Fernando Garcia

Nadie duda de la comodidad de usar servicios de almacenamiento en internet, pero si además creas tu propia nube con un NAS, dispondrás de un espacio a medida de tus necesidades bajo tu control. Y además serás más independiente ante jarros de agua fría como el adiós al almacenamiento ilimitado de Google Fotos.

En esta guía de compra de NAS domésticos repasamos los apartados clave para elegir bien y acertar. También te proponemos algunas de las alternativas más interesantes del mercado.

Cómo elegir un buen NAS

Lo primero de todo es tener claro para qué lo vamos a usar y cuáles son nuestras necesidades. El punto de partida del artículo es crear nuestra propia nube (otros usos habituales son las copias de seguridad online, servidores o los centros multimedia), pero a partir de aquí hay muchas variantes, como por ejemplo el espacio que necesitaremos y si admite modificación posterior, cómo es su software de gestión, el ruido que hacen, entre otros.

Un servidor NAS permite guardar archivos como documentos, fotos, vídeos en internet para poder acceder posteriormente acceder a ellos desde equipos como ordenadores, móviles o tablets estemos donde estemos siempre y cuando tengamos una conexión

En Xataka

Servidores NAS: qué son, cómo funcionan y qué puedes hacer con uno

Sistema operativo: opciones y facilidad de manejo

Sistema operativo del fabricante QNAP

Cada marca tiene su propio sistema operativo, por lo que si estás acostumbrado a SO habituales como Windows o macOS y no eres muy tecnológico, el salto y la curva de aprendizaje puede ser más pronunciadas, especialmente en los modelos más completos.

Así, vamos a encontrarnos soluciones de marcas concretas basadas en Linux con y optimizados por el fabricante como Synology DiskStation Manager, QTS de Qnap, My Cloud de WD, y otras gratuitas como FreeNAS, NASlite, Openfiler, aptas para instalar en cualquier ordenador.

Asimismo cada SO cuenta con diferentes interfaces, plataformas y apps compatibles, apartados determinantes para saber si son idóneos para qué vamos a emplearlos. En este sentido, es recomendable echar un vistazo a la web del fabricante para saber si el NAS elegido es compatible con las apps que necesitamos.

No es tanto la facilidad de volcar datos en el sistema operativo (que también), sino también las funciones que ofrece el NAS, que están directamente relacionadas con su uso posterior. En este sentido vamos a encontrar herramientas como gestores de ficheros y gestores de cuentas y permisos, además de software para copias de seguridad, VPN, reproducción de contenido en TV...

En Xataka

Guía de compra de NAS multimedia: en qué debes fijarte y cuáles son los mejores modelos

Hardware

Un NAS no deja de ser un ordenador, y como tal ha de contar con procesador, memoria RAM y unidades de almacenamiento (más abajo hablamos a fondo de este apartado) encargados de mover el sistema operativo y los procesos pertinentes.

Es cierto que al estar centrados en una tarea en cuestión no es necesario que integre el hardware más potente del mercado, pero sí con un procesador lo suficientemente potente como para rendir sin problemas y una memoria RAM que aporte velocidad.

Aunque dependerá enormemente del uso que vamos a darle, una buena aproximación de mínimos para crear una nube doméstica es el de una Raspberry Pi, un dispositivo que por cierto también puede servirnos para crear nuestra propia nube (por ejemplo con Owncloud)

No obstante, nuestro editor especializado en informática Juan Carlos López nos insta a buscar una configuración tal que incluya:

• Microprocesador con 4 núcleos a 2 GHz o más
• 2 GB DDR4 o más
• 2 bahías para discos duros mecánicos o más
• 2 ranuras M.2 para unidades SSD
• Conectividad: 1 x Ethernet Gigabit RJ-45, 2 x USB 3.0

De discos duros y bahías

Ejemplo de NAS con cuatro bahías

Es esencial dimensionar adecuadamente el espacio que necesitamos para nuestra nube, no para el momento actual, sino a medio y largo plazo. Especialmente importante es en el caso de los simplificados WD My Cloud (que en realidad son meros discos duros conectados a la red y no NAS), ya que cuentan con un almacenamiento de base que no puede ser ampliado

A cada NAS se le puede montar un almacenamiento máximo en discos duros: 8 TB, 16 TB, 32 TB…, así que piensa en lo que necesitarás. ¿Y dónde se montan? En las bahías: cuantas más bahías tenga un NAS, más capacidad de almacenamiento.

Hay NAS con 2, 4, 8, 9, 10, hasta 12 bahías. Cada bahía a su vez admite un tamaño máximo de disco. Es decir, que si un disco duro cuenta con dos bahías soportan discos duros de 8GB, el tope de ese dispositivo serán los 16GB.

En la práctica, que un modelo tenga más bahías implica que sea más completo y que cuente con hardware más potente. Lógico, ya que la capacidad de procesamiento ha de ser superior.

Lo normal es que los NAS vengan sin disco duro, y eso tiene sus ventajas e inconvenientes. Para empezar implica un desembolso mayor, ya que tendrás que comprarlos por separado, pero lo bueno es que podrás elegir los que necesites. Aquí no solo tendremos en cuenta la capacidad, sino también el tipo, la velocidad de lectura y escritura y el desempeño.

Puedes usar discos duros normales (incluso reciclar el de un PC antiguo o emplearlo para directamente esta función), pero existen discos duros especiales para NAS y te recomendamos que sean tu elección, es el caso de los Seagate Ironwolf o los WD Red. En su escenario de uso se requerirá que tenga alta tasa de lectura y escritura de datos (algo que realizará con frecuencia) y que esté siempre encendido.

Aunque tradicionalmente se han usado HDD de 3,5 pulgadas, ya existen unidades de almacenamiento SSD para NAS, aptos para aquellos modelos más avanzados que cuenten con ranuras para usar discos SSD o M.2. En caso de requerir un alto desempeño, por sus características son la mejor opción (y la más cara).

RAID a grandes rasgos

Grosso modo, los Raid (Redundant Array of Independent Disks o Matriz redundante de discos independientes) son algo así como configurar una unidad de almacenamiento formada por varios discos duros, enlazando los datos en varias unidades, lo que permite lograr un mejor desempeño.

Existen diferentes tipos de configuraciones RAID que difieren en seguridad y rendimiento, estas son las más populares y sus principales características:

Los bloques de datos se alternan entre los discos duros.

• Raid 0. Recomendable para quien busca velocidad de escritura y lectura. Requiere de al menos dos discos que pueden ser de diferentes capacidades, aunque la matriz tomará como referencia el de menor capacidad. La información se escribe de forma alterna en cada uno de los discos que forman la matriz. Lo malo de esta configuración es que los datos no se duplican, por lo que en caso de fallo, podrías perder los datos.

Cada bloque de datos se guarda por igual en cada disco duro

• En RAID 1 prima la redundancia de datos. Se necesitan al menos dos unidades y los datos se almacenan por igual en cada uno de los discos duros, de modo que en caso de fallo siempre hay otra copia. Como los datos han de estar siempre por duplicado, el tamaño de la matriz es el mismo que el disco duro de menor capacidad. Otra ventaja de esta disposición es que cada disco puede transmitir la información de forma simultánea, por lo que mejora la velocidad de lectura y escritura

Los bloques de datos se van repartiendo por los discos duros, pero en uno de ellos siempre hay una copia.

• Para RAID 5 necesitas al menos 3 discos duros. Con un funcionamiento más complejo que recuerda a un mix de los dos anteriores, de manera simplificada los datos se distribuyen entre todos los discos que tengas en la matriz salvo en uno, que actúa como copia de seguridad. En los discos la información se distribuye en bloques para mejorar la velocidad. Como pegas, la necesidad de más unidades y que en caso de fallo dos discos, si uno es el de backup, puedes perder la información

• RAID 6 es una variante del RAID 5 con la diferencia de que los datos se duplican en dos unidades.

• RAID 0+1 o RAID 01 requieren de al menos cuatro discos duros, con los que crear al menos dos matrices RAID 0 con cada uno de los pares de discos. Entonces, luego compones una matriz de RAID 1 utilizando las dos matrices de RAID 0, por lo que tienes la velocidad de las 0 pero con los datos duplicados.

• RAID 1+0 o RAID 10: Es la inversa a la anterior. Tienes que crear dos matrices RAID 1, y combinarlas para crear entre las dos una matriz RAID 0. También requiere de un mínimo de 4 discos duros.

• RAID 5+0 o RAID 50: Vas a necesitar al menos nueve discos duros, con los que crearás un mínimo de tres matrices RAID 5. Estas matrices, a su vez, se conectarán entre ellas formando una RAID 0.

En Xataka

RAID de discos duros: qué son y sus principales tipos

Conectividad: al router y a tus dispositivos

Como hemos detallado previamente y deducirás tú al pensar en crear tu propia nube, es necesario que el NAS esté siempre conectado a internet. En este sentido, no solo es necesario una conexión estable sino que posibilite una transferencia de datos a la altura de sus especificaciones. No sería muy práctico optar por hardware potente con SSD y tirar de Wi-Fi a 50 Mbps o LAN a 100 Mbps.

Es cierto que el Wi-Fi aporta comodidad, pero lo más recomendable es hacerlo por cable Ethernet de al menos 1 Gbps, si bien los más actuales implementan la toma a 10 GbE (Ethernet a 10 Gbps).

Además de a internet, también resulta interesante contar con otra toma LAN para conectar el ordenador vía cable, de modo que agilicemos la transferencia y aliviemos el Wi-Fi doméstico.

Asimismo podemos encontrarnos USB 3.0 o 3.1 Tipo C, HDMI, lector de tarjetas SD... la cuestión es poder enchufar periféricos como discos duros, impresoras o a la propia TV si lo vamos a usar como centro multimedia.

Cuánto consume y qué ruido hace

Puede que a nivel doméstico el consumo no sea exagerado, pero conforme crecen las necesidades y la exigencia, viene bien tener en cuenta la energía que va a consumir un dispositivo que va a estar siempre encendido, ya sea funcionando o en reposo.

Finalmente queremos destacar que cuanto un NAS está en acción se calienta, por lo que dispone de un sistema de refrigeración que disipe ese calor. Y los ventiladores hacen ruido. Si vas a tenerlo en tu habitación o al lado de tu zona de trabajo, mejor prestar atención a las especificaciones para conocer cuánto ruido emite.

En Xataka

Poner un NAS en casa ha sido una de las mejores decisiones tecnológicas que he tomado en toda mi vida

Modelos destacados de NAS

BUFFALO LINKSTATION 520

Si acabas de sumergirte en el "océano" de los NAS, esta unidad de con dos bahías es un buen candidato en este escenario de uso por su sencillez y un precio asequible, ofreciendo velocidades de lectura y escrituras muy atractivas dentro del rango en el que se mueve. Limitado a un espacio de 8GB, que puede ser suficiente para los usuarios más básicos, podrás instalar su app en tu Android o iPhone para volcar contenido, además de acceder desde otros dispositivos como portátiles, tabletas o la consola

Buffalo LinkStation 520 LS520DE-EU NAS a 2 bay (1.0GHz dual-core, DDR3 256 MB) negro

PVP en Amazon 105,09€

Synology DiskStation DS218j

El Synology DiskStation DS218j (218 euros) es un NAS de gama de entrada doméstico muy completo con bastante capacidad de almacenamiento para un uso doméstico. Destaca por su buen rendimiento, las posibilidades de su software y un software cuidado, lo que hace que manejarlo y configurarlo no sea complejo.

Synology DS218J Diskstation

PVP en Amazon 218,00€

PVP en PcComponentes 224€

TerraMaster F2-221 NAS

El TerraMaster F2-221 es un NAS de dos bahías potente con amplias opciones de configuración (lo que hace de él un modelo recomendable para usuarios avanzados) con carcasa de aleación de aluminio y un ventilador silencioso para mantener a raya la temperatura. Se recomienda emplear discos duros Seagate IronWolf y WD Red.

TerraMaster F2-221 Caja de Servidor NAS 2 bahías Intel Dual Core 2.0GHz 2GB RAM Plex Media Server Almacenamiento en Red(Sin Discos)

PVP en Amazon 259,99€

NETGEAR READYNAS 214

Para quienes busquen un NAS relativamente fácil de gestionar capaz pero con gran cantidad de espacio de almacenamiento, este NETGEAR READYNAS 214 (338 euros) con cuatro bahías es una buena opción. Si vamos a administrar la nube desde más de dos dispositivos será necesaria suscripción.

Netgear ReadyNAS Home RN21400-100NES - Dispositivo de Almacenamiento en Red Dual-Core (sin Disco Duro, 4 bahías)

PVP en Amazon 338,71€

PVP en FNAC 351€

Asustor Nimbustor 2 AS5202T

El Asustor Nimbustor 2 AS5202T (299 euros) es un NAS muy bien equipado en cuanto a aplicaciones y hardware para lograr así un alto desempeño sin excesivo ruido: emite 32dB cuando trabaja y 19dB en modo stand by, cifras que permiten su colocación prácticamente en cualquier parte de casa. Este NAS es capaz de ofrecer espacio de almacenamiento de hasta 28TB

Asustor Nimbustor 2 AS5202T, Intel J4005 2.0GHz Dual-Core, Two 2.5GbE Port, 2GB RAM DDR4, Personal Private Cloud (2 Bay Diskless NAS)

PVP en PcComponentes 299€

PVP en Amazon 369,00€

My Cloud Expert Series EX4100

El WD My Cloud Expert Series EX4100 (335 euros) es una solución completa para varias tareas entre las que se incluye su uso como nube con My Cloud OS 3, con alta compatibilidad con software de terceros. Para que su puesta a punto sea más fácil, viene preconfigurado para ponerlo en marcha en pocos minutos, aunque admite numerosas opciones de personalización.

WD My Cloud EX4100 Expert Series, Almacenamiento en Red NAS sin Discos, 4 Compartimentos, Negro

PVP en Amazon 335,76€

PVP en PcComponentes 395€

Qnap TS-332X

Para los usuarios más exigentes en cuanto a rendimiento y capacidad, este Qnap TS-332X (408 euros) apto incluso para uso profesional (pequeños negocios) gracias a sus posibilidades de almacenamiento, su puerto 10GbE SFP+ y la configuración de RAM y procesador.

Turbo NAS TS-332X-4G

PVP en Amazon 438,33€

Puedes estar al día y en cada momento informado de las principales ofertas y novedades de Xataka Selección en nuestro canal de Telegram o en nuestros perfiles de Twitter, Facebook y la revista Flipboard.

Nota: algunos de los enlaces aquí publicados son de afiliados. A pesar de ello, ninguno de los artículos mencionados han sido propuestos ni por las marcas ni por las tiendas, siendo su introducción una decisión única del equipo de editores.

-
La noticia Cómo elegir un NAS para montarte tu propia nube doméstica: recomendaciones y siete modelos destacados desde 100 euros fue publicada originalmente en Xataka por Eva Rodríguez de Luis .

Ya conocimos hace unos días que cabe la posibilidad de que pronto tengamos las apps de Android en Windows, y es ahora cuando conocemos que es Project Latte es la iniciativa que está dando vida a tal opción; y la verdad que sería tremendamente interesante poder usar las apps de Android.

Si ya tenemos en nuestra mano lo bien que se llevan Microsoft y Samsung, y Android, con esa Conexión a Windows que está dando mucho juego para incluso poder lanzar las apps de Android desde un PC con la versión 10 del SO, que se extienda n las posibilidades es una gran noticia para los que funcionamos en nuestra gran mayoría con Android.

Así podrías usar las apps de Android en Windows 10 de forma nativa

Hoy tenemos más detalles de cómo va a funcionar todo con esas apps de Android que podríamos encontrar tanto en Windows como en la Microsoft Store; aunque esta última posibilidad no nos gusta tanto por tener que usar una cuenta outlook o de hotmail para poder acceder a las apps de la tienda de Windows, ya que todavía somos muchos los que preferimos usar una cuenta local y ya.

Internamente a este proyecto de Microsoft se le conoce como Latte, y sería el que permite a los desarrolladores de apps traer a la vida a sus apps de Android a Windows 10 con apenas cambios en el código. Lo que sería una gran ventaja y permitiría no consumir o gastar demasiados recursos en traer esas apps de Android al SO. Ya conocemos que los bugs aparecen en cada sistema operativo, y no todos los estudios o desarrolladores están por la labor de aumentar gastos.

Los desarrolladores se encargarían de subir sus apps a través de la Microsoft Store con un paquete denominado como MSIX. El proyecto en si funcionará con Windows Subsystem por Lynus (WSL), aunque Microsoft necesitará proveer su propio subsistema de Android para que las apps puedan funcionar.

El hándicap de los Servicios de Google Play

La importancia que tienen los Servicios de Google Play es mayor para muchas aplicaciones; que se lo digan sino a Huawei y por donde ha tenido que navegar en estos últimos años. Y es que por lo que han mencionado hoy mismo, Project Latte no ofrece soporte a Servicios de Google Play, por lo que las apps que requieran el API de Play Services tendrán que ser actualizadas antes de que sean subidas para funcionar en un PC con Windows 10.

O sea que estas apps sin Servicios de Google Play no funcionarían igual y empobrecerían la experiencia de usuario para incluso no tener ni notificaciones push (esas que llegan directamente a nuestro móvil). Por lo que parece las apps necesitarían ser recompiladas para x86 al menos que sea la misma Microsoft la que implemente alguna capa de compatibilidad que permita la emulación.

A bien seguro que Microsoft ofrecerá alguna solución, ya que el poder usar las apps de Android en un PC beneficiaría en demasía a los propietarios de un ordenador con Windows 10. Y es que actualmente ya podemos lanzar apps de Android a través de un PC con la app Tu Teléfono, aunque este servicio de momento solamente está limitado a los usuarios de un Samsung. Ya os enseñamos hace un par de meses cómo funciona tal posibilidad en un vídeo y la verdad que mejora enormemente la experiencia desde un PC.

Si ya Microsoft ofrece soporte a múltiples plataformas de apps, entre las que se incluye PWA, UWP, Win32 y Linux, la sola posibilidad de incluir las apps de Android convertirían a Windows en un verdadero sistema operativo universal.

Por lo que tenemos entendido o conocido de hoy, Project Latte de Microsoft se anunciaría el año que viene y podría llegar a ser lanzado en otoño de 2021 como un lanzamiento de Windows 10. Sin duda sería todo un bombazo.

Un empleado del Hospital Albert Einstein en la ciudad de Sao Paulo subió a Github una hoja de cálculo con los nombres de usuario, contraseñas y claves de acceso al Ministerio de Sanidad de Brasil. Lo que paso después no debería sorprender a nadie. Los datos personales de alrededor de 16 millones de brasileños han sido filtrados en Internet, incluido el presidente Jair Bolsonaro y siete de sus ministros.

En Xataka

Que tu móvil muestre ya una opción de "notificación de exposiciones al COVID-19" es normal, Google y Apple no están "espiándonos"

Según informan en el medio nacional Estadao, los credenciales daban acceso a una serie de bases de datos gubernamentales. Estas bases de datos se habían utilizado para almacenar información sobre los pacientes que habían sido afectados por COVID-19.

Las dos bases de datos principales que se han visto expuestas son E-SUS-VE y Sivep-Gripe. contenían detalles personales de los pacientes como sus nombres, direcciones físicas o datos de contacto. Pero además de eso, las bases de datos mostraban un historial médico sobre la atención médica que han recibido o por ejemplo los fármacos que se les había ofrecido.

Los datos, afortunadamente, no han sido publicados a gran escala. El usuario de GitHub que encontró la hoja de cálculo con los credenciales la compartió con el medio brasileño Estadao. Han sido ellos quienes han analizado la información para verificar que es certera.

Entre las curiosidades encontradas en las bases de datos destaca que haya información de un total de 27 estados del país. Pero además también hay datos sobre personas importantes del país como el propio presidente, su familia, siete ministros cercanos y varios gobernadores más. Las bases de datos han sido eliminadas, los accesos revocados y las contraseñas cambiadas.

Seguridad en tiempos de COVID-19

La privacidad y la seguridad son dos de los aspectos que más se han puesto en entredicho con las diferentes apps y sistemas tecnológicos creados para rastrear el COVID-19. En este caso es más bien un tema de descuido de un empleado que la arquitectura de diseño del sistema. Sin embargo, ya se han dado casos en Alemania o Nueva Zelanda por ejemplo con vulnerabilidades en sus apps de rastreo.

El sistema de Apple y Google en colaboración presume justamente de mantener los datos seguros y anonimizados. No todos los países y regiones han querido adoptarlo, en su lugar muchos han preferido apostar por uno propio. ¿Razón? En parte para tener un una mejor gestión y acceso a los datos recopilados, como ha ocurrido en Australia recientemente.

Vía | ZDNet y Estadao
Imagen | Marília Castelli

-
La noticia Filtrados los datos de 16 millones de pacientes brasileños con COVID-19, incluido el presidente: las contraseñas estaban en GitHub fue publicada originalmente en Xataka por Cristian Rus .

Con la gran cantidad de ataques dirigidos a sitios web, no es necesario recordar que uno de los medios esenciales para prevenir tales ataques sigue siendo la adopción de medidas de seguridad como el cifrado de sitios web.

Es en este contexto que en 2015 se lanzaron los servicios públicos de la autoridad de certificación Let’s Encrypt, que ofrece herramientas en esta dirección con la provisión de medios automatizados para la instalación y renovación de certificados gratuitos. para el protocolo de cifrado TLS.

Para facilitar el despliegue y adopción de HTTPS en la web, la autoridad ha utilizado diferentes estrategias. Por ejemplo, a través de la versión 2 del protocolo ACME (Entorno de gestión de certificados automatizado), ha ofrecido «certificados comodín» sin cargo desde marzo de 2018.

Están destinados a proteger cualquier número de subdominios de ‘un dominio básico. En otras palabras, con estos certificados genéricos, los administradores pueden usar un solo par de certificado y clave para un dominio y todos sus subdominios, y ya no registrar individualmente un certificado para cada dirección web como era el caso hasta ahora. ‘en ese momento.

Let’s Encrypt distribuyó un gran volumen de certificados gratuitos por día en 2016, a veces superando la marca de 100.000 certificados por día. A finales de junio de 2017, la autoridad indicó que había pasado 100 millones de certificados desde su lanzamiento en diciembre de 2015. Recordemos que en febrero de 2017, Let’s Encrypt fue utilizado por el 13,70% del total de dominios franceses registrados.

En febrero de 2020, Let’s Encrypt informó haber entregado mil millones de certificados a la web. El anuncio fue realizado por Josh Aas y Sarah Gran en el blog de la compañía:

“Emitimos nuestro certificado número mil millones el 27 de febrero de 2020. Usaremos este gran número redondo como una oportunidad para reflexionar sobre lo que ha cambiado para nosotros y para Internet, lo que llevó a este evento. En particular, queremos hablar de lo que ha sucedido desde la última vez que hablamos de una gran cantidad de certificados: cien millones.

“Una cosa que es diferente ahora es que la web está mucho más encriptada de lo que solía estar. En junio de 2017, alrededor del 58% de las cargas de páginas utilizaban HTTPS a nivel mundial, el 64% en los Estados Unidos. Hoy en día, el 81% de las cargas de páginas utilizan HTTPS en todo el mundo, ¡y nosotros estamos en el 91% en los Estados Unidos! Es un logro increíble. Es mucha más privacidad y seguridad para todos.

A través de ACME, ZeroSSL se ha unido al pequeño grupo de autoridades de certificación que ofrecen certificados gratuitos de 90 días a través de ACME. Como se indica en el sitio, tiene la opción de proteger sus sitios web utilizando certificados SSL durante 90 días sin costo al suscribirse al plan gratuito ZeroSSL. Validar el certificado solo toma unos minutos y la instalación es tan fácil como es con instrucciones en cada paso del camino.

Los usuarios también pueden generar confianza, asegurar las transacciones de los clientes y adelantarse a las amenazas web mediante el uso de certificados SSL Premium ZeroSSL de un año para uno o más dominios, que admiten certificados comodín y que tarda menos de 10 minutos en instalarse.

La activación del protocolo SSL permite asegurar el intercambio de datos entre el sitio web y los usuarios de Internet. Seguridad que se ha vuelto imprescindible a los ojos de los usuarios.

El protocolo ACME (que significa Entorno de gestión automática de certificados, literalmente «entorno de gestión automática de certificados») es un protocolo de comunicación para automatizar los intercambios entre las autoridades de certificación y los propietarios de servidores web.

Lograr que más autoridades de certificación respalden a ACME de esta manera no se trata de pedir que se deje de usar Let’s Encrypt, sino de tener más diversidad en el ecosistema y hacerlo más confiable.

Let’s Encrypt podría encontrarse en un escenario de desastre (desde el simple error hasta la decisión de detener sus operaciones).

Pase lo que pase, incluso si no ocurre un escenario de desastre, siempre es mejor tener opciones y esto es lo que ofrecen ofertas como ZeroSSL.

También hay que considerar lo fácil que es cambiar las CA, lo cual puede ser una tarea algo pesada.

Microsoft tiene a disposición de las empresas que utilizan Microsoft 365] una herramienta de nombre Productivity Score. Este software tiene la capacidad de recolectar datos sobre la actividad de los empleados de una empresa con las herramientas de la marca. Microsoft coge todos esos datos y elabora una puntuación de productividad según sus parámetros.

Un empleador, a través de este servicio, recibe informaciones que Microsoft recoge del uso que los trabajadores hacen de herramientas como Microsoft Word, Outlook, Excel, PowerPoint, Skype o Teams en el último mes. También puede saber a través de qué tipo de dispositivo cada trabajador ha accedido a estas aplicaciones.

En Xataka

Con la llegada del teletrabajo me hicieron instalar un programa para vigilar lo que hago con mi portátil

Los directivos que tengan Productivity Score pueden acceder a unos gráficos que cuantifican las experiencias y labores de los trabajadores en cinco categorías:

• Comunicación: Muestra gráficos de cómo las personas que forman parte de una empresa u organización comparten información a través del uso del correo electrónico, del chat y de las publicaciones en la herramienta Community.

• Colaboración en el contenido: El empleador puede observar cuántas personas participan en la creación de un documento en la nube, cuántas están invitadas a colaborar y cuántas lo leen.

En Xataka

La mejor app de tareas para Android, iOS, Windows y Mac: guía con prueba y comparativa

• Movilidad: Este gráfico muestra a un directivo cuántas personas y desde qué cantidad de dispositivos acceden a los archivos y utilizan Outlook o la plataforma de videollamadas Teams. Según Microsoft, esto ofrece una mayor comprensión sobre si, a pesar de la movilidad, los trabajadores mantienen el acceso activo a estas herramientas. También indica qué porcentaje de trabajadores acceden desde la web, cuántos desde el escritorio de un ordenador o cuántos de los trabajadores lo hacen desde el móvil.

• Meetings o reuniones: Se puede saber el número de horas que los trabajadores se pasan reunidos con una o más personas. De acuerdo con Microsoft, esto ayuda a una empresa a "comprender cómo la organización está aprovechando las reuniones" y "qué tipos de reuniones están teniendo las personas".

• Trabajo en equipo: Esta gráfico muestra al directivo cómo los trabajadores usan los espacios de trabajo compartidos, como SharePoint, los buzones de correo grupales o Microsoft Teams.

La firma californiana dice que este servicio sirve para “ayudar al personal de una organización a construir hábitos que aprovechen el poder de esas herramientas” para ser eficientes.

Adicional a estas informaciones, Productivity Score ofrece un porcentaje de lo que Microsoft considera que es la productividad de los trabajadores de una empresa.

También, a final de mes se puede ver el porcentaje de empleados que han llevado a cabo reuniones online o cuántos han usado los espacios de trabajo conjuntos de Microsoft 365 para realizar y compartir sus documentos.

-
La noticia Así es la herramienta de Microsoft que dice medir la productividad de los empleados según los mails que mandan o los documentos que comparten fue publicada originalmente en Xataka por Bárbara Bécares .

"Usted está teniendo problemas. Hasta luego". Con esta locución grabada con acento argentino se cuelgan automáticamente las llamadas realizadas a BQ. Ninguno de los departamentos atiende al teléfono de la empresa. Tras ser vendida a un grupo vietnamita a finales de 2018 por las inasumibles pérdidas con que cerró el ejercicio de 2016 y la llegada de fabricantes chinos low-cost que terminaron de arrinconarles en el mercado, lo que quedaba de BQ se ha evaporado en las últimas semanas. Tras la venta siguió comercializando teléfonos con su marca hasta marzo de 2019, y desde entonces se ocupaba de desarrollos de ingeniería para terceros, especialmente en segmentos como los routers, así como de seguir dando soporte a los propietarios de sus teléfonos. Hasta ahora.

La web está inactiva y derivan a comunicarse con ellos mediante una dirección postal, sus cuentas en redes sociales están abandonadas, los propietarios de algunos de sus smartphones no pueden dirigirse a nadie para hacer uso de su garantía, la propiedad de la empresa en Vietnam también se ha desentendido de los empleados y el teléfono corporativo despide las llamadas con una frase que parece una broma macabra. BQ simplemente ya no existe.

En Xataka

Cuando se fabricaban móviles en Campanillas, Málaga: 700 millones de euros y 5 millones de móviles al año

Nóminas impagadas y clientes sin soporte

"Están liquidando la empresa, y desde hace dos meses los empleados que quedan en ella no cobran, pero no quieren irse por su cuenta, sobre todo los que más tiempo llevan, ya que podrían perder sus derechos y tendrían complicado recurrir al FOGASA en caso de que la empresa desaparezca adeudando nóminas", nos cuenta un exempleado que dejó la compañía a principios de año y que pide mantener el anonimato como condición para hablar con este medio. Como el resto de los que han accedido a participar en este reportaje. Otro exempleado que abandonó recientemente la empresa corrobora esta versión: "Están en concurso de acreedores y los que todavía no se han ido ni siquiera tienen trabajo que hacer, los vietnamitas han abandonado totalmente a la empresa".

Mensaje que aparece al acceder a la página web de BQ desde el 11 de noviembre.

La web de BQ, operativa hasta mediados de octubre, también servía para descargar actualizaciones de software de forma manual (los servidores para actualizaciones OTA empezaron a estar inactivos el 8 de octubre). Con esta idea escribió Jesús (nombre modificado), propietario de uno de sus dispositivos, a la dirección de correo de soporte de la marca; para pedir el archivo, ya que la web ya se clausuró. En los correos a los que hemos tenido acceso, el departamento de atención al cliente le remitía a la web de la empresa, y tras advertirles Jesús de que no funcionaba, simplemente le respondían que "lo lamentamos, no tenemos más alternativas".

Cadena de mails intercambiada entre el servicio de atención al cliente de BQ y un usuario de una de sus tablets.

La alternativa que pudiera quedar para que alguien asumiese reparaciones y puestas a punto estaba en Smart Labs, la empresa sita en la localidad madrileña de Rivas-Vaciamadrid que se encargaba de forma externa del servicio técnico de los dispositivos de la marca. No obstante, las respuestas a las peticiones de soporte para un BQ son respondidas desde el 12 de noviembre con un mensaje revelador:

"Lamentamos indicarle que con motivo de la situación financiera actual de la Empresa Mundo Reader, fabricante de los equipos marca BQ, Smart Labs se ve obligada a abandonar el Servicio Postventa que hasta la actualidad realizaba para los teléfonos y tablets BQ."

Algunos de los clientes que se han quedado sin soporte en dispositivos todavía en garantía han demandado a la empresa según nos cuentan varios todavía hoy empleados de BQ. No ha habido una comunicación oficial de ningún tipo por parte de la empresa para advertir de su cierre definitivo ni de la cancelación de su soporte, ni siquiera para esos usuarios que todavía tienen un dispositivo en garantía.

El usuario de HTCMania Raw Main ha ido recopilando de Google Cloud Storage y gracias a la caché de Google y Yandex los enlaces a los archivos de actualización de los terminales que el cierre de la web de BQ —así como la de 'MiBQyyo'— dejó fuera del alcance de los usuarios. Es la única forma a día de hoy de que los que siguen usando uno de sus dispositivos puedan actualizarlos o incluso recuperarlos tras problemas con las actualizaciones que los dejen inservibles.

En Xataka

Así automaticé toda mi casa con inteligencia artificial y un sistema open source

Sin respuesta desde Vietnam

El desmantelamiento de BQ era en cualquier caso algo esperado desde hace meses. En abril, el BOE anunció la salida de Francisco Gómez-Zubeldia como consejero de la empresa. Gómez-Zubeldia es vicepresidente y consejero delegado de Diana Capital, entidad de capital riesgo que entró en el accionariado de Mundo Reader S.L; la empresa matriz de BQ, a finales de 2014, operación mediante la cual pasó a ostentar el 10% de la compañía a cambio de 15 millones de euros, algo que dejaba la valoración de la empresa en 150 millones de euros, cifra que superó con el aumento de su volumen de negocio y que se hundió tras 2017. Vingroup compró el 51% de la empresa por 36 millones de euros, dejando en algo más de 70 millones su valoración a finales de 2018. El cese de su consejero delegado como consejero de Mundo Reader supuso la materialización de la desvinculación de este fondo respecto al antiguo fabricante de teléfonos.

El concurso de acreedores por parte de Mundo Reader SL todavía no está confirmado por el BOE ni por el BORME (el boletín del Registro Mercantil), pero varios empleados explican a Xataka de forma independiente que es una realidad y que no tardará en hacerse público, ya que hay proveedores con cobros pendientes además de los propios impagos de nóminas a los empleados.

De BQ solo queda BQ Educación, una división que sí sigue activa al margen de Mundo Reader SL y que cuando es requerida para contactar con la matriz deriva a la misma dirección postal que aparece en su web, lo cual puede entenderse en pleno 2020 como una invitación a no contactar con ellos. Esta división, que cabalga de forma independiente, fue revelada en multitud de entrevistas por parte de sus socios como la misión de BQ en tiempos de vacas gordas. Con esa vocación nacieron iniciativas de robótica infantil o impresión 3D, que también marcaron el carácter de la empresa desde sus inicios.

En Xataka

Con la pandemia el PC de sobremesa cobra más sentido que nunca, pero los fabricantes parecen haberse olvidado de él

El motivo ulterior de esta situación, o al menos de lo que ha propiciado un final tan desastroso para una empresa que plantó cara a los gigantes tecnológicos en sus días grandes, está en la crisis económica ocasionada por la pandemia. Vingroup posee varias líneas de negocio que se han visto fuertemente afectadas por ella, como la de los supermercados Vinsmart, de su propiedad desde 2014, que han tenido que cerrar en masa. Vinfast, un fabricante de coches y motos en activo desde hace tres años, "pierde 300 millones de dólares cada seis meses" según fuentes próximas a Vingroup. Vinpearl, cadena de resorts y complejos turísticos, también se ha visto fuertemente sacudida desde marzo.

Esta coyuntura ha llevado a Vingroup a cerrar varias divisiones, vender unas empresas y reestructuras otras. En el caso de los smartphones VSmart, se han abandonado los planes de venderlos en Europa, según nos explican fuentes cercanas al fabricante. En el caso de Mundo Reader, una especie de cierre repentino sin avisar a proveedores ni clientes, y ninguna presencia vietnamita en la sede madrileña.

"Cuando compraron la empresa había un montón de vietnamitas controlando el trabajo que hacíamos, supervisando todo. Ahora no nos presta atención nadie y tampoco nos pagan la nómina ni nos responden, hemos dejado de trabajar porque no hay nadie a cargo ni trabajo por hacer, y en algunas áreas no queda ni una sola persona", cuenta otro empleado.

Así termina la historia de BQ. Con una operación llevada a cabo desde Vietnam que deja un cráter en el lugar donde antes estaba un fabricante de móviles que diseñaba terminales con corazón Qualcomm desde Las Rozas.

Para la elaboración de este artículo hemos tratado de contactar con la empresa, con varios de sus socios fundadores y directores actuales, con Vingroup y con Smart Labs, sin haber obtenido respuesta por parte de ninguno de ellos. Otros tantos empleados y exempleados de BQ no han querido participar en este artículo prefiriendo mantenerse al margen.

-
La noticia Nadie al volante en BQ: los empleados que quedan llevan meses sin cobrar y clientes con teléfonos en garantía se quedan tirados fue publicada originalmente en Xataka por Javier Lacort .

El Black Friday 2020 lleva ya unos días dando alegrías a los bolsillos de muchas personas, y hoy traemos descuentos para personas interesadas en hosting, dominios y servicios de VPN.

Además de para adquirir electrónica, el Black Friday se ha convertido en la fecha perfecta para arañar descuentos a la hora de renovar VPN o hosting. Aunque sea algo de nicho, cada vez más usuarios optan por navegar en una red privada virtual por motivos de privacidad o para deslocalizar su conexión. Veamos cuáles son las mejores ofertas.

Hosting: las mejores ofertas

• En Raiola Networks, donde ofrecen soporte desde España, están haciendo Black Friday con un 40% de descuento en hosting y un 30% en servidores VPS. En cuanto a hosting con SSD, la oferta va desde el 'Hosting SSD Inicio', con un coste de 39,27 euros anual, hasta el 'Hosting SSD Pro', que cuesta 78,87 euros anuales.

• En Webempresa celebran el Black Friday con un 40% de descuento en todos los planes que ofertan. Tienes sus planes divididos en 'Hosting WordPress', 'Hosting Elástico', 'Hosting Woocommerce' y 'Hosting Web'.

• En SiteGround ofrecen precios especiales con descuentos de hasta el 60% en sus planes mensuales en hosting web, hosting de WordPress y en hosting dedicado al ecommerce.

• Hostgator es otro proveedor que tiene descuentos del 60% en hosting. Divide su amplia oferta en 'WordPress Hosting', 'Website Builder', 'Web Hosting' y 'VPS'.

• En DonDominio tienen altas en alojamiento web y correo electrónico al 50% durante dos días, así como dominios .com y .es desde 0,99 euros. En certificados SSL cuentan con ofertas desde el 30%.

VPN: los mejores chollos para navegar

• NordVPN: uno de los mejores VPN lleva años ofreciendo cuantiosas rebajas en función del tiempo que se adquiera el servicio. Si nos decantamos por un año de descuento, ahorraremos un 58%, con un pago único de 50,15 euros. Eligiendo dos años, el ahorro sube al 68%, y el pago sería de 75,65 euros. Puedes adquirir los distintos planes aquí.

• ExpressVPN. Junto con NordVPN, ExpressVPN es mi VPN favorito, y ofrece 12 meses de servicio a 86,69 euros, un 35% por ciento de ahorro respecto a su precio habitual, 134,76 euros. Puedes adquirirlo aquí.

• Surfshark es otras de las mejores VPN, y ofrece un 83% de descuento en su cuota de 24 meses (y regalan 3 extra). Los dos años se quedan en 50,37 euros, y ofrece un período de reembolso de 30 días.

• TunnelBear también ofrece un gran descuento un año más. En concreto, un 67% sobre su servicio de VPN, que queda durante un año a 40 dólares.

• VPN Unlimited. Llevo dos años usando este VPN, y ha sido muy satisfactorio por su velocidad y la cantidad de servidores que ofrece en todo el mundo. Con un descuento del 50% durante un año sale a 60 dólares, aunque la mejor promoción es la de conseguir licencia de por vida por 100 dólares. Puedes adquirirlo aquí.

Más ofertas

• Si te haces de Amazon Prime, dispones de 30 días de prueba gratis (después 36 euros al año) para disfrutar de envíos rápidos gratis, accesorio prioritario a ofertas, servicios como Prime Video, Prime Music, Prime Reading y almacenamiento de fotos ilimitado. Además, si eres estudiante, hacerte de Prime Student cuesta la mitad y dispones de 90 días de prueba.

Puedes estar al día y en cada momento informado de las principales ofertas y novedades de Xataka Selección en nuestro canal de Telegram o en nuestros perfiles de Twitter , Facebook y la revista Flipboard. Puedes echar un vistazo también a los cazando gangas de Xataka Móvil, Xataka Android, Xataka Foto, Vida Extra, Espinof y Applesfera, así como con nuestros compañeros de Compradicción. Puedes ver todas las gangas que publican en Twitter y Facebook, e incluso suscribirte a sus avisos vía Telegram.

También puedes encontrar aquí las mejores ofertas del Black Friday 2020

Puedes estar al día y en cada momento informado de las principales ofertas y novedades de Xataka Selección en nuestro canal de Telegram

Unirse Consejo ofrecido por la marca

-
La noticia Las once mejores ofertas en hosting, dominios y VPN del Black Friday 2020 fue publicada originalmente en Genbeta por Antonio Sabán .

David Heinemeier Hansson, creador de Ruby on Rails y fundador de Basecamp, ha acusado en Twitter a Microsoft de poner en marcha el "sistema de vigilancia en el puesto de trabajo más invasivo conocido hasta el momento". Hanson habla aquí de una funcionalidad recientemente incorporada a Microsoft 365, bautizada como 'Productivity Scores'.

Esta última consiste, fundamentalmente, en sistemas de medición de la productividad de los empleados de una organización sobre la base de su uso de las herramientas de la suite online de Microsoft.

La tecnología en la que se basa Productivity Scores (y, antes de ello, otros productos de Microsoft como Delve y MyAnalitics) es Microsoft Graph, la 'API de personas' que permite extraer y trabajar con datos laborales sobre personas, así como sus relaciones interpersonales y su actividad con documentos digitales.

Funcionalidad polémica (y quizá ilegal en algunos países)

Así, un empleador es capaz de conocer incluso datos como la cantidad de tiempo que sus empleados han pasado enviando correos electrónicos o usando el chat de la empresa; datos que la plataforma puede usar a su vez para generar recomendaciones para el funcionamiento de la empresa basándose en dichos datos.

En Xataka

Office 2019 vs Office 365: cómo son y cuáles son sus diferencias

No es de extrañar que haya levantado polvareda cuando se ha empezado a dar a conocer esta tecnología. Hansson habla, incluso, de que "destruye la reputación" que se había forjado Microsoft de haberse convertido en una mejor empresa en estos últimos años:

• Normaliza la vigilancia del trabajador hasta niveles difícilmente vistos hasta ahora. Los gestores de las empresas podrán acceder a todas las métricas sin notificárselo a los usuarios afectados.

• De forma predeterminada, permite visualizar métricas de rendimiento a nivel individual (incluyendo los nombres, las afiliaciones de grupo y las ubicaciones de cada empleado); la anonimización de dichos datos es posible, pero opcional.

El anonimizador de los datos de Productivity Score, desactivado por defecto ((Vía: Wolfie Christl).

• Permite a Microsoft afectar a la vida diaria de millones de trabajadores (y a la misma cultura de trabajo de miles de empresas) gracias a su capacidad para imponer métricas arbitrarias.

• Permite a Microsoft, igualmente, recopilar los datos de los empleados de otras compañías, con el fin de que estas puedan comparar las productividades de sus respectivas plantillas.

Comparativa de Productivity Score de los datos de una empresa y los datos medios de su sector. (Vía: Wolfie Christl)

Es posible, por otra parte, que haya países donde esta funcionalidad no pueda ser aprovechada por las compañías, debido a que allí entre en conflicto con sus leyes laborales.

Nota: Desde Genbeta nos hemos puesto en contacto, por ahora sin éxito, con Microsoft para conocer su punto de vista. Actualizaremos el texto para incluirlo.

Vía | Wolfie Christl (en Twitter)

-
La noticia Una nueva funcionalidad de Microsoft 365 es el "mayor sistema de vigilancia en el puesto de trabajo" según el fundador de Basecamp fue publicada originalmente en Genbeta por Marcos Merino .

Los servidores de Amazon Web Services (AWS) están sufriendo una interrupción prolongada de varias horas ya. Los problemas se están dando especialmente en los que se encuentra en América del Norte, según indica la web oficial de Amazon. En los servidores de AWS se almacena gran parte de Internet y esto inevitablemente ha provocado que muchísimas webs y servicios tengan problemas para cargar. Ahora bien, no es sólo cuestión de webs, también ha dejado K.O. a productos tan peculiares como aspiradoras o timbres de puertas.

En Xataka

Hackear la cámara de vigilancia de Iglesias y Montero demuestra lo insegura que es la internet de las cosas

La magia del Internet de las cosas. En los últimos años hemos visto multitud de dispositivos que han añadido funciones inteligentes mediante conexión a Internet. Esto, a pesar de que ofrece numerosas ventajas, implica depender totalmente o parcialmente de la conexión a Internet para funcionar. Puede hacer que el producto adquirido deje de funcionar si la empresa quiebra por ejemplo. También existen numerosos riesgos de seguridad y privacidad añadidos.

El ejemplo de hoy es uno más que se suma a la lista. La caída de los servidores de Amazon deja inutilizables aparatos tan peculiares como aspiradoras. iRobot, creadores de la Roomba ya ha avisado unas horas atrás de que su app conectada a las aspiradoras puede estar dando problemas a algunos usuarios.

I... can't vacuum... because us-east-1 is down.

— Geoff Belknap (@geoffbelknap) November 25, 2020

Otro tipo de producto inteligente que parece haberse visto afectado son los timbres. En especial los timbres Ring de la propia Amazon. Algunos usuarios están reportando que simplemente no funciona o que da error al retransmitir el streaming:

My fucking doorbell doesn't work because AWS us-east-1 is having issues 🤦🏿‍♂️

— SJP (ಠ_ಠ) (@SJP1804) November 25, 2020

The Roomba won't stop vacuuming, and I missed a package delivery because my doorbell did not ring 😭

— TR▲N§HUᙢAN ̖́ (@transhuman) November 25, 2020

What is #cloud mommy?

Son, the cloud is when you can’t ring the doorbell and mean people sneak into your house and steal all your shit because the cameras don’t work.

Oh. Seems like cloud is kinda stupid mommy?

Yes son. pic.twitter.com/8BHIGDppLm

— James Cuff (@HPC_James) November 25, 2020

Cuando un tercio de Internet depende de AWS.

Amazon mediante AWS ofrece uno de los servicios de almacenamiento en la nube más importante del mundo con alrededor del 33% del mercado. Microsoft con Azure y Google con Cloud son de los pocos servicios que se reparten el resto del mercado. Una megaestructura como la AWS, aunque sólo tenga problemas parcialmente, conlleva a serios problemas en todo Internet.

Prueba de ello son las numerosas empresas que se están viendo afectadas ahora mismo. Algunas de las que han reportado problemas son 1Password, Adobe, Anchor, Coinbase, Flickr, Roku o Washington Post.

An Amazon AWS outage is currently impacting Adobe Spark so you may be having issues accessing/editing your projects. We are actively working with AWS and will report when the issue has subsided. https://t.co/uoHPf44HjL for current Spark status. We apologize for any inconvenience!

— Adobe Spark (@AdobeSpark) November 25, 2020

We're currently experiencing elevated error rates on some backend systems due to an AWS service outage. Trading isn't impacted at this time, but you may experience intermittent delays when filing a support case or accessing other parts of our applications. https://t.co/rR0A4wPKs4

— Coinbase Support (@CoinbaseSupport) November 25, 2020

[status] Identified: Members are receiving an "Oops, something went wrong" error when trying to log in or create an account due to a current AWS outage. We are monitoring the situation and will continue to share information here as it… https://t.co/drGhoVfYMv

— Flickr Help (@FlickrHelp) November 25, 2020

Amazon no ha indicado aún a qué se está debiendo el problema. Los errores se están dando en la región EAST-1 de Estados Unidos y afecta principalmente a la API de flujos de datos de Kinesis. Según la compañía, pasarán aún unas horas hasta que todo vuelva a la normalidad: "esperamos que la recuperación completa aún tarde hasta unas horas".

-
La noticia La "magia" del internet de las cosas: caen servidores de Amazon y dejan sin funcionar a la Roomba y a timbres conectados fue publicada originalmente en Xataka por Cristian Rus .

Enlarge / I heroically resisted the urge to create a "WireGuard for Workgroups 0.3.1" image for this piece. (credit: Jim Salter)

This Monday, WireGuard founder and lead developer Jason Donenfeld announced a new WireGuard release for the Windows platform. The release is something of a godsend for administrators hoping to implement WireGuard as a replacement for more traditional end-user VPNs in a business environment, adding several new features that will make their lives easier—or simply make its implementation possible, in environments where it otherwise would not.

If you haven't heard about WireGuard yet, it's a relatively new VPN protocol featuring advanced cryptography. It's implemented from the ground up as an exercise in cleanly written, minimalist, maximally secure and performant code—and it succeeded at those goals well enough to get Linus Torvalds' own rarely-seen stamp of approval.

Installation

Existing WireGuard users will be prompted with obvious UI hints to download and install the new version, directly from within the application itself. (credit: Jim Salter)

Those who are already using WireGuard on Windows will receive an obvious in-app prompting to download and install the new version, which works swimmingly. New users can download WireGuard directly from its website.

Read 25 remaining paragraphs | Comments

Ejecutar aplicaciones Android en Windows es posible gracias a los diferentes emuladores disponibles en el mercado, emuladores centrados en ofrece los juegos más destacados de Android en la plataforma Windows, siendo Bluestaks el más conocido pero no el único.

Según afirma uno de los redactores de Windows Central, Microsoft está considerando ofrecer soporte nativo para aplicaciones de Android en Windows 10 a partir de 2021. Este movimiento probablemente esté motivado por la posibilidad en la actualidad de ejecutar aplicaciones de iOS en los nuevos Mac con procesadores ARM.

Es probable que esta funcionalidad de lance inicialmente en los equipos que están llegando al mercado un procesador ARM, equipos gestionados por la versión ARM que Microsoft ofrece en el mercado. Además, no debería ser muy complicado ya que todos los terminales Android, está movidos por un procesador ARM.

No es algo descabellado pensar que tanto Google como Microsoft pueden estar interesados en ofrecer el amplio abanico de aplicaciones disponibles en la Play Store en Windows, al igual que Google ya ofrece en los Chromebook gestionados por ChromeOS, por lo que la interfaz de usuario no sería un problema.

No sería la primera vez que un sistema operativo Android puede instalar y ejecutar aplicaciones de Android. En el pasado ya ofrecía esa posibilidad BlackBerry 10 y Windows 10 Mobile, aunque este último apenas llegó a implementarlo ya que Microsoft decidió abandonarlo a su suerte.

Muchas de las aplicaciones disponibles en la Play Store requieren de las bibliotecas disponibles en los servicios de Google, por lo que instalarlas sería un requisito prácticamente indispensable si finalmente se confirma este movimiento por parte Microsoft.

Además, también ampliaría el número de aplicaciones disponibles actualmente en la Microsoft Store, un número que si bien es cierto no es muy reducido, el número de opciones disponibles no es muy elevado y en muchas ocasiones nos vemos obligados a recurrir a fuera de la tienda oficial de aplicaciones de Microsoft.

Del 23 de noviembre hasta el 31 de diciembre de 2020, Nikon estará ofreciendo de forma completamente gratuita todas las clases de fotografía de la Nikon School Online. No es necesario tener una cámara Nikon para aprovecharlas, pues aunque varias cosas se centran en los productos de la marca, lo que enseñan aplica para la fotografía en general.

Estas clases no son lo mismo que los cursos de la escuela Nikon que consigues en la web de Nikonistas. Son en cambio todos los vídeos de la escuela online en inglés, y todos cuentan con subtítulos en español.

Más de una decena de clases con los embajadores Nikon

La selección incluye 11 clases que tienen una duración promedio de más de 40 minutos cada una, con contenido creado por los fotógrafos expertos embajadores de la marca.

En Genbeta

El boom de los presets de Instagram, hay gente pagando buen dinero para que sus fotos luzcan como las de algún influencer

Las clases abarcan desde primeros pasos con una DSLR, a fundamentos básicos de fotografía, hasta lecciones más avanzadas como fotografía macro, retratos, paisajes dinámicos, y hasta una clase extensa sobre el arte de la creación de vídeos musicales.

Estas clases suelen tener un costo de entre 15 y 50 dólares cada una. Para aprovechar la oferta solo es necesario crear una cuenta en Nikon con tu nombre y dirección de email y de inmediato obtienes acceso a todo el catálogo.

Vía | The Verge

-
La noticia Nikon está ofreciendo gratis todas las clases de fotografía de su escuela online hasta que acabe el año fue publicada originalmente en Genbeta por Gabriela González .

Ambie es una aplicación moderna para Windows 10 y también compatible con Xbox One y Xbox Series X|S, que reproduce sonidos de fondo para ayudar a relajarnos o concentrarnos. Es completamente gratis y no contiene anuncios.

Puedes descargarla desde la Microsoft Store y su uso es extremadamente simple. Es una caja con varios sonidos de la naturaleza como lluvia, aves, una cascada o un bosque. Pero también incluye algunos sonidos más urbanos como los de una cafetería, o el ruido de la calle en una ciudad.

Tiene un temporizador para crear sesiones de con sonido de fondo

Ambie en modo compacto

Ambie por ahora cuenta con 12 tipos de sonidos, pero su creador promete que añadirá más próximamente. Por ahora puedes usarla para escuchar sonidos de la playa, aves, calle de la ciudad, cafetería, riachuelo, hoguera, lluvia, bosque tropical, bajo el mar, aspiradora, cascada y ruido blanco.

En Genbeta

Noize: sonidos de fondo relajantes para ayudar a tu concentración

Tienes la opción de crear una sesión de 5, 10, 15, 30, o 60 minutos de duración que termina automáticamente, o puedes usar los controles para pausar, iniciar o detener la reproducción en cualquier momento.

El diseño es simple y bonito con el estilo Fluent de Windows 10, y cuenta con modo oscuro automático, y también con un modo compacto que hace más pequeña la aplicación para tenerla en el fondo siempre.

-
La noticia Esta app para Windows 10 y Xbox te ofrece sonidos relajantes y ruido blanco para escuchar de fondo, es gratis y open source fue publicada originalmente en Genbeta por Gabriela González .

En IdeasLocas tenemos un pensamiento acerca de la innovación. En muchas ocasiones la innovación es generar comunidad, apoyarse en ella para crecer, para hacer que una idea pueda ser mejor de lo que en tu cabeza fue. La innovación es hacer que los compañeros opinen, ayuden, aporten. Esto es algo que define también a una comunidad, dónde el conocimiento fluye.

Figura 1: PowerToys: Microsoft recupera un proyecto de

Windows 95 y nos enseña el poder de la comunidad

Bajo esta premisa hemos sacado algunos proyectos que hemos tenido la suerte de presentar alrededor del mundo: uac-a-mola, ibombshell, homepwn o attpwn son algunos de los ejemplos de que muchas cosas de las que hacemos las hacemos para la comunidad. Ayudando con nuestro granito de arena. El protagonista es la idea, el proyecto, el repositorio de código, el usuario que lo prueba y el usuario que decide mejorarlo por, y para, la comunidad.

Figura 2: Machine Learning aplicado a Ciberseguridad de Paloma Recuero, Carmen Torrando, Fran Ramírez, Sergio Hernández y José Torres.

Seguiremos jugando con la tecnología, innovando, probando la tecnología para explorarlo, conocerla y aportar soluciones en los campos de la ciberseguridad y la inteligencia artificial, así como comenté en el Innovation Day en la Break Out Session de las FakeNews.

Microsoft PowerToys par Windows

Pero hoy, quiero hablaros de otra cosa y es cómo Microsoft sigue dando pie a la comunidad. En este caso a través de un proyecto llamado PowerToys, el cual tiene algo de historia del pasado. PowerToys es un conjunto de herramientas o utilidades que intentan proporcionar una mejora en la productividad. Lo curioso de todo esto es que es un proyecto que Microsoft lanza cuando teníamos Windows 95. Se ha retomado el proyecto y se ha aplicado a Windows 10 con el objetivo de hacer más eficiente el uso de Windows 10 y la experiencia de usuario.

Figura 3: PowerToys en Windows 95

En este artículo de la Figura 3 se puede ver cómo eran las PowerToys de Windows 95. Este artículo se encuentra en el propio Github de Microsoft, por lo que es de lectura obligatoria. Lo retro vuelve con las PowerToys. La idea de las PowerToys al final es la personalización del sistema operativo y la mejora en productividad a la hora de configurarlo como nos sea más cómodo. Lo que creo que es más interesante es que Microsoft libere a la comunidad el proyecto y cualquier pueda crear su aportación al proyecto. El proyecto se rige por el Microsoft Open Source Code of Conduct y te puede ayudar a sacar el máximo de tu Windows.

Figura 4: PowerToys disponibles en Windows 10

A continuación, vamos a dejar un listado de las PowerToys y sus principales usos. Habrá algunas que no te llamen la atención, pero habrá otras que seguro que sí, y mucho. Tras instalarlo podemos visualizar una “preview” de las herramientas que hay disponibles. Como se puede ver, algunas de las PowerToys requieren de una versión concreta de Windows 10 y no estarán disponible para cualquier versión. El listado de PowerToys os lo dejamos a continuación:

• ColorPicker: Es una utilidad para detectar de manera rápida colores en un entorno Windows. Activándose a través de la combinación Win + Shift + C, Color Picker permite seleccionar colores de cualquier aplicación o ventana que se esté ejecutando y copia los valores, tanto RGB o HEX al portapapeles.

• FancyZones: Este es uno de los que más me han llamado la atención por el potencial a la hora de optimizar espacios de trabajo. La colocación de las ventanas en espacios y “huecos” hacen que me haya gustado, y me lo apunte para utilizarlo en mi Windows10. Hablaré más adelante de éste.

• FileExplorer: Es un complemento o add-on del explorador de archivos. Este permitirá la representación de iconos SVG en el panel de vista previa del explorador de archivos. Con esta PowerToy, el panel de vista previa permitirá visualizar los markdown (.md) y los SVG (.svg).

• ImageResizer: Extensión de la shell de Windows con el que se puede cambiar fácilmente y de forma rápida los tamaños de las imágenes. Se hace un clic derecho en el explorador de archivos y se cambia el tamaño de una o varias imágenes en el mismo instante. En el siguiente GIF se puede ver. El GIF se puede encontrar junto a la documentación de la PowerToy.

Figura 5: ImageResizer demo

• Keyboard Manager: Es una PowerToy muy útil para muchos cuando utilizamos diferentes layouts de teclado o queremos cambiarlo. Permite personalizar el teclado con la reasignación de teclas y creando atajos de teclado o shortcuts.

• PowerRename: Esta PowerToy es interesante, ya que permite renombrar una serie de archivos de “golpe”. En el siguiente GIF que se puede encontrar en la documentación de la PowerToy se puede ver el ejemplo claro.

Figura 6: PowerRename Demo

• PowerToys Run: Esta PowerToy permite hacer búsquedas rápidas y ejecutar aplicaciones con la simple combinación “Alt”+”Espacio”. Esta PowerToy de código abierto es una de las más espectaculares y será del gusto de cualquier usuario de Windows. A continuación dejamos el GIF del ejemplo que se puede encontrar en su documentación.

Figura 7: PowerToysRun demo

• Shortcut Guide: Cuando se pulsa la tecla Windows de manera prolongada aparece esta guía de manejo para accesos directos o atajos en el escritorio actual. Interesante para poder tener a mano todo lo que podemos hacer con los atajos.

• Video Conference Mute: Esta es una PowerToy experimental, la cual será una de las más interesantes en un tiempo. La idea es poder “mutear” el micrófono con una combinación de teclas Win+N. Además, se podrá desactivar la cámara también. El concepto es el global “mute”.

• FancyZones: Con FancyZones se puede dividir la pantalla en un Grid o en una estructura personalizada que nos interese. Con la letra “shift” cuando seleccionamos una ventana se nos mostrarán diferentes “celdas” dónde alojar la ventana y poder estructurar la vista como a nosotros nos interese. Esto es realmente interesante cuando disponemos de pantallas reducidas y queremos aprovechar la distribución de forma eficiente. 

Figura 8: Ejemplo con FanyZones

En la imagen se puede ver una organización de 4 espacios donde se pueden ver 4 ventanas. Realmente, el orden o como se quiera configurar es indiferente, ya que se puede personalizar como a uno mejor le venga.    

En el siguiente vídeo de Microsoft se puede ver el uso de las PowerToys y el juego que pueden dar a los desarrolladores. Sin duda, un pack de herramientas a tener en cuenta para la mejora de productividad. En otras palabras, podemos decir que es un pack de utilidades necesarias en nuestro día a día, como pueden ser las SysInternals para el día a día de la seguridad.


Figura 9: PowerToys de Microsoft

Sin duda, una buena idea para mejorar la productividad, pero, además, una gran idea porque cualquier desarrollador puede proporcionar su PowerToy y podría acabar siendo una PowerToy del conjunto. Estaré atento a la comunidad y si quieres aprender cómo se programan este tipo de cosas, pásate por el Github de PowerToys.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

No todo el mundo dispone de los recursos necesarios para pagar a un profesional que cree ilustraciones personalizadas para nuestro proyecto. Por suerte, en el mundo hay personas que crean recursos gratuitos para cualquiera que desee usarlos sin pedir nada a cambio, ni siquiera una atribución, y es digno de señalar.

Es el caso de karthiksri91, usuario de Reddit que ha creado más de un centenar de ilustraciones de alta calidad, totalmente gratis, que pueden usarse sin atribución y que permiten una personalización en base a la elección de un color. Además, cada día añade una nueva. Realmente sorprendente.

Cómo elegir una ilustración y descargarla

Elegir una ilustración de esta colección es bastante sencillo. Podemos simplemente navegar por la web y detenernos ante la imagen que más nos guste, usar el buscador introduciendo una palabra clave que nos interese o mediante el selector de género, que nos mostrará imágenes de mujeres u hombres.

En Genbeta

Descarga gratis estas preciosas ilustraciones 3D basadas en habitaciones icónicas y que funcionan genial como fondo para Zoom

Una vez encontrada una ilustración de nuestro gusto, o incluso sin realizar ningún tipo de búsqueda, simplemente viendo todos los diseños que hay, podemos elegir un color mediante el selector situado en la parte superior derecha y como por arte de magia todos los dibujos se colorean con ese tono o similares.

Con la imagen a nuestro gusto, tenemos la posibilidad de descargarla en formato SVG o PNG. Así de sencillo, no hace falta ni registrarse ni aportar ningún tipo de dato. Eso sí, si queremos agradecer el trabajo de la persona que hay detrás, ella misma nos sugiere compartir el proyecto en redes sociales.

-
La noticia Descarga más de 100 ilustraciones de alta calidad gratis, personalizables y sin necesidad de atribución para usar en tus proyectos fue publicada originalmente en Genbeta por Toni Castillo .

"¿Sabe que está entrando en una conferencia secreta?", le dijo Josep Borrell, responsable de política exterior de la Unión Europea a Daniël Verlaan, periodista holandés de RTL Nieuws. "¿Sabes que es una ofensa criminal? Mejor desconéctate rápido antes que llegue la policía". La amenaza vino por la inesperada aparición del periodista en una videollamada entre los ministros de defensa de la Unión Europea.

Tras varios intentos, RTL logró adivinar el código PIN de la videollamada secreta. No resultó tan difícil, pues cinco de los seis dígitos del código PIN eran visibles en una foto publicada por la ministra de Defensa holandesa en Twitter.

Un error en Twitter es suficiente para acceder a reuniones del más alto nivel

Imagen: Daniël Verlaan

Una vez dentro, el sorprendido periodista comenzó a saludar a los distintos ministros y reírse de la surrealista situación. Tras recibir la advertencia de Borrell, el periodista pidió perdón por la interrupción y se despidió en unos minutos.

That ⁦@danielverlaan⁩ hack of the EU defence ministers' meeting? This is how it looked from the inside. Comedy gold. pic.twitter.com/1qvVYKsDpt

— Michiel van Hulten (@mvanhulten) November 20, 2020

Ank Bijleveld, ministra holandesa de Defensa publicó una imagen en su cuenta de Twitter donde aparecían algunos de los dígitos necesarios para la reunión. Desde el ministerio de Defensa holandés explican a RTL que un miembro del equipo publicó accidentalmente la imagen.

Thank you @danielverlaan for hacking a EU defence ministers conference. Apart from a good laugh, I hope it will raise awareness about communication security issues in the EU institutions. If it’s the case , you will be my hero ! #Defence #EU #LetsBeSerious pic.twitter.com/5nj3kNZGmz

— Nathalie Loiseau (@NathalieLoiseau) November 21, 2020

"Esto demuestra una vez más que los ministros deben darse cuenta del cuidado que hay que tener con Twitter", explicaba el propio Primer Ministro holandés, Mark Rutte.

La aparición del periodista tiene su punto cómico, pero pone en evidencia las serias dudas sobre la seguridad de estas reuniones al más alto nivel de la Unión Europea.

En Xataka | Qué me recomiendan los expertos en ciberseguridad que estudie para ser un experto en la disciplina

-
La noticia Cuando el fallo de seguridad es que la ministra publique una foto en la que se ve la clave de acceso y el PIN en la URL fue publicada originalmente en Xataka por Enrique Pérez .

Es la batalla entre los servicios de streaming como Netflix, Prime Video o Youtube contra los canales de televisión. Lo cierto es que con los reproductores de contenido parece que la balanza se ha decantado hacia los primeros. Los usuarios de un Fire TV compran el reproductor para su televisor con el que poder ver series y películas de los servicios de streaming.

Pero, ¿qué ocurre con los proveedores de televisión? ¿Acaso RTVE o Atresmedia no tienen material para intentar rivalizar con los servicios de streaming? En este contexto, desde Amazon han decidido dar más visibilidad a las aplicaciones de TV de su plataforma.

En Xataka

Amazon Fire TV Stick (2020) y Fire TV Stick Lite, análisis: con este imbatible precio es difícil recomendar otros reproductores para el televisor

"En vivo", la nueva sección de los Fire TV de canales en directo

A partir del día de hoy, los dispositivos Amazon Fire TV en España recibirán una actualización en la que aparecerá una nueva sección dentro del menú de navegación en la parte superior. Esta nueva pestaña reunirá las aplicaciones y los contenidos de televisión. En esta sección los usuarios podrán encontrar desde contenidos de televisión recientes, acceder a la guía de canales y encontrar nuevas aplicaciones. Una sección centrada en los proveedores de televisión, de manera equivalente a como Prime Video dispone de su propia sección.

La sección lleva disponible en los Estados Unidos desde mediados de 2019, bajo el nombre de 'Live'. Allí los usuarios pueden acceder a los canales recientes y deportes en vivo. Ahora Amazon busca crear una alianza con los proveedores de televisión equivalente.

Los principales proveedores de OTT aparecerán en esta pestaña "En vivo", destacando por el momento los canales ya disponibles de RTVE A la Carta y Atresplayer, que podrán mostrar de manera separada algunos de sus últimos contenidos.

Esta sección "En vivo" supone un paso adicional en la integración de estos servicios con Fire OS. Hasta el momento únicamente se podía acceder a la aplicación y era desde ahí donde ya cada una mostraba las distintas opciones. A partir de ahora, el contenido de estas aplicaciones de TV estará mejor integrado en los Fire TV y podrá ser accesible directamente.

Entre los carruseles de información de contenido en directo aparecerán apartados como ‘Canales recientes', 'Deportes en vivo’, 'Noticias de última hora'; y diferenciados según proveedor. Si por ejemplo hay un partido de fútbol en RTVE o están dando 'La Sexta Noche', aparecerá una recomendación de contenido en esta pestaña. Amazon explica que se encuentra en conversaciones con otros operadores para ampliar los servicios de terceros integrados.

Las Rutinas de Alexa pasan de los Echo a los Fire TV

Las Rutinas de Alexa permiten configurar acciones de manera automática a través de la voz. Hasta la fecha estaban disponibles en los altavoces Echo, ahora estas Rutinas también llegan a los Fire TV.

Desde la aplicación de Alexa podremos configurar rutinas que combinen acciones como encender o apagar el TV, abrir una app específica o reproducir un contenido concreto. Interesante si queremos por ejemplo que a determinada hora se apague el televisor o decirle que encienda la tele y ponga directamente el último episodio que estamos viendo.

En Xataka

Rutinas de Alexa: qué son y cómo se configuran para automatizar tu Amazon Echo

Estas Rutinas se podrán configurar para realizarse al decir un determinado comentario, sea por ejemplo "Alexa, voy a comer" y detenga el contenido del Fire TV y active otro dispositivo compatible. O decir "Alexa, se acabó por hoy" y que apague el televisor y ponga una alarma para el día siguiente.

-
La noticia Amazon quiere que veamos los canales de televisión desde los Fire TV: la sección 'En Vivo' y las rutinas de Alexa llegan a España fue publicada originalmente en Xataka por Enrique Pérez .

La gente de NordPass ha publicado su lista anual con las 200 peores contraseñas de 2020, y los resultados, como suele suceder siempre, son lamentables. Tras analizar casi 300 millones de contraseñas filtradas durante este año, tenemos que la gran mayoría son extremadamente fáciles de adivinar.

El top 10 de este año incluye los eternos "123456" y "123456789", pero en el tercer puesto se cuela una novedad: "picture1", la contraseña "más fuerte" del tope de la lista porque toma una tres horas adivinarla, mientras que para el resto basta con menos de un segundo.

Seguimos usando las mismas contraseñas que se han filtrado millones de veces

Peores contraseñas de 2020 - NordPass

La otra nueva contraseña en el top 10 es "senha", una que en promedio toma 10 segundos adivinar, y que "solo" se ha filtrado 8.213 veces, poco si lo comparamos con los más de 23 millones de veces que "123456" ha aparecido en una brecha de datos. De forma similar, el resto también se han filtrado millones de veces.

Esta lista viene de analizar 275.699.516 de contraseñas filtradas en 2020, es decir, son passwords que forman parte de bases de datos públicas al alcance de cualquier ente malintencionado.

En Genbeta

Estos investigadores dicen haber encontrado la mejor forma de crear contraseñas seguras gracias a la ciencia

La mayoría de ellas requieren segundos, o menos de un segundo en descifrar a través de ataques de fuerza bruta (excepto la grandiosa "picture1" que toma tres horas), o incluso pueden ser fácilmente adivinadas por una persona, especialmente con listas como estas de referencia.

Incluso la mayoría de passwords que están entrando por primera vez en la lista, se han filtrado miles de veces en Internet. Con excepciones como "chatbooks" que nunca se ha filtrado y toma un día descifrar, u otras como "jobandtalent" toman hasta tres años descifrar pero ya se han visto expuestas cinco veces.

El 44% de las contraseñas de la lista son consideradas "únicas", pero no por ello más seguras (están en una lista pública de contraseñas inseguras). Como siempre, es un buen momento para recordar que la longitud es reina a la hora de elegir contraseñas seguras, y evitar usar palabras comunes como las de esta lista es un buen consejo a seguir.

-
La noticia La lista de las peores contraseñas de 2020 tiene dos nuevas en el top 10: una toma 3 horas adivinarla y la otra solo 3 segundos fue publicada originalmente en Genbeta por Gabriela González .

Una familia de malware que afecta a equipos Windows y que se conoce con el nombre de Meh está haciéndose notar en España, según han podido constatar los investigadores de Avast. Desde junio, han evitado 88.000 ataques dirigidos a usuarios españoles que usan su solución de seguridad.

El malware Meh tiene como función principal el robo de contraseñas, aunque va más allá erigiéndose poco menos que en una suite de programas maliciosos. Porque también va a por el registro de claves, la criptografía, el fraude publicitario, el robo de portapapeles, el robo de criptocarteras, la descarga de otros malware y es, a su vez, una herramienta de acceso remoto.

"La función RAT puede realizar diferentes acciones, desde obtener las contraseñas de los navegadores y cuentas de correo, hasta leer archivos y reiniciar los ordenadores", explican desde Avast. La función de fraude publicitarios, por su lado, se ocupa de esperar hasta que un ordenador queda inactivo para hacer clic en anuncios.

Principal objetivo: España

De acuerdo con los investigadores de Avast, Meh tiene como principal objetivo a los usuarios de España. Solo sus soluciones han evitado 88.000 ataques, lo que nos proporciona una idea de la dimensión que puede estar teniendo su incidencia.

En otros países, como Argentina y México, los ataques contabilizados por esta compañía son 2.000 y 1.500 respectivamente.

En Genbeta

Los mejores (y los peores) antivirus para usuarios domésticos de Windows, según AV-TEST

El origen de Meh puede estar en la descarga de archivos torrent. Los expertos en ciberseguridad creen que puede estar propagándose desde las webs de intercambio de este tipo de archivos y su recomendación es no usarlos, además de instalar un programa antivirus. "Recomendamos a los usuarios que se ciñan a los servicios de confianza en lugar de recurrir a las plataformas de intercambio de archivos", dicen.

-
La noticia El malware Meh se hace notar en España: al menos 88.000 ataques dirigidos al robo de datos y criptomonedas fue publicada originalmente en Genbeta por Toni Castillo .

Telegram es una aplicación de mensajería instántanea con las ideas bastantes claras, ofreciendo una gran seguridad al encriptar todas sus conversaciones de extremo a extremo. La herramienta se está convirtiendo en una de las más descargadas de este 2020, por delante de otros clientes que llegaron como una alternativa.

Muchos de los usuarios de esta red suelen también usarla para ir guardando fotografías, vídeos y documentos en la nube de manera gratuita, además se puede acceder a ellos en todo momento. Es por ello una alternativa a Google Fotos, quién a partir de junio de 2021 dejará almacenar unos 15 GB a cada persona.

Cómo almacenar en Telegram tus fotos, vídeos y más

Para poder guardar aquella información valiosa de tu dispositivo móvil es necesario crear un canal privado, una vez realizado vas a poder subir los archivos que quieras. Es algo más que una alternativa a Dropbox, Google Drive o otros de los servicios en la nube.

Con un canal privado dispondremos de espacio en la nube gratis para almacenar fotos, vídeos, documentos en Telegram, teniendo todo al alcance al poder acceder a él en cualquier momento. Si ya usas la aplicación no es necesario que la descargues, pero si no la tienes la puedes descargar desde la Play Store.

Telegram (Free, Google Play) →

Cómo crear un canal privado

Para la creación de un canal privado de Telegram en Android tienes que realizar los siguientes pasos:

• Abre la aplicación Telegram en tu teléfono móvil
• En la pestaña general haz clic en el lápiz en la parte inferior derecha
• Una vez dentro te mostrará varias opciones, haz clic en «Nuevo canal»
• Ahora en el nombre del canal pon aquel que quieras, por ejemplo nosotros hemos usado Nube DaniPlay y rellenamos la descripción, aquí ponemos lo que queramos, nosotros hemos puesto «fotos personales, vídeos y otros documentos»
• Ya por último tienes dos opciones, poner el canal público o privado, es aconsejable el segundo, elegir el privado por ser datos personales y dale a Aceptar en la parte superior
• Ahora te preguntará añadir a suscriptores, no lo hagas si quieres subir contenido tuyo, de familiares y archivos personales, dale a la flecha azul y te creará el canal

Subir fotos, vídeos y documentos al nuevo canal

Ahora lo importante es poder subir contenido al canal privado creado, recuerda que todo lo puedes subir aquí para tener un respaldo de tus imágenes, vídeos y documentos a tu alcance. Para llevar este proceso a cabo debes hacer lo siguiente para guardar todo en la nube:

• Abre el canal creado privado que te aparecerá en la parte superior
• Ahora pulsa en el icono del clip que te aparece al lado de la campana, ahora puedes subir cualquier tipo de archivo que creas oportuno y tenerlo a tu alcance en el teléfono cada vez que quieras, así como también en el ordenador, tienes la posibilidad de subir fotos de la galería, archivos, compartir una ubicación, música y otras opciones

Visualiza el contenido en galería

Una vez ya con el canal privado podemos visualizar el contenido en modo galería, esto sucederá si tienes muchos archivos, sobre todo si son imágenes. Hacerlo es bastante sencillo y es de la siguiente manera:

• Abre el Canal privado creado
• Pulsa en la parte superior del canal, concretamente en el nombre
• Al abrirse una nueva ventana vas a ver todos los archivos multimedia, documentos y todo el contenido

Add a bit of security to your project or make things selectable
by using different cards. In the latest issue of HackSpace magazine, PJ Evans goes contactless.

NFC (near-field communication) is based on the RFID (radio-frequency identification) standard. Both allow a device to receive data from a passive token or tag (meaning it doesn’t require external power to work). RFID supports a simple ID message that shouts ‘I exist’, whereas NFC allows for both reading and writing of data.

Most people come into contact with these systems every day, whether it’s using contactless payment, or a card to unlock a hotel or office door. In this tutorial we’ll look at the Waveshare NFC HAT, an add-on for Raspberry Pi computers that allows you to interact with NFC and RFID tokens.

Prepare your Raspberry Pi

We start with the usual step of preparing a Raspberry Pi model for the job. Reading RFID tags is not strenuous work for our diminutive friend, so you can use pretty much any variant of the Raspberry Pi range you like, so long as it has the 40-pin GPIO. We only need Raspberry Pi OS Lite (Buster) for this tutorial; however, you can install any version you wish. Make sure you’ve configured it how you want, have a network connection, and have updated everything by running sudo apt -y update && sudo apt -y upgrade on the command line.

Enable the serial interface

This NFC HAT is capable of communicating over three different interfaces: I2C, SPI, and UART. We’re going with UART as it’s the simplest to demonstrate, but you may wish to use the others. Start by running sudo raspi-config, going to ‘Interfacing options’, and selecting ‘Serial Interface’. When asked if you want to log into the console, say ‘No’. Then, when asked if you want to enable the serial interface, say ‘Yes’. You’ll need to reboot now. This will allow the HAT to talk to our Raspberry Pi over the serial interface.

Configure and install the HAT

As mentioned in the previous step, we have a choice of interfaces and swapping between them means changing some physical settings on the NFC HAT itself. Do not do this while the HAT is powered up in any way. Our HAT can be configured for UART/Serial by default but do check on the wiki at hsmag.cc/iHj1XA. The jumpers at I1 and I0 should both be shorting ‘L’, D16 and D20 should be shorted and on the DIP switch, everything should be off except RX and TX. Check, double-check, attach the HAT to the GPIO, and boot up.

Download the examples

You can download some examples directly from Waveshare. First, we need to install some dependencies. Run the following at the command line:
sudo apt install rpi.gpio p7zip-full python3-pip
pip3 install spidev pyserial

Now, download the files and unpack them:
cd
wget https://www.waveshare.com/w/upload/6/67/Pn532-nfc-hat-code.7z
7z x Pn532-nfc-hat-code.7z

Before you try anything out, you need to edit the example file so that we use UART (see the accompanying code listing).
cd ~/raspberrypi/python
nano example_get_uid.py

Find the three lines that start pn532 = and add a # to the top one (to comment it out). Now remove the # from the line starting pn532 = PN532_UART. Save, and exit.

Try it out!

Finally, we get to the fun part. Start the example code as follows:
python3 example_get_uid.py
If all is well, the connection to the HAT will be announced. You can now place your RFID token over the area of the HAT marked ‘NFC’. Hexadecimal numbers will start scrolling up the screen; your token has been detected! Each RFID token has a unique number, so it can be used to uniquely identify someone. However, this HAT is capable of much more than that as it also supports NFC and can communicate with common standards like MIFARE Classic, which allows for 1kB of storage on the card. Check out example_dump_mifare.py in the same directory (but make sure you make the same edits as above to use the serial connection).

Going further

You can now read unique identifiers on RFID and NFC tokens. As we just mentioned, if you’re using the MIFARE or NTAG2 standards, you can also write data back to the card. The examples folder contains some C programs that let you do just that. The ability to read and write small amounts of data onto cards can lead to some fun projects. At the Electromagnetic Field festival in 2018, an entire game was based around finding physical locations and registering your presence with a MIFARE card. Even more is possible with smartphones, where NFC can be used to exchange data in any form.

Get HackSpace magazine 37 – Out Now!

Each month, HackSpace magazine brings you the best projects, tips, tricks and tutorials from the makersphere. You can get it from the Raspberry Pi Press online store, The Raspberry Pi store in Cambridge, or your local newsagents.

Each issue is free to download from the HackSpace magazine website.

The post Read RFID and NFC tokens with Raspberry Pi | HackSpace 37 appeared first on Raspberry Pi.

2020 es el año en el que la cobertura 5G comenzará a ser una realidad en algunos países como España, sin embargo, tendremos que esperar todavía un par de años para poder disfrutar realmente de todas las ventajas que nos ofrecen este tipo de redes, más orientadas a mejorar la conectividad de dispositivos que realmente al usuario.

Es lógico pensar que si todavía no conseguimos disfrutar de la tecología 4G en muchos lugares, como es posible que las operadoras y los fabricantes de smartphones ya estén pensando en ofrecer conectividad 5G. El problema, en algunas ocasiones, no es del operador, sino que lo encontramos en nuestro propio entorno. Si quieres conocer como hacer que el móvil tenga más cobertura, te invito que sigas estos consejos.

Trucos para ganar cobertura

Desactivar la conexión 4G

Las redes 4G ofrecen cobertura en las zonas más pobladas y en ocasiones en algunas zonas con menos gente, lo mismo sucede con las redes 3G, aunque debido a que utilizan diferente rango de frecuencias, esta última suele tener mucho más cobertura que la 4G, y lo mismo sucederá cuando se popularicen las redes 5G.

Si vives en una zona donde la cobertura brilla por su ausencia, sobre todo en el interior de tu hogar, la mejor forma de mejorar la cobertura en tu casa es desactivando la conexión de datos 4G. Automáticamente tu smartphone buscará redes con cobertura 3G, redes que tienen una mayor alcance estas.

No esconder el teléfono

Mejorar la cobertura en el coche es tan sencillo como sacar el móvil de la mochila y situarlo cerca de nosotros (aunque no debemos contestar llamadas sin manos libres y mucho menos mensajes).

No es recomendable guardarlo en el maletero durante el transporte ya que la cobertura se ve limitada por las partes de metal que rodean el maletero y que impiden que la señal se reciba con calidad suficiente, algo que no sucede con los cristales del vehículo.

Lejos de dispositivos eléctricos

Las neveras por ejemplo, son uno de los electrodomésticos que más pueden afectar a la cobertura de tu móvil además de algunos viejos televisores. Los materiales son los que está construido un edificio o casa, también pueden afectar a la calidad de la cobertura que tiene nuestro smartphone.

Si tenemos problemas cobertura en el trabajo, una forma de mejorar la cobertura en la oficina es situándolo cerca de las ventajas. Si no es posible por que nuestra oficina se encuentra alejado de las ventajas, tendremos que comprobar si nuestro operador nos permite hacer y recibir llamadas vía Wi-Fi.

Este tipo de llamadas se tarifican igual que si utilizáramos cobertura de las antenas de telefonía, por lo que no supone ningún sobrecoste y nos permiten realizar llamadas sin tener que ir buscando la zona con mejor cobertura en nuestro centro de trabajo o en el hogar, ya que esta función está disponible, si tu operadora te la ofrece para todos los usuarios.

La falta de batería afecta a la cobertura

Cuando la batería de nuestro smartphone está a punto de agostarse, la frecuencia con la que busca antenas a las que conectarse para prestar servicio se prolonga, por lo que podemos sufrir cortes durante las llamadas. La mejor solución es evitar agotar la batería de nuestro smartphone siempre que sea posible.

La funda no afecta a la cobertura

A no ser que estemos utilizando una funda compuesta por elementos metálicos que impiden que pase la cobertura, no hay ningún problema. Las fundas tradicionales, las de toda la vida, no interfieren en la cobertura, ya que el material que las componen es principalmente plástico o telas (materiales que no interfieren en la cobertura del móvil).

No sujetarlo con toda la mano

Si cogemos el móvil con toda la mano, como si tuviéramos miedo de que nos caiga y tapamos gran parte del mismo, la cobertura se puede ver afectada considerablemente, ya que las antenas se sitúan en los bordes del dispositivo. Si tienes miedo de que se te caiga el móvil y se rompa, no hace falta cogerlo con toda la mano, compras una funda y solucionado el riesgo.

Amplificadores de señal móvil

Los amplificadores de cobertura recogen la señal, aunque sea mínima, disponible fuera de nuestro hogar o centro de trabajo, para amplificarla y estabilizarla para que podemos hacer uso de ella en el interior sin sufrir problemas de cobertura y que nos podamos mover con total libertad sin tener situar el móvil cerca de una ventana o en una zona determinada de la que no nos vamos a poder mover si queremos mantener una conversación.

Amplificadores de operadoras

Cuando las operadoras comenzaron a implementar las redes 3G, muchas de ellas ofrecían a los usuarios con problemas de cobertura la posibilidad de comprar un repetidor cobertura móvil, un repetidor compuesto por una antena exterior (encargado de captar la señal del exterior), un antena interior (reparte la cobertura en el interior) y un amplificador que se encarga de amplificar la señal del exterior.

El problema es que las operadoras dejaron hace tiempo de ofrecer este tipo de productos, por lo que usuarios se ven obligados a buscarse la vida y a realizar una inversión que va desde los 100 euros hasta lo que podamos gastar dependiendo del tipo de redes que queramos amplificar (2G, 3G, 4G)y del espacio interior que queramos cubrir.

Estos amplificadores de señal móvil son compatibles con todas las operadoras por lo que si cambiamos de compañía telefónica, no vamos a tener que cambiar el repetidor. Si tenemos en cuenta que la mayoría de operadoras utilizan las redes de Orange, Vodafone y Movistar (en España) los problemas de cobertura seguirán siendo los mismos.

Amplificadores para zonas rurales

Domic 4G es uno de los amplificadores de señal más utilizados en zonas rurales, zonas en las que la cobertura brilla por su ausencia o en suele dar muchos problemas de estabilidad. Además, es uno de los más económicos que podemos encontrar en el mercado siendo una de las mejores opciones no solo para zonas rurales sino también para nuestro hogar o centro de trabajo.

Amplificadores de señal caseros

Cuando los teléfonos eran teléfonos y no smartphones, ampliar la cobertura de nuestro terminal era un proceso muy sencillo, ya que tan solo teníamos que cambiar la antena del terminal por una más potente o añadir un elemento de metal que pudiéramos enroscar a zona de la antena, un truco que siempre funcionaba.

Sin embargo, con la llegada de los smartphones, las antenas físicas desaparecieron y formaron a formar parte del procesador, por lo que es imposible a día de hoy utilizar el viejo truco.

Mejores amplificadores de señal móvil

Si bien es cierto que en el mercado podemos encontrar un gran número de fabricantes de amplificadores de señal móvil, uno de los fabricantes que mejor relación calidad-precio nos ofrecen es ANYCALL, un fabricante con certificación CE (algo de lo que carecen la mayoría de amplificadores que proceden de China), ofrecen una señal estable y una garantía de 5 años.

Amplificador de señal 4G

Dependiendo de la cobertura que necesitemos amplificar, ANYCALL pone a nuestra disposición un gran número de modelos, modelos de ideales tanto para espacios pequeños como para grandes instalaciones y que nos permiten amplificar tanto redes 3G como 4G con una cobertura de 90 metros cuadrados.

Cuantas más prestaciones y cobertura nos ofrezca el amplificador de señal, más caro nos saldrá. Si lo que queremos es amplificar la señal de nuestro hogar, sótano, garaje… podemos optar por el modelo de más económico cuyo precio parte de los 200 euros. Si nuestras necesidades de cobertura pasan por cubrir un amplio espacio, el ANYCALL-5 es el producto que estamos buscando, un amplificador con una cobertura de hasta 400 metros cuadrados.

Amplificador de señal para vehículos

Si solemos salir de viaje, ya sea por trabajo o por placer y no movemos en zonas con poca cobertura, ANYCALL pone a nuestra disposición este modelo compatible con redes 2G/3G/4G que podemos conectar al encendedor y que incorpora un antena que podemos situar en el exterior del vehículo y que gracias a la antena interior amplifica la señal de todos los dispositivos que se encuentren en el exterior.

ANYCALL también nos ofrece un amplificador de señal para camiones con una mayor cobertura y potencia.

A tener en cuenta

Las únicas formas de poder ampliar la cobertura móvil de nuestro smartphone es a través de repetidores de señal, como los que os he mostrado en este artículo o, si tenemos una buena conexión a internet, utilizar la funcionalidad de poder realizar y recibir llamadas a través de la conexión Wi-Fi, una función que no está disponible en todos los operadoras, por lo que es una opción a tener en cuenta si estás pensando en cambiar de operador próximamente.

Si nuestro operador nos permiten realizar llamadas vía Wi-Fi, debemos mejorar la cobertura de esta señal en todo nuestro hogar u oficina, ya que de lo contrario nos veremos supeditados a no poder salir de la zona de confort donde la señal Wi-Fi es buena.

Para ampliar la señal Wi-Fi en nuestro hogar o centro de trabajo, podemos hacer uso de repetidores Wi-Fi, cuyo precio parte de los 15 euros, o bien de redes mesh, aunque estas últimas nos ofrecen la mejor señal en todo nuestro hogar, su precio se sale del presupuesto de muchos usuarios.

El mundo de la programación actualmente ha ido ganando peso con el paso del tiempo, incluso el mercado ha ido pidiendo programadores al ser fundamental para muchas pequeñas, medianas y grandes empresas. Con nociones básicas puedes aprender a programar solo, todo empezando desde cero y gratis.

Aprender a programar en Android te abre una gran oportunidad, ya que la Play Store es la tienda más grande actualmente, siendo el rey de manera indiscutible. Crear aplicaciones es rentable, igual pasa a la hora de crear un videojuego si das un paso adelante en cuanto a programación se refiere.

AIDE- IDE for Android Java C++

AIDE- IDE for Android Java C++ es una aplicación con un entorno de desarrollo integrado, está disponible para dispositivos móviles con el sistema Android. Puedes empezar a desarrollar y escribir código para poder crear una app y una vez termines poder subir este proyecto a la Google Play.

Lo importante es que añade clases interactivas de codificación para convertirte en un desarrollador de aplicaciones, apps de diseño visual y cuenta con un editor bastante potente. Tiene comprobación de errores en tiempo real, navegación de código inteligente, ejecución de la aplicación con un solo clic y usa el depurador de Java para encontrar errores.

AIDE apoya la creación de aplicaciones con Java, XML, SDK, aplicaciones con C/C ++ y NDK de Android, así como aplicaciones de consola de Java puro. AIDE es compatible con los proyectos de Eclipse, el código fuente puede ser copiado y exportado para empezar a programar.

AIDE- IDE for Android Java C++ (Free, Google Play) →

Aprender a programar con Encode

Con Encode podrás empezar a programar aprendiendo con lecciones, a ello le suma unas tareas para que puedas poner las distintas líneas de código y trabajar con ellas. Trabaja en los lenguajes Python, JavaScript y Web (HTML y CSS), tres de los lenguajes más importantes a día de hoy para el desarrollo.

Empieza con lo básico, luego las clases irán avanzando, por lo que si quieres crear una app básica inicialmente esta es tu aplicación, mientras más tarde puedes dar el paso de crear una profesional. Con el tiempo se ha convertido en una de las apps preferidas por los usuarios de la tienda por su sencillez.

Te explica paso a paso como crear aplicaciones en Android en Python, JavaScript y en entorno web con códigos HTML y CSS, mientras otras lecciones están bloqueados al ser de pago. Una app que no puedes dejar de pasar si no tienes ninguna noción desde un principio.

Encode: Learn to Code (Free, Google Play) →

Programming Hub

Es otra de las grandes opciones si empiezas desde cero a programar, añade lecciones cortas y sencillas, conceptos generales en los lenguajes Java, C++, C, HTML, JavaScript, Python 2, Python 3 y CSS. Lo mejor es que aprender código no será complejo ni tampoco ni tampoco aburrido en ningún caso.

Dispone de un compilador para trabajar con código para móvil, si has empezado a dominarlo vas a ir dando pasos adelante en la programación. Tiene una versión Pro con acceso ilimitado a los cursos que son muy completos y podemos ir probando todos los códigos en su base de datos.

Programming Hub añade un conocido compilador con el que trabajar y poder desarrollar aplicaciones, ya sean sencillas o bien ya más complejas si avanzas en el curso. Una de las aplicaciones más importantes de la Play Store si quieres manejar en todos los lenguajes disponibles.

Lightbot : Code Hour (Free, Google Play) →

Aprender a programar con Udacity

El aprendizaje en Audacity es muy útil si quieres empezar a crear aplicaciones, ya que los cursos han sido desarrollados por expertos de Facebook, Google, Amazon y GitHub. La gran mayoría de los cursos son gratuitos, muchos de ellos vídeos y aprender a programar va a ser bastante fácil.

La programación en la que se baja es Python, HTML y CSS, el primero de ellos es uno de los más necesarios, pero toca recordar que se pueden estudiar varios más. Es necesario disponer de un teléfono con Android o bien de un ordenador si quieres también trabajar con los códigos.

Una vez lo abres tiene cuatro apartados diferentes, el primero de ellos es Enrollment, aquí muestra la lista de cursos, Catalog, en este podrás buscar el curso apropiado para ti en ese momento. Los dos últimos son Notificaciones, aquí te mostrará esos avances y el último es Configuración, en este último no se suele tocar demasiado al venir ya configurada.

Descarga: UdaCity

El desembarco en España de Pluto TV ha merecido un considerable interés por parte de medios y público. Su propuesta de una televisión lineal y abierta es relativamente insólita en el panorama del streaming español. Ahora su nombre vuelve a sonar, pero por cuestiones menos agradables: 3,2 millones de cuentas de sus usuarios (que suman un total de 28 millones) y sus respectivos datos han sido expuestas en un foro de hackers.

Por suerte, Pluto TV es un servicio gratuito, por lo que no hay datos de tarjetas de crédito asociados a los nombres, pero sí nombre de usuario, correo electrónico, contraseña, fecha de nacimiento, tipo de dispositivo y dirección IP. Además, aunque el robo de datos se ha conocido ahora, la base de datos procede de octubre de 2018, así que no hay detalles, por ejemplo, sobre los recientes usuarios españoles, donde además, no se nos pide ningún tipo de registro.

En Xataka

"Pluto TV pretende convertirse en España en una plataforma líder". Manuel Gil, director de estrategia de Viacom España

Shinyhunters, hackers experimentados

El grupo detrás de la brecha es Shinyhunters, que ya se vieron implicados en el hackeo del repositorio privado de Microsoft en GitHub a principios de este año. En declaraciones al site especializado BleepingComputer, Pluto TV ha afirmado que "en el momento actual no podemos confirmar la veracidad de este suceso, pero cualquier intento de comprometer la seguridad de nuestros usuarios o plataforma son tratados con la máxima prioridad. Estamos investigando la cuestión". Pluto TV en España de momento no ha hecho comentarios.

Pluto TV llegó a España el pasado mes de octubre con una oferta de 40 canales y cientos de programas. Se ha elogiado su gratuidad y, sobre todo, su sistema de emisión, donde hay sistema bajo demanda de programas y películas, pero sobre todo, una emisión continua de programas en cualquiera de sus canales. Algunos temáticos, otros destinados a determinados tipos de público: es de esperar que esta sorprendente filtración no acarre mayores inconvenientes a Pluto TV una vez solucionen la brecha que ha comprometido los datos de sus clientes.

-
La noticia Pluto TV en EE.UU., hackeada: los datos de 3,2 millones de sus cuentas gratuitas han sido expuestos fue publicada originalmente en Xataka por John Tones .

Llevo muchos años siendo docente en diferentes universidades con temáticas de ciberseguridad. He tenido la suerte de poder conocer a muchos alumnos, de poder motivar a muchos de ellos y de poder hacerme amigos de mucha gente con un gran potencial. Para mí ha sido y es un orgullo poder decir que he tenido muchas horas de vuelo en las clases y que creo que un porcentaje alto de alumnos han estado contentos conmigo y con lo que he podido transmitirles.

Figura 1: La importancia de los laboratorios para aprender

hacking y un WAF como modSecurity a prueba

Siempre he hablado de la importancia que tiene que un alumno no se limite a observar al profesor, cuando éste les muestra un ejemplo para afinar el conocimiento. El alumno debe actuar y poner a prueba lo que le cuentan, lo que le muestran, lo que le enseñan. Es importante que los alumnos levanten sus contenedores de Docker, sus máquinas virtuales, sus entornos privados para probar sobre sus recursos lo que les enseñan.

Figura 2: Libro de Docker: SecDevOps de Fran Ramírez, Rafael Troncoso y Elías Grande

Muchos me habrán escuchado decir que no vale de nada que yo lo haga, que yo ya lo hice muchas veces, que tienes que probarlo tú, hacer el conocimiento tuyo, hacerlo interno, entenderlo a base de encontrarte problemas cuando al profesor no se le presentaron dichos problemas. Creo que en algún minuto de este video se puede ver justo lo que comento.


Figura 3: Pablo González en CiberCamp 2018: Aquellos años locos
No creáis que hoy me he levantado nostálgico o que voy a dejar algo que me llena tanto como seguir conociendo al talento, al potencial que hay detrás de cada historia que se sienta a ver lo que éste joven les tiene que contar. Solo quería dar pie al artículo técnico que quería contar hoy y es que hoy quiero hablar de la importancia de montarte tus laboratorios y aprender.  Hoy quiero dar respuesta a algunas consultas que me llegan y que me preguntan por mi buzón de MyPublicInbox por algún consejo para aprender, para iniciarse, para entrar en este mundo tan apasionante, por consultas de alguno de mis libros, etcétera. 

Figura 4: Libro de Hardening de Servidores GNU/Linux 4ª Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

- Una máquina Ubuntu a la que instalaremos modsecurity. 

- Una máquina Kali Linux 2020 a la cual llamaremos “la mala”.

- Un entorno web vulnerable al que ayudaremos a proteger.

- Instalar apache2 y modsecurity a través de Ubuntu con apt install. Ejemplo: apt install apache2 libapache2-mod-security2. 

- Tras instalar apache2 y la librería de modsecurity hay que verificar que modsecurity está habilitado. Para ello se puede hacer uso de apachectl -M. con esta instrucción podemos verificar que modsecurity se encuentra instalado, incluso podríamos filtrar con un grep para encontrar entre todo lo disponible.

- Encontramos el módulo security2 con el valor “(shared)”. 

- Si es así, parece que todo ha ido bien, toca configurar modsecurity.

Figura 6: modsecurity.conf

La primera regla y la más importante es SecRuleEngine que habilita modsecurity. Después, modsecurity tiene un conjunto de reglas por defecto, las cuales se encuentran en el directorio /usr/share/modsecurity-crs. Es altamente recomendable descargar reglas actualizadas desde repositorios de Github, con ejemplos para aprender. 

Un ejemplo de repositorio a tener localizado es el de SpiderLabs con Owasp-modsecurity-crs. Ahora se conoce como OWASP Modsecurity Core Rule Set. Para poder descargarlo se puede hacer uso de git clone. Una vez descargado se puede copiar el fichero de configuración a /usr/share/modsecurity-crs/crs-setup.conf. 

Figura 7: modsecurity core rule set en Git Hub

Ahora se puede configurar dichas reglas editando el fichero security2.conf que se encuentra en el directorio /etc/apache2/mods-enabled. Debemos añadir un par de IncludeOptional en el fichero security2.conf.

o IncludeOptional /usr/share/modsecurity-crs/*.conf. 

o IncludeOptional /usr/share/modsecurity-crs/rules/*.conf.

Figura 8: Libro Hacking de Aplicaciones Web: SQL Injection 3ª Edición de Chema Alonso y Enrique Rando en 0xWord

Esto es algo vital, enfrentarse a las situaciones, a los entornos, es una forma interesante de aprender y encontrarse con la realidad, por compleja que pueda parecernos. DVWA (Damn Vulnerable Web Application) es un entorno de pruebas para practicar y entender las vulnerabilidades web. Una de las cosas interesantes de este entorno es que se puede ver el código web con diferentes niveles. Es decir, si tenemos un SQL Injection se puede ver en diferentes dificultades, diferentes errores en el código que introducen en la aplicación el SQL Injection. Sin duda, interesante para aprender.

Figura 9:  Aplicación DVWA

Con la configuración de DVWA en modo fácil, en la última versión hay 4 niveles, introduciendo una comilla veremos como se genera un error de sintaxis. Si aplicamos un ‘or’1’=’1 veríamos los datos de la tabla a la que se consulta. Seguramente sea el SQL Injection más sencillo y más intuitivo. Perfecto para aprender.

Figura 10: Resultado del SQL Injection Level 1

Ahora habilitamos modsecurity a través del fichero /etc/modsecurity/modsecurity.conf. Habilitamos la opción SecRuleEngine y la ponemos a ON. A partir de aquí todo el tráfico pasará por las reglas de modsecurity que descargamos y añadimos en los apartados anteriores. Ahora veremos que cuando se intenta llevar a cabo la misma operación el resultado es un “forbidden”.
 

Figura 11: modsecurity funcionando

Una forma de aprender cómo funcionan, no solo los ataques de SQL Injection, sino todas las técnicas de Hacking Web Technologies, e incluso se pueden ver los ataques Client-Side que pasan por un servidor web, y como un WAF puede ir trabajando sobre ellos para protegernos es éste. Aplicando a diferentes tipos de ataques en plataformas como DVWA se puede aprender y mucho. Siempre pensando en el ataque y en la protección. En la vida real te encontrarás protecciones y tendrás que conocer cómo funcionan para poder aplicar bypasses. Eso lo dejamos para otra historia.

Saludos,

Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell”, "Pentesting con Kali Silver Edition" y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González - Conseguir 100 Tempos Gratis en MyPublicInbox

Contactar con Pablo González

Sigue Un informático en el lado del mal RSS 0xWord

Al borde de las tres de la madrugada, el cohete Vega estaba preparado para salir desde Kurú, en la Guayana Francesa, transportando en sus entrañas al mayor proyecto aeroespacial en el que se ha embarcado la industria española. Liderado por el Ministerio de Ciencia e Innovación, el satélite SEOSAT-Ingenio era el primer satélite español de observación terrestre, capaz de tomar imágenes de la superficie terrestre con una impresionante resolución de 2,5 metros.

Y despegó, como estaba previsto, a las 02:52 de la mañana. Pero, como decía Juan Luis Hortelano, la alegría nos duró ocho minutos.

Porque, según ha explicado la Agencia Espacial Europea, “ocho minutos después del despegue de la misión VV17 de Vega, tras el primer encendido del motor de la etapa superior de Avum (módulo superior de combustible líquido), se identificó una desviación de la trayectoria, lo que implica la pérdida de la misión”.

200 millones perdidos en ocho minutos

Tras años de trabajo y un presupuesto de 200 millones de euros, el Spanish Earth Observation Satellite - Ingenio era un instrumento óptico de alta resolución con dos cámaras capaces de cubrir 28 kilómetros de ancho cada una. La idea es que pudieran captar imágenes terrestres gracias a sus dos canales: uno pancromático (blanco y negro) de 2,5 metros de resolución y otro multiespectral con cuatro bandas (azul, verde, rojo e infrarrojo cercano) de 10 m de resolución.

En Xataka

Hay un lugar en España donde nos preparan para el 'Armageddon' y fabrican rovers marcianos: visitamos la sede central de GMV

Gracias a ello, prometían nuevas aplicaciones en el campo de la topografía, el control de las cosechas, el desarrollo urbanístico y la gestión del agua, además de ayudar en el control y la evolución de inundaciones, incendios o terremotos. Con el fallo de Vega, el proyecto vuelve a la casilla de salida.

Los técnicos de la ESA ya están realizando análisis telemétricos con la idea de localizar la causa del fallo y a lo largo de la mañana [14:00h] se darán los detalles que se hayan recabado. No obstante, hay algo que parece claro: el lanzamiento del mayor proyecto espacial español hasta el momento se da por perdido.

Imagen | ESA

-
La noticia Ocho minutos de alegría y un fracaso de 200 millones de euros: el lanzamiento del mayor proyecto espacial español hasta el momento se da por perdido fue publicada originalmente en Xataka por Javier Jiménez .

La desarrolladora y distribuidora japonesa de videojuegos como las franquicias Resident Evil y Street Fighter, Capcom, ha confirmado que los ciberatacantes responsables del ataque ransomware sufrido el 2 de noviembre han conseguido datos personales y de la compañía contrariamente a lo que se pensaba.

Según explican, tras la incursión no autorizada en su red, han podido verificar que algunos datos personales y financieros mantenidos por la empresa han sido comprometidos y, otros, pueden haberlo sido. Entre estos últimos encontramos información personal y corporativa que suman 350.000 elementos.

Datos comprometidos y potencialmente comprometidos

Capcom, que ofrece sus "más sinceras disculpas por cualquier complicación e inquietud que esto pueda suponer para sus clientes potencialmente afectados", ha confirmado que la investigación sigue en marcha y que, de momento, ha concluido que se ha filtrado la información de antiguos empleados, trabajadores actuales e información de ventas. Hablamos de nombres, firmas y direcciones, así como de información financiera.

Respecto a la información potencialmente comprometida, aunque no se pueda asegurar al cien por cien su posesión en manos de los atacantes, se trataría de datos personales de clientes y socios comerciales de Capcom, información del servicio de atención al cliente, nombres, direcciones, correos electrónicos, fechas de nacimiento y fotografías.

En Genbeta

Los ciberataques de ransomware siguen aumentando y los equipos más vulnerables son los que usan versiones viejas de Windows

Eso sí, entre estos datos no se encontraría información de índole bancaria como tarjetas de crédito o débito de clientes, de acuerdo con los datos publicados.

Capcom ha reconocido el posible acceso a información corporativa, como la que afectaría a futuros proyectos, y ha anunciado que está contactando con todas aquellas personas y/o empresas que se han visto afectadas por este robo de información.

-
La noticia Capcom confirma la filtración de datos personales y de la compañía tras sufrir un ataque ransomware fue publicada originalmente en Genbeta por Toni Castillo .