Tenía ganas de analizar el MiBox S de Xiaomi, uno de los pocos tvbox del mercado que incluye el sistema propio de Android TV .
A diferencia del clásico sistema operativo Android que encontramos en cualquier smartphone o tablet, este esta desarrollado y optimizado para ser disfrutado en cualquier televisión de nuestro salón .
La idea de Google es clara ...
Disponer de un menú en
Los pendrives o memorias USB son un flanco cada vez más atractivo empleado por los hackers para ciberatacar a las empresas a través de código malicioso, tal y como señala un reciente informe de Trend Micro.
El famoso desarrollador de Linux, Arne Exton, ha lanzado una nueva versión de RaspAnd Pie, el sistema operativo que te permite ejecutar Android 9 Pie en tu Raspberry Pi, añadiendo muchas mejoras.
La compilación 190429 de RaspAnd Pie está aquí tan solo mes y medio después de su primer lanzamiento que trajo consigo el sistema móvil más nuevo de Google a las pequeñas Raspberry Pi. Desafortunadamente, este lanzamiento carece de soporte para Google Play, pero siempre se pueden instalar aplicaciones en formato APK.
Esta nueva version nos presenta Yalp Store, un remplazo de Google Play que te permite instalar aplicaciones directamente de Google Play en formato APK. Ni siquiera necesitas una cuenta de Google para instalar las aplicaciones, a menos que quieras instalar aplicaciones de pago o escribir reseñas.
Disponible ya para Raspberry Pi 3 Model B y Model B+
Además de la Yalp Store, que ya es un añadido importante a RaspAnd Pie, este último lanzamiento también añade el lanzador de aplicaciones Evie Launcher, un remplazo de Nova Launcher, lanzador por defecto en la versión de lanzamiento. Por otro lado, RaspAnd Pie 190429 viene con Aptoide, Google Chrome, ES File Explorer, AIDA64, Termux y Rotation Control preinstalados.
De acuerdo al desarrollador, RaspAnd Pie corre bien en los modelos Raspberry Pi 3 Model B y Raspberry Pi 3 Model B+. El sistema es muy responsivo, aunque si es altamente recomendable que se escoja una Micro SD de calidad para su instalación y uso. Puedes adquirir RaspAnd Pie 190429 en la página oficial por tan solo $9 dólares, un gran precio para los poseedores de una Raspberry Pi.
Attackers have been actively exploiting a critical zero-day vulnerability in the widely used Oracle WebLogic server to install ransomware, with no clicking or other interaction necessary on the part of end users, researchers from Cisco Talos said on Tuesday.
The vulnerability and working exploit code first became public two weeks ago on the Chinese National Vulnerability Database, according to researchers from the security educational group SANS ISC, who warned that the vulnerability was under active attack. The vulnerability is easy to exploit and gives attackers the ability to execute code of their choice on cloud servers. Because of their power, bandwidth, and use in high-security cloud environments, these servers are considered high-value targets. The disclosure prompted Oracle to release an emergency patch on Friday.
On Tuesday, researchers with Cisco Talos said CVE-2019-2725, as the vulnerability has been indexed, has been under active exploit since at least April 21. Starting last Thursday—a day before Oracle patched the zero-day vulnerability, attackers started using the exploits in a campaign to install “Sodinokibi,” a new piece of ransomware. In addition to encrypting valuable data on infected computers, the malicious program attempts to destroy shadow copy backups to prevent targets from simply restoring the lost data. Oddly enough, about eight hours after infection, the attackers exploited the same vulnerability to install a different piece of ransomware known as GandCrab.
Hace un par de días saltaron las alarmas sobre una supuesta forma de obtener la clave de encriptación de BitLocker usando una tarjeta que apenas cuesta 25 euros. Y bueno, se puede decir que efectivamente un experto en ciberseguridad llamado Denis Andzakovic de Pulse Security ha logrado hacerlo en varios PCs! Pero ojo, antes de […]
En publicaciones anteriores dimos a conocer que los chipsBroadcom eran vulnerables a ataques y ahora en esta ocasión investigadores de la compañía NCC Group revelaron los detalles de la vulnerabilidad (CVE-2018-11976 ) en los chips de Qualcomm, que permite determinar el contenido de las claves de cifrado privadas ubicadas en el enclave aislado de Qualcomm QSEE (Entorno de Ejecución Segura de Qualcomm) basado en la tecnología ARZ TrustZone.
El problema se manifiesta en la mayoría de los SoC Snapdragon, en teléfonos inteligentes basados en Android. Las soluciones para el problema ya están incluidas en la actualización de abril de Android y en las nuevas versiones de firmware para los chips de Qualcomm.
Qualcomm tardó más de un año en preparar una solución: inicialmente, la información sobre la vulnerabilidad se envió a Qualcomm el 19 de marzo de 2018.
La tecnología ARM TrustZone permite crear entornos protegidos aislados de hardware que están completamente separados del sistema principal y se ejecutan en un procesador virtual independiente utilizando un sistema operativo especializado independiente.
El propósito principal de TrustZone es proporcionar ejecución aislada de manejadores de claves de cifrado, autenticación biométrica, datos de facturación y otra información confidencial.
La interacción con el sistema operativo principal se lleva a cabo indirectamente a través de la interfaz de envío.
Las claves de cifrado privadas se colocan dentro de un almacén de claves aislado por hardware que, si se implementa correctamente, evita que se filtren si el sistema subyacente está comprometido.
Sobre el problema
La vulnerabilidad está asociada con una falla en la implementación del algoritmo para procesar curvas elípticas, lo que llevó a una filtración de información sobre el procesamiento de datos.
Los investigadores han desarrollado una técnica de ataque de terceros que permite, con base en fugas indirectas, recuperar el contenido de las claves privadas ubicadas en un Almacén de claves de Android aislado por hardware.
Las fugas se determinan en función de un análisis de la actividad de las transiciones de bloque de predicción y los cambios en el tiempo de acceso a los datos en la memoria.
Durante el experimento, los investigadores demostraron con éxito la recuperación de claves ECDSA de 224 y 256 bits de un almacén de claves aislado en hardware utilizado en el teléfono inteligente Nexus 5X.
Para restaurar la clave, se necesitaron alrededor de 12 mil firmas digitales para generar, lo que llevó más de 14 horas en completarse. Para llevar a cabo el ataque se utilizó el kit de herramientas Cachegrab.
La causa principal del problema es el uso compartido de componentes de hardware y caché comunes para la computación en TrustZone y en el sistema principal: el aislamiento se realiza a nivel de separación lógica, pero mediante el uso de bloques de computación comunes y el establecimiento de trazados de cálculo e información sobre las direcciones de salto en la caché común del procesador.
Usando el método Prime + Probe, basado en una estimación del cambio en el tiempo de acceso a la información almacenada en caché, puede verificar la disponibilidad de ciertos patrones en el caché con una precisión suficientemente alta de los flujos de datos y signos de ejecución de código relacionados con los cálculos de firmas digitales en TrustZone.
La mayor parte del tiempo de generación de firmas digitales con claves ECDSA en chips de Qualcomm se gasta en realizar operaciones de multiplicación en un ciclo utilizando el vector de inicialización ( nonce ) sin cambios para cada firma.
Si un atacante puede recuperar al menos unos pocos bits con información sobre este vector, es posible lanzar un ataque en la recuperación secuencial de toda la clave privada.
En el caso de Qualcomm, se revelaron dos puntos de filtración de dicha información en el algoritmo de multiplicación: al realizar operaciones de búsqueda en tablas y en el código de extracción de datos condicionales en función del valor del último bit en el vector “nonce”.
A pesar de que el código de Qualcomm contiene medidas para contrarrestar la fuga de información en canales de terceros, el método de ataque desarrollado le permite omitir estas medidas y definir algunos bits del valor “nonce”, que es suficiente para recuperar claves ECDSA de 256 bits.
Hoy te traemos una recopilación con las mejores aplicaciones gratuitas para Windows 10. Hemos intentado tener una lista equilibrada, con programas esenciales que ya son veteranos para los usuarios inexpertos, pero también alguna de las últimas novedades imprescindibles para usuarios veteranos que quieran explorar un poco.
Como siempre pasa en todas estas listas, en Xataka Basics sabemos que posiblemente nos hayamos dejado fuera alguna de las que tú consideras mejor que las presentes o que crees que se merece una oportunidad y estar en la lista. Por eso, te invitamos a que nos dejes tus propuestas en la sección de comentarios.
Se trata de una versión simplificada de Photoshop, y especialmente pensada para poder sacar el máximo partido de ordenadores con pantallas táctiles. Te permite optimizar tus fotografías con sólo un par de movimientos de tus dedos, y lo que hay es lo que ves, lo que quiere decir que no encontrarás opciones escondidas en paywalls.
Lo que sí te pedirá es que te crees una cuenta de Adobe ID. A cambio, tienes varios opciones básicas de edición, e incluso una serie de filtros para diferentes contextos, desde los parecidos a Instagram hasta otros para retocar la piel en los retratos o mejorar el color de los paisajes. También puedes recortar y cambiar el tamaño de las imágenes.
Se trata de una de las aplicaciones de software libre más conocidas y utilizadas en el mundo. Este editor y grabador de audio multiplataforma es una de las mejores alternativas gratuitas para el trabajo de edición, grabación, creación de efectos, conversión de audio, etc.
Audacity lo puedes usar en Windows, Linux y macOS, y tiene soporte para plugins con los que mejorarlo, calidad de sonido de 16, 24 y 32 bits, y permite importar, editar y combinar diferentes archivos de audio. También puedes exportar tus grabaciones en varios tipos de formato, incluyendo el poder exportar varios archivos a la vez.
Si la veteranía da puntos atento a Blender, porque lleva ya muchos años siendo una de las mejores aplicaciones de código abierto para la creación de gráficos en tres dimensiones, modelado, VFX, animación, dibujo, y más. Es totalmente gratuito, y está disponible para Windows, Linux y macOS.
Tiene opciones de renderizado, modelado o animación. También tiene herramientas de edición de vídeo o creación de videojuegos, todo ello con una aplicación personalizable para adaptarse a tus necesidades.
Si te gustan los libros electrónicos, Calibre es simplemente una aplicación imprescindible. Con ella puedes gestionar tu librería virtual, y convertir tus ebooks en diferentes formatos. Es popular por permitirte, entre otras cosas, liberar tu Kindle para poder meterle libros convirtiéndo sus diferentes formatos como ePub en el nativo de Amazon.
También te permite descargarte periódicos, tus webs favoritas o leer desde la misma aplicación. Puedes hacer búsquedas en diccionario, ver los libros de tu PC o el eBook conectado, leer libros al azar, hacer conversiones de formato o editar los metadatos de los libros electrónicos que tengas. Todo ello disponible para Windows, macOS y GNU/Linux.
Existen muchos gestores de contraseñas en el mercado, y aunque soluciones nativas como el gestor propio de Chrome le pueden valer a mucha gente, si buscas un gestor algo más completo, con buen diseño y que se integre con todo Windows y sus apps, Dashlane es una de las mejores opciones. Tanto por su diseño como por sus opciones y compatibilidades.
Puedes crearte una cuenta gratuita que funcione en un dispositivo, como por ejemplo tu PC. Una vez instalada la app, puedes usarla para gestionar tus contraseñas, el autocompletado de formularios y datos de pago, e incluso para recibir alertas cuando tengas que cambiar una contraseña porque ha sido filtrada o el servicio ha tenido problemas de seguridad. En su versión de pago, también podrás sincronizarlas con otros dispositivos como el móvil.
Se trata de uno de los mejores editores de vídeo profesionales que te puedes encontrar en Windows, y tiene una versión gratuita con herramientas para procesos de edición, efectos visuales, animaciones gráficas, etalonaje y posproducción de audio en una sola aplicación.
Eso sí, si eres profesional has de saber que su versión de pago cuesta 269 euros, y que le añade a la versión gratuita un motor neuronal, opciones de colaboración, herramientas estereoscópicas, decenas de complementos ResolveFX y FairlightFX, etalonaje HDR y efectos de granulosidad, desenfoque y niebla. Sin embargo, la gratis es ya de por si un buen punto de inicio para tus ediciones caseras.
Para muchos DarkTable es lo más cercano a Lightroom que puedes conseguir de forma gratuita y en un proyecto de software libre. Es una aplicación para el flujo de trabajo en fotografía que ofrece revelado de RAW, edición y retoque de las imágenes. DarkTable está disponible para Windows, macOS y empaquetado para múltiples distribuciones Linux.
Si te has fijado en el buscador del explorador de Windows, verás que no busca realmente en todo el sistema, sino que sólo selecciona algunas aplicaciones. Si lo que quieres al realizar una búsqueda es que te aparezcan absolutamente todos los resultados, una de las mejores alternativas es usar Everything.
Es un motor de búsqueda de escritorio para Windows que localiza archivos y carpetas de forma muy rápida, y que además busca en todo el sistema. La herramienta funciona con todas las versiones de Windows, desde XP a Windows 10 y además, y es software libre.
Antes hemos hablado de la versión simplificada y gratuita de Photoshop, lo que prácticamente nos obliga a incluir en la lista la que durante años ha sido su gran alternativa. GIMP es una alternativa no a Photoshop Express, sino al Photoshop de pago, y ofrece muchas opciones avanzadas de edición de forma totalmente gratuita.
La aplicación es de código abierto, y tiene versiones para todos los sistemas operativos. Edición de imágenes, capas, máscaras, selecciones múltiples, canales, automatizaciones y, si no tienes suficiente, la posibilidad de añadir scripts y plugins para mejorar sus funciones.
Si estás buscando una alternativa a la herramienta de particiones nativa de Windows, Gparted es desde hace años una de las mejores alternativas libres. Puedes crear, borrar, cambiar el tamaño o mover cada partición entre otras cosas, todo ello manipulando prácticamente todos los sistemas de archivos disponibles. También puedes crear un USB ejecutable al iniciar el sistema para manipular las particiones del disco duro sin arrancar Windows.
Handbrake es una herramienta de software libre que sirve para convertir los archivos de vídeo de casi cualquier formato conocido por el hombre. Vamos, que tú tienes un vídeo en un formato y lo puedes pasar a cualquier otro sin problema. Además, soporta una amplia variedad de códecs, es multiplataforma (Windows, Linux y macOS), es gratuita y su código es abierto.
La aplicación tiene varios perfiles para que puedas elegir el que se corresponde con tu dispositivo, y puede leer archivos de cualquier formato de almacenamiento, incluyendo los DVD o Bluray que no tengan protección. Además, puedes aplicarle filtro a los vídeos, editar sus capítulos, añadirle subtítulos y mucho más.
Esta aplicación lleva casi dos décadas siendo una de las mayores y mejores alternativas para el visionado de imágenes que existe en Windows. Por lo tanto, es perfecta si crees que la herramienta por defecto tiene mucho que desear. Como lleva tantos años en Windows, es compatible desde los desaparecidos Windows XP hasta Windows 10, por lo que puedes usarlo hasta con ese viejo ordenador que todavía conserves en un cajón.
Otra de sus ventajas es que la aplicación no sólo sirve para ver imágenes, sino que también permite convertirlas pasándolas de un formato a otro, optimizarlas, escanearlas e incluso imprimirlas. Permite crear pases de diapositivas, procesar varias en grupo y mucho más a través de sus plugins.
Si estás buscando una aplicación para la gestión de descargas directas, jDownloader es una de las mejores aplicaciones que puedes encontrar. Es totalmente gratuita, aunque incluye un sistema en el que puedes guardar tus cuentas de usuario y contraseña de servicios online que tengas comprados como Mega y compañía.
Tiene versiones para Windows, GNU/Linux o macOS, y extrae el contenido de las direcciones URL que copies en el portapapeles para que puedas descargarlo. Con esta app, por ejemplo, podrás descargar vídeos de YouTube o cualquier contenido de las nubes que tengas directamente en la carpeta que le asignes para todas las descargas.
Kodi es una de las aplicaciones más populares para convertir tu ordenador en un centro multimedia en el que ver con una interfaz limpia y clara todo tipo de contenidos. Su código es libre, y tiene versiones tanto para Windows como para GNU/Linux, macOS, iOS, Android, Raspberry Pi y prácticamente para cualquier otro que necesites.
Es una aplicación totalmente modular que puedes adaptar a tu medida. No sólo porque tiene temas para cambiar su interfaz, sino porque también tiene un sistema de add-ons con los que añadirle diferentes tipos de funcionalidades. Con ellas puedes ver en diferentes canales de televisión a través de Internet, mostrar predicciones meteorológicas, o conectarte a servicios como Plex, SoundCloud o YouTube. También los tienes para escuchar radio, acceder a algunos de tus servicios de almacenamiento en la nube.
Krita es un excelente programa de pintura digital diseñado especialmente para artistas que trabajan con ilustración, historietas, arte conceptual, pintura, y demás. Es una aplicación de software libre, y por lo tanto es completamente gratuita. También es multiplataforma, con versiones para Windows, Linux y macOS.
Tiene una interfaz del usuario intuitiva que no se interpone en tu trabajo, con paneles que puedes mover y personalizar para adecuarlos a tu estilo de trabajo. También cuenta con estabilizadores de pincel, paleta emergente, motores de pincel, modo de envoltura y administrador de recursos.
Si estás buscando una aplicación para descargar torrents, qBittorrent es posiblemente la mejor alternativa disponible. También fue la más recomendada por los xatakeros cuando hicimos nuestro artículo con mejores clientes BitTorrent. Es de código abierto, multiplataforma, y tiene su propio buscador de Torrents.
También te permite realizar varias descargas simultáneas y puedes agregar trackers. La aplicación abre por defecto los enlaces Magnet, soporta DHT, IPv6, Proxies, RSS y encriptación de protocolo, y permite reproducir archivos mientras se descargan, lo que te ayudará a ahorrar tiempo detectando descargas erróneas.
LibreOffice es una aplicación ofimática alternativa a Microsoft Office, pero totalmente gratuita y de código abierto. Incluye un procesador de textos, hoja de cálculo, presentaciones, app de diagramas, de base de datos y un editor de fórmulas, todos ellos capaces de abrir y trabajar con el formato de las aplicaciones de Office como Word o Excel.
Con el tiempo, se ha convertido en una aplicación casi imprescindible para quien no quiera pagar por la licencia de Office. A esto hay que añadirle una interfaz que sigue modernizándose, todas las funciones que cabe esperar de este tipo de aplicaciones, y hasta un LibreOffice Online con el que puedes montarte tu propio servicio ofimático en un servidor con el que competir con Google Drive.
MuseScore es un software profesional para la notación musical completamente gratuito y sin restricciones. Con el puedes crear, reproducir e imprimir partituras desde Windows, Linux, macOS o ChromeOS, además de contar con versiones móviles de la app para iOS y Android.
Su código es abierto y permite la entrada a través de teclados MIDI, pudiendo transferir desde/hacia otros programas mediante MusicXML, MIDI y otros formatos. Permite escribir música para piano, guitarra, orquesta, jazz, coro, bandas, marchas y más,
Notion es una de las herramientas de productividad más interesantes y completas de los últimos meses. Es básicamente un área de trabajo todo en uno para gestionar notas, tareas, calendarios, bases de datos y más. Además, la app es multiplataforma y se sincroniza en todos los dispositivos donde la tengas instalada.
Es excelente para organizar tu vida, tu trabajo y tus equipos. Tiene soporte para múltiples tipos de archivo que puedes importar y también para cuentas de servicios externos, como Trello, Asana, Google Docs, Dropbox, etc. Puedes usarlo de forma gratuita con un límite de 1000 items, o puedes pagar una suscripción de 4 dólares al mes.
OBS Studio es una aplicación gratuita y libre para la grabación de vídeo o realizar streamings en directo. Tiene versiones para Windows, Linux y macOS, y es una herramienta famosa y muy querida por muchos streamers profesionales.
Entre sus opciones está el poder crear escenas con múltiples fuentes, incluyendo captura de vídeo, imágenes, texto, ventanas de navegador, webcams y capturadoras. Puedes crear un número ilimitado de estas escenas para ir alternando, incluye un mezclador de audio y es muy fácil de configurar, con opciones específicas para la emisión en streaming.
Este es el software que usan en Studio Ghibli para hacer la mayoría de sus películas. ¿Hace falta decir algo más? Su código se abrió en 2016, y es un programa para la producción de animaciones 2D completamente gratuito disponible para Windows y macOS.
La herramienta permite realizar un escaneo secuencial de forma eficiente de acuerdo a los números de intermedios de animación, es compatible con modos blanco y negro, en colores, con o sin binarización, y permite guardar las opciones de escaneo. También permite reproducir los procesos cuando es necesario reescanear algunas tomas, y es compatible con el estándar TWAIN.
Plex es, con el permiso de Kodi, una de las mejores aplicaciones para convertir tu ordenador en un centro multimedia utilizando el contenido digital que tengas en él. Reconoce todos los archivos multimedia que tengas alojados en la carpeta de origen, y los organiza con diferentes secciones para que los tengas relativamente ordenados independientemente de que los tengas organizados o no dentro de la carpeta de tu ordenador.
Aunque la aplicación en sí es gratuita para poder utilizar los archivos de tu ordenador en cualquier dispositivo que comparta una misma conexión a Internet con él, también tienes opciones avanzadas de pago para poder acceder desde la nube, permitiéndote crear tu propio Netflix o tu propio Spotify.
Si tienes una cuenta de Microsoft para utilizar Windows 10, ya tienes todo lo necesario para utilizar Skype. Lleva años siendo una de las aplicaciones de videoconferencia de referencia, e incluye todo tipo de opciones para hacer tus conversaciones casuales o empresariales lo más cómodas posible.
Esta es la herramienta de creación de películas que utilizan en Valve para crear las escenas de sus famosos juegos dentro del motor de videojuegos Source. Source Filmmaker o SFM está disponible de forma completamente gratuita a través de Steam.
Esta interesante herramienta te ofrece un "simulador del universo". Con él, puedes explorar un universo virtual desde tu ordenador viajando a través de las galaxias, los planetas y los asteroides. Puedes aterrizar en cualquiera de estos planetas, lunas y asteroides y explorarlo, pudiendo alterar la velocidad del tiempo para ver diferentes fenómenos celestes.
La carga es rápida y fluida cuando viajas, y el universo tiene el tamaño de miles de millones de años luz con billones de sistemas planetarios. Todo ha sido creado basándose en conocimiento científico real, por lo que aunque no sea nuestro universo el que verás, sí que será uno basado en los mismos principios científicos con los que lo entendemos actualmente.
Es posiblemente la mejor aplicación que tienes disponible para dominar todas las webapps de Windows, ya que incluye soporte para más de 600 aplicaciones web y una interfaz que cada vez está más pulida.
Station es una excelente forma de gestionar en un mismo lugar todos los servicios que accedemos desde la web, con notificaciones integradas, funciones de búsqueda, soporte para múltiples cuentas y más. Es tan fácil como descargar la aplicación de forma totalmente gratuita, y luego ir vinculando todas las que quieras utilizar.
Telegram es uno de los servicios de mensajería más populares para teléfonos móviles, pero su aplicación para escritorio hace que gane enteros y funcionalidades. Es una aplicación independiente que no requiere vincularse directamente con el móvil como WhatsApp Web, y gracias a su función de enviarte mensajes a ti mismo sirve para enviar archivos del móvil a tu PC y viceversa.
VLClleva años siendo la aplicación multimedia de referencia para cualquier PC que se precie, y en pleno 2019 no podemos hacer otra cosa que seguir recomendándolo. Por una parte porque puede reproducir prácticamente cualquier archivo multimedia sin necesidad de descargar plugins o codecs adicionales, y por otra porque es de código abierto y cualquiera puede mirar en sus entrañas para asegurarse de que es seguro y hace sólo lo que promete.
Cuando ejecutes VLC por primera vez detectará tus dispositivos de almacenamiento en el ordenador, y te preguntará si quieres utilizarlo como biblioteca multimedia. Aunque si lo prefieres, también puedes usarlo para que se limite a abrir todas esas canciones y vídeos individuales que quieras. Por tener, tiene hasta soporte para subtítulos, y con tener el archivo en la misma carpeta y con el mismo nombre que el de vídeo los reproduce a la vez.
En menos de dos años esta startup de diseño y edición fotográfica ha conquistado cifras estratosféricas de público, haciéndose especialmente con una importante base internacional de usuarios millennial. Desmenuzamos algunos datos sobre su éxito.
El Parlamento Europeo ha aprobado la puesta en marcha de un nuevo sistema centralizado para la gestión de la información biométrica en la Unión Europea, un proyecto gigantesco destinado a facilitar las tareas a los cuerpos de seguridad y las autoridades judiciales.
Esa base de datos, llamado Repositorio de Identidad Cómún (CIR) albergará todo tipo de información biométrica sobre más de 350 millones de personas (ciudadanos y no ciudadanos de los Estados Miembros), incluyendo sus huellas dactilares o imágenes faciales.
Una base de datos para gestionarlos a todos
La aprobación de este proyecto permitirá a las agencias de migración, control de fronteras y cuerpos de seguridad acceder a una base de datos centralizada en la que estarán incluidos los datos biométricos tanto de ciudadanos de la UE como de extranjeros de otros países.
Los responsables de la Unión Europa indicaban la pasada semana que el CIR unificará las bases de datos que ya existían tales como el Sistema de Información Schengen, el Eurodac, el Sistema de Información de Visados (VIS) y tres nuevos sistemas, el ECRIS-TCN, el EES y el ETIAS.
La votación sobre este tema se produjo el pasado 15 de abril en el Parlamento Europeo en dos rondas separadas, una para las fronteras y comprobación de visados y otra para la cooperación judicial y policial. Ambas fueron aprobadas de forma contundente por 511-123 (9 abstenciones) votos en el primer caso y 510-130 (9 abstenciones) en el segundo.
Tanto el Parlamento Europeo como el Consejo Europe prometieron contar con mecanismos de seguridad para proteger el derecho a la privacidad de los usuarios y para regular el acceso de los cuerpos de seguridad, judiciales o de control de migración y fronteras a estos datos.
Aún así, algunos analistas lo consideran un "punto de no retorno" y afirman que esta base de datos crea "una base de datos centralizada para el Gran Hermano Europeo".
Los recientes robos masivos de datos en todo tipo de plataformas online -el caso reciente de la plataforma Lexnet en España es un buen ejemplo- no hacen precisamente que este tipo de proyectos nos hagan sentir especialmente seguros, pero hay otras amenazas como las que apuntan a que estos proyectos sirvan para mucho más y acaben sirviendo para monitorizar a gente que no forma parte de investigaciones criminales.
Ayer contábamos la historia de la labor de un programador independiente que había dedicado parte de los últimos 7 años de su vida a crear una versión 'pixel-perfect' del mítico 'Super Mario Bros.' para el Commodore 64.
Muchos considerarían ese esfuerzo como un rendido homenaje a Nintendo y a ese título legendario, pero la empresa nipona no lo ha hecho así, y ha exigido la retirada de las descargas del juego en esa versión para el C64 de los sitios de descarga en los que se encontraba.
Nintendo inmisericorde
Las comunidades de usuarios dedicadas a mantener con vida el Commodore 64 y todo lo que le rodea lamentaban la decisión de Nintendo, que se había puesto en contacto con algunos de ellos para exigir la retirada de las descargas de esa versión de 'Super Mario Bros.' crada por un fan de Nintendo apodado 'ZeroPaige'.
Good times. Due to a DMCA takedown notice we had to remove the Super Mario Bros 64 download from our website blog post from 4 days ago. Hopefully everyone enjoys the #Commodore 64 #C64 game who was able to snag it.
En TorrentFreak indicaban cómo los enlaces de descarga de los sitios en los que hasta ahora había estado hospedado el videojuego habían desaparecido, aunque destacaban que el port "está aún disponible si sabes donde mirar o a quién preguntar". Los responsables de este sitio web indicaban con ironía como 'Super Mario Bros.' "está también disponible en su Game Boy, Wii U y Switch, así que... ehhh... Commodore 64 es también una amenaza para su mercado".
Como destacan allí, aunque se han retirado esos enlaces originales será prácticamente imposible "borrar "Super Mario Bros. 64 de la historia", ya que la descarga aún se puede encontrar y la gente más interesada en el proyecto tendrá "un montón de contactos en la escena de la emulación, así que buena parte de la descarga se producirá tras las bambalinas".
Mientras tanto, eso sí, ZeroPaige puede estar orgulloso de su labor, porque esa versión es un prodigioso homenaje a esta máquina de 8 bits y a un juego que ha significado mucho para generaciones enteras de jóvenes. En Xataka nos hemos puesto en contacto con los responsables de la empresa nipona en España, pero no han ofrecido comentarios adicionales a este respecto.
Tres investigadores belgas, de la Universodad de Lovaina, han desarrollado un medio (basado en la técnica conocida como de 'muestras antagónicas') para engañar a las cámaras de vigilancia equipadas con inteligencia artificial y lograr que no sean capaces de reconocer a personas en la imagen.
"La idea detrás de esta investigación radica en ser capaz de eludir los sistemas de seguridad que [...] generan una alarma cuando una persona entra en el campo de visión de una cámara".
¿Qué son las 'muestras antagónicas'?
El auge de las redes neuronales convolucionales (CNN) se ha traducido en grandes éxitos en el campo de la visión artificial. El problema es que, en paralelo a la mejora de su precisión, ha ido disminuyendo su interpretabilidad: a estas alturas resulta ciertamente difícil saber, por ejemplo, por qué una red identifica a una persona como tal.
Fundamentalmente, la red neuronal aprende cuál es el aspecto de una persona "en abstracto" viendo muchas fotos de personas reales. Y si queremos evaluar su efectividad, no tenemos más opción que someter las mismas imágenes a dos procesos de clasificación paralelos: por parte de CNNs y de humanos.
Pero esto presenta un problema: en esas evaluaciones no se utilizan imágenes diseñadas específicamente para engañar al sistema; lo que llamamos muestras antagónicas, que incorporan patrones específicos que no engañan al ojo humano pero sí a las redes neuronales responsables de la visión artificial.
Wiebe Van Ranst, uno de los investigadores, afirmó que se pueden desarrollar parches aún más fiables teniendo acceso a imágenes de la cámara de vigilancia que se busca burlar, pues así es posible personalizarlos. En HackerNews, los usuarios han probado a especular sobre la clave del funcionamiento de este método:
"El hecho de que el parche deba colocarse alrededor de la cintura podría indicar que la transición camisa/pantalón es importante para el algoritmo. Tendría sentido, dado que los datos de entrenamiento posiblemente estén llenos de personas vestidas".
Otros usuarios destacan que, al contrario que el patrón de camuflaje CV Dazzle (antirreconocimiento facial), el usado en esta investigación parece "práctico" y se ve "totalmente normal en público".
Al hilo de eso, Van Ranst afirma ahora que su siguiente objetivo es que el parche pueda aplicarse a la propia ropa (por ejemplo, en forma de camiseta) y que sea capaz de confundir a la cámara desde distintos ángulos. Aunque reconoce que, para lograr eso, aún tienen trabajo por delante.
Hace algunos días, se dio a conocer la noticia de que los controladores para los chips inalámbricos Broadcom fueron detectadas cuatro vulnerabilidades, que permiten poder realizar ataques remotos a los dispositivos que incluyen estos chips.
En el caso más simple, las vulnerabilidades se pueden usar para denegación de servicio remotas, pero no se excluyen los escenarios en los que se pueden desarrollar vulnerabilidades que permiten a un atacante no autenticado ejecutar su código con los privilegios del kernel de Linux mediante el envío de paquetes especialmente diseñados.
Estos problemas se identificaron durante la ingeniería inversa del firmware de Broadcom, en donde los chips propensos a la vulnerabilidad son ampliamente utilizados en computadoras portátiles, teléfonos inteligentes y varios dispositivos de consumo, desde SmartTV a dispositivos IoT.
En particular, los chips Broadcom se utilizan en los teléfonos inteligentes de fabricantes como Apple, Samsumg y Huawei.
Cabe destacar que Broadcom fue notificado de las vulnerabilidades en septiembre de 2018, pero demoró aproximadamente 7 meses (es decir apenas en este mes en curso) lanzar las correcciones coordinadas con los fabricantes de equipos.
¿Cuáles son las vulnerabilidades detectadas?
Dos vulnerabilidades afectan el firmware interno y potencialmente permiten la ejecución de código en el entorno del sistema operativo utilizado en los chips Broadcom.
Lo que permite atacar entornos que no utilizan Linux (por ejemplo, la posibilidad de un ataque en dispositivos Apple, CVE-2019-8564 está confirmada)).
Aquí es importante recalcar que algunos chips Broadcom Wi-Fi son un procesador especializado (ARM Cortex R4 o M3), que ejecutará la similitud de su sistema operativo desde las implementaciones de su pila inalámbrica 802.11 (FullMAC).
En dichos chips, el controlador proporciona la interacción del sistema principal con el firmware del chip Wi-Fi.
En la descripción del ataque:
Para obtener un control total sobre el sistema principal después de que se comprometa FullMAC, se propone utilizar vulnerabilidades adicionales o el acceso total a la memoria del sistema en algunos chips.
En los chips SoftMAC, la pila inalámbrica 802.11 se implementa en el lado del controlador y se ejecuta mediante una CPU del sistema.
En los controladores, las vulnerabilidades se manifiestan tanto en el controlador propietario de wl (SoftMAC y FullMAC) como en el brcmfmac abierto (FullMAC).
En el controlador wl, se detectan dos desbordamientos de búfer, que se explotan cuando el punto de acceso envía mensajes EAPOL especialmente diseñados durante el proceso de negociación de la conexión (se puede realizar un ataque al conectarse a un punto de acceso malicioso).
En el caso de un chip con SoftMAC, las vulnerabilidades conducen a un compromiso del núcleo del sistema, y en el caso de FullMAC, el código puede ejecutarse en el lado del firmware.
En brcmfmac, hay un desbordamiento de búfer y un error que comprueba los marcos procesados, que se explotan mediante el envío de marcos de control. En el kernel de Linux, los problemas en el controlador brcmfmac se solucionaron en febrero.
Vulnerabilidades identificadas
Las cuatro vulnerabilidades que fueron dadas a conocer desde septiembre del año pasado, ya están catalogadas en los siguientes CVE.
CVE-2019-9503
El comportamiento incorrecto del controlador brcmfmac al procesar marcos de control utilizados para interactuar con el firmware.
Si un marco con un evento de firmware proviene de una fuente externa, el controlador lo descarta, pero si el evento se recibe a través del bus interno, el marco se omite.
El problema es que los eventos de dispositivos que usan USB se transmiten a través del bus interno, lo que permite a los atacantes transferir exitosamente el firmware que controla los marcos en el caso de usar adaptadores inalámbricos USB;
CVE-2019-9500
Cuando activa la función “Wake-up on Wireless LAN”, puede provocar un desbordamiento en el controlador brcmfmac (función brcmf_wowl_nd_results) enviando un marco de control especialmente modificado.
Esta vulnerabilidad se puede usar para organizar la ejecución del código en el sistema principal después del compromiso del chip o en combinación.
CVE-2019-9501
El desbordamiento de búfer en el controlador wl (función wlc_wpa_sup_eapol), que ocurre durante el procesamiento de mensajes, el contenido del campo de información del fabricante en el que excede los 32 bytes.
CVE-2019-9502
El desbordamiento de búfer en el controlador wl (función wlc_wpa_plumb_gtk), que ocurre durante el procesamiento de mensajes, el contenido del campo de información del fabricante en el que excede 164 bytes.
Garmin Connect es una plataforma para deportistas que utilizan dispositivos de la marca Garmin para monitorizar en tiempo real, gracias al sistema GPS, variables importantes en la práctica del deporte como velocidad, metros de desnivel, posicionamiento dentro de un mapa, ritmo cardiaco, creación de historiales de recorridos e incluso crear pequeñas comunidades, donde los usuarios definen segmentos y utilizan gamificación para competir dentro del segmento y ver quién marca el mejor tiempo.
Figura 1: Hacking Fitness vía Garmin Connect [Parte 1 de 2]
Para compartir la información con otro usuarios, basta instalar la app en el smartphone y vincular éste con el dispositivo Garmin a través de Bluetooth, crear una cuenta gratuita en la plataforma Garmin Connect y vincular la cuenta de correo electrónico utilizada para la creación de la cuenta en el portal web en la app del smartphone. Una plataforma que, antes de almacenar los datos personales de cada usuario, llama la atención para hacer algo de "Hacking con Buscadores" y conocer cuál es su robustez.
En el pasado, el ejercito militar americano, tuvo que prohibir el uso de dispositivos y servicios como Strava, porque los datos que subían sus soldados pudo revelar la ubicación de bases secretas, como vimos en el artículo "¿Los datos de Strava delatan a los militares de USA?"
Análisis de Fichero robots.txt en Garmin Connect
Analizamos en la plataforma la existencia del fichero robots.txt utilizado para impedir a los motores de búsqueda la indexación de cierto contenido web. Observamos que no existe, así que la probabilidad de que los motores de búsqueda hayan indexado información web del sitio, como, por ejemplo, datos de las cuentas de los usuarios relacionados con su actividad física es elevada.
Figura 5: No existe el fichero robots.txt en la web del servicio Garmin Connect
Ya hemos visto en el pasado que el tener un fichero robots.txt no es una garantía total, y que incluso se podría convertir en una fuga de información en sí mismo, pero bien configurado ayuda a evitar problemas de info-leaks. Y en la web de Garmin Connect no existe.
Figura 6: Robots.txt en Garmin Connect not found
Como curiosidad, al realizar la petición del recurso “robots.txt” al nombre de dominio principal, observamos que sí que existe, aunque “de aquella manera”, porque no ha sido configurado siguiendo buenas prácticas. No
Figura 7: Fichero robots.txt para el nombre del dominio principal
Además, no es posible obtener información interesante a partir de las rutas relativas de recursos almacenadas en el fichero “robots.txt”. No obstante, hay que recordar que el sitio web podría hacer uso de Headers HTTP X-Robots-Tags "NoIndex" o de etiquetas HTML META NoIndex en páginas web para evitar la indexación, así que la prueba del nueve es comprobar cuántas URLs de perfiles de usuarios de Garmin Connect se han quedado indexadas en los buscadores.
Búsqueda de URLs de actividades deportivas de usuarios
Una vez dentro de la plataforma, en la zona de actividades del usuario, se observa en la URL un posible patrón común para todas las actividades registradas de los usuarios de la plataforma: “modern/activity”
Figura 8: URL con la información de una ruta en bicicleta de Amador Aparicio (@amadapa)
Haciendo, como hemos dicho al principio, un poco de “Hacking con Buscadores” se observa como Google tiene indexados casi 100.000 resultados relacionados con la actividad de los usuarios de la plataforma, lo que es una auténtica salvajada. Y desde el punto de vista de negocio de Garmin Connect extraño, ya que está entregando los datos de todos sus usuarios a Google.
Figura 9: Resultados indexados en Google de usuarios de Garmin Connect
Con una sencilla consulta, se determina que es posible acceder a la información de las actividades usuarios de la plataforma sin la necesidad de tener una cuenta en ella, seguramente porque la cuenta no cuente con la configuración de privacidad adecuada o porque los usuarios quieran compartir esta información con el resto de usuarios de Internet.
Figura 10: Información de la actividad deportiva de un usuario junto con el dispositivo Garmin utilizado.
Skyload es una extensión para Chrome y Opera bastante genial que sirve para descargar música y vídeo de las redes sociales o de múltiples sitios web. Hace el proceso sumamente sencillo puesto que identifica todo el contenido que puedes bajar y te lo ofrece en un click.
La extensión funciona con cualquier navegador basado en Chrome, como Vivaldi, Opera, Yandex, o el nuevo Edge. Skyload te deja bajar vídeo o audio de sitios como Twitter, Instagram, Facebook, YouTube, Vimeo, DailyMotion, Soundcloud, etc.
Descargas en un click, de múltiples archivos a la vez y en la calidad que elijas
Una vez que instales la extensión, un pequeño icono de descarga aparecerá en la barra de herramientas de Chrome. Cuando entras en una web en la que hay contenido multimedia, ese icono cambia a color verde.
Si haces click en el icono, ahí verás una lista detallada con todo lo que puedes descargar, organizado por vídeo y audio. Puedes elegir solo uno de los archivos disponibles o puedes hacer una descarga en lote.
Un detalle a tener en cuenta es que si instalas la extensión en Chrome no podrás descargar vídeos ni audio de YouTube, esto es porque Google no permite extensiones en la Chrome Web Store que faciliten la descarga de contenido desde la plataforma.
Sin embargo, sin instalas la versión para Opera desde la tienda de extensiones de Opera, no tendrás ninguna limitación para bajar audio o vídeo de YouTube. Todo lo que bajes lo tienes a la mano en el mismo gestor de descargas de Skyload, y toda la información sobre los archivos se muestra antes de que descargues algo: tamaño, bitrate, calidad de vídeo, tipo de archivo.
De hecho, puedes hasta previsualizar los vídeos desde la extensión antes de descargarlos, y lo mismo con el audio, puedes escuchar antes de bajar y probar entre diferentes archivos y calidad de estos.
La extensión es completamente gratuita, y aunque dicen que pueden mostrar anuncios a los usuarios, al menos de momento no me he encontrado el primero. Tienen la opción de pagar por la extensión libre de publicidad si te interesa por 2 dólares al mes, o 9 dólares por 6 meses, o 18 dólares por todo el año.
Los documentos PDF (Portable Document Format) se han transformado en un formato muy empleado para multitud de contenido por su versatilidad y ventajas frente a otros formatos. Incluso expliqué en un tutorial de este mismo blog cómo se podía crear PDF rellenable para formularios. Pues bien, ahora vamos a ver algunas de las mejores herramientas para manipular contenido en PDF que existen para Linux.
Adobe fue el creador de este formato en 1993 y actualmente es un estándar que incliuye un subset de PostScript, un lenguaje de programación para la descripción de las páginas que también usan las impresoras. Para trabajar con este tipo de formato ya sabes que existe multitud de herramientas, muchas de ellas compatibles con GNU/Linux…
Las mejores herramientas son:
PDFsam: sirve para extraer páginas del PDF, partir el PDF, unir, y rotar PDFs. DESCARGAR
Tabula: extrae tablas de datos de dentro de los ficheros PDF. DESCARGAR
pdftk: es un kit de herramientas para PDF variado. DESCARGAR
pstoedit: puede traducir el lenguaje PostScript y gráficos PDF en otro formato. DESCARGAR
PDF Chain: es un programa que posee una GUI o interfaz gráfica para trabajar con PDF, similar a pdftk en funciones. DESCARGAR
img2pdf: como su nombre indica, permite convertir imágenes a PDF. DESCARGAR
krop: otra simple herramienta gráfica para recortar páginas de un PDF. DESCARGAR
Master PDF Editor: es un completo editor, hay una versión gratuita y una de pago. Permite anotar, editar el documento, separar, etc. DESCARGAR
Recuerda que existen lectores de PDF como Evince, Okular, y Foxit Reader. Espero que te haya ayudado…
Recientemente se ha liberado una PoC(Prueba de concepto)que implementa la escalada de privilegio descrita en el expediente CVE-2019-0841. Esta escalada de privilegio permite que un usuario pueda ejecutar código arbitrario, por ejemplo, a través de DLL Hijacking y ejecutar en el nivel de integridad de SYSTEM.
Figura 1: Hacking Windows 10: Escalada de privilegios con CVE-2019-0841
La vulnerabilidad se ha conocido por el nombre de “DACL Permissions Overwrite Privilege Escalation” y, si quieres saber más, la implementación de la prueba de concepto puede estudiarse y descargarse desde el siguiente Github.
Con la vulnerabilidad un usuario sin privilegios o privilegios ‘bajos’ puede secuestrar archivos que son propiedad de NTAuthority\SYSTEM. Esto se realiza sobrescribiendo los permisos en el archivo destino, el que se quiere secuestrar. Cuando la escalada tiene éxito se obtiene un “Control Total” de los permisos para el usuario sin privilegio.
¿Dónde radica la magia?
En esta ocasión hay que hablar de que todas las aplicaciones de los sistemas Windows disponen de un archivo settings.dat. Este archivo es el que tiene la configuración de la aplicación. En otras palabras, es un registro que se puede cargar y modificar desde el propio registro.
Si eres de los que te preocupa por la tener fortificado al máximo tu sistema Windows, seguro que es un viejo amigo. En el libro de "Máxima Seguridad Windows: Secretos Técnicos [4ª Edición]" de nuestro compañero Sergio de los Santos (@ssantosV) sale en varios capítulos.
Este archivo del que hablamos es muy importante, y hay que tener en cuenta que en el momento en el que arranca una aplicación en Windows, el archivo settings.dat es utilizado por NTAuthority\SYSTEM. Esto es algo interesante, sin duda. En este punto al investigador que descubrió la vulnerabilidad le surge una nueva pregunta, ¿cómo se puede hacer un abuso de este acceso privilegiado a archivos?
Figura 4: Paquetes instalados en un Windows 10
El investigador se centró en el archivo settings.dat de Microsoft Edge. Cada paquete tiene un archivo settings.dat. Una vez que arranca dicho paquete o aplicación en Windows, el sistema realizará una operación OpLock o bloqueo exclusivo, con el objetivo de evitar que otros procesos utilicen o accedan a la información de ese archivo mientras se está ejecutando la aplicación.
Figura 5: Settings.dat de Microsoft Edge
En el caso de la PoC (Prueba de Concepto), cuando se arranca Microsoft Edge, el archivo settings.dat se abre como NTAuthority\SYSTEM. Una vez la aplicación es ejecutada y el archivo es abierto, se realizan algunas verificaciones de integridad:
1. Se comprueban los permisos de los archivos 2. Si los permisos son incorrectos, se corrigen los permisos de los archivos 3. Se lee el contenido 4. Si el contenido está corrupto o dañado se borra el archivo 5. Se restablece la configuración copiando el archivo, el cual sirve de plantilla, que se encuentra en C:\Windows\System32\settings.dat. 6. Se obtiene el bloqueo exclusivo en el archivo recién copiado 7. Se continua con la ejecución de la aplicación de Windows.
En resumen, si el fichero settings.dat no es considerado válido, Windows lo elimina y copia la plantilla que está almacenada en una ubicación protegida. De esta forma se evita el abuso, a priori. Pero no estamos aquí con un post que busca ampliar nuestros conocimientos de Hacking Windows para dejarlo aquí. Y vamos a verlo.
El investigador se dio cuenta que se puede utilizar este comportamiento para establecer los permisos en ‘cualquier’ archivo mediante el uso de enlaces físicos. El objetivo ahora será crear enlaces duros a archivos dónde queremos tener un “Control Total” como usuario no privilegiado o usuario regular.
Explotándolo
Se sabe que los permisos de archivos establecidos en un enlace duro darán como resultado cambios en el archivo original. A continuación, se va a mostrar un ejemplo de cómo secuestrar un archivo. Para el ejemplo, el investigador optó por utilizar el fichero HOSTS. Un usuario normal no tiene acceso de modificación a este archivo, tal y como se puede ver en la imagen.
Figura 7: Modificación no disponible para usuarios no privilegiados
El investigador Nabeel Ahmed ha escrito un exploit que automatiza el proceso de creación de un enlace físico y provocar que la vulnerabilidad se desencadene. No es más que llevar a cabo lo que se ha ido explicando en los pasos anteriores. A continuación, se muestra el paso a paso del proceso.
¿Cómo funciona el exploit?
El exploit tiene el siguiente funcionamiento:
1. Primero verificará si el archivo settings.dat existe o no. Además, si éste existe, verificará los permisos. Si se utiliza la aplicación Microsoft Edge se parará la ejecución del proceso, en el caso de que esté en ejecución. Con cualquier otra aplicación ocurriría igual. Lo interesante es asegurarse de que se utiliza una herramienta que esté por defecto en el sistema, lógicamente.
2. Se buscará el archivo settings.dat y se eliminará para crear un enlace físico al archivo específico. En este caso al archivo HOSTS. En este paso es dónde se puede hacer el vínculo con cualquier archivo, por lo que, pensemos en un DLL Hijacking de una DLL que tenga nuestro código con un Meterpreter o con lo que sea.
3. Re-arrancar la aplicación. Una vez es creado el enlace físico, se vuelve a arrancar la aplicación, en este caso Microsoft Edge. Se desencadena la vulnerabilidad. Por último, hay que verificar si el fichero destino tiene permisos de “Control Total” para el usuario sin privilegio, lo que al principio no teníamos.
En la siguiente imagen publicada por Nabeel Ahmed se puede ver el resultado final después de lanzar el proceso que implementa el exploit de manera completa y con éxito en un sistema operativo MicrosotWindows 10 vulnerable.
Figura 8: Exploit ejecutado con éxito
Además, se puede disfrutar de un video en el que se muestra la ejecución de una DLL, mediante técnica de DLL Hijacking y haciendo uso de la aplicación de actualización del navegador Google Chrome. Más que interesante.
Figura 9: DACL Permissions Overwrite Privilege Escalation(CVE-2019-0841) PoC using Google Chrome Interesante técnica que seguramente abrirá puertas en los Ethical Hacking, por lo que habrá que ver cómo se reacciona ante esta vulnerabilidad. Los equipos de IT tendrán trabajo.
Es difícil no recomendar una Raspberry Pi a un aficionado a la tecnología, y de hecho somos muchos los que guardamos una en un cajón después de haber probado con ella incontables versiones de Linux. En una de esas estaba yo cuando descubrí Kano, un sistema pensado para niños del que había leído en su día, pero al que no le había prestado atención hasta ahora que mi hijo había aprendido a leer con fluidez.
Tras montarla en la Raspberry Pi 2B que usaba antes, y probarla un par de veces con el niño, pasó lo que tenía que pasar: El sistema operativo infantil acabó en la Raspberry Pi 3B+ que tenía "para mí", y mi servidor doméstico acabó relegado al hardware más obsoleto.
El interfaz principal: Limpio y ordenado y agradable
Tras unas semanas de experiencia no me atrevería a decir en absoluto que tener Kano en casa pueda sustituir a recibir clases especializados en robótica y computación para niños, pero desde luego sus posibilidades son tan amplias que nos costará llegar a un punto en que decidamos que le hemos sacado todo el partido posible.
Qué tiene Kano que tanto nos encadila
Después de una financiación en Kickstarter más que exitosa hace un lustro, que obtuvo más de un millón y medio de dólares de sus patrocinadores, y unas cuantas iteraciones publicadas, Kano se ha convertido un sistema operativo completo que pueden usar niños de cualquier edad.
El escritorio clásico tiene menos efecto "wow", pero permite trabajar con varias aplicaciones a la vez
No solo el escritorio está adaptado a ellos, con iconos grandes y legibles y sin más texto del necesario, sino que la propia instalación y configuración del sistema se les ofrece como un juego (mientras actualizamos, por ejemplo, tenemos a un clon de Flappy Bird para amenizar la espera, algo que le hubiese agradecido a distribuciones más serias en mis gélidas jornadas en centros de datos subterráneos). Por supuesto, tampoco faltan los logros y medallas para motivarles a seguir avanzando y completar todos los desafíos.
Aunque las aplicaciones se pueden lanzar directamente, es mucho más interesante acceder al modo historia, un juego interactivo con sabor a RPG clásico japonés que transcurre en un mundo con la misma forma que nuestro hardware, donde se nos ofrecerán distintas misiones que nos llevarán a los puertos de entrada y salida, la CPU, o las bibliotecas internas.
Villa Raspberry: Un pequeño mundo para aprender computación
Cada uno de esos juegos nos enseña un lenguaje de programación (por bloques tipo Scratch para hackear Pong o Minecraft, en Python para hacernos nuestro juego de la serpiente, en shell script, y más).
Cada niño es un mundo, y cada uno tendrá sus preferencias, pero en mi casa basta con oir la palabra Minecraft para que todo lo demás parezca un añadido superfluo. Y yo mismo no puedo negar que no disfruté cuando, después de encajar unas cuantas piezas de código, pude crear pequeñas casitas sobre el terreno pulsando una sola tecla.
El modo aventura nos anima a resolver misiones que van pasando por cada uno de los aspectos del sistema. Resolver todas nos convertirá en maestros de la programación infantil
Así, hemos echado ya bastantes tardes diseñando en papel cuadriculado objetos en dos y tres dimensiones que luego hemos trasladado a Make Art y Hack Minecraft respectivamente, descomponiéndolos en formas geométricas simples que el sistema pudiese interpretar.
De momento soy yo el que marca las pautas, pero no tengo dudas de que no pasará demasiado tiempo hasta que vuele solo. Lo más interesante es que por el camino habrá interiorizado conceptos complejos como las variables, los bucles, las órdenes condicionales, etc.
Uno de los desafíos propuestos: Construir un cohete con código
En mi experiencia, puedo decir que un niño que haya aprendido a leer recientemente, y que tenga un cierto interés por la tecnología, puede manejarse con una mínima ayuda con la programación por bloques (Hack Minecraft y Make Pong, o incluso el propio entorno de Scratch), y avanzar en otros que requieran secuencias de comandos simples, como Make Art.
Los más mayores podrán lanzarse al modo texto más puro de Snake, Terminal Quest o Make Light, y avanzar en otras áreas de la programación e incluso de la administración de sistemas, todo dentro de este mismo entorno.
Cada cohete, estrella y planeta lo hemos "plantado" en el mundo con una sola tecla
Si además tenemos los kit y accesorios oficiales, todo se hará todo mucho más interesante al disponer de elementos físicos con los que interactuar: Luces LED, displays de puntos o hasta varitas mágicas. Si no los tenemos, como es mi caso, aún podemos programar para ellos y ver emulado en pantalla el resultado.
Yo no sé cuánto tiempo me quedaré atrapado en los mundos de Minecraft, pero más allá de las clases de programación tendremos un entorno de trabajo completo para pequeños estudiantes e investigadores, con aplicaciones como Libreoffice, Youtube o Wikipedia, y un control parental integrado con varios niveles de seguridad, lo cual le hace el mejor candidato a ordenador para niños que haya podido probar.
Otros programas más serios como Libreoffice vienen de serie con el sistema, y funcionan estupendamente
Más allá de la Raspberry tenemos Kano World, un portal en Internet donde podremos compartir nuestras creaciones, ver y editar las que han subido el resto de usuarios, hacer un seguimiento de nuestros progresos, e incluso crear desde la web nuevos diseños, en modo libre o con desafíos específicos para este apartado. La aplicación Make Art, en concreto, es accesible al completo desde cualquier navegador.
Hablando de la red, y aunque el sistema nos anime a hacerlo, compartir a Internet nuestras creacciones es totalmente opcional y podemos trabajar con los interfaces de red desactivados en todo momento. En cada uno queda la responsabilidad de darle o no al niño la capacidad de hacer y recibir comentarios, o dar un paso más allá y poder acceder con el sistema a la web o a Youtube.
Dentro de las opciones avanzadas podemos configurar el control parental
Me has convencido, ¿cómo lo monto?
La manera más obvia y práctica de tener Kano es comprar uno de sus kits oficiales. Así, no solo tendrás todo listo y configurado, sino que además tendrán un hardware preparado para que ellos mismos lo instalen y manipulen, perfectamente acoplado al software que correrá sobre él (desde el modo historia, por ejemplo, se hace referencia al cable rojo de alimentación o al amarillo de vídeo).
El precio será obviamente algo más elevado que usando nuestros propios recursos, pero algunos conjuntos como el que incluye batería y pantalla táctil, a modo de tablet son más que razonables para lo que ofrecen, y teniendo en cuenta que el sistema operativo se ofrece de manera totalmente gratuita, puede ser una buena manera de hacer una aportación económica al proyecto.
En Villa Vector aprenderemos a hacer dibujos programando
Si, como era mi caso, disponéis de una placa Raspberry, una tele con HDMI, y de un teclado y ratón USB estándar, montar Kano no es ni más ni menos difícil que trabajar con cualquier distribución de Linux estándar, y nuestro trabajo se limitará básicamente a descargar y volcar una imagen sobre nuestra tarjeta MicroSD favorita, de entre 8 y 16Gb según el modelo que utilicemos.
No hace falta que esta tarjeta sea especialmente rápida, así que posiblemente podamos reutilizar cualquiera que conservemos de algún móvil antiguo.
El proceso de instalación en sí, para quién no lo conozca, no tiene nada de complicado, y está descrito (en inglés) en la web de esta distribución. Tendremos que descargar la versión apropiada de la web de Kano (eligiendo la que se adecue al modelo de Raspberry que tengamos), obteniendo un fichero ZIP que que instalaremos en la tarjeta SD a través de la aplicación balenaEtcher, sin necesidad de descomprimirlo previamente.
Cuando lancemos esta aplicación solo tendremos que indicar la ruta del fichero descargado, el de la tarjeta de destino, y pulsar su único botón, facilitándole permisos de administrador si nos lo solicita. El proceso durará unos minutos, según el adaptador y tarjeta que utilicemos.
Descargar la vesión Alpha en español, seleccionar la unidad donde está la MicroSD, y flasheo al canto. Fácil fácil.
Finalizado el proceso, únicamente nos quedará introducir la tarjeta SD en la Raspberry, echufarla a la tele o al monitor, y después a la corriente (cuidando siempre que nuestra fuente de alimentación ofrezca la potencia suficiente, para evitar cuelgues y reinicios inesperados), y en unos segundos tendremos Kano en pantalla.
El sistema se presentará a nosotros en primera persona, pidiendo que nos identifiquemos con nuestro nombre, y posteriormente con un avatar, y enseñándonos a utilizar el teclado y el ratón a través de pequeñas pruebas simples que si tenemos una cierta edad nos recordarán a cierta película (letras cayendo, perseguir un conejo blanco...).
También, nos pedirá conectarnos a Internet para crear un usuario en la web de Kano, si es que no disponemos ya de él. Este paso, si bien es aconsejable para llevar un seguimiento de nuestros progresos, es totalmente opcional.
Nuestros primeros pasos: Aprender a manejar teclado y ratón, crear nuestro avatar, y entrar en el mundo.
Cabe indicar también que en un momento nos preguntará si hemos escuchado un sonido, que en el kit oficial se escucha a través de un altavoz integrado que se conecta por el puerto de audio. Si no es nuestro caso tendremos que decirle que lo hemos oído aunque no sea así, y cuando finalicemos el tutorial cambiar la salida de audio al puerto HDMI desde la configuración del sistema.
Algunas piedras en el camino
Es importante recalcar que la última versión disponible (4.2.1) está en inglés. La única versión que apareció en español (para el mercado argentino) está algo obsoleta (corresponde a la 3.9.0), no tiene traducido el sistema al completo, y no funcionará en las últimas versiones de Raspberry Pi (en concreto, en una 3B+ no conseguí que arrancara).
Así, si queremos que el niño tenga independencia a la hora de usar el sistema sin necesitar ayuda nos veremos obligados a prescindir de algunas de sus características (por ejemplo, en Hack Minecraft solo tendremos disponible uno de los tres grupos de misiones que se han desarrollado, y el entorno de trabajo será algo más incómodo), y estaremos limitados en cuanto a actualizaciones y compatibiliidad.
En la versión en español solo tenemos disponible el primero de estos tres grupos de desafíos
Mi alternativa en este sentido fue comenzar en español, hacer un recorrido completo del mapa, resolver los primeros desafíos en Hack Minecraft y Make Art y, una vez explotado el modo aventura, pasar a la última versión en inglés para ir completando las tareas de programación.
Dependiendo de la edad del menor, sus habilidades lectoras y con el idioma y la autonomía que esperemos que tenga en el uso del sistema será más conveniente una u otra opción. Según indican los desarrolladores en los foros de su web, la internacionalización de la aplicación es un proyecto en curso pero sin plazos fijados.
En todo caso, si vamos a pasar nuestro rol de padre a educador, tendremos forzosamente que saber inglés, ya que la información que ofrece el portal oficial para formadores está en este idioma. Si podemos saltar este escollo tenemos bastantes documentos y vídeos que nos pueden ir guiando para hacer de cada sesión una clase de tecnología y pensamiento lógico tan productiva como divertida.
Tras un rato de deliberación y mediciones, este dibujo pasó de la libreta de cuadritos a la tele en unos pocos minutos
Otro punto en contra que encontré fueron algunas ralentizaciones puntuales: Si bien en Make Pong, por ejemplo, el movimiento de bloques es rápido y cómodo, en su equivalente en Minecraft se hace muy lento y pesado arrastrarlos y colocarlos en su punto exacto incluso en la Raspberry más reciente, lo cual puede desanimar a los más pequeños.
Igualmente, aplicaciones como Google Maps se atascan a veces y tenemos que esperar a que el sistema fuerce el cierre pasado un tiempo excesivamente largo, aunque otras como Libreoffice o Youtube van estupendamente. Cualquiera que haya utilizado la Raspberry como ordenador de escritorio sabrá a lo que me refiero.
En nuestro paseo por el mundo descubriremos muchos conceptos sobre computación: Los más importantes los coleccionaremos en nuestro códice
Pasado, presente, futuro
Desde el primer arranque el sistema destila amor por el hacking por los cuatro costados, y se nota que está hecho por y para entusiastas de la computación, con la usabilidad y la gamificación siempre en mente.
No creo que merezca la pena pararme a contaros las bondades de trabajar el razonamiento lógico en niños, utilicemos o no medios digitales para ello y con total independencia de si el futuro les llevará o no por esos derroteros profesionales. Sí puedo decir que de entre los recursos que he encontrado como padre, Kano me ha sorprendido por aglutinar muchos de ellos de una manera genial.
A punto de entrar en el puerto de sonido de nuestra Raspberry virtual. Dentro aprenderemos fundamentos del audio digital.
El principal punto negativo que he podido encontrar es el ya mencionado del idioma, y es que los no angloparlantes nos vemos forzados a elegir si queremos que el niño trabaje a su ritmo y con total independencia, pero con una versión más antigua, o tener en nuestra mano todas las posibilidades, pero echando una mano desde atrás con la traducción.
Por otro lado, igual que en mi infancia fueron las aventuras conversacionales y las revistas inglesas para Spectrum las que me forzaron a coger el diccionario y aprender inglés a las bravas, entornos seguros y educativos como éste pueden ser justo lo que necesite esta generación para perderle el miedo al idioma de Lovelace, Turing, Ritchie o Stallman.
Enlarge / A colorized transmission electron micrograph (TEM) of an Ebola virus virion. (Cynthia Goldsmith) (credit: CDC)
The most recent Windows patch, released April 9, seems to have done something (still to be determined) that's causing problems with anti-malware software. Over the last few days, Microsoft has been adding more and more antivirus scanners to its list of known issues. As of publication time, client-side antivirus software from Sophos, Avira, ArcaBit, Avast, and most recently McAfee are all showing problems with the patch.
Affected machines seem to be fine until an attempt is made to log in, at which point the system grinds to a halt. It's not immediately clear if systems are freezing altogether or just going extraordinarily slowly. Some users have reported that they can log in, but the process takes ten or more hours. Logging in to Windows 7, 8.1, Server 2008 R2, Server 2012, and Server 2012 R2 are all affected.
Booting into safe mode is unaffected, and the current advice is to use this method to disable the antivirus applications and allow the machines to boot normally. Sophos additionally reports that adding the antivirus software's own directory to the list of excluded locations also serves as a fix, which is a little strange.
Capcom tenía guardada una sorpresa para hoy y lo cierto es que nadie se imaginaba lo que nos han acabado presentando. La nueva Capcom Home Arcade es una videoconsola pensada para jugar varios jugadores en local, al estilo de las recreativas más clásicas. Pero su forma y diseño son sin duda uno de los puntos más llamativos.
La Capcom Home Arcade tiene forma del logo de la compañía. Es decir, esas letras tan representativas no son sino la base donde se han añadido dos joysticks y ocho botones para cada uno de los dos jugadores. Una consola retro al estilo "mini" como las que hemos visto recientemente en otras marcas, aunque con un tamaño bastante más generoso.
Una recreativa para conectar por HDMI al televisor
La nueva consola tiene una longitud total de 74 centímetros, por 11 centímetros de alto y 22 centímetros de ancho. Cuenta con un puerto microUSB para conectarla a la corriente, conexión WiFi para acceder a las distintas tablas de clasificaciones y un puerto HDMI a través del cual conectaremos la consola a la tele y podremos tener una especie de recreativa.
Los dos sticks son de la marca Sanwa y como vemos son una recreación bastante fiel del estilo que teníamos hace años. Tienen ocho direcciones y según Capcom, "los acabados son de alta calidad".
En cuanto a la lista de juegos que vendrán ya instalados en la consola, según se ha anunciado llegará con 16 juegos clásicos habituales en las recreativas de Capcom como los icónicos Street Fighter II Turbo o Final Fight.
Para la emulación de las ROMs, los responsables indican que viene de parte exclusiva por FB Alpha. Algo que, según la compañía, ofrecerá "una experiencia de juego arcade auténtica y precisa".
Este es el listado de todos los juegos que se incluirán:
1944: The Loop Master
Alien vs. Predator
Armored Warriors
Capcom Sports Club
Captain Commando
Cyberbots: Fullmetal Madness
Darkstalkers: The Night Warriors
ECO Fighters
Final Fight
Ghouls ‘n Ghosts
Giga Wing
Meta Man: The Power Battle
Progear
Street Fighter II: Hyper Fighting
Strider
Super Puzzle Fighter II: Turbo
El Capcom Home Arcade saldrá a la venta este mismo año, el día 25 de octubre de 2019 y ya está disponible para reservar a través de la tienda oficial de Capcom. ¿Su precio? 229,99 euros por esta nueva consola que permitirá rememorar en casa la experiencia de las recreativas de Capcom.
El sábado pasado, Microsoft confirmó a TechCrunch una brecha de seguridad en su servicio de correo, que abarca las cuentas de Hotmail, Outlook y MSN, la cual permitió que hackers no identificados hubiesen accedido a contenido de los usuarios como el asunto o titular del correo, así como los nombres de las personas a las que estaba dirigido dicho correo y nombres de las carpetas de correo, según la misma Microsoft.
Hoy, de acuerdo a nueva información obtenida por Motherboard, esta brecha de seguridad fue más grande de lo que se pensaba, ya que los atacantes habrían tenido acceso completo a las cuentas de Hotmail, Outlook y MSN, es decir, desde los contenidos de los correos, hasta calendarios, perfiles del usuario e historiales de inicios de sesión.
Hasta el momento no se sabe el número de afectados
De acuerdo a las declaraciones de Microsoft, un número no determinado de usuarios vieron sus cuentas comprometidas entre el 1 de enero y el 28 de marzo de 2019, esto después de que un grupo de hackers tuvieron acceso a una cuenta de soporte al cliente, la cual les permitió acceder a esta información.
Microsoft afirma que el contenido de los correos así como los archivos adjuntos no se vieron afectados en esta brecha de seguridad, y que una vez que se detectó la intrusión, se procedió a desactivar las credenciales. Asimismo, confirman que ninguna contraseña de los usuarios afectados fue robada.
"Identificamos que las credenciales de un empleado de soporte de Microsoft se vieron comprometidas, lo que permitió que personas ajenas a Microsoft accedieran a la información dentro de las cuenta de correo electrónico."
Ahora, Motherboard asegura tener otra versión, ya que, según sus fuentes, el alcance de esta intrusión fue mucho mayor y abarcó al menos un periodo de seis meses. Y, contrario a lo que afirma Microsoft, los hackers habrían tenido acceso a todo el contenido de correo, incluyendo archivos adjuntos, y sólo habría afectado a cuentas gratuitas y no aquellas de pago o corporativas.
De hecho, Motherboard afirma que las credenciales robadas pertenecían a un usuario de soporte con altos privilegios, que incluso podría haber tenido acceso a cuentas de otros agentes de soporte para así ampliar el alcance del ataque.
Ante esto, Microsoft confirmó que esta brecha afectó a aproximadamente 6% de los usuarios, pero no ofreció una cifra exacta. Por otro lado, la compañía de Redmond rechazó la información de que el ataque estuvo presente al menos durante seis meses, como afirma Motherboard.
Desde Xataka nos hemos puesto en contacto con Microsoft para solicitar más detalles acerca de esta información, la cual actualizaremos en caso de que tengamos novedades.
Actualización: desde Microsoft nos envían las siguientes declaraciones con respecto a este tema:
"Hemos solucionado este caso, que afectaba a un subconjunto limitado de cuentas de consumo, desactivando las credenciales comprometidas y bloqueando el acceso a los atacantes".
Nuestra notificación a la mayoría de los afectados señalaba que los atacantes no habrían tenido acceso no autorizado al contenido de los correos electrónicos o archivos adjuntos. Un pequeño grupo (~6% del subconjunto original, y limitado a consumidores) fue notificado de que los atacantes podrían haber tenido acceso no autorizado al contenido de sus cuentas de correo electrónico, y se les proporcionó orientación y apoyo adicionales.
Con mucha precaución, también elevamos la detección y el seguimiento de las cuentas afectadas.
Estamos notificando y trabajando con las autoridades pertinentes.
La afirmación de un plazo de 6 meses por parte de "Motherboard" es inexacta, como lo demuestra nuestra notificación a los consumidores afectados, que decía "entre el 1 de enero de 2019 y el 28 de marzo de 2019".
Android tiene un kernel Linux, pero el desarrollo de las apps y la APIs que se usan para este sistema son diferentes a las que tenemos en GNU/Linux. Por eso no podemos correr apps de este sistema operativo de Google en nuestra distro Linux de una forma sencilla. Nos hace falta algun emulador o software que nos ayude a generar una capa de compatibilidad de forma similar a cómo lo hace Wine para el software nativo de Microsoft Windows.
Existen varios de estos proyectos que nos pueden ayudar a ejecutar aplicaciones Android dentro de nuestra distro GNU/Linux, pero si quieres una sencilla, esa es Anbox. Se trata de una capa de compatibilidad, al igual que Wine, y por supuesto también es de código abierto y libre. Su objetivo es poder ejecutar cualquier aplicación de Android en otros sistemas operativos Linux, y cumple bien su objetivo como otros poryectos como Genimobile, Shashlik, etc.
La diferencia maś grande de Anbox con respecto a las alternativas es que va a usar el propio kernel de nuestra distribución. Es decir, usa el mismo kernel Linux y extiende sobre él dicha capa de compatibilidad en vez de usar un kernel diferente modificado como en otros emuladores. Eso permite trabajar de una forma más liviana e íntima con el hardware de nuestro equipo, en vez de engordar el proyecto o poner “intermediarios”.
Para instalarlo, podemos usar paquetes universales Snap, paquetes universales que se pueden usar en cualquier distro y facilita mucho las cosas. No obstante, también puedes usar los repositorios y gestores de paquetes de cada distro para ello… Luego, una vez lo tenemos instalado y configurado, el sisguiente paso es instalar la app que queramos (.apk) y usarla sin más. Si queréis ver detalles de todo este proceso que es ligeramente diferente en cada distro, podéis encontrar toda la info bien explicada y paso a paso en la web oficial del proyecto anbox.io.
Proxmox es una plataforma de administración de virtualización gratuita (AGPLv3) para administrar máquinas virtuales KVM y contenedores LXC. Está en distribuciones GNU/Linux basadas en Debian con una versión modificada del Kernel RHEL y que permite el despliegue y la gestión de máquinas virtuales y contenedores.
Proxmox VE incluye una consola Web y herramientas de línea de comandos y proporciona una API REST para herramientas de terceros. Dos tipos de virtualización son compatibles: los contenedores basados con LXC (a partir de la versión 4.0 reemplaza OpenVZ, utilizado en la versión 3.4, incluido), y la virtualización con KVM.
Viene con un instalador e incluye un sitio Web basado en la interfaz de administración.
Principales características de Proxmox VE 5.4.
La nueva versión de Proxmox VE 5.4 presenta un nuevo asistente para instalar un clúster Ceph en la interfaz web, así como más flexibilidad con alta disponibilidad, soporte de hibernación para máquinas virtuales y soporte para la autenticación de dos factores (U2F).
Proxmox VE 5.4 toma como base a Debian 9 Stretch y el kernel de Linux 4.15.
Nueva asistente Ceph
Un nuevo asistente permite la instalación de Ceph, disponible desde 2014. La tecnología de almacenamiento integrado de Ceph viene con sus propios paquetes y soporte del equipo de Proxmox.
La creación de un grupo de servidores Ceph ya estaba disponible a través de la interfaz de administración web.
Ahora, con Proxmox VE 5.4, los desarrolladores han trasladado la instalación de Ceph de la línea de comandos a la interfaz de usuario.
Esto permite a los usuarios configurar el clúster de servidores hiper-convergentes Proxmox VE / Ceph de forma extremadamente rápida y sencilla .
Además, las empresas con presupuestos limitados pueden usar hardware estándar para reducir el costo de aumentar la demanda de almacenamiento.
Por otra parte, esta nueva versión de Proxmox 5.4 llega con más flexibilidad y mejoras en alta disponibilidad.
Proxmox VE 5.4 viene con nuevas opciones para configurar la política de alta disponibilidad en todo el centro de datos, cambiando el procesamiento de invitados cuando se detiene o reinicia un nodo.
Esto trae más flexibilidad y elección para el usuario. Las nuevas opciones son:
Freeze: que siempre congela los servicios, sea cual sea el tipo.
Conmutación por error: no congelar nunca los servicios: significa que un servicio se recuperará en otro nodo, si es posible, cuando el nodo actual no regrese en un minuto
Predeterminado, el comportamiento actual: congelar en el reinicio, pero no en el apagado.
Hibernación
La hibernación para invitados QEMU / KVM ahora es compatible con Proxmox VE 5.4, los usuarios pueden hibernar a los invitados de QEMU independientemente de su sistema operativo invitado y reactivarlos correctamente en el siguiente reinicio.
La hibernación almacena el contenido de la RAM y el estado interno en una memoria permanente. Esto permite a los usuarios mantener el estado operativo de sus invitados QEMU durante las actualizaciones y reinicios del nodo PVE.
Esto acelera el inicio de los invitados que ejecutan cargas de trabajo complejas, así como cargas de trabajo que requieren muchos recursos durante la configuración inicial, pero que se liberan más tarde.
Imágenes ISO de instalación mejoradas
El asistente de instalación de Proxmox VE ha sido optimizado y ofrece la posibilidad de volver a una pantalla anterior durante la instalación.
Los usuarios pueden adaptar sus opciones sin tener que reiniciar el proceso de instalación. Antes de la instalación real, se mostrará una página de resumen que contiene toda la información relevante.
Seguridad
Como fue mencionado al inicio, ahora la autenticación U2F ahora es compatible con esta nueva versión de Proxmox 5.4, el protocolo Universal Second Factor (U2F) se puede usar en la interfaz web como un método de validación adicional de dos pasos para los usuarios.
Como esta es una obligación en ciertas áreas y entornos, es por lo tanto una adición importante a las prácticas de seguridad.
Descarga y soporte
Proxmox VE 5.4 ya está disponible para descargar en su página web oficial. El enlace es este.
Por otro lado, también esta Proxmox Server Solutions ofrece soporte empresarial a partir de € 80 por año por procesador.
A mediados del año pasado, Google dio a conocer que durante 2017 todos y cada uno de sus 85.000 empleados no habían sido víctimas de phishing. ¿Cómo lograron esto? Haciendo que el uso de llaves físicas USB, o 'Security Keys', fuese obligatorio. Debido a este éxito, a los pocos meses Google puso a la venta sus propias llaves de seguridad, las Titan Security Keys. Y hoy, está habilitando la opción para que un móvil Android actué como una de estas llaves de seguridad.
Hoy día, el método de autenticación de dos pasos (2FA) es una de las formas más eficaces que tenemos para mantener seguros nuestros accesos a diversos servicios en línea. Sin embargo, no es perfecto y ya ha mostrado en más de una ocasión que su uso a través de SMS es relativamente sencillo de vulnerar. Ahora, con sólo tener un smartphone Android podremos habilitar la 2FA de forma física para mayor seguridad.
Una forma avanzada de autenticación de dos pasos directo en nuestro Android
A pesar de que las llaves de seguridad son relativamente económicas y fáciles de conseguir, mucha gente sigue sin usarlas como método de autenticación de dos pasos, lo que deja en riesgo su información. Google asegura que quiere terminar con esta tendencia al usar nuestro smartphone, que siempre está con nosotros, como método de autenticación y esperar a que esto se masifique.
Para activar un Android como llave de seguridad lo primero que tenemos que hacer es conectarlo vía Bluetooth al navegador Chrome de nuestro ordenador, para que así sirva como método para verificar inicios de sesión. Esta función es compatible por el momento con Gmail, G Suite, Google Cloud y cualquier otro servicio de cuenta de Google.
También necesitaremos habilitar el uso de nuestro smartphone Android como llave de seguridad, también tendremos que entrar a 'myaccount.google.google.com/security' y dentro del apartado de 'autenticación de dos pasos' seleccionar la opción de añadir una llave de seguridad, donde tendremos que elegir nuestro smartphone Android que anteriormente enlazamos a Chrome vía Bluetooth.
Para usarlo, nuestro Android deberá tener al menos la versión 7.0 del operativo y es compatible con Chrome ya sea en Windows o macOS. Además, necesitaremos que nuestro ordenador cuente con conexión Bluetooth. Gracias al chip Titan M, los propietarios de un Pixel 3 podrán usar el botón de volumen para aprobar los inicios de sesión, mientras que el resto de los usuarios de Android tendrán que iniciar sesión en una ventana y pulsar un botón en pantalla.
Para esta función, Google menciona que hace uso de los estándares de autenticación FIDO y WebAuthn, que sirven para verificar que estamos en el sitio correcto y no existe riesgo de phishing. Por el momento sólo está disponible para smartphone Android y en inicios de sesión de servicios de Google, pero la compañía mencionó que ya trabajan con otros servicios que usan el estándar FIDO para añadirlos en un futuro al soporte de llave de seguridad vía Android.
Con una seguridad cada vez más atenazada cuando hablamos de redes informáticas, la llegada del protocolo WPA3 hizo a muchos frotarse las manos. Los problemas parecían acabarse y por fin creíamos que habíamos logrado lo que parecía imposible. El problema es que al parecer, no lo habíamos logrado y estábamos equivocados.
Y es que hemos sabido que el protocolo WPA3 adolece de una importante vulnerabilidad, una brecha en la seguridad que puede convertir en papel mojado todo lo que hasta ahora creíamos haber conseguido.
¿Volvemos al punto de partida?
Se trata de luchar contra la vulnerabilidad aparecida en WPA2. Un fallo de seguridad que permitía a un atacante descifrar todo el tráfico de red que hubiera podido capturar en nuestra red. La amenaza recibió un nombre, KRACK, y era posible por un fallo que afectaba al proceso de intercambio de claves que se daba entre el punto de acceso y los clientes. Se lanzaron parches y actualizaciones, pero la amenaza seguía latente. Y llegó WPA3.
El problema es que ahora un investigador, Mathy Vanhoef, ha descubierto que WPA3 tiene un importante fallo, que de hecho se sitúan casi a la misma altura que el mencionado antes. De nada ha servido la adopción del sistema Dragonfly (Simultaneous Authentication of Equals) para evitar que alguien intente acceder a nuestras comunicaciones.
Un problema que podría venir desde lejos, desde el mismo desarrollo y testeo, **un proceso demasiado cerrado para este investigador. Un hermetismo provocado por la Wi-Fi Alliance a la hora de validar el protocolo. Es como no ir al médico a tiempo y encontrar que un simple resfriado se ha convertido en una gripe... ahora será mucho más difícil de atajar.
La brecha de seguridad descubierta puede hacer que un atacante malintencionado acceda a la red Wi-Fi aunque no tenga ni siquiera la contraseña. Y la base de ese error se basa en el interés de hacer WPA3 retrocompatible con equipos antiguos que no pueden funcionar con este protocolo. Una amenaza que recibe un nombre: Dragonblood.
De hecho, la propia Wi-Fi Alliance habla de vulnerabilidades en un número limitado de implementaciones de WPA3-Personal. Así que llegados a este punto regresamos al punto de partida. Recomiendan actualizar los dispositivos con el último firmware que se haya liberado y reforzar la seguridad de las contraseñas usadas, con claves de al menos 13 caracteres. Este es parte del comunicado emitido por la Wi-Fi Alliance:
La investigación publicada recientemente identificó vulnerabilidades en un número limitado de implementaciones tempranas de WPA3 -Personal, donde esos dispositivos permiten recopilar información de canales laterales en un dispositivo que ejecuta el software de un atacante, no implementan correctamente ciertas operaciones criptográficas o utilizan elementos criptográficos inadecuados. WPA3-Personal se encuentra en las primeras etapas de la implementación, y la pequeña cantidad de fabricantes de dispositivos afectados ya ha comenzado a implementar parches para resolver los problemas. Todos estos problemas pueden mitigarse a través de actualizaciones de software sin ningún impacto en la capacidad de los dispositivos para funcionar bien juntos. No hay evidencia de que estas vulnerabilidades hayan sido explotadas.
Menos mal que está poco extendido
La única ventaja, por decirlo de alguna forma, es que WPA3 aún no está demasiado extendido y algunos routers del mercado ya son compatibles con WPA3, la gran mayoría aún no lo soportan. Eso puede limitar el número de dispositivos afectados... el que no se consuela es porque no quiere, cómo se suele decir.
Por ahora los pasos dados han sido los siguientes. La Wi-Fi Alliance está al tanto del riesgo, pues fue alertada por Vanhoef, ya ha añadido más pruebas dentro del programa de certificación Wi-Fi para evitar nuevas vulnerabilidades. De forma paralela se están comunicando con los fabricantes de Hardware afectados para facilitarles el que implementen las medidas oportunas para mitigar esta amenaza.
¿Marketing o realmente han lanzado el mayor huevo de pascua que se recuerde a las puertas del final de Game of Thrones? Probablemente lo averiguaremos pronto. Según los showrunners de la producción de HBO, el final de los finales está escondido en esta lista de 50 canciones en Spotify.
Años de coordinación para hacer una de las fotografías más inquietantes y espectaculares del universo, la primera fotografía de una agujero negro. El pasado 10 de abril se hizo pública la primera imagen de un agujero negro, específicamente de su horizonte de sucesos porque, a fin de cuentas, el agujero es negro. Se trata de una imagen con tantos datos que se ha necesitado media tonelada de discos duros para almacenarlo todo.
Hay muchas cosas asombrosas en esta imagen. Por ejemplo, al encontrarse a 55 millones de años luz de nosotros lo que estamos viendo es realmente cómo era hace 55 millones de años. No había humano alguno en la Tierra por aquel entonces. Para fotografiar semejante monstruo no se ha utilizado un telescopio, sino una red de radiotelescopios dispersados por todo el mundo. Todos ellos sincronizados entre sí para que conseguir fotografiar el ítem que desafía el espacio-tiempo.
El proceso ha sido toda una odisea. Event Horizon Telescope, el encargado de capturar la radiación de este agujero negro para crear la imagen, está compuesto por un total de siete radiotelescopios en todo el mundo (Hawai, Estados Unidos, México, España, Chile, el Polo Sur). El resultado es básicamente un “telescopio virtual” del tamaño de la Tierra con la fuerza suficiente para capturar los datos requeridos. El reto era conseguir capturar simultáneamente con un cielo despejado en los diferentes puntos de la Tierra. Pero además, una vez capturados los datos había que sincronizarlos para crear una única imagen.
Ni torrents ni Dropbox, 5 petabytes llegan antes en un avión comercial
El procesamiento de todos los datos se produjo en las instalaciones de MIT Haystack Observatory en Boston y también en las instalaciones de Alemania. Pero claro, ¿cómo llevas todos los datos hasta ahí si se recogieron aproximadamente 5 petabytes de información? Subirlos a una carpeta compartida en la nube no era la solución, Internet en general no es la solución cuando se trata de petabytes. Según Dan Marrone, profesor asociado de astronomía de la Universidad de Arizona e involucrado en el proyecto: “no hay Internet que pueda competir con petabytes de datos en un avión”.
Haciendo un cálculo rápido, supongamos que hay que enviar los datos recogidos por el telescopio de Chile a la central de MIT en Boston. Se entiende que que el Atacama Large Millimeter Array (el telescopio utilizado en Chile) recogió una séptima parte de los datos, estamos hablando de unos unos 714 TB de datos. Desde el telescopio hasta Santiago de Chile (porque no va salir un avión directo al MIT Haystack Observatory) hay 1.200 kilómetros aproximadamente, lo que puede suponer una hora y media de vuelo. Desde Santiago de Chile a Boston (el aeropuerto más cercano al MIT Haystack Observatory) hay 13 horas y media de vuelo mínimo. Unas 15 horas para llevar los datos desde el telescopio a la central, incluso se le puede sumar dos horas extra por imprevistos.
17 horas (61.200 segundos) para transferir 714 TB (714.000 GB) nos da una velocidad media de 11,66 gigabytes por segundo. No hay banda ancha que compita con eso. Por no hablar de los datos recogidos en el Polo Sur, se tuvo que esperar al verano antártico para recopilar dichos datos. Y aún así, fue más rápido que enviarlos por conexión inalámbrica desde la Antártida hasta Estados Unidos.
La caja con discos duros provenientes del Polo Sur.
Como resultado, al MIT Haystack Observatory y a las instalaciones de Alemania llegaron decenas de discos duros apilados y en RAID (configuración de almacenamiento en múltiples discos para evitar la pérdida de datos si uno falla). Una imagen impresionante para muchos fans del almacenamiento físico y la informática.
Evidentemente la fotografía final que hemos visto no ocupa 5 petabytes, no llega ni a 1 megabyte de hecho. Los datos fueron procesados para transformarlos en una imagen final con la ayuda de un algoritmo de aprendizaje automático. Katie Bouman, una de las responsables de dicho procesamiento, explicó en una charla TED hace dos años cómo habían creado el método utilizado:
Un investigador de seguridad informática ha publicado en las últimas horas los detalles y el código de la prueba de concepto —con vídeo incluido— de un ataque de día cero contra Internet Explorer. Una agresión que permitiría el robo de archivos de sistemas Windows a los potenciales atacantes, asegura el experto.
Este preocupante fallo de seguridad lo encontraríamos en la forma en procesa los archivos MHT el vetusto navegador de Microsoft. Este es el estándar por defecto que usan las distintas versiones de Internet Explorer para guardar las páginas web cuando un usuario presiona el comando ctrl+s.
Por tanto, dice el experto John Page, "Internet Explorer es vulnerable a los ataques XML External Entity si un usuario abre un archivo MHT especialmente diseñado".
Microsoft no piensa poner remedio a este problema, al menos por ahora
El ataque, según explica Page, "puede permitir a los atacantes extraer archivos locales y llevar a cabo reconocimientos remotos en archivos instalados localmente reconociendo la versión de programas instalados". Por ejemplo, dice que una petición a c:\Python27\NNEWS.txt puede devolver información de la versión de ese programa.
La vulnerabilidad se agrava teniendo en cuenta, como señalan en ZDNet, que en Windows todos los archivos MHT se abren de forma predeterminada en Internet Explorer. Lo que significa que los usuarios solo tienen que hacer doble clic en un archivo que recibieron por correo electrónico, mensajería instantánea u otra vía para quedar potencialmente expuestos.
Pese a lo preocupante que pueda resultar el fallo de seguridad descubierto, parece que Microsoft se lo va a tomar con calma
Pese a lo preocupante que pueda resultar el fallo de seguridad descubierto, más si cabe sabiendo que puede llevarse a cabo con éxito en el último Internet Explorer Browser v11 con todos los parches de seguridad recientes instalados en sistemas Windows 7 o Windows 10, Microsoft se lo va a tomar con calma.
Page asegura que informó a Microsoft sobre esta vulnerabilidad de Internet Explorer hace más de dos semanas, el pasado 27 de marzo. Sin embargo, no fue hasta este miércoles, 10 de abril, cuando recibió una respuesta en la que la compañía se negaba a enmendar el error mediante una corrección de seguridad urgente. Lo que harán, asegura Page que ha contestado Microsoft, es considerar una solución al problema en una versión futura.
Tras esta respuesta, dice el investigador, decidió publicar la información sobre este ataque de día cero. Desde Genbeta nos hemos puesto en contacto con Microsoft para recabar su posición al respecto y actualizaremos nuestra información cuando obtengamos una respuesta.
Todos, o la amplia mayoría, sabemos lo que es un gestor de contraseñas: un programa o aplicación que se utiliza para almacenar contraseñas, además de otros datos, ayudándonos generalmente en su gestión y creación. Una de las mejores soluciones existentes para proteger todas nuestras cuentas de usuario sin tener que recordar las mil y una contraseñas diferentes que deberíamos manejar.
Es por estas razones que estos servicios han proliferado de forma tan notable durante los últimos años diferenciándose, muchos de ellos, por rasgos que los hacen únicos respecto a la feroz competencia que los rodea. Algo que no es fácil de conseguir. ¿Un ejemplo? Passbolt.
Proceso de compartición de una contraseña en Passbolt.
Passbolt podría ser un administrador de contraseñas más, sin nada especial. Pero tiene varios atributos, muy bien comunicados, que lo distinguen del resto y lo colocan en una posición favorable a la hora de ser escogido.
¿Por qué? Porque es un gestor de contraseñas gratuito (aunque también se encuentran disponibles opciones de pago) y de código abierto que permite a los miembros de un equipo almacenar y compartir credenciales de forma segura. Por citar los mismos ejemplos de los que hablan sus responsables, podemos compartir la contraseña wifi de la oficina, la contraseña del administrador del router o la contraseña de la cuenta de Twitter de la empresa.
En Passbolt se preocupan mucho de resaltar estas cualidades porque, como bien dicen, gran parte de las soluciones para gestionar y administrar contraseñas "se centran en las necesidades personales", mientras que Passbolt "está diseñado principalmente para equipos y no para individuos; lo construimos teniendo en cuenta las necesidades de las pequeñas y medianas empresas". No obstante, también animan a usarlo de forma personal.
A este principal atributo, Passbolt suma otros atractivos: opción de ejecutarlo en servidores propios, posibilidad de personalizarlo para servir a necesidades particulares, disponibilidad de API, empleo de estándares de seguridad abiertos, minuciosidad a la hora de construirlo y empleo de OpenPGP, el estándar de encriptación de correo electrónico más utilizado.
Microsoft está desarrollando Visual Studio Code como un proyecto de código abierto, disponible bajo la licencia MIT, pero las compilaciones binarias provistas oficialmente no son idénticas al código fuente, ya que incluyen componentes para rastrear las acciones del editor y enviar telemetría.
La recopilación de telemetría se debe a la optimización de la interfaz teniendo en cuenta el comportamiento real de los desarrolladores.
Además, las compilaciones binarias se distribuyen bajo una licencia independiente no libre.
Visual Studio se ha creado utilizando el proyecto Atom y la plataforma Electron, basados en el código base de Chromium y Node.js.
El editor proporciona un depurador incorporado, herramientas para trabajar con Git, herramientas de refactorización, navegación de código, autocompletado de construcciones típicas y ayuda contextual.
Más de 100 lenguajes de programación y tecnologías son compatibles. Para ampliar la funcionalidad de Visual Studio Code, pueden instalar complementos.
Ante esta problemática del editor, ha nacido una alternativa completamente libre y que elimina los rastreadores de Visual Studio, la alternativa de la que hablaremos hoy es VSCodium.
VSCodium una alternativa libre a Visual Studio Code
VSCodium es una creación de código abierto, libre de Visual Studio Code (de Microsoft) creada para que los desarrolladores no tengan que lidiar con la telemetría/rastreadores que tiene Visual Studio Code.
Como parte del proyecto VSCodium, se está desarrollando como Fork del editor de código de Visual Studio. VSCodium es una excelente opción, ya que contiene solo componentes gratuitos, se limpia de los elementos de la marca Microsoft.
Este ajuste se logra mediante el uso de scripts especiales para clonar Visual Studio Code desde el repositorio, compilarlo desde la fuente y luego cargar los archivos binarios resultantes en las versiones de GitHub de VSCodium sin pases de telemetría.
Dicho esto, VSCodium es básicamente una réplica de Visual Studio Code y por lo tanto, funciona de la misma manera con todas las características y el soporte presente en su proyecto principal. Excepto por el icono de la aplicación, eso es diferente.
Las compilaciones de VSCodium están preparadas para Windows, macOS y Linux y vienen con soporte incorporado para Git, JavaScript, TypeScript y Node.js.
Por funcionalidad, VSCodium repite el código de Visual Studio y proporciona compatibilidad en el nivel del complemento (a través de complementos, por ejemplo, el soporte para C ++, C #, Java, Python, PHP y Go está disponible).
¿Cómo instalar VSCodium en Linux?
Si tenías instalado Visual Studio Code y quieres cambiar a esta alternativa 100% open source o simplemente quieres probar este editor.
Puedes instalarlo en tu sistema siguiendo las instrucciones que compartimos con ustedes a continuación.
Aquellos lectores que sean usuarios de Debian, Ubuntu o cualquier otra distribución basada o derivada de estos.
Van a abrir una terminal en su sistema y en ella van a ejecutar el siguiente comando con el cual se va a añadir la clave GPG del repositorio de la aplicación:
Ya añadido el repositorio y la clave GPG exitosamente en tu sistema, ahora deberás de ejecutar los siguientes comandos para actualizar tu listado de paquetes y el nuevo repositorio sea detectado:
sudo apt update
Finalmente podrás instalar el editor en tu sistema ejecutando el la terminal el siguiente comando:
sudo apt install vscodium
Ahora para el caso de los que sean usuarios de Fedora, Centos, RHEL o cualquier otro derivado de estos pueden instalar VSCodium usando los siguientes comandos.
Primero van a abrir una terminal en su sistema y deben teclear el siguiente comando en la terminal:
E instalan el editor en su sistema con el siguiente comando:
sudo dnf instala vscodium
Ahora para el caso de los que sean usuarios de cualquier versión de OpenSUSE teclean lo siguiente:
sudo zypper addrepo -t YUM https://gitlab.com/paulcarroty/vscodium-deb-rpm-repo/raw/repos/rpms/ vscodium_mirror_on_gitlab
E instalan con:
sudo zypper en vscodium
Finalmente, para quienes sean usuarios de Arch Linux, Manjaro, Antergos o cualquier otra derivada de Arch Linux, podrán instalar el editor desde AUR.
La relación de WhatsApp con el mundo financiero viene de lejos; en general, con las empresas. El servicio de mensajería ha traccionado hacia el mundo laboral como canal de atención al cliente. Su más reciente aportación ha sido la creación de una versión Business precisamente para lograr este cometido, aunque aquí entra en juego el impacto de las exigencias europeas en protección de datos. Lo que la compañía empieza a abrir camino es como herramienta para realizar transferencias de dinero real.
Una función que inició sus primeros pasos en India (por medio de WhatsApp Pay, un servicio similar a Bizum) y que demuestra el interés de los bancos en acelerar su transformación digital. Una región interesante para la adopción de estos sistemas dada la debilidad del sistema financiero y la ausencia generalizada de cajeros. La compañía, propieda de Facebook, ha empezado a probarla en otros mercado. Así, desde este abril se iniciará una prueba piloto en México en donde los usuarios podrán enviar dinero. Un mercado, al igual que España, de alta penetración de este servicio digital.
Para ello, la conocida aplicación de chat se ha aliado con la filial mexicana del Banco Santander, que ha lanzado recientemente un nuevo servicio denominado «Santander TAP». Una tecnología propietaria que permitirá realizar transferencias desde WhatsApp. La función, que empezará su despliegue a partir de mayo, se podrá usar para clientes de la entidad bancaria, pero también enviar dinero a otros bancos. Funciona tanto para los dispositivos iOS como Android.
De momento, el empleo de esta opción no conllevará ningún tipo de comisiones ni exigirá la descarga de una aplicación alternativa ni siquiera para el receptor del dinero. Solo habrá unas pocas restricciones: tener una tarteja de débito del Banco Santander y estar registrado en la aplicación SúperMóvil de la compañía y enviar únicamente un mínimo de 10 pesos (0,50 céntimos) hasta un máximo de 4.000 pesos mexicanos diarios (188 euros). El mecanismo para enviar dinero es simple pero implica varios pasos por motivos de seguridad. En primer lugar hay que seleccionar al contacto que se desea hacer la operación como si se tratase de abrir una ventana de chat, añadir la cantidad e introducir una clave personalizada.
Los pendrives o memorias USB son un flanco cada vez más atractivo empleado por los hackers para ciberatacar a las empresas a través de código malicioso, tal y como señala un reciente informe de Trend Micro.
En menos de dos años esta startup de diseño y edición fotográfica ha conquistado cifras estratosféricas de público, haciéndose especialmente con una importante base internacional de usuarios millennial. Desmenuzamos algunos datos sobre su éxito.
El interfaz principal: Limpio y ordenado y agradable
El escritorio clásico tiene menos efecto "wow", pero permite trabajar con varias aplicaciones a la vez
Villa Raspberry: Un pequeño mundo para aprender computación
El modo aventura nos anima a resolver misiones que van pasando por cada uno de los aspectos del sistema. Resolver todas nos convertirá en maestros de la programación infantil
Uno de los desafíos propuestos: Construir un cohete con código
Cada cohete, estrella y planeta lo hemos "plantado" en el mundo con una sola tecla
Otros programas más serios como Libreoffice vienen de serie con el sistema, y funcionan estupendamente
Dentro de las opciones avanzadas podemos configurar el control parental
En Villa Vector aprenderemos a hacer dibujos programando
Descargar la vesión Alpha en español, seleccionar la unidad donde está la MicroSD, y flasheo al canto. Fácil fácil.
Nuestros primeros pasos: Aprender a manejar teclado y ratón, crear nuestro avatar, y entrar en el mundo.
En la versión en español solo tenemos disponible el primero de estos tres grupos de desafíos
Tras un rato de deliberación y mediciones, este dibujo pasó de la libreta de cuadritos a la tele en unos pocos minutos
En nuestro paseo por el mundo descubriremos muchos conceptos sobre computación: Los más importantes los coleccionaremos en nuestro códice
A punto de entrar en el puerto de sonido de nuestra Raspberry virtual. Dentro aprenderemos fundamentos del audio digital.
![Durante al menos seis meses, hackers tuvieron acceso completo a cualquier cuenta de cuenta de correo de Hotmail, MSN y Outlook [Actualizado]](https://i.blogs.es/c1e540/outlook-msn-hotmail/1024_2000.jpg)
La caja con discos duros provenientes del Polo Sur.
Proceso de compartición de una contraseña en Passbolt.
La relación de WhatsApp con el mundo financiero viene de lejos; en general, con las empresas. El servicio de mensajería ha traccionado hacia el mundo laboral como canal de atención al cliente. Su más reciente aportación ha sido la creación de una versión Business precisamente para lograr este cometido, aunque aquí entra en juego el impacto de las exigencias europeas en protección de datos. Lo que la compañía empieza a abrir camino es como herramienta para realizar transferencias de dinero real.
Una función que inició sus primeros pasos en India (por medio de WhatsApp Pay, un servicio similar a Bizum) y que demuestra el interés de los bancos en acelerar su transformación digital. Una región interesante para la adopción de estos sistemas dada la debilidad del sistema financiero y la ausencia generalizada de cajeros. La compañía, propieda de Facebook, ha empezado a probarla en otros mercado. Así, desde este abril se iniciará una prueba piloto en México en donde los usuarios podrán enviar dinero. Un mercado, al igual que España, de alta penetración de este servicio digital.
Para ello, la conocida aplicación de chat se ha aliado con la filial mexicana del Banco Santander, que ha lanzado recientemente un nuevo servicio denominado «Santander TAP». Una tecnología propietaria que permitirá realizar transferencias desde WhatsApp. La función, que empezará su despliegue a partir de mayo, se podrá usar para clientes de la entidad bancaria, pero también enviar dinero a otros bancos. Funciona tanto para los dispositivos iOS como Android.
De momento, el empleo de esta opción no conllevará ningún tipo de comisiones ni exigirá la descarga de una aplicación alternativa ni siquiera para el receptor del dinero. Solo habrá unas pocas restricciones: tener una tarteja de débito del Banco Santander y estar registrado en la aplicación SúperMóvil de la compañía y enviar únicamente un mínimo de 10 pesos (0,50 céntimos) hasta un máximo de 4.000 pesos mexicanos diarios (188 euros). El mecanismo para enviar dinero es simple pero implica varios pasos por motivos de seguridad. En primer lugar hay que seleccionar al contacto que se desea hacer la operación como si se tratase de abrir una ventana de chat, añadir la cantidad e introducir una clave personalizada.