráfico fuera del túnel VPN protegido. Por este motivo, un ciberdelincuente podría leer e interceptar el tráfico transmitido.

En condiciones normales, la tabla de enrutamiento del cliente hace que todo el tráfico de red se envíe directamente a través del túnel VPN protegido por el cifrado, sin embargo, muchos clientes VPN añaden excepciones para enviar dos tipos de tráfico fuera del túnel. Todo el tráfico enviado hacia y desde la red local estará fuera del túnel, y también todo el tráfico hacia y desde el servidor VPN.

La primera regla en la tabla de enrutamiento, permite que, mientras estamos conectados al servidor VPN, podamos comunicarnos con los equipos de la red local sin problemas. Es decir, un usuario podría estar conectado al servidor VPN, pero sigue teniendo acceso a la red local para imprimir, intercambiar archivos por SMB etc. La segunda regla nos asegura que no haya un bucle de enrutamiento, es decir, que los paquetes VPN ya encriptados no vuelvan a encriptarse.

En los dos ataques que se han descubierto, lo que hacen es justamente explotar estas dos excepciones en la tabla de enrutamiento, con el objetivo de desviar el tráfico fuera del túnel VPN y robar información.

Ataque LocalNet

Este ataque se puede explotar de manera muy sencilla cuando un usuario se conecta a una red WiFi que no es de confianza, ya sea abierta o con cifrado WPA2/WPA3. Si un ciberdelincuente actúa como una red WiFi o cableada maliciosa, y engaña a la víctima para que se conecte a esta red, podrá realizar el ataque. Por ejemplo, si un ciberdelincuente clona una red pública, cuando la víctima se conecte a esta red maliciosa, el ciberdelincuente podría asignarle una dirección IP pública con su correspondiente subred, para posteriormente filtrar todo el tráfico sin quererlo.

En la imagen anterior se puede ver que el ciberdelincuente le proporciona a la víctima una dirección IP 1.2.3.0/24, y establece el túnel VPN correctamente. Debido a que esta subred pública se le ha proporcionado como si fuera local, la víctima podrá acceder a esta subred sin necesidad de enviar el tráfico a través del túnel, sino que lo enviará a través de la «red local» sin cifrar el tráfico, por lo que los datos se ven comprometidos.

El ciberdelincuente podría asignar subredes más grandes a la red local, para filtrar casi todo el tráfico de la víctima. El objetivo de este ataque es filtrar todo el tráfico fuera del túnel VPN, e incluso se podría hacer un ataque de denegación de servicio para que la víctima no tenga conectividad a Internet. El equipo de investigadores ha probado más de 66 aplicaciones de VPN en cinco sistemas operativos, y han descubierto que casi todas las aplicaciones de VPN de iOS son vulnerables, la mayoría en Windows y Linux son vulnerables, y solamente el 20% son vulnerables en Android.

Para defenderse de este ataque, la aplicación VPN debería desactivar automáticamente el acceso a la red local cuando la red local usa IPs públicas.

Ataque ServerIP

En este ataque, el atacante podría suplantar las respuestas de DNS antes de que se establezca el túnel de VPN, y poder ver todo el tráfico hacia el servidor VPN. En este caso, el ciberdelincuente también podría actuar como red WiFi o cableada para realizar el ataque, además, un operador de Internet malicioso podría hacerlo a gran escala sin muchos problemas. La idea es que el atacante falsifique la dirección IP del servidor VPN, por ejemplo, si el servidor VPN tiene un determinado nombre de host que apunta a 2.2.2.2, entonces el atacante podría cambiar esta dirección IP por la suya propia que fuera 1.2.3.4, para que así el cliente VPN se conecte al atacante, y este a su vez al servicio de VPN, «colándose» en el medio de la comunicación sin que el cliente lo sepa. Por supuesto, todo el tráfico que reciba del cliente VPN, se reenviará al servidor VPN real para que el cliente crea que la conexión se ha realizado correctamente.

Cuando la víctima visite una web, la enviará a 1.2.3.4 en lugar de al servidor VPN «real», y debido a la regla de enrutamiento para evitar que los paquetes se vuelvan a cifrar en el servidor VPN, la solicitud se envía fuera del túnel VPN protegido, así que todo el tráfico se ve comprometido.

El equipo de investigadores ha descubierto que los clientes VPN integrados en Windows, macOS y iOS son vulnerables. Android 12 y superior no se ve afectado por este problema. Además, bastantes VPN en Linux también son vulnerables. Otro aspecto importante, es que, la mayoría de servicios de VPN usan un dominio para establecer la conexión, en lugar de usar una dirección IP pública, por tanto, podrían verse afectadas por este ataque.

Para evitar este ataque, los clientes VPN deben actualizarse y enviar todo el tráfico a través del túnel VPN, excepto el tráfico generado por la propia aplicación.

En el siguiente vídeo se puede ver una demostración de cómo se realizarían los ataques:

Como podéis ver, la mayoría de VPN están en jaque debido a estos fallos de seguridad, y es que podrían comprometer nuestra privacidad y seguridad de forma bastante sencilla. No es necesario un ordenador muy potente, cualquier persona con acceso a la red puede realizar estos ataques, y son independientes del protocolo VPN usado, ya que no se ataca el cifrado ni el establecimiento de la conexión, sino la tabla de enrutamiento.

¿Se ha corregido ya el problema?

Con la finalidad de proteger a los usuarios, se han lanzado días atrás las correspondientes actualizaciones de seguridad durante una divulgación coordinada de 90 días, en colaboración con CERT/CC y varios proveedores de VPN. Por ejemplo, Mozilla VPN, Surfshark, Malwarebytes, Windscribe y WARP de Cloudflare ya están parcheadas. Muy pronto muchas otras empresas también lanzarán parches para solucionar o mitigar el problema en el lado del cliente VPN. En el caso de que no tengas actualizaciones para tu VPN, se podría mitigar el ataque de LocalNet deshabilitando el acceso a la red local. Por supuesto, el problema se mitiga usando siempre HTTPS para todas las comunicaciones, pero lamentablemente solamente los sitios web que tengan HSTS nos garantizan que siempre la conexión será por HTTPS.

Mientras que la mayoría de los fabricantes y empresas han reaccionado muy rápido para resolver este problema, debemos destacar que Microsoft no planea lanzar ningún parche para solucionar esta vulnerabilidad, porque creen que esto realmente no es un fallo, que es un comportamiento por diseño y que de ninguna forma se puede filtrar información una vez que se ha establecido el túnel. El equipo de investigadores ha demostrado que esto no es cierto, y creen que Microsoft no ha entendido bien los ataques.

En el caso de los DNS, teniendo en cuenta que la mayoría de peticiones todavía se usa DNS puro y no las alternativas privadas como DNS over TLS o DNS over HTTPS, en este caso, la solución pasaría por usar DoT o DoH para protegernos y evitar que un ciberdelincuente pueda ver y manipular las peticiones DNS que realicemos. En muchos casos, se usan las VPN para encapsular otros protocolos que no son seguros, como el protocolo RDP, FTP o Telnet entre otros. En estos casos, un ciberdelincuente podría eliminar la protección que ofrecen las VPN, y hacerse con las credenciales de acceso de estos protocolos inseguros, por lo tanto, debes tener mucho cuidado a partir de ahora.

Os recomendamos visitar la web oficial de esta vulnerabilidad TunnelCrack donde encontraréis todos los detalles técnicos, incluyendo el paper con toda la investigación y pruebas de los diferentes servicios de VPN.

El artículo TunnelCrack: se descubren vulnerabilidades que afectan a la mayoría de VPN se publicó en RedesZone.

Las operaciones de mantenimiento de las líneas eléctricas de alta tensión entrañan riesgos importantes para los técnicos que deben llevarlas a cabo. La altura a la que a menudo tienen que abordar la manipulación de la infraestructura eléctrica y la posibilidad de sufrir una descarga son los principales riesgos que se ven obligados a asumir estos operarios. Afortunadamente ahora cuentan con algo a su favor: el notable desarrollo que está experimentando la robótica aérea.

En España reside un centro de investigación vinculado a la Universidad de Sevilla que cuenta con mucha experiencia en esta disciplina: el Grupo de Robótica, Visión y Control (GRVC). Este equipo está liderado por Aníbal Ollero, doctor ingeniero y catedrático de Robótica en la Universidad de Sevilla especializado en el diseño y la puesta a punto de robots aéreos y vehículos aéreos no tripulados. Actualmente el GRVC trabaja en más de 20 proyectos, y uno de ellos persigue, precisamente, mejorar la seguridad de los técnicos que velan por la infraestructura eléctrica.

El proyecto AERIAL-CORE ya está entregando resultados muy prometedores

A grandes rasgos el propósito de esta iniciativa es desarrollar nuevas tecnologías y sistemas robóticos aéreos con capacidades cognitivas que les permitan afrontar operaciones de inspección y mantenimiento de infraestructuras de difícil acceso. No cabe duda de que el tendido de las líneas eléctricas encaja como un guante en esta premisa, por lo que este grupo de investigadores ha puesto a punto un robot ligero que lleva a cabo la instalación en las líneas eléctricas de los dispositivos espantapájaros exigidos por la regulación para evitar que las aves choquen con los cables y corran el riesgo de sufrir una descarga eléctrica.

Este ingenioso robot pesa 3 kg y tiene dos brazos y una base rodante que lo dotan de una gran polivalencia. De hecho, como podéis ver en el vídeo que publicamos debajo de estas líneas, la base rodante le permite afianzarse de una manera estable sobre la línea eléctrica y desplazarse por ella. Además, los dos brazos le capacitan para instalar en la línea el dispositivo espantapájaros exigido por la regulación actual. Esta estrategia evita que deban llevar a cabo este procedimiento los técnicos de mantenimiento de una forma completamente manual y asumiendo los riesgos que conlleva esta operación.

No obstante, no debemos pasar por alto la estrategia por la que se han decantado los ingenieros del GRVC para colocar este robot sobre la línea eléctrica. Y es que su solución consiste en recurrir a un dron multirrotor diseñado para "agarrarlo" y desacoplarse correctamente una vez que el robot está alojado sobre la línea de alta tensión a unos 10 metros de altura. En el vídeo podemos ver la precisión con la que ambas máquinas llevan a cabo su cometido.

Una vez que el robot de dos brazos ha finalizado la instalación del dispositivo espantapájaros sobre la línea eléctrica el dron regresa para acoplarse a él nuevamente y depositarlo en el suelo sin que haya sufrido ningún daño. El tiempo invertido en la colocación del robot sobre la línea es de aproximadamente 80 s, y el lapso necesario para recuperarlo cuando ha finalizado su función es de unos 110 s, por lo que la operación completa requiere aproximadamente 4 minutos (este tiempo contempla la instalación de los dispositivos espantapájaros). No cabe duda de que todo el esfuerzo que se realiza para mejorar la seguridad de las personas que trabajan en este tipo de instalaciones merece mucho la pena.

Imagen de portada: Grupo de Robótica, Visión y Control (GRVC)

Más información: Grupo de Robótica, Visión y Control (GRVC)

En Xataka: China ya tiene al primer robot "producido en masa". Su misión es sorprendente: ejercer de enfermero

-
La noticia El invento español que sustituye una tarea peligrosísima: operar sobre líneas eléctricas de alta tensión fue publicada originalmente en Xataka por Juan Carlos López .

Este jueves ha sido un día realmente importante para nuestro sistema democrático al haberse constituido las Cotes Generales tras los resultados electorales del pasado 23 de julio. Esto ha hecho que los pasillos tanto del Senado como del Congreso hayan estado llenos de nuevos parlamentarios (y otros veteranos que repiten) así como un dispositivo especial de grafistas y cámaras para inmortalizar el inicio de legislatura.

Y cuando hay tanto periodistas grafistas en el Congreso es fácil que se pueda captar alguna imagen curiosa para cualquier persona, aunque sea realmente discreta. Esto precisamente es lo que ha ocurrido esta mañana en la emisión en directo que estaba realizando el canal de La 1 con motivo de su programación especial.

Las cámaras captan el PIN del iPhone de la presidenta del PSOE

Pese a que en muchas ocasiones las imágenes pasan desapercibidas para muchos, en esta ocasión un fragmento de este directo se ha hecho viral en X. En concreto el usuario @marcceleiro ha publicado un fragmento de la retransmisión donde se puede ver a una diputada con su teléfono móvil introduciendo su código de desbloqueo.

Se puede ver de manera clara en el fragmento que se trata de un iPhone que el Congreso ofrece a todos los diputados en el kit de iniciación donde se incluye un iPad o un ejemplar de la Constitución. Justo cuando le ha enfocado la cámara, la diputada estaba introduciendo el código de desbloqueo del iPhone (seguramente porque no tenía Face ID configurado o se había bloqueado al no detectarla).

La sorpresa ha sido precisamente ver la combinación de números que ha introducido la diputada: 123456. La diputada en cuestión que apuesta por un código tan inseguro es Cristina Narbona, presidenta del PSOE y también presidenta de la Mesa de Edad este jueves al ser la diputada de mayor edad de esta legislatura.

Como ya hemos repetido en innumerables ocasiones este tipo de códigos no son nada recomendables por su fragilidad, y lo fácil que puede llegar a ser adivinarlos para acceder al dispositivo. Esto es precisamente lo que le reprocha el autor del tweet donde recuerda que lo ha visto media España.

Esto demuestra que los máximos responsables de nuestro país todavía tienen mucho camino por recorrer en ciberseguridad básica. Y es que aunque el clásico '123456' pueda llegar a ser fácil de recordar tiene muchas carencias de seguridad, y un parlamentario precisamente debería tener mucha más precaución. En definitiva, estamos ante una curiosa anécdota que nos ha dejado esta sesión de constitución de las cortes.

En Genbeta | Trucos para crear y recordar una buena contraseña

-
La noticia '123456', el código de desbloqueo del iPhone de esta conocida diputada que ha visto toda España. Una invitación a robar sus datos fue publicada originalmente en Genbeta por José Alberto Lizana .

Los que tenemos cierta edad y en su día nos adentramos en la informática a través de Windows de hace muchas versiones, estamos acostumbrados a organizar nuestros "tesoros" digitales en carpetas y subcarpetas.

---

Además…la experiencia nos asegura que sí o sí va a ocurrir un desastre y vamos a perder todos esos tesoros más temprano que tarde. Por eso nos gusta hacer copias de seguridad en diferentes ubicaciones y soportes para maximizar las posibilidades de recuperación cuando ese desastre inevitable llegue.

Por copias de seguridad hay un gran abanico de tipos…los hay de sistemas completos, de discos y unidades de datos, configuraciones, solo determinadas carpetas…y pueden ser completas, diferenciales e incrementales.

 

Igualmente hay muchas opciones en cuanto a programas y aplicaciones dedicadas a esto. Unos muy completos y otros más simplones…unos de pago y otros gratuitos.

En este artículo comentaré mi experiencia con Echosync, una pequeña y portable aplicación que basa sus aptitudes en la sencillez y eficacia.

Echosync es una utilidad gratuita que podemos obtener en el siguiente enlace:

 

Web Oficial de Echosync
https://www.luminescence-software.org/en/echosync

 

Echosync hace justamente lo que buscaba. Realiza de forma manual copias de un origen a un destino de forma incremental, esto es…compara el origen y el destino y solo copia los cambios, con lo cual es muy rapidísima si las copias no incluyen archivos enormes puesto que lo que no ha cambiado, no se toca.

Los archivos de origen no los toca, tan solo iguala el destino para que sea igual al origen.

El hecho de ser portable le da mucha flexibilidad, aunque ya hemos comentado que dispone de una versión instalable.

 

Su función principal es la ya comentada…hacer backups diferenciales. Se pueden hacer con carpetas individuales o unidades completas. En el ejemplo que he usado en este artículo he usado toda una unidad interna a una unidad externa. No son muchos gigas, algo menos de 19 gigas. La primera copia es la que lleva tiempo…no mucho, hoy en día 19 gigas se pasan de unidad a unidad muy rápido…pero las siguientes copias son realmente muy rápidas porque solo transfiere los cambios sin tocar lo que no ha cambiado.

 

 

Su interfaz es sencilla (traducida entre otros al Español). Se divide en tres secciones. La superior donde crearemos diferentes perfiles, donde especificaremos un origen y un destino. Abajo tenemos otro panel donde se mostrarán los resultados de comparación entre el origen y el destino y una sección inferior donde podemos seleccionar que tipo de datos se sincronizarán. Lo normal es que se use la fecha de creación, fecha de modificación y el hash de los archivos para determinar los cambios.

En la parte inferior de la interfaz tenemos dos botones, uno para iniciar un proceso de comparación para saber si algo ha cambiado entre el momento actual y el momento en que se hizo la última sincronización y un botón para comenzar un proceso de sincronización.

 

 

En la parte superior derecha también tenemos dos botones. Uno para crear un perfil nuevo o tarea de sincronización, y otro para borrar alguno que ya no sea necesario.

 

 

En la cinta de opciones tenemos tres botones.

En Opciones podemos indicar las acciones que se realizarán una vez finalizado un proceso de sincronización. También podremos indicar el idioma de la interfaz y el tema de la misma (claro, oscuro o el que se esté usando en el sistema)

 

 

En Programador, nos abrirá el Programador de Tareas de Windows para crear una tarea programada. Se usa el programador de tareas del sistema porque el programa en sí normalmente estará cerrado y sin procesos en segundo plano activos…por eso no integra su propio programador y usa el del propio Windows. Así podremos desentendernos de Echosync y dejar que sea el propio Windows el que haga todo el trabajo.

 

 

en la última opción de la cinta de opciones, entre otras cosas podemos reiniciar el programa como administrador para aquellos casos en los que solo se puede acceder a ciertas ubicaciones como administrador.

 

 

Como vemos, es simple y con una función muy determinada. Cumple con su cometido sin complicaciones y te quedas con la misma pregunta que te haces en muchas otras ocasiones con este tipo de utilidades…¿por qué demonios no se integra en Windows una utilidad así sin necesidad de acudir a terceros?

 

Pos esto es todo…sean felices como perdices y no olviden supervitaminarse y mineralizarse.

Sufrir una vulnerabilidad en el router puede ser un problema muy importante. Puede suponer que haya intrusos que entren en la red. También podrían llegar a afectar a la conexión de otros dispositivos y tener cortes continuos. En este artículo nos hacemos eco de un fallo grave que afecta a cientos de miles de routers de la marca MikroTik. Permite una escalada de privilegios al ejecutar código arbitrario de forma remota. Podrías perder el control sobre tus aparatos.

Esta vulnerabilidad ha sido registrada como CVE-2023-30799 y le han dado una puntuación de 9.1 en la escala CVSS. El fallo, según indican desde VulnCheck, significa que permite una escalada de privilegios de administrador a súper administrador. Esto permite adquirir credenciales para los sistemas RoutersOS de forma sencilla.

Routers de MikroTik, en peligro

Si tienes un router de MikroTik, cuidado porque puede estar afectado por esta vulnerabilidad. Se calcula que puede haber entre 500.000 y 900.000 routers afectados. Una cifra bastante significativa. Si tenemos en cuenta que se trata de una vulnerabilidad calificada como grave, el problema es mayor.

Pero, ¿qué es lo que ocurre exactamente? Se debe a que el sistema operativo RoutersOS, presente en los modelos de MikroTik, no tiene una protección contra fuerza bruta para evitar que rompan la contraseña. Esto permite que envíen solicitudes con un usuario administrador predeterminado conocido, con una contraseña que era una cadena vacía.

Con el lanzamiento de RouterOS 6.49, en 2021, pidieron a los usuarios que cambiaran la contraseña. Pero hubo un agujero de seguridad que no se tapó correctamente en ese momento y no ha sido hasta ahora, con la versión RouterOS 6.49.8, cuando lo han hecho realmente. Desde VulnCheck crearon una prueba de concepto para comprobar que este fallo se podía explotar.

Este problema puede derivar en que tu router, si tienes un MikroTik sin actualizad, forme parte de una botnet. Básicamente significa que lo pueden controlar, como si tu router fuera un zombi. Va a poder formar parte de una red mayor encargada de distribuir malware, llevar a cabo ataques de denegación de servicios para tumbar páginas web, etc.

Soluciona el problema

Por suerte, evitar este problema hoy en día es sencillo. Igual que puedes solucionar otras muchas vulnerabilidades, no solo en routers de MikroTik, tener la última versión instalada es la clave. En este caso, necesitas tener la versión RouterOS 6.49.8 o alguna a partir de la 7. Esto corrige este problema y evitará que tu router pueda verse comprometido.

Si utilizas un aparato muy antiguo, que te dieron cuando contrataste Internet, es posible que sea mejor cambiar el router de la operadora. Puede que esté obsoleto, que ya no reciba actualizaciones. Esto va a provocar fallos también de funcionamiento, por lo que puedes tener una peor velocidad, cortes continuos y otras complicaciones para navegar diariamente.

En definitiva, como ves es importante que actualices tu router si tienes un modelo MikroTik. Hay cientos de miles vulnerables a un grave fallo de seguridad. No obstante, incluso si tienes otra marca distinta, también te recomendamos que lo actualices y consigas un funcionamiento óptimo y sin problemas de seguridad.

El artículo Tu router puede estar en peligro por este grave fallo, actualiza ya se publicó en RedesZone.

Una de las formas más habituales de calentar agua en nuestros hogares es usando un termo eléctrico. Este tipo de equipos consiste en un termo de pequeñas o grandes dimensiones con resistencias para calentar el agua, y un termostato para limitar la temperatura máxima de dicha agua en su interior. Generalmente, los termos eléctricos siempre están encendidos para disponer de agua caliente en todo momento, pero es posible que alguna vez hayas pensado si merece la pena encenderlo solamente cuando lo vayas a utilizar. Hoy en RedesZone os vamos a explicar si realmente merece la pena, o de lo contrario no te ahorrarás casi nada de dinero en la factura de la luz.

Hoy en día existen muchos modelos de termos eléctricos, pero en esencia todos funcionan exactamente igual. Internamente disponen de unas resistencias para calentar el agua, dependiendo de la temperatura del agua, se encenderán más o menos resistencias para tener el agua a la temperatura objetivo lo antes posible. Lo habitual es tener un termo de unos 80L de capacidad, no obstante, si sois muchos en casa, también existen modelos de hasta 150L.

¿Cuánto consume un termo eléctrico?

El consumo de un termo eléctrico depende de varios factores, el primero y más importante es la capacidad de dicho termo eléctrico. No es lo mismo calentar 150L de agua y mantener la temperatura de operación, que calentar un termo pequeño de tan solo 50L y mantener la temperatura. Por este motivo, es muy recomendable fijarse bien en el consumo estimado cuando vamos a comprar uno de estos equipos para nuestro hogar. Otro aspecto muy importante que debes tener en cuenta, es la potencia instantánea que necesitan sus resistencias para funcionar. En los termos pequeños lo más habitual es que tengan una potencia de 1000W, los medianos tienen unos 1500W, y finalmente, los modelos más grandes suelen tener 2000W de potencia.

En el ejemplo que os vamos a poner, hemos usado un termo pequeño de 50L y con 1.000W de potencia. Lógicamente, esta potencia instantánea no está continuamente funcionando, sino que cuando el termo está en reposo sin calentar, el consumo es cercano a 0Wh, mientras que cuando está calentando el consumo es de 1kWh. En nuestro caso, el consumo diario que tenemos está entre 1kWh y 1,5kWh, dependiendo del uso que le demos al agua caliente.

En la siguiente imagen podéis ver que el consumo de este termo eléctrico ronda los 11kWh semanales, por tanto, tenemos una media de 1,5kWh aproximadamente.

Haciendo un cálculo rápido, en un mes nuestro termo eléctrico consumirá unos 45kWh aproximadamente de energía. Insistimos que esta cifra varía mucho dependiendo del uso del agua caliente y también el tamaño del termo. Elegir bien el aparato, puede ayudarte a gastar menos si realmente no vas a necesitar tener uno mayor. Además, el coste total va a estar marcado por la tarifa de luz que tengas contratada (si tiene o no discriminación horaria), del precio del kWh, etc.

Teniendo en cuenta estas cifras de consumo eléctrico a lo largo del mes, mucha gente se pregunta si realmente vamos a ahorrar algo si apagamos el termo eléctrico por las noches. A continuación, os explicamos si realmente te vas a ahorrar algo.

¿Cuánto me ahorro si lo apago por las noches?

El termo eléctrico enciende sus resistencias cuando la temperatura del agua baja de un determinado umbral, por lo tanto, es probable que entre las 12 de la noche y las 7 de la mañana se pueda encender en algún momento con el objetivo de mantener la temperatura objetivo. Esto provocará un consumo de energía en un determinado momento durante la noche, si eres de los que se duchan por las mañanas, podrías programar un enchufe inteligente para que se encienda a las 6.00 aproximadamente, para tener el agua caliente, así te ahorras el «encendido» sobre las 3 de la mañana.

No obstante, hemos comprobado usando un enchufe inteligente con medición de energía, que cuando apagamos el termo eléctrico por las noches, lo que nos ahorramos por saltarnos esos arranques, lo gastamos posteriormente si queremos usarlo, ya que el termo estará en funcionamiento hasta que consiga la temperatura de operación, y si la temperatura es más baja porque lo hemos apagado, gastará más hasta conseguir dicha temperatura.

Si usas el termo eléctrico a diario, ya sea por la mañana a primera hora o por la noche, no ahorrarás nada o casi nada al apagar el termo eléctrico. Lógicamente, si tienes paneles solares y no disponemos de una batería o batería virtual, entonces sí sería recomendable trasladar el consumo del termo al día, y por las noches apagarlo. Hay que tener en cuenta que, el calor del agua se conserva bastante bien en este tipo de equipos, por tanto, si lo apagas a las 22.00 y necesitas agua caliente a las 6.00, tendrás agua caliente y no lo notarás. Después sobre las 10.00 cuando ya haya producción solar, entonces procedemos al encendido del termo para aprovechar al máximo la energía generada por el sol.

En el caso de que te vayas de vacaciones, o vayas a estar un par de días fuera de casa, en estos casos sí sería recomendable que apagues el termo para ahorrar, y lo enciendas al volver a casa. No tiene sentido que gaste energía eléctrica en mantener la temperatura del agua si vas a estar fuera. Hay que tener en cuenta que, dependiendo del termo que tengamos, el agua estará caliente en unos 30 minutos como mucho, aunque lógicamente esto dependerá del tamaño del termo y de las resistencias que tengamos.

Por lo tanto, a la pregunta de «¿consume más el termo eléctrico de agua encendido 24h o solo algunas horas?», la respuesta es que consume lo mismo, no notarás diferencia porque lo que ganas al apagarlo durante unas horas, lo «pierdes» después al calentar el agua a la temperatura objetivo. Lo único que podrías hacer para ahorrar algo es reducir la temperatura de operación, en lugar de ponerlo a 50ºC ponerlo a 40ºC, así se activará la resistencia menos veces.

Eso sí, como has podido ver, conviene apagarlo si vas a estar unos días de vacaciones. En esos casos, sí vas a ver un ahorro importante. El aparato no va a consumir electricidad y simplemente lo enciendes cuando vuelvas, esperas a que se caliente y listo. Como recomendación, para si somos muy estrictos, espera 2-3 horas si lo has dejado apagado durante muchos días, una vez lo enciendas, ya que el agua estancada, a temperatura ambiente, ha podido almacenar bacterias y se necesitan unas horas para eliminarlas con el agua caliente.

El artículo ¿Consume más el termo eléctrico de agua encendido 24h o solo algunas horas? se publicó en RedesZone.

Los chatbot ya son realmente comunes en nuestro día con muchas opciones encima de la mesa como ChatGPT o Google Bard. Si bien, a la hora de usarlos a veces nos encontramos con muchas limitaciones ante ciertas preguntas para evitar que las IA puedan generar discursos de odio, desinformación o se proporcione información que es peligrosa como manuales para hackear alguna web.

Pero como ocurre en cualquier tipo de software, estas limitaciones se pueden sortear rápidamente por los expertos en seguridad a través de las palabras adecuadas en sus prompts. Esto es lo que muestra un informe publicado por la Universidad de Carnegie Mellon en el que se muestra que cualquiera puede eludir estas medidas para conseguir por ejemplo una guía para destruir la humanidad.

Las IA como ChatGPT se pueden 'hackear' con un simple sufijo

Encima de la mesa actualmente se puede encontrar una gran polémica como es la guerra entre las empresas de IA por dejar que cualquiera vea el código de sus chatbots o no. Meta es una de los defensoras de facilitar el código a cualquiera alegando que esto puede hacer progresar a las IA y comprender los riesgos. Pero la realidad es que está siendo usado para comprender mejor como eludir los controles que existen.

En el informe deja de manifiesto por ejemplo que al pedir a ChatGPT o Google Bard que genere las instrucciones para crear una bomba va a decir que no puede proporcionar esa información. Pero si se le pregunta lo mismo pero agregando un sufijo largo al mismo mensaje el tutorial para crear una bomba estaría realmente detallado delante de cualquier usuario.

Además de dar los pasos para tener una bomba, también hemos visto ejemplos muy claros sobre como generar un plan detallado que tenga el objetivo de eliminar a toda la humanidad. Y lo cierto es que al comenzar a leer puede llegar a dar bastante miedo todo lo que se llega a producir por parte de la IA.

Y aunque los desarrolladores de todos estos bots conversacionales pueden tratar de dar una solución a estos sufijos específicos los investigadores creen que siempre se va a poder sacar un nuevo método para engañarlos. Esto es algo que hemos visto muy claro con sus “alucinaciones” a la hora de crear una conversación para que nos proporcione las claves de activación de Windows.

A lo largo de la investigación son muchos los sufijos que se han descubierto, aunque no han querido publicarlos todos para evitar que se puedan usar con otros fines. Lo que está claro es que los sistemas de seguridad impuestos son muy débiles y esto puede conducir a una regulación mayor por parte de los gobiernos para crear filtros más seguros.

Vía | The New York Times

Imagen | Bing Image Creator por José Alberto Lizana

En Genbeta | He convertido a Google Bard en mi ayudante: cinco prompts que uso para acabar tareas en segundos y ahorrar horas de trabajo

-
La noticia ChatGPT puede decirte cómo destruir la humanidad o crear una bomba: estos investigadores han burlado sus filtros con un simple sufijo fue publicada originalmente en Genbeta por José Alberto Lizana .

Hoy en día no puedes fiarte de nada ni de nadie: desde los "deepfakes" que hacen dudar de la autenticidad de lo que vemos y oímos hasta los sofisticados ataques 'man-in-the-middle' (MitM) que intentan suplantar nuestra identidad online, la seguridad de la información es una preocupación constante en nuestra vida moderna.

Pero, ¿pueden estas amenazas haber existido hace más de un siglo, en tiempos donde la tecnología parecía primitiva en comparación con la actual? Sorprendentemente, parece que sí. Y hay películas (de esa época) sobre ello.

Francia. Año 1915. Las películas eran mudas, la industria de los efectos espaciales era una rama de la artesanía (¿habéis visto 'La invención de Hugo', no?), y todavía faltaban cinco años para que se estrenase la primera obra de teatro sobre robots. El director de cine francés Louis Feuillade acababa de triunfar con un serial (película en capítulos) sobre crímenes llamado 'Fantômas'…

…y ahora estrenaba otro similar llamado 'Les Vampires'. No, no iba sobre vampiros, sino sobre apaches. No, tampoco era un western: 'apache' era el nombre que se daba entonces a ciertos miembros de los bajos fondos.

¿Y por qué hablamos sobre esto en un medio como Genbeta? Fácil: porque la trama del séptimo capítulo del serial (de un total de 10) anticipa varios conceptos que hoy en día asociamos con la ciberseguridad.

I. Phishing

La trama se centra en un grupo de criminales llamados 'Les Vampires', que planifican un sofisticado robo a un magnate americano, George Baldwin mientras se encuentra en París. La primera parte del plan consiste obtener su firma, para lo cual, se las ingenian para que Baldwin sea entrevistado por la supuesta periodista Lily Flower, de la revista "Modern Woman"…

… que convence al magnate para que escriba unas cuantas palabras en un cuaderno, añadiendo fecha y su firma, con la excusa que su revista publica todos los meses la cita de una celebridad. Por supuesto, el cuaderno tenía debajo papel de calco.

Es decir, estamos ante un caso claro de phishing: por no desconfiar, el Sr. Baldwin cedió inadvertidamente sus credenciales a la persona equivocada, pensando erróneamente que se les daría un uso legítimo.

II. Man-in-the-middle

Pero aquí no termina el ingenioso plan. Los criminales hacen uso de una tecnología de vanguardia para su época: el fonógrafo, uno de los primeros dispositivos de grabación y reproducción de sonido. Con la excusa de grabar la voz de personas famosas en París, logran que Baldwin pronuncie para un falso vendedor de fonógrafos una frase específica en francés, que es clave para el segundo paso de su plan.

La siguiente etapa involucra un ataque "man-in-the-middle" (al que te expones cada vez que usas una WiFi pública), en el que un tercero malicioso intercepta la comunicación entre dos personas/dispositivos con el fin de manipularla, acceder a datos privados de la misma, o suplantar a uno o ambos de los participantes.

Concretamente, los criminales reemplazan a la operadora telefónica del hotel de Baldwin secuestrándola y enviando a una cómplice en su lugar, que será la 'woman in then middle'. Cuando el empleado de la banca intenta verificar la legitimidad de la transacción que están intentando realizar con el documento firmado (gracias a la firma calcada), llama al hotel…

III. Elusión de la doble autenticación

…y, para su sorpresa, escucha la voz del propio Baldwin proporcionando la autorización para el pago, gracias a la cómplice que ha reproducido la grabación en el fonógrafo. Sin sospechar que está hablando con una impostora, el empleado libera los fondos según las instrucciones que aparentemente ha dado el propio magnate.

No estamos exactamente ante un caso de deepfake de audio porque la voz ha sido grabada directamente, y no sintetizada a partir de una muestra, pero ése sería su paralelismo más obvio.

Ante lo que sí estamos es ante una técnica para eludir un sistema de autenticación basada en dos factores (2FA): ante la posibilidad de que el sistema tradicional de identificación (la firma entonces, la contraseña alfanumérica ahora) fuera violado, el banco había establecido un segundo factor de autenticación (una frase de viva voz entonces, un código pin vía SMS, por ejemplo, ahora)…

…y los apaches vampiros lo hackearon (no me puedo creer que acabe de escribir esa frase).

Ya está todo inventado

Así que, la próxima vez que utilices tu autenticación de dos factores o te encuentres con una grabación sospechosa, recuerda que la lucha contra las ciberamenazas no es algo nuevo.

Por supuesto, hoy en día los ataques "man-in-the-middle" y las estrategias para evadir la autenticación de dos factores (2FA) son mucho más sofisticados y realizados a través de medios digitales, pero es interesante observar cómo estos conceptos básicos de ciberseguridad ya se presentaban en la imaginación cinematográfica de hace más de un siglo.

Imagen | Wikipedia + Marcos Merino vía IA

Fuente | Kaspersky

En Genbeta | La nota de voz que has compartido por WhatsApp puede facilitar que estafen a tus padres: evita así ser víctima de una voz clonada

-
La noticia Esta película de 1915 ya incluía las principales técnicas actuales de ciberestafa. Está todo inventado fue publicada originalmente en Genbeta por Marcos Merino .

Resguardar información en la era digital es una tarea ardua y de vital importancia. Pero si optamos por almacenarla en soporte físico, nos enfrentamos a la posibilidad de perder datos de forma inesperada. Las razones pueden ser variadas: del error humano al ciberataque, pasando por fallos de hardware, bugs de software, corte del suministro eléctrico, etc.

Si almacenas una gran cantidad de datos, las soluciones (baratas) en la nube pueden resultar insuficientes como respaldo… y el hardware necesario para contar con backups adecuados en tu propia casa o centro de trabajo puede resultar prohibitivo para muchos usuarios.

De modo que, a veces, el único modo de lidiar con las situaciones de pérdida de acceso a archivos de nuestros discos es intentar recuperarlo usando software específico para esta clase de problemas. Pero, dado que son aplicaciones que, en muchos casos necesitaremos de manera meramente ocasional, y que nunca habremos usado antes, surgirá la pregunta de ¿cuál es mejor?

Hemos recopilado algunas de ellas, acompañadas de testimonios recopilados —casi todos— en las respuestas de este tuit de Guillermo Mayoraz:

R-Studio

"Tremendo me está saliendo R-Studio para recuperar datos de un HD Hitachi con 14 años de vida que decidió detonar. Intenté con el gran GetDataBack y ni él ha podido hacer lo que está haciendo este software" (@Mayoraz en Twitter).

R-Studio (no confundir con el entorno de desarrollo RStudio, para el lenguaje R) es un software de R-Tools Technology que incluye herramientas capaces de recuperar archivos en los siguientes casos:

• Eliminados sin pasar por la Papelera, o cuando ésta ya ha sido vaciada.
• Eliminados por ataque de virus o corte de corriente eléctrica.
• Después de haber reformateado la partición, incluso si ha habido cambios en el sistema de archivos
• Cuando la tabla de particiones del disco duro ha sido cambiada o dañada.
• Desde particiones dañadas o eliminadas, en general.
• Desde un disco duro con sectores dañados.

Es compatible con diversos sistemas de archivos (FAT, NTFS, HFS+, Ext2/Ext3/Ext4…), con diversos dispositivos de almacenamiento (HD, CD, DVD, disquetes, tarjetas Compact-Flash, llaveros USB, unidades ZIP, tarjetas de memoria) y con diversos sistemas operativos (Windows, Linux y MacOS)…

…aunque eso último sólo se aplica si compras la licencia más cara (R-Studio Technician, de 899$ dólares), enfocada exclusivamente a profesionales. El resto de usuarios disponemos de varias opciones para Windows a partir de los 79 dólares (pago único con actualizaciones incluidas).

GetDataBack Pro

"Antes de darte una paliza de volver a grabar, prueba Getdataback. Me salvó cantidad de fotos y vídeos de vacaciones que creí perdidos. Si funciona, en veinte minutos te lo resuelve". (vía @Alfaotorongo en Twitter)

"Me ha salvado tantísimas veces en tantos años…". (@Mayoraz en Twitter)

GetDataBack Pro es el producto estrella de Runtime Software. "GetDataBack Pro es mucho más que una simple herramienta para deshacer o restaurar el sistema. Puede recuperar datos incluso en situaciones extremas, como daños en la tabla de particiones, registros de arranque, directorios y otras áreas críticas del sistema".

Como la opción anterior, GetDataBack Pro es compatible con diversos dispositivos de almacenamiento y admite todos los sistemas de archivos propios de Windows y MacOS, así como todos los formatos EXTx de Linux. El ejecutable, por otro parte, sólo está disponible para Windows.

Tiene sólo un tipo de licencia, con un precio de 79 $ (pago único con actualizaciones incluidas).

UFS Explorer

La principal funcionalidad de las ediciones 'Recovery' de UFS Explorer radica en la recuperación de datos de unidades de almacenamiento dañadas, eliminadas o formateadas accidentalmente. Los testimonios de Twitter destacan funcionalidades como la posibilidad de "montar y recuperar volúmenes encriptados (conociendo la clave de recuperación  evidentemente)" y una mejor gestión de las funcionalidades RAID que sus competidores.

Además, soporta un número más amplio de sistemas de ficheros que sus principales rivales, sumando, además de los habituales, la compatibilidad con:

• Windows: ReFS/ReFS3.
• macOS: APFS.
• Linux: SGI XFS, JFS, UFS ReiserFS, Sun ZFS, Btrfs, F2FS.

La más barata de las licencias para ediciones Recovery de UFS Explorer está disponible por 59,99 dólares.

HDD-Regenerator

"Lo que hace es tratar de reparar sectores defectuosos a bajo nivel. Con un algoritmo de magnetizado / desmagnetizado. Muchas veces funciona" (@Mayoraz en Twitter)

HDD Regenerator es un programa diseñado para diagnosticar y reparar sectores defectuosos en discos duros (que pueden surgir por golpes, mal mantenimiento o, sencillamente, uso intensivo durante largos períodos de tiempo). La herramienta escanea la superficie del disco a nivel físico, independientemente del sistema de archivos o el formato de la unidad.

Puede recuperar datos de sectores dañados y ofrece un modo de exploración previa para detectar la ubicación de sectores defectuosos de manera rápida. El programa es de uso sencillo y no requiere configuraciones complicadas, lo que lo hace adecuado para usuarios de todos los niveles

HDD Regenerator 2024 está disponible por 99,99 $, mientras que su antecesor HDD Regenerator 2011 (compatible con Windows 8/1o/11, pese a su nombre) lo está a sólo 59,95 $.

TestDisk / PhotoRec

Por fortuna, también existen herramientas tan gratuitas como eficientes disponibles para ayudarnos a recuperar ficheros: TestDisk y PhotoRec son programas en modo texto complementarios, esto es, que se pueden utilizar en conjunto para abordar diferentes escenarios de pérdida de datos.

Primero, TestDisk se puede emplear para recuperar particiones perdidas o dañadas y solucionar problemas de arranque en el sistema. Una vez que se han solucionado estos problemas, si todavía faltan archivos o datos importantes, PhotoRec puede ser utilizado para realizar una búsqueda exhaustiva y recuperar archivos individuales.

Al utilizar estas dos herramientas en conjunto, los usuarios tienen una solución completa para abordar una amplia gama de situaciones de pérdida de datos y recuperar información valiosa de manera efectiva.

Imagen | Pixabay

En Genbeta | Compra un disco duro 'nuevo'… y descubre que contiene 800 GB de datos por valor de varios miles de euros

-
La noticia Perder tus datos es de lo peor que puede pasar en el PC: estos usuarios repasan las mejores apps para recuperarlos que funcionan fue publicada originalmente en Genbeta por Marcos Merino .

Poco después del lanzamiento de la edición VE y Backup Server, Proxmox ha dado a conocer el lanzamiento de la nueva versión de la distribución «Proxmox Mail Gateway 8.0», la cual se presenta como una solución llave en mano para crear rápidamente un sistema para monitorear el tráfico de correo y proteger el servidor de correo interno.

Para quienes desconocen de Proxmox Mail Gateway, deben saber que este funciona como un servidor proxy que actúa como puerta de enlace entre una red externa y un servidor de correo interno basado en MS Exchange, Lotus Domino o Postfix.

Es posible gestionar todos los flujos de correo entrantes y salientes. Todos los registros de correspondencia se analizan y están disponibles para su análisis a través de la interfaz web. Ambos gráficos se proporcionan para evaluar la dinámica general, así como varios informes y formularios para obtener información sobre cartas específicas y el estado de entrega. Admite la creación de configuraciones de clúster para alta disponibilidad (manteniendo un servidor en espera sincronizado, los datos se sincronizan a través de un túnel SSH) o equilibrio de carga.

Se proporciona un conjunto completo de protección, spam, phishing y filtrado de virus. ClamAV y Google Safe Browsing se utilizan para bloquear archivos adjuntos maliciosos, y se ofrece un conjunto de medidas basadas en SpamAssassin contra el correo no deseado

Principales novedades de Proxmox Mail Gateway 8.0

En esta nueva versión que se presenta de Proxmox Mail Gateway 8.0 se cambió a la base del paquete Debian 12 junto con el kernel de Linux que se ha actualizado a la versión 6.2

De los cambios realizados en este lanzamiento, se destaca que se ha propuesto un instalador alternativo basado en texto que se puede usar en hardware muy nuevo o muy antiguo que tiene problemas para ejecutar un instalador gráfico basado en la biblioteca GTK. El instalador está escrito en Rust utilizando la biblioteca Cursive.

Por la parte de las mejoras, podremos encontrar que se agregó la capacidad de bloquear una cuenta después de demasiados intentos incorrectos de pasar la autenticación de dos factores o ingresar contraseñas de un solo uso (TOTP) incorrectas. El bloqueo se realiza para proteger en situaciones en las que los atacantes pudieron averiguar la contraseña del usuario y están tratando de forzar el código de verificación por fuerza bruta en la segunda etapa de la autenticación. Para la autenticación de dos factores, el bloqueo está habilitado durante una hora y para TOTP, indefinidamente. Para desbloquear, puede usar el código de recuperación de acceso o enviar una solicitud al administrador.

El sistema de filtrado de spam se ha actualizado a SpamAssassin 4.0.0 y el paquete antivirus a ClamAV 1.0.1. En SpamAssassin, la clasificación bayesiana y los complementos de lista blanca automática están deshabilitados de forma predeterminada en las nuevas instalaciones.

Los filtros de estadísticas extendidas están deshabilitados de forma predeterminada, ademas de que se ha mejorado la protección contra ataques XSS.

De los demás cambios que se destacan de este nuevo lanzamiento:

• Versiones actualizadas de OpenZFS 2.1.12 y PostgreSQL 15.3.
• Se ha mejorado la implementación del tema oscuro en la interfaz web.
• Se agregó el script pmg7to8 para detectar incompatibilidades en la configuración antes de actualizar desde la rama 7.x.
• La utilidad ethtool está incluida.

Finalmente si estás interesado en poder conocer más al respecto debes saber que los componentes específicos de distribución están abiertos bajo la licencia AGPLv3 y puedes consultar los detalles en el siguiente enlace.

Descargar Proxmox Mail Gateway 8.0

Para los interesados en poder obtener la nueva versión, deben saber que la imagen ISO de instalación está disponible para su descarga gratuita.

Tanto un repositorio Enterprise de pago como dos repositorios gratuitos están disponibles para instalar actualizaciones, que difieren en el nivel de estabilización de las actualizaciones. Es posible instalar los componentes de Proxmox Mail Gateway encima de los servidores basados ​​en Debian que ya se ejecutan.

Hace unos días me comentaba una amiga: ¿todo eso que compartimos en Telegram (nuestra herramienta de comunicación mutua) dónde se queda, porque no lo veo luego en la galería de fotos o vídeos de mi móvil?. Le expliqué que queda dentro de la propia app, porque es como una nube que almacena todo. Y si lo quieres en la galería de tu móvil, entonces tienes que descargarlo tú manualmente.

Y todo esto es así sin la necesidad de usar la versión de pago de Telegram. No solo puedes guardar archivos y fotos que te comparten otras personas, pero usando la función de “save messages” que es como escribirte a ti misma, también te permite guardar documentos que quieras tener en una nube más allá de tu teléfono.

De todo modos, como han publicado desde Xataka Móvil, ahí falta un sistema de gestión para que su uso como almacenamiento en la nube sea mucho mejor y hay una aplicación para Android que se llama UnLim.

Qué es UnLim como gestor de archivos

Primero, ten en cuenta que puedes guardar cualquier archivo de tu móvil en Telegram, borrarlo del móvil para ganar espacio y seguir teniéndolo disponible en tu cuenta de Telegram. El único límite es que cada archivo debe pesar como máximo 2 GB en la versión gratuita y 4 GB si tienes Telegram Premium.

Y ahora entra UnLim, que es un gestor de archivos, para evitar tener que hacer carpetas manualmente como si fueran chats. El diseño es similar a Google Fotos, por lo que si has usado esta tan común aplicación del gigante de Mountain View, no te resultará difícil.

La aplicación es gratuita pero sí que te muestra muchos anuncios todo el tiempo. En la parte inferior hay la galería (que es donde podemos subir archivos), las carpetas (un gran directorio en el que formar nuevas carpetas y donde se ven todos los archivos que hemos subido a Telegram) y el apartado de configuración donde hay opciones de sincronización automática y la de búsqueda y catalogación automática de archivos.

UnLim Cloud para nuestro PC

Esta aplicación, según muestra la web, está en proceso de construir su versión para ordenador, lo que sería muy útil, porque puedes usar fácilmente el Telegram en tu ordenador.

Primero, tienes que acceder a la web oficial, en este enlace. Tienes que introducir tu teléfono móvil y te llegará un código a tu cuenta de Telegram asociada a ese número para poder acceder.

De todos modos, aún está en construcción y cuando tratas de usar sus funciones, podrás ver que, aunque se conecta con tu cuenta de Telegram, te indica que la cuenta está en construcción y que agradecen tu paciencia. Es decir, que no indican cuándo llegará el momento de usar UnLim Cloud en un ordenador.

Imagen | Soragrit Wongsa en Unsplash 

En Genbeta | 

-
La noticia La mejor alternativa a Google Fotos ya la tienes en tu móvil y gratis: es Telegram junto con esta otra herramienta fue publicada originalmente en Genbeta por Bárbara Bécares .