Fernando Garcia

El PDF es, hoy por hoy, el formato por excelencia a la hora de compartir e imprimir documentos. Y, pese a contar con una gran cantidad de alternativas muy válidas, el rey del PDF sigue siendo la compañía que lo creó: Adobe. Es por ello que sus herramientas para crear PDFs (Adobe Acrobat) y para visualizarlos (Adobe Reader) están tan presentes en PCs y Macs hoy en día.

Sin embargo, eso también significa que cuando una vulnerabilidad afecta a alguno de estos programas (o peor, a ambos), hay muchos usuarios que tienen un problema serio al que hacer frente.

Y ese es, precisamente, el caso: se ha detectado una vulnerabilidad 'de día cero' en ambos programas, identificada como CVE-2023-26369, lo que ha llevado a la compañía a lanzar una actualización crítica que solventa este problema de seguridad.

De hecho, la vulnerabilidad afecta tanto a las versiones de Windows como a las de macOS de Acrobat DC, Acrobat Reader DC, Acrobat 2020 y Acrobat Reader 2020. Concretamente, las versiones afectadas son éstas:

• 23.003.20284 y anteriores de Adobe Acrobat DC
• 23.023.20284 y anteriores de Adobe Reader DC
• 20.005.30516 y anteriores de Acrobat 2020 para Mac
• 20.005.30514 y anteriores de Acrobat 2020 para Windows
• 20.005.30516 y anteriores de Acrobat Reader 2020 para Mac
• 20.005.30514 y anteriores de Acrobat Reader Acrobat para Windows

En Genbeta

Las mejores webs para trabajar con archivos PDF

Esta vulnerabilidad ha sido clasificada con una puntuación de 7,8 (sobre 10) en el sistema de puntuación CVSS, lo que la califica como "crítica". Pero lo que la hace aún más preocupante es que a los expertos ya les consta que los ciberdelincuentes están explotando activamente esta vulnerabilidad.

Así funciona

La brecha de seguridad entra en la categoría de las conocidas como "escritura fuera de límites" (out-of-bounds write), permitiendo la ejecución de código malicioso cuando se abre un documento PDF especialmente diseñado para ello. Adobe, por razones obvias, no ha proporcionado detalles adicionales sobre la naturaleza precisa de esta vulnerabilidad ni sobre los objetivos de los ataques.

Sin embargo, y pese a lo crítico del asunto, hay un dato positivo en todo esto: la vulnerabilidad sólo se puede explotar localmente: el atacante debe tener acceso físico al dispositivo objetiv… o la víctima debe interactuar con el documento malicioso para que se ejecute el código.

Estas restricciones disminuyen el riesgo en comparación con vulnerabilidades que pueden explotarse de forma remota sin interacción del usuario. Aunque ya sabemos que existen docenas de ciberestafas basadas precisamente en convencer al usuario de que ejecute documentos maliciosos.

En Genbeta | Cada vez más correos fraudulentos usan 'PDFs' adjuntos para colarte malware: cómo asegurarte de que un fichero es lo que dice ser

-
La noticia Si usas Adobe Reader o Adobe Acrobat, actualiza ya mismo para solventar esta grave vulnerabilidad fue publicada originalmente en Genbeta por Marcos Merino .

En muchos casos, programas que usamos en nuestro día a día pueden tener problemas de seguridad. Puede haber vulnerabilidades y fallos que van a permitir que los piratas informáticos roben datos personales, información o incluso controlen el dispositivo. En este caso, nos hacemos eco de un fallo que afecta a Adobe, concretamente a Acrobat y Reader. Es bastante popular usarlo para leer archivos PDF, por lo que podría afectar a muchos usuarios.

El objetivo siempre debe ser evitar este tipo de fallos de seguridad y estar protegidos. Normalmente, los propios desarrolladores lanzan parches y actualizaciones para evitar el problema. A veces, estas nuevas versiones se instalan solas, pero en otras ocasiones es necesario hacerlo de forma manual.

Fallo de seguridad en Adobe

Se trata de un fallo de día cero, del cual no se ha revelado información por el momento para no facilitar el trabajo a los ciberdelincuentes. Sí se sabe que afecta tanto a macOS como a Windows. Esta vulnerabilidad ha sido registrada como CVE-2023-26369. La propia compañía ha lanzado un mensaje de alerta informando.

Pero, ¿qué pasa exactamente si un atacante explota este fallo? Podría llegar a ejecutar código y, por tanto, afectar a la seguridad del sistema. Es un ataque que, además, no tiene una gran complejidad y lo pueden explotar sin necesitar tener privilegios. No obstante, la buena noticia es que esta vulnerabilidad solo se puede explotar a nivel local, por atacantes con acceso físico. Además, va a requerir de la interacción de la víctima.

Esto que hemos mencionado, hace que el fallo sea menos peligroso. Por ello, ha recibido una puntuación CVSS de 3,1. Lejos, por tanto, de otras vulnerabilidades mucho más graves que hemos visto en otras ocasiones. No obstante, esto no significa que haya que pasarla por alto y dejar de tomar medidas. De hecho, desde Adobe lo han calificado como de prioridad máxima.

Cómo solucionar el problema

Desde Adobe, recomiendan que los usuarios y administradores actualicen lo antes posible. Indican que lo ideal es hacerlo máximo en tres días. Por tanto, simplemente con asegurarte de tener tus programas actualizados a la última versión, vas a evitar este fallo de seguridad y protegerás correctamente tus dispositivos.

Una vez más, se demuestra la importancia de tener todo actualizado. Es clave contar con las últimas versiones, sin importar si estamos ante un programa como es Adobe Reader o Acrobat, así como cualquier otro software que puedas utilizar en tu día a día. Lo mismo debes aplicar al sistema operativo, drivers de tarjetas, etc.

Hay tres pilares fundamentales siempre para estar protegidos: sentido común, tener todo actualizado y contar con un buen antivirus. En este caso, lo que importa es tener la última versión y poder así corregir esta vulnerabilidad que han detectado. Siempre hay riesgos al bajar archivos Torrent, así como cualquier otro en Internet. Por ello, es clave que en todo momento utilices plataformas oficiales.

En definitiva, si utilizas Adobe Reader o Acrobat, te recomendamos que actualices lo antes posible. El objetivo es corregir un nuevo fallo de seguridad que han detectado. No obstante, te aconsejamos que siempre revises todas tus aplicaciones y te asegures de que las tienes actualizadas y poder así evitar problemas.

El artículo Si usas Adobe para abrir PDF, cuidado con este peligroso fallo se publicó en RedesZone.

Los nuevos contenedores con cerradura electrónica de la Mancomunidad de la Comarca de Pamplona (MCP) parecían un sistema eficaz y moderno, pero han acabado siendo un problema. La idea era mejorar la recogida separada de materia orgánica, pero tras la denuncia de varias organizaciones, la Mancomunidad finalmente ha tenido que cambiar el sistema.

Aquí os explicamos cómo funcionan estos contenedores y por qué han sido sancionados por la Agencia Española de Protección de Datos (AEPD). Uno de esos casos donde la tecnología puede acabar convertida en "un evidente sistema de control y de intromisión en la privacidad", según describían ediles del Ayuntamiento de Pamplona que no estaban de acuerdo.

Hace unas semanas, la AEPD publicó una resolución donde se iniciaba un procedimiento sancionador a la Mancomunidad de la Comarca de Pamplona. El motivo es la errónea implantación de estos contenedores con cerradura electrónica. Un sistema de basuras implementado en otoño de 2021 en el que se han invertido hasta 8 millones de euros y que, aunque ha servido para mejorar el reciclaje de orgánicos, supone un riesgo para la privacidad de las familias.

Los contenedores se abren mediante una tarjeta electrónica o aplicación móvil, asociada a cada dirección. Y permiten registrar los datos de su utilización. Este uso ha derivado en una infracción de hasta seis artículos del Reglamento General de Protección de Datos. No ha habido multa económica, pues en menos de 10 días la Mancomunidad ha paralizado su uso.

Lo que sí que hay es una resolución de 111 páginas donde se repasa exhaustivamente toda la política de privacidad del sistema de basuras con cerradura electrónica. Y las conclusiones es que son un desastre a nivel de privacidad. "Peor no se pudo hacer", define el experto en protección de datos Ángel Benito.

Los argumentos de la AEPD son muy variados. En general se critica que se recojan estos datos y se asocie a la dirección de la persona que tira la basura. El debate es sobre hasta qué punto estos datos de la basura asociada a una dirección son datos personales.

La AEPD se refiere a una sentencia del Tribunal Supremo donde apunta lo siguiente: "Los datos de consumo de energía eléctrica individualizados y con desglose horario, permiten a quien tenga acceso a esa información y la vincule con la identidad del titular del contrato de suministro, conocer los hábitos de conducta privados de dicho consumidor".

Uno de los argumentos por parte de la Mancomunidad es que la basura la puede bajar cualquier persona del domicilio. Sin embargo, a la hora de pedir una nueva tarjeta y en distintas gestiones, sí se piden datos personales como el DNI o la dirección de correo, por lo que el sistema sí permite identificar la persona detrás de cada uso de la cerradura.

Otro aspecto es si existe un posible interés público que justifique este tratamiento de datos. Sin embargo, aquí la posición de la AEPD es que "para la consecución de los objetivos de recogida separada y de evitación de impropios la normativa no prevé ni considera el tratamiento de datos personales".

Las extensas conclusiones del informe de la AEPD es que el sistema de contenedores "no era lícito para la sola consecución de los objetivos de separación de residuos" y "no realizaba un tratamiento de datos en relación con sus competencias de inspección".

Durante meses, desde principios de 2023, la AEPD ha mantenido conversaciones sobre cada uno de los matices de la política de privacidad del sistema. En el informe se observa que la Mancomunidad ha mantenido una actitud proactiva para el cumplimiento del RGPD, pero ha fallado en su aplicación, incumpliendo los artículos 6.1 (Licitud del tratamiento), 12.1 (transparencia), 13 - 14 (información), 30.1 (registro) y 35 (evaluación) del RGPD.

Cerradura electrónica sí, recogida de datos no

David Campión, presidente de la MCP, ha explicado que se dejarán de recoger los datos de aperturas vinculados a los domicilios, siguiendo la petición de la resolución de la AEPD.

Según remarcan los responsables: "la AEPD no descarta el tratamiento de datos personales en la gestión de residuos y, por lo tanto, no cuestiona el sistema de recogida, el argumento principal es que estos datos no están siendo utilizados actualmente ni para establecer un pago por generación ni para sancionar conductas inadecuadas". Es decir, el tratamiento de datos no está justificado.

En Xataka

Contenedores de basura que identifican a los vecinos: Barcelona los implementará para saber cuánto se recicla

En vez de intentar recurrir la resolución, la Mancomunidad ha optado por dejar de registrar el número. Al tiempo que los datos acumulados hasta la fecha serán encriptados para no poder ser utilizados.

Sí se explica que la intención de la MCP es seguir utilizando el sistema de contenedores con cerradura electrónica, pues se ha mostrado muy eficaz. Se seguirá necesitando la tarjeta para abrir los contenedores, pero no se recogerán datos. El siguiente paso de la MCP es trabajar con la AEPD para intentar encontrar un sistema que cumpla la normativa de protección de datos.

Imagen | Mancomunidad Comarca de Pamplona

En Xataka | Cinco cubos de basura "inteligentes" para deshacernos de los residuos higiénicamente

-
La noticia Pamplona colocó basuras con cerradura electrónica. Ha sido sancionada por ser un sistema demasiado controlador fue publicada originalmente en Xataka por Enrique Pérez .

Los programas de recompensas de viaje, como los que ofrecen las aerolíneas y los hoteles (Delta SkyMiles, United MileagePlus, Hilton Honors, Marriott Bonvoy…), no son idénticos entre sí en funcionalidades, pero la mayoría de ellos sí hacen uso de una misma infraestructura digital al estar basados en la misma plataforma: la de Points.com.

Esta centralización ofrece ventajas, pero también tiene un lado negativo: toda la actividad del sector se puede ver comprometida si los hackers consiguen hacerse paso hasta los sistemas de la plataforma. Lo cual es exactamente lo que ha pasado.

Por fortuna para Points.com, han sido los 'hackers buenos'… que fueron notificando las vulnerabilidades detectadas entre marzo y mayo de este año —todas ellas han sido ya subsanadas—. Ayer mismo, este grupo de investigadores de ciberseguridad hizo públicas dichas vulnerabilidades de la API de Points.com, junto con los detalles técnicos de su intrusión.

Shubham Shah, uno de los investigadores, comentó que se sorprendió al descubrir que existía una entidad central para los sistemas de fidelización, utilizada por casi todas las grandes marcas del mundo. En su opinión, si los cibercriminales hubieran identificado antes que ellos los fallos en este sistema, podría haber tenido "un efecto en cascada".

En Genbeta

No, la palabra 'hacker' no significa 'criminal informático'

Lo veo todo

Entre las vulnerabilidades encontradas, una de ellas permitía a los investigadores acceder a un apartado supuestamente interno de la infraestructura de la API de Points.com, para consultar los pedidos de los clientes del programa de recompensas.

Esto les otorgaba acceso a 22 millones de registros de pedidos, que contenían datos sensibles (código numérico de la cuenta, direcciones, números de teléfono, direcciones de correo electrónico y números parciales de tarjetas de crédito).

Aunque Points.com limitaba la cantidad de datos que podían extraerse a la vez, los investigadores señalaron que un atacante podría haber buscado personas específicas o extraer los datos lentamente a lo largo del tiempo, por lo que no suponía un obstáculo real.

Unas cuantas millas de este usuario, otras cuantas de ese otro…

Otra vulnerabilidad permitía que un atacante generara un token de autorización de cuenta para cualquier usuario con solo su apellido y el código numérico de la cuenta. Estos datos podrían haber sido obtenidos a través de brechas de seguridad anteriores… o, sencillamente, explotando la primera vulnerabilidad.

En Genbeta

Cinco grandes hackeos a entidades públicas españolas antes de Alcasec: los datos que almacenan son queridos por todos los hackers

Con este token, los atacantes podían apoderarse de las cuentas de los clientes y transferir millas de vuelo u otros puntos de recompensa a otros usuarios (como ellos mismos), vaciando las cuentas de las víctimas.

El 'Modo Dios', y el secreto no tan secreto

Pero la tercera vulnerabilidad resultó ser mucho más significativa: en el sitio web de administración global de Points.com, las cookies encriptadas asignadas a cada usuario estaban 'protegidas' por una clave bien sencilla de adivinar: la palabra "secret".

Sólo hizo falta un 'ataque de diccionario' con los términos más frecuentes, ejecutado a través de una aplicación denominada CookieMonster.

Tras descubrir esto, los investigadores podían descifrar la cookie, otorgarse privilegios de administrador global para el sitio, volver a cifrar la cookie y, a efectos prácticos, lograr poderes similares al "Modo Dios" de un videojuego, lo que les permitía acceder a cualquier sistema de recompensas vinculado a Points.com e incluso otorgar millas ilimitadas u otros beneficios a las cuentas (lo que hacía innecesario hacer uso de la segunda vulnerabilidad).

Vía | Slashdot

Imagen | Sam Curry & Pixabay

En Genbeta | Acaba de morir el hacker más famoso de la historia. Esto es lo que hizo

-
La noticia Estos hackers tuvieron a un clic conseguir millas de vuelo gratis ilimitadas en la mayoría de programas de fidelización del mercado fue publicada originalmente en Genbeta por Marcos Merino .

El administrador de tareas en Windows es una herramienta realmente útil que tiene como objetivo controlar todos los procesos que están sucediendo en el ordenador. Además, permite también consultar el porcentaje de uso del hardware como la CPU, la RAM o la gráfica. Pero a veces, trabajar con este administrador puede ser algo complicado de dominar cuando son muchos los procesos abiertos.

Y es que si en el día a día utilizas mucho el administrador de tareas, seguramente habrás visto como en la lista de procesos estos se van moviendo de manera constante. Esto se debe principalmente a que dependiendo del porcentaje de uso de este proceso va a ir variando en el orden de la lista.

Un truco que paralizará tu administrador de tareas

En el caso de que se quiera detener uno de los procesos que están en esta lista, puede ser algo complicado pulsarlo debido a este movimiento constante. Pero por suerte en Windows existen muchos trucos diferentes para poder mejorar considerablemente la experiencia, y en el administrador de tareas encontramos uno para poder seleccionar más fácilmente un proceso.

Este truco se basa simplemente en pulsar la tecla Control mientras se está en la lista con todos estos procesos. En ese momento la lista se detendrá y no variarán de posición todas las líneas al no actualizarse en tiempo real el consumo de recursos.

En Genbeta

Windows 11 tendrá un modo más rápido de forzar el cierre de un programa cuando se queda colgado

De esta manera, al pulsar la tecla control será más fácil seleccionar el proceso en cuestión para poder detenerlo o acceder a la ubicación del mismo. Esto es algo que hemos podido comprobar que funciona tanto en Windows 10 y 11 al reportarse en un hilo de Reddit. Y aunque no es un truco que pueda no interesar a quien lo usa de manera ocasional, si que es interesante para quien le da mucho uso en el día a día.

En Genbeta | Este viejo truco para ver en cualquier sitio el rendimiento del PC me sigue pareciendo imprescindible en Windows 10 y 11

-
La noticia Con este truco podrás 'congelar' el administrador de tareas: será mucho más fácil seleccionar uno de sus procesos fue publicada originalmente en Genbeta por José Alberto Lizana .

Existen múltiples alternativas al conocido Bloc de notas de Windows. Sin embargo, quizás la más utilizada sigue siendo Notepad++, ya que además de sus capacidades como básico procesador de texto, también dispone de funciones avanzadas para la escritura y modificación de líneas de código.

Esta herramienta es completamente gratuita y open-source, factores que nos parecen muy atractivos para su descarga. Sin embargo, quizás debas de reconsiderarlo, ya que recientemente se han descubierto una serie de vulnerabilidades que podrían hacer que la herramienta esté expuesta a diversos ciberataques.

Notepad++ cuenta con importantes vulnerabilidades

Estas vulnerabilidades, descubiertas por el investigador en seguridad Jaroslav Lobačevski, aún no han sido parcheadas, por lo que lo más recomendable sería desinstalar la aplicación si ya la tienes y esperar a que el equipo resuelva este problema lo antes posible.

Las vulnerabilidades tienen el identificador CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, y CVE-2023-40166. Básicamente se aprovechan del desbordamiento de lectura y escritura del búfer a partir de distintas funciones que utiliza Notepad++ para ejecutar diversas acciones.

En Genbeta

Estas son las mejores aplicaciones y utilidades que puedes instalar para estrenar tu nuevo PC con Windows

Una de las vulnerabilidades hace referencia a la función denominada ‘Utf8_16_Read::convert’, la cual usa Notepad++ para convertir la codificación UTF16 en UTF8. Según afirma el investigador, esta función tiene un problema, ya que asume que cada dos bytes codificados en UTF16, son necesarios 3 bytes codificados en UTF8. De esta forma, si el chunk de bytes tiene un valor impar como 9, el cálculo se hace incompatible, resultando en un desbordamiento del búfer.

Este desbordamiento es provocado también cuando Notepad++ llama a la función ‘CharDistributionAnalysis::HandleOneChar’, ya que alguien con malas intenciones podría beneficiarse de un exploit que crease un archivo capaz de hacer desbordar el búfer de lectura global.

Como este tipo de vulnerabilidades existen otras que, al hacer que Notepad++ utilice las funciones ‘nsCodingStateMachine::NextState’ y ‘FileManager::detectLanguageFromTextBegining’, se desborde el búfer de lectura y escritura, permitiendo a los atacantes a ejecutar código arbitrario en el equipo.

GitLab ha publicado un completo informe de todas estas vulnerabilidades y están a la espera de confirmación por parte de Notepad++, por lo que te recomendamos esperar a la próxima versión de la herramienta, ya que se habrán corregido todos estos errores.

Vía | Cybersecuritynews

En Genbeta | Todas las razones por las que los PowerToys de Windows 10 y 11 son imprescindibles para mí

-
La noticia Esta conocida alternativa al Bloc de notas de Windows tiene importantes vulnerabilidades que dejan tu PC expuesto a ciberataques fue publicada originalmente en Genbeta por Antonio Vallejo .

Colocar una mirilla electrónica para saber quién está llamando o para grabar a cualquier sospechoso que se acerque a casa es muy habitual. Sin embargo, poner estas cámaras en la puerta de casa puede resultar conflictivo. El uso de las mirillas electrónicas es legal, pero hay que tener en cuenta una serie de aspectos. De lo contrario podemos tener problemas, como el que le ha pasado a este hombre que decidió colocar una mirilla electrónica en su domicilio sin avisar a la comunidad.

Es la primera vez que la Agencia Española de Protección de Datos (AEPD) decide aplicar una sanción económica por la instalación de una mirilla electrónica. Hasta ahora, la mayoría de casos se habían archivado. No es este caso, donde la AEPD ha decidido aplicar una multa de 300 euros.

Aquí os explicamos qué ha ocurrido, por qué se ha impuesto una sanción y qué debemos tener en cuenta a la hora de colocar una mirilla electrónica para que no nos pase lo mismo.

Se debe instalar la mirilla electrónica sin vulnerar la privacidad

El hombre multado colocó una mirilla digital en su puerta, como muchos otros. La cuestión es que la cámara captaba lo que pasa en la puerta, normal, y también la puerta del otro vecino. Esto provocó que el vecino lo denunciara por haber colocado la mirilla sin consentimiento expreso de la comunidad.

En Xataka

Cámaras en el trabajo: hasta qué punto es legal que nos graben sin consentimiento y usarlas para despedirnos

Una vez recibida la denuncia, la AEPD contactó con el hombre a través de correos que fueron contestados con un "Ausente". Como no hubo réplica ni respuesta para por ejemplo retirar amablemente la cámara o realizar la comunicación, la Agencia inició el procedimiento sancionador que finalmente ha derivado en la multa de 300 euros.

La explicación es que si hay un sistema de videovigilancia por en medio deben aplicarse las leyes de protección de datos. Y la cuestión es que si se apunta al vecino, debe haber un tratamiento adecuado. Si la cámara solo apunta a nuestra puerta no debería haber problema, pero si apunta al vecino, el primer paso es contar con su consentimiento, ya que sus datos personales (la imagen grabada) están en juego.

La AEPD explica la situación de la siguiente manera:

"En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación. Las cámaras instaladas no pueden obtener imágenes de espacio privativo de tercero y/o espacio público sin causa justificada debidamente acreditada, ni pueden afectar a la intimidad de transeúntes que transiten libremente por la zona".

Es decir, se pueden instalar cámaras pero no si apuntan a zonas comunes. En ese caso se necesita el permiso de la comunidad. Según el artículo 17 de la Ley de Propiedad Horizontal, se necesita al menos el 60% de los votos de la comunidad para instalar una mirilla electrónica que apunte a las zonas comunes. 

La Agencia ya se ha pronunciado en casos anteriores, pero en aquellas comentó que no era necesaria la autorización de los vecinos al no grabar imágenes. Cuando sí hay una cámara entonces hay tratamiento de datos. 

En Xataka

¿Quieres instalar una cámara en tu coche? Esto es lo que dice la ley sobre ellas

Los 300 euros son una multa administrativa que viene acompañada de la obligación, en un plazo de 30 días, de retirar la cámara o bien reorientarla para que no apunte al vecino ni a las zonas comunes. De no cumplirse, la AEPD se reserva abrir un procedimiento sancionador más severo. 

La cifra queda muy por debajo de lo que puede llegar a condenarse por una infracción de este tipo. En caso de ser una empresa, según el artículo 83.5 del RGPD, la infracción supondría hasta 20 millones de euros o el 4% de los ingresos globales anuales. 

Imagen | Blogging Guide

En Xataka | Cámaras en la puerta de casa que pueden grabar a los vecinos: cómo hay que usarlas para cumplir la ley

-
La noticia Un hombre pensó que colocar una mirilla electrónica era buena idea. Le han caído 300 euros de multa fue publicada originalmente en Xataka por Enrique Pérez .

Dentro del terreno de la ciberseguridad existen numerosas plataformas que nos pueden servir de gran ayuda para aprender en este sector. En este artículo te vamos a hablar de dos webs muy conocidas y que podrás aprender todo lo necesario sobre el hacking a través de casos reales y métodos para solucionar y prevenir situaciones que puedan comprometer la seguridad de un usuario o empresa.

Los sitios web en cuestión son TryHackMe y Hack The Box, y en este artículo te contamos qué es lo que puedes encontrar aquí y cómo registrarte para comenzar a aprender todo lo necesario sobre ciberseguridad.

TryHackMe, ideal para comenzar a aprender sobre ciberseguidad y hacking

TryHackMe es una web que te permitirá desarrollarte dentro del terreno del hacking y la ciberseguridad. Contiene innumerables ejercicios prácticos de casos reales para que puedas demostrar lo aprendido con los cientos de documentos teóricos y académicos.

Su experiencia gamificada y el hecho de ser una fuente de conocimiento tanto para principiantes como para experimentados, hace a TryHackMe un recurso esencial si quieres nutrirte de todo lo necesario sobre ciberseguridad.

En TryHackMe podrás comenzar a hackear desde el primer momento, y podrás ensayar tus lecciones en entornos y redes reales, aprendiendo a atacar y defender redes de equipos muy similares a las que las organizaciones y empresas utilizan a día de hoy.

TryHackMe ofrece un plan gratuito con instancias hackeables y retos. Sin embargo, se trata de una experiencia limitada en comparación a los planes Premium y Business. La versión Premium tiene un coste de 12 libras al mes (9 libras al mes si lo pagas anualmente).

Hack The Box, aprendizaje autónomo y academia para formarte en ciberseguridad y hacking

Otra alternativa a TryHackMe es sin duda Hack The Box. Esta web es también una mina de oro si quieres aprender todo sobre ciberseguridad y hacking de la manera más interactiva y fructífera posible. Hack The Box cuenta con más de 2,2 millones de usuarios registrados en todo el mundo, y sus lecciones son tremendamente útiles tanto para estudiantes, como para organizaciones y empresas.

La experiencia de Hack The Box también se centra en gran medida en la práctica y en el aprendizaje autónomo. Sin embargo, en Hack The Box también encontramos su academia, a la cual podemos acceder a través de una suscripción, donde además contaremos con exámenes para poner a prueba lo aprendido.

La academia de Hack The Box es accesible desde 8 euros al mes, un precio dedicado a estudiantes. Sin embargo, también puedes adquirir módulos de aprendizaje (llamados aquí cubes), que serán tuyos para siempre. El plan anual Silver tiene un coste de 490 dólares al año, pudiendo acceder a todos los módulos, especialidades, y mucho más.

Nuestra recomendación es probar la versión gratuita de ambas páginas web, y si ves que al final te pica el gusanillo y las ves de utilidad para tu formación, entrar de lleno con alguno de sus planes de pago.

En Genbeta

Esta película de 1915 ya incluía las principales técnicas actuales de ciberestafa. Está todo inventado

La especialidad de TryHackMe es el aprendizaje autónomo por medio de sus ejercicios prácticos y la ayuda de otros miembros, mientras que Hack The Box, además de ello, y con planes gratuitos y Premium, también ofrece una academia virtual donde poder formarte en todo tipo de especialidades enfocadas a la ciberseguridad y al hacking.

En Genbeta | Algunas de las escenas de hacking más genialmente ridículas del cine y la TV: los guionistas de Hollywood no leen Genbeta

-
La noticia Estas webs son una mina de oro para aprender gratis sobre ciberseguridad y hacking: así funcionan TryHackMe y Hack The Box fue publicada originalmente en Genbeta por Antonio Vallejo .

La mayoría de nosotros usamos las VPN para conectarnos de forma remota a nuestro hogar, cuando estamos fuera de casa o para proteger la conexión si nos conectamos a una red WiFi pública. Lo mismo ocurre si usamos servicios de VPN como WARP de Cloudflare, o servicios de VPN comerciales que todos conocemos. Si utilizas VPN, debes saber que tus datos podrían estar en riesgo, ya que se ha descubierto una serie de vulnerabilidades que podrían filtrar información privada. TunnelCrack es el nombre de estas vulnerabilidades que se ha descubierto, y afectan a los clientes VPN, por lo que deberías revisar si realmente estás afectado o no.

Se supone que una VPN protege todos los datos que transmite el usuario, desde el cliente VPN hasta el servidor, de esta forma, se establecerá un túnel cifrado punto a punto. Estos ataques que se han descubierto, son capaces de eludir la protección de una VPN, por ejemplo, se podría filtrar y leer el tráfico de los usuarios, robar información confidencial e incluso atacar los dispositivos de los usuarios.

Cómo me afectan estas vulnerabilidades

Si utilizas un servicio de VPN, o te conectas al servidor VPN de tu hogar, podrían comprometer la comunicación supuesta cifrada. Según las pruebas realizadas, es muy probable que todos los clientes VPN para iOS y macOS estén afectados, también la mayoría de VPN para los sistemas operativos Windows y Linux están afectados, mientras que el sistema operativo Android es el más seguro, solamente una cuarta parte de las aplicaciones VPN son vulnerables en este sistema operativo.

El principal problema es que se pueden explotar estas vulnerabilidades independientemente del protocolo de seguridad usado, es decir, las VPN que disponen de «cifrado de grado militar» también están afectadas, ya que este ataque no se centra en la criptografía que hay en el túnel, sino en realizar varios ataques fuera de este túnel, y que provoca que se pueda exponer información privada a cualquier ciberdelincuente que te esté atacando.

Qué ataques se pueden hacer con estos fallos de seguridad

El equipo de investigadores de seguridad, ha descubierto un total de dos ataques, el primero es LocalNet que se puede explotar cuando un usuario se conecta a una red WiFi no confiable, y el segundo se llama ServerIP que se puede explotar también en redes WiFi no confiables, e incluso en operadores de Internet. Ambos ataques lo que hacen es manipular la tabla de enrutamiento de la víctima, para engañar al cliente VPN y enviar tráfico fuera del túnel VPN protegido. Por este motivo, un ciberdelincuente podría leer e interceptar el tráfico transmitido.

En condiciones normales, la tabla de enrutamiento del cliente hace que todo el tráfico de red se envíe directamente a través del túnel VPN protegido por el cifrado, sin embargo, muchos clientes VPN añaden excepciones para enviar dos tipos de tráfico fuera del túnel. Todo el tráfico enviado hacia y desde la red local estará fuera del túnel, y también todo el tráfico hacia y desde el servidor VPN.

La primera regla en la tabla de enrutamiento, permite que, mientras estamos conectados al servidor VPN, podamos comunicarnos con los equipos de la red local sin problemas. Es decir, un usuario podría estar conectado al servidor VPN, pero sigue teniendo acceso a la red local para imprimir, intercambiar archivos por SMB etc. La segunda regla nos asegura que no haya un bucle de enrutamiento, es decir, que los paquetes VPN ya encriptados no vuelvan a encriptarse.

En los dos ataques que se han descubierto, lo que hacen es justamente explotar estas dos excepciones en la tabla de enrutamiento, con el objetivo de desviar el tráfico fuera del túnel VPN y robar información.

Ataque LocalNet

Este ataque se puede explotar de manera muy sencilla cuando un usuario se conecta a una red WiFi que no es de confianza, ya sea abierta o con cifrado WPA2/WPA3. Si un ciberdelincuente actúa como una red WiFi o cableada maliciosa, y engaña a la víctima para que se conecte a esta red, podrá realizar el ataque. Por ejemplo, si un ciberdelincuente clona una red pública, cuando la víctima se conecte a esta red maliciosa, el ciberdelincuente podría asignarle una dirección IP pública con su correspondiente subred, para posteriormente filtrar todo el tráfico sin quererlo.

En la imagen anterior se puede ver que el ciberdelincuente le proporciona a la víctima una dirección IP 1.2.3.0/24, y establece el túnel VPN correctamente. Debido a que esta subred pública se le ha proporcionado como si fuera local, la víctima podrá acceder a esta subred sin necesidad de enviar el tráfico a través del túnel, sino que lo enviará a través de la «red local» sin cifrar el tráfico, por lo que los datos se ven comprometidos.

El ciberdelincuente podría asignar subredes más grandes a la red local, para filtrar casi todo el tráfico de la víctima. El objetivo de este ataque es filtrar todo el tráfico fuera del túnel VPN, e incluso se podría hacer un ataque de denegación de servicio para que la víctima no tenga conectividad a Internet. El equipo de investigadores ha probado más de 66 aplicaciones de VPN en cinco sistemas operativos, y han descubierto que casi todas las aplicaciones de VPN de iOS son vulnerables, la mayoría en Windows y Linux son vulnerables, y solamente el 20% son vulnerables en Android.

Para defenderse de este ataque, la aplicación VPN debería desactivar automáticamente el acceso a la red local cuando la red local usa IPs públicas.

Ataque ServerIP

En este ataque, el atacante podría suplantar las respuestas de DNS antes de que se establezca el túnel de VPN, y poder ver todo el tráfico hacia el servidor VPN. En este caso, el ciberdelincuente también podría actuar como red WiFi o cableada para realizar el ataque, además, un operador de Internet malicioso podría hacerlo a gran escala sin muchos problemas. La idea es que el atacante falsifique la dirección IP del servidor VPN, por ejemplo, si el servidor VPN tiene un determinado nombre de host que apunta a 2.2.2.2, entonces el atacante podría cambiar esta dirección IP por la suya propia que fuera 1.2.3.4, para que así el cliente VPN se conecte al atacante, y este a su vez al servicio de VPN, «colándose» en el medio de la comunicación sin que el cliente lo sepa. Por supuesto, todo el tráfico que reciba del cliente VPN, se reenviará al servidor VPN real para que el cliente crea que la conexión se ha realizado correctamente.

Cuando la víctima visite una web, la enviará a 1.2.3.4 en lugar de al servidor VPN «real», y debido a la regla de enrutamiento para evitar que los paquetes se vuelvan a cifrar en el servidor VPN, la solicitud se envía fuera del túnel VPN protegido, así que todo el tráfico se ve comprometido.

El equipo de investigadores ha descubierto que los clientes VPN integrados en Windows, macOS y iOS son vulnerables. Android 12 y superior no se ve afectado por este problema. Además, bastantes VPN en Linux también son vulnerables. Otro aspecto importante, es que, la mayoría de servicios de VPN usan un dominio para establecer la conexión, en lugar de usar una dirección IP pública, por tanto, podrían verse afectadas por este ataque.

Para evitar este ataque, los clientes VPN deben actualizarse y enviar todo el tráfico a través del túnel VPN, excepto el tráfico generado por la propia aplicación.

En el siguiente vídeo se puede ver una demostración de cómo se realizarían los ataques:

Como podéis ver, la mayoría de VPN están en jaque debido a estos fallos de seguridad, y es que podrían comprometer nuestra privacidad y seguridad de forma bastante sencilla. No es necesario un ordenador muy potente, cualquier persona con acceso a la red puede realizar estos ataques, y son independientes del protocolo VPN usado, ya que no se ataca el cifrado ni el establecimiento de la conexión, sino la tabla de enrutamiento.

¿Se ha corregido ya el problema?

Con la finalidad de proteger a los usuarios, se han lanzado días atrás las correspondientes actualizaciones de seguridad durante una divulgación coordinada de 90 días, en colaboración con CERT/CC y varios proveedores de VPN. Por ejemplo, Mozilla VPN, Surfshark, Malwarebytes, Windscribe y WARP de Cloudflare ya están parcheadas. Muy pronto muchas otras empresas también lanzarán parches para solucionar o mitigar el problema en el lado del cliente VPN. En el caso de que no tengas actualizaciones para tu VPN, se podría mitigar el ataque de LocalNet deshabilitando el acceso a la red local. Por supuesto, el problema se mitiga usando siempre HTTPS para todas las comunicaciones, pero lamentablemente solamente los sitios web que tengan HSTS nos garantizan que siempre la conexión será por HTTPS.

Mientras que la mayoría de los fabricantes y empresas han reaccionado muy rápido para resolver este problema, debemos destacar que Microsoft no planea lanzar ningún parche para solucionar esta vulnerabilidad, porque creen que esto realmente no es un fallo, que es un comportamiento por diseño y que de ninguna forma se puede filtrar información una vez que se ha establecido el túnel. El equipo de investigadores ha demostrado que esto no es cierto, y creen que Microsoft no ha entendido bien los ataques.

En el caso de los DNS, teniendo en cuenta que la mayoría de peticiones todavía se usa DNS puro y no las alternativas privadas como DNS over TLS o DNS over HTTPS, en este caso, la solución pasaría por usar DoT o DoH para protegernos y evitar que un ciberdelincuente pueda ver y manipular las peticiones DNS que realicemos. En muchos casos, se usan las VPN para encapsular otros protocolos que no son seguros, como el protocolo RDP, FTP o Telnet entre otros. En estos casos, un ciberdelincuente podría eliminar la protección que ofrecen las VPN, y hacerse con las credenciales de acceso de estos protocolos inseguros, por lo tanto, debes tener mucho cuidado a partir de ahora.

Os recomendamos visitar la web oficial de esta vulnerabilidad TunnelCrack donde encontraréis todos los detalles técnicos, incluyendo el paper con toda la investigación y pruebas de los diferentes servicios de VPN.

El artículo TunnelCrack: se descubren vulnerabilidades que afectan a la mayoría de VPN se publicó en RedesZone.

Las operaciones de mantenimiento de las líneas eléctricas de alta tensión entrañan riesgos importantes para los técnicos que deben llevarlas a cabo. La altura a la que a menudo tienen que abordar la manipulación de la infraestructura eléctrica y la posibilidad de sufrir una descarga son los principales riesgos que se ven obligados a asumir estos operarios. Afortunadamente ahora cuentan con algo a su favor: el notable desarrollo que está experimentando la robótica aérea.

En España reside un centro de investigación vinculado a la Universidad de Sevilla que cuenta con mucha experiencia en esta disciplina: el Grupo de Robótica, Visión y Control (GRVC). Este equipo está liderado por Aníbal Ollero, doctor ingeniero y catedrático de Robótica en la Universidad de Sevilla especializado en el diseño y la puesta a punto de robots aéreos y vehículos aéreos no tripulados. Actualmente el GRVC trabaja en más de 20 proyectos, y uno de ellos persigue, precisamente, mejorar la seguridad de los técnicos que velan por la infraestructura eléctrica.

El proyecto AERIAL-CORE ya está entregando resultados muy prometedores

A grandes rasgos el propósito de esta iniciativa es desarrollar nuevas tecnologías y sistemas robóticos aéreos con capacidades cognitivas que les permitan afrontar operaciones de inspección y mantenimiento de infraestructuras de difícil acceso. No cabe duda de que el tendido de las líneas eléctricas encaja como un guante en esta premisa, por lo que este grupo de investigadores ha puesto a punto un robot ligero que lleva a cabo la instalación en las líneas eléctricas de los dispositivos espantapájaros exigidos por la regulación para evitar que las aves choquen con los cables y corran el riesgo de sufrir una descarga eléctrica.

En Xataka

El nuevo éxito de la fusión nuclear inercial no enmascara la realidad: su aplicación comercial está aún muy lejos

Este ingenioso robot pesa 3 kg y tiene dos brazos y una base rodante que lo dotan de una gran polivalencia. De hecho, como podéis ver en el vídeo que publicamos debajo de estas líneas, la base rodante le permite afianzarse de una manera estable sobre la línea eléctrica y desplazarse por ella. Además, los dos brazos le capacitan para instalar en la línea el dispositivo espantapájaros exigido por la regulación actual. Esta estrategia evita que deban llevar a cabo este procedimiento los técnicos de mantenimiento de una forma completamente manual y asumiendo los riesgos que conlleva esta operación.

No obstante, no debemos pasar por alto la estrategia por la que se han decantado los ingenieros del GRVC para colocar este robot sobre la línea eléctrica. Y es que su solución consiste en recurrir a un dron multirrotor diseñado para "agarrarlo" y desacoplarse correctamente una vez que el robot está alojado sobre la línea de alta tensión a unos 10 metros de altura. En el vídeo podemos ver la precisión con la que ambas máquinas llevan a cabo su cometido.

Una vez que el robot de dos brazos ha finalizado la instalación del dispositivo espantapájaros sobre la línea eléctrica el dron regresa para acoplarse a él nuevamente y depositarlo en el suelo sin que haya sufrido ningún daño. El tiempo invertido en la colocación del robot sobre la línea es de aproximadamente 80 s, y el lapso necesario para recuperarlo cuando ha finalizado su función es de unos 110 s, por lo que la operación completa requiere aproximadamente 4 minutos (este tiempo contempla la instalación de los dispositivos espantapájaros). No cabe duda de que todo el esfuerzo que se realiza para mejorar la seguridad de las personas que trabajan en este tipo de instalaciones merece mucho la pena.

Imagen de portada: Grupo de Robótica, Visión y Control (GRVC)

Más información: Grupo de Robótica, Visión y Control (GRVC)

En Xataka: China ya tiene al primer robot "producido en masa". Su misión es sorprendente: ejercer de enfermero

-
La noticia El invento español que sustituye una tarea peligrosísima: operar sobre líneas eléctricas de alta tensión fue publicada originalmente en Xataka por Juan Carlos López .

Este jueves ha sido un día realmente importante para nuestro sistema democrático al haberse constituido las Cotes Generales tras los resultados electorales del pasado 23 de julio. Esto ha hecho que los pasillos tanto del Senado como del Congreso hayan estado llenos de nuevos parlamentarios (y otros veteranos que repiten) así como un dispositivo especial de grafistas y cámaras para inmortalizar el inicio de legislatura.

Y cuando hay tanto periodistas grafistas en el Congreso es fácil que se pueda captar alguna imagen curiosa para cualquier persona, aunque sea realmente discreta. Esto precisamente es lo que ha ocurrido esta mañana en la emisión en directo que estaba realizando el canal de La 1 con motivo de su programación especial.

Las cámaras captan el PIN del iPhone de la presidenta del PSOE

Pese a que en muchas ocasiones las imágenes pasan desapercibidas para muchos, en esta ocasión un fragmento de este directo se ha hecho viral en X. En concreto el usuario @marcceleiro ha publicado un fragmento de la retransmisión donde se puede ver a una diputada con su teléfono móvil introduciendo su código de desbloqueo.

Se puede ver de manera clara en el fragmento que se trata de un iPhone que el Congreso ofrece a todos los diputados en el kit de iniciación donde se incluye un iPad o un ejemplar de la Constitución. Justo cuando le ha enfocado la cámara, la diputada estaba introduciendo el código de desbloqueo del iPhone (seguramente porque no tenía Face ID configurado o se había bloqueado al no detectarla).

La sorpresa ha sido precisamente ver la combinación de números que ha introducido la diputada: 123456. La diputada en cuestión que apuesta por un código tan inseguro es Cristina Narbona, presidenta del PSOE y también presidenta de la Mesa de Edad este jueves al ser la diputada de mayor edad de esta legislatura.

Como ya hemos repetido en innumerables ocasiones este tipo de códigos no son nada recomendables por su fragilidad, y lo fácil que puede llegar a ser adivinarlos para acceder al dispositivo. Esto es precisamente lo que le reprocha el autor del tweet donde recuerda que lo ha visto media España.

En Genbeta

Si tu contraseña sale en esta lista, cámbiala cuanto antes: la recomendación de seguridad de la Guardia Civil

Esto demuestra que los máximos responsables de nuestro país todavía tienen mucho camino por recorrer en ciberseguridad básica. Y es que aunque el clásico '123456' pueda llegar a ser fácil de recordar tiene muchas carencias de seguridad, y un parlamentario precisamente debería tener mucha más precaución. En definitiva, estamos ante una curiosa anécdota que nos ha dejado esta sesión de constitución de las cortes.

En Genbeta | Trucos para crear y recordar una buena contraseña

-
La noticia '123456', el código de desbloqueo del iPhone de esta conocida diputada que ha visto toda España. Una invitación a robar sus datos fue publicada originalmente en Genbeta por José Alberto Lizana .

Los que tenemos cierta edad y en su día nos adentramos en la informática a través de Windows de hace muchas versiones, estamos acostumbrados a organizar nuestros "tesoros" digitales en carpetas y subcarpetas.

Además…la experiencia nos asegura que sí o sí va a ocurrir un desastre y vamos a perder todos esos tesoros más temprano que tarde. Por eso nos gusta hacer copias de seguridad en diferentes ubicaciones y soportes para maximizar las posibilidades de recuperación cuando ese desastre inevitable llegue.

Por copias de seguridad hay un gran abanico de tipos…los hay de sistemas completos, de discos y unidades de datos, configuraciones, solo determinadas carpetas…y pueden ser completas, diferenciales e incrementales.

Igualmente hay muchas opciones en cuanto a programas y aplicaciones dedicadas a esto. Unos muy completos y otros más simplones…unos de pago y otros gratuitos.

En este artículo comentaré mi experiencia con Echosync, una pequeña y portable aplicación que basa sus aptitudes en la sencillez y eficacia.

Echosync es una utilidad gratuita que podemos obtener en el siguiente enlace:

Echosync hace justamente lo que buscaba. Realiza de forma manual copias de un origen a un destino de forma incremental, esto es…compara el origen y el destino y solo copia los cambios, con lo cual es muy rapidísima si las copias no incluyen archivos enormes puesto que lo que no ha cambiado, no se toca.

Los archivos de origen no los toca, tan solo iguala el destino para que sea igual al origen.

El hecho de ser portable le da mucha flexibilidad, aunque ya hemos comentado que dispone de una versión instalable.

Su función principal es la ya comentada…hacer backups diferenciales. Se pueden hacer con carpetas individuales o unidades completas. En el ejemplo que he usado en este artículo he usado toda una unidad interna a una unidad externa. No son muchos gigas, algo menos de 19 gigas. La primera copia es la que lleva tiempo…no mucho, hoy en día 19 gigas se pasan de unidad a unidad muy rápido…pero las siguientes copias son realmente muy rápidas porque solo transfiere los cambios sin tocar lo que no ha cambiado.

Su interfaz es sencilla (traducida entre otros al Español). Se divide en tres secciones. La superior donde crearemos diferentes perfiles, donde especificaremos un origen y un destino. Abajo tenemos otro panel donde se mostrarán los resultados de comparación entre el origen y el destino y una sección inferior donde podemos seleccionar que tipo de datos se sincronizarán. Lo normal es que se use la fecha de creación, fecha de modificación y el hash de los archivos para determinar los cambios.

En la parte inferior de la interfaz tenemos dos botones, uno para iniciar un proceso de comparación para saber si algo ha cambiado entre el momento actual y el momento en que se hizo la última sincronización y un botón para comenzar un proceso de sincronización.

En la parte superior derecha también tenemos dos botones. Uno para crear un perfil nuevo o tarea de sincronización, y otro para borrar alguno que ya no sea necesario.

En la cinta de opciones tenemos tres botones.

En Opciones podemos indicar las acciones que se realizarán una vez finalizado un proceso de sincronización. También podremos indicar el idioma de la interfaz y el tema de la misma (claro, oscuro o el que se esté usando en el sistema)

En Programador, nos abrirá el Programador de Tareas de Windows para crear una tarea programada. Se usa el programador de tareas del sistema porque el programa en sí normalmente estará cerrado y sin procesos en segundo plano activos…por eso no integra su propio programador y usa el del propio Windows. Así podremos desentendernos de Echosync y dejar que sea el propio Windows el que haga todo el trabajo.

en la última opción de la cinta de opciones, entre otras cosas podemos reiniciar el programa como administrador para aquellos casos en los que solo se puede acceder a ciertas ubicaciones como administrador.

Como vemos, es simple y con una función muy determinada. Cumple con su cometido sin complicaciones y te quedas con la misma pregunta que te haces en muchas otras ocasiones con este tipo de utilidades…¿por qué demonios no se integra en Windows una utilidad así sin necesidad de acudir a terceros?

Pos esto es todo…sean felices como perdices y no olviden supervitaminarse y mineralizarse.

Sufrir una vulnerabilidad en el router puede ser un problema muy importante. Puede suponer que haya intrusos que entren en la red. También podrían llegar a afectar a la conexión de otros dispositivos y tener cortes continuos. En este artículo nos hacemos eco de un fallo grave que afecta a cientos de miles de routers de la marca MikroTik. Permite una escalada de privilegios al ejecutar código arbitrario de forma remota. Podrías perder el control sobre tus aparatos.

Esta vulnerabilidad ha sido registrada como CVE-2023-30799 y le han dado una puntuación de 9.1 en la escala CVSS. El fallo, según indican desde VulnCheck, significa que permite una escalada de privilegios de administrador a súper administrador. Esto permite adquirir credenciales para los sistemas RoutersOS de forma sencilla.

Routers de MikroTik, en peligro

Si tienes un router de MikroTik, cuidado porque puede estar afectado por esta vulnerabilidad. Se calcula que puede haber entre 500.000 y 900.000 routers afectados. Una cifra bastante significativa. Si tenemos en cuenta que se trata de una vulnerabilidad calificada como grave, el problema es mayor.

Pero, ¿qué es lo que ocurre exactamente? Se debe a que el sistema operativo RoutersOS, presente en los modelos de MikroTik, no tiene una protección contra fuerza bruta para evitar que rompan la contraseña. Esto permite que envíen solicitudes con un usuario administrador predeterminado conocido, con una contraseña que era una cadena vacía.

Con el lanzamiento de RouterOS 6.49, en 2021, pidieron a los usuarios que cambiaran la contraseña. Pero hubo un agujero de seguridad que no se tapó correctamente en ese momento y no ha sido hasta ahora, con la versión RouterOS 6.49.8, cuando lo han hecho realmente. Desde VulnCheck crearon una prueba de concepto para comprobar que este fallo se podía explotar.

Este problema puede derivar en que tu router, si tienes un MikroTik sin actualizad, forme parte de una botnet. Básicamente significa que lo pueden controlar, como si tu router fuera un zombi. Va a poder formar parte de una red mayor encargada de distribuir malware, llevar a cabo ataques de denegación de servicios para tumbar páginas web, etc.

Soluciona el problema

Por suerte, evitar este problema hoy en día es sencillo. Igual que puedes solucionar otras muchas vulnerabilidades, no solo en routers de MikroTik, tener la última versión instalada es la clave. En este caso, necesitas tener la versión RouterOS 6.49.8 o alguna a partir de la 7. Esto corrige este problema y evitará que tu router pueda verse comprometido.

Si utilizas un aparato muy antiguo, que te dieron cuando contrataste Internet, es posible que sea mejor cambiar el router de la operadora. Puede que esté obsoleto, que ya no reciba actualizaciones. Esto va a provocar fallos también de funcionamiento, por lo que puedes tener una peor velocidad, cortes continuos y otras complicaciones para navegar diariamente.

En definitiva, como ves es importante que actualices tu router si tienes un modelo MikroTik. Hay cientos de miles vulnerables a un grave fallo de seguridad. No obstante, incluso si tienes otra marca distinta, también te recomendamos que lo actualices y consigas un funcionamiento óptimo y sin problemas de seguridad.

El artículo Tu router puede estar en peligro por este grave fallo, actualiza ya se publicó en RedesZone.

Una de las formas más habituales de calentar agua en nuestros hogares es usando un termo eléctrico. Este tipo de equipos consiste en un termo de pequeñas o grandes dimensiones con resistencias para calentar el agua, y un termostato para limitar la temperatura máxima de dicha agua en su interior. Generalmente, los termos eléctricos siempre están encendidos para disponer de agua caliente en todo momento, pero es posible que alguna vez hayas pensado si merece la pena encenderlo solamente cuando lo vayas a utilizar. Hoy en RedesZone os vamos a explicar si realmente merece la pena, o de lo contrario no te ahorrarás casi nada de dinero en la factura de la luz.

Hoy en día existen muchos modelos de termos eléctricos, pero en esencia todos funcionan exactamente igual. Internamente disponen de unas resistencias para calentar el agua, dependiendo de la temperatura del agua, se encenderán más o menos resistencias para tener el agua a la temperatura objetivo lo antes posible. Lo habitual es tener un termo de unos 80L de capacidad, no obstante, si sois muchos en casa, también existen modelos de hasta 150L.

¿Cuánto consume un termo eléctrico?

El consumo de un termo eléctrico depende de varios factores, el primero y más importante es la capacidad de dicho termo eléctrico. No es lo mismo calentar 150L de agua y mantener la temperatura de operación, que calentar un termo pequeño de tan solo 50L y mantener la temperatura. Por este motivo, es muy recomendable fijarse bien en el consumo estimado cuando vamos a comprar uno de estos equipos para nuestro hogar. Otro aspecto muy importante que debes tener en cuenta, es la potencia instantánea que necesitan sus resistencias para funcionar. En los termos pequeños lo más habitual es que tengan una potencia de 1000W, los medianos tienen unos 1500W, y finalmente, los modelos más grandes suelen tener 2000W de potencia.

En el ejemplo que os vamos a poner, hemos usado un termo pequeño de 50L y con 1.000W de potencia. Lógicamente, esta potencia instantánea no está continuamente funcionando, sino que cuando el termo está en reposo sin calentar, el consumo es cercano a 0Wh, mientras que cuando está calentando el consumo es de 1kWh. En nuestro caso, el consumo diario que tenemos está entre 1kWh y 1,5kWh, dependiendo del uso que le demos al agua caliente.

En la siguiente imagen podéis ver que el consumo de este termo eléctrico ronda los 11kWh semanales, por tanto, tenemos una media de 1,5kWh aproximadamente.

Haciendo un cálculo rápido, en un mes nuestro termo eléctrico consumirá unos 45kWh aproximadamente de energía. Insistimos que esta cifra varía mucho dependiendo del uso del agua caliente y también el tamaño del termo. Elegir bien el aparato, puede ayudarte a gastar menos si realmente no vas a necesitar tener uno mayor. Además, el coste total va a estar marcado por la tarifa de luz que tengas contratada (si tiene o no discriminación horaria), del precio del kWh, etc.

Teniendo en cuenta estas cifras de consumo eléctrico a lo largo del mes, mucha gente se pregunta si realmente vamos a ahorrar algo si apagamos el termo eléctrico por las noches. A continuación, os explicamos si realmente te vas a ahorrar algo.

¿Cuánto me ahorro si lo apago por las noches?

El termo eléctrico enciende sus resistencias cuando la temperatura del agua baja de un determinado umbral, por lo tanto, es probable que entre las 12 de la noche y las 7 de la mañana se pueda encender en algún momento con el objetivo de mantener la temperatura objetivo. Esto provocará un consumo de energía en un determinado momento durante la noche, si eres de los que se duchan por las mañanas, podrías programar un enchufe inteligente para que se encienda a las 6.00 aproximadamente, para tener el agua caliente, así te ahorras el «encendido» sobre las 3 de la mañana.

No obstante, hemos comprobado usando un enchufe inteligente con medición de energía, que cuando apagamos el termo eléctrico por las noches, lo que nos ahorramos por saltarnos esos arranques, lo gastamos posteriormente si queremos usarlo, ya que el termo estará en funcionamiento hasta que consiga la temperatura de operación, y si la temperatura es más baja porque lo hemos apagado, gastará más hasta conseguir dicha temperatura.

Si usas el termo eléctrico a diario, ya sea por la mañana a primera hora o por la noche, no ahorrarás nada o casi nada al apagar el termo eléctrico. Lógicamente, si tienes paneles solares y no disponemos de una batería o batería virtual, entonces sí sería recomendable trasladar el consumo del termo al día, y por las noches apagarlo. Hay que tener en cuenta que, el calor del agua se conserva bastante bien en este tipo de equipos, por tanto, si lo apagas a las 22.00 y necesitas agua caliente a las 6.00, tendrás agua caliente y no lo notarás. Después sobre las 10.00 cuando ya haya producción solar, entonces procedemos al encendido del termo para aprovechar al máximo la energía generada por el sol.

En el caso de que te vayas de vacaciones, o vayas a estar un par de días fuera de casa, en estos casos sí sería recomendable que apagues el termo para ahorrar, y lo enciendas al volver a casa. No tiene sentido que gaste energía eléctrica en mantener la temperatura del agua si vas a estar fuera. Hay que tener en cuenta que, dependiendo del termo que tengamos, el agua estará caliente en unos 30 minutos como mucho, aunque lógicamente esto dependerá del tamaño del termo y de las resistencias que tengamos.

Por lo tanto, a la pregunta de «¿consume más el termo eléctrico de agua encendido 24h o solo algunas horas?», la respuesta es que consume lo mismo, no notarás diferencia porque lo que ganas al apagarlo durante unas horas, lo «pierdes» después al calentar el agua a la temperatura objetivo. Lo único que podrías hacer para ahorrar algo es reducir la temperatura de operación, en lugar de ponerlo a 50ºC ponerlo a 40ºC, así se activará la resistencia menos veces.

Eso sí, como has podido ver, conviene apagarlo si vas a estar unos días de vacaciones. En esos casos, sí vas a ver un ahorro importante. El aparato no va a consumir electricidad y simplemente lo enciendes cuando vuelvas, esperas a que se caliente y listo. Como recomendación, para si somos muy estrictos, espera 2-3 horas si lo has dejado apagado durante muchos días, una vez lo enciendas, ya que el agua estancada, a temperatura ambiente, ha podido almacenar bacterias y se necesitan unas horas para eliminarlas con el agua caliente.

El artículo ¿Consume más el termo eléctrico de agua encendido 24h o solo algunas horas? se publicó en RedesZone.

Los chatbot ya son realmente comunes en nuestro día con muchas opciones encima de la mesa como ChatGPT o Google Bard. Si bien, a la hora de usarlos a veces nos encontramos con muchas limitaciones ante ciertas preguntas para evitar que las IA puedan generar discursos de odio, desinformación o se proporcione información que es peligrosa como manuales para hackear alguna web.

Pero como ocurre en cualquier tipo de software, estas limitaciones se pueden sortear rápidamente por los expertos en seguridad a través de las palabras adecuadas en sus prompts. Esto es lo que muestra un informe publicado por la Universidad de Carnegie Mellon en el que se muestra que cualquiera puede eludir estas medidas para conseguir por ejemplo una guía para destruir la humanidad.

Las IA como ChatGPT se pueden 'hackear' con un simple sufijo

Encima de la mesa actualmente se puede encontrar una gran polémica como es la guerra entre las empresas de IA por dejar que cualquiera vea el código de sus chatbots o no. Meta es una de los defensoras de facilitar el código a cualquiera alegando que esto puede hacer progresar a las IA y comprender los riesgos. Pero la realidad es que está siendo usado para comprender mejor como eludir los controles que existen.

En el informe deja de manifiesto por ejemplo que al pedir a ChatGPT o Google Bard que genere las instrucciones para crear una bomba va a decir que no puede proporcionar esa información. Pero si se le pregunta lo mismo pero agregando un sufijo largo al mismo mensaje el tutorial para crear una bomba estaría realmente detallado delante de cualquier usuario.

Además de dar los pasos para tener una bomba, también hemos visto ejemplos muy claros sobre como generar un plan detallado que tenga el objetivo de eliminar a toda la humanidad. Y lo cierto es que al comenzar a leer puede llegar a dar bastante miedo todo lo que se llega a producir por parte de la IA.

Y aunque los desarrolladores de todos estos bots conversacionales pueden tratar de dar una solución a estos sufijos específicos los investigadores creen que siempre se va a poder sacar un nuevo método para engañarlos. Esto es algo que hemos visto muy claro con sus “alucinaciones” a la hora de crear una conversación para que nos proporcione las claves de activación de Windows.

En Genbeta

Hemos probado Google Bard en español y su IA será una dura rival para ChatGPT: esto es todo lo que ofrece

A lo largo de la investigación son muchos los sufijos que se han descubierto, aunque no han querido publicarlos todos para evitar que se puedan usar con otros fines. Lo que está claro es que los sistemas de seguridad impuestos son muy débiles y esto puede conducir a una regulación mayor por parte de los gobiernos para crear filtros más seguros.

Vía | The New York Times

Imagen | Bing Image Creator por José Alberto Lizana

En Genbeta | He convertido a Google Bard en mi ayudante: cinco prompts que uso para acabar tareas en segundos y ahorrar horas de trabajo

-
La noticia ChatGPT puede decirte cómo destruir la humanidad o crear una bomba: estos investigadores han burlado sus filtros con un simple sufijo fue publicada originalmente en Genbeta por José Alberto Lizana .

Hoy en día no puedes fiarte de nada ni de nadie: desde los "deepfakes" que hacen dudar de la autenticidad de lo que vemos y oímos hasta los sofisticados ataques 'man-in-the-middle' (MitM) que intentan suplantar nuestra identidad online, la seguridad de la información es una preocupación constante en nuestra vida moderna.

Pero, ¿pueden estas amenazas haber existido hace más de un siglo, en tiempos donde la tecnología parecía primitiva en comparación con la actual? Sorprendentemente, parece que sí. Y hay películas (de esa época) sobre ello.

Francia. Año 1915. Las películas eran mudas, la industria de los efectos espaciales era una rama de la artesanía (¿habéis visto 'La invención de Hugo', no?), y todavía faltaban cinco años para que se estrenase la primera obra de teatro sobre robots. El director de cine francés Louis Feuillade acababa de triunfar con un serial (película en capítulos) sobre crímenes llamado 'Fantômas'…

…y ahora estrenaba otro similar llamado 'Les Vampires'. No, no iba sobre vampiros, sino sobre apaches. No, tampoco era un western: 'apache' era el nombre que se daba entonces a ciertos miembros de los bajos fondos.

¿Y por qué hablamos sobre esto en un medio como Genbeta? Fácil: porque la trama del séptimo capítulo del serial (de un total de 10) anticipa varios conceptos que hoy en día asociamos con la ciberseguridad.

En Genbeta

Qué fue de la 'estafa del príncipe nigeriano', el fraude online original que te ofrecía millones si hacías un 'pequeño favor'

I. Phishing

La trama se centra en un grupo de criminales llamados 'Les Vampires', que planifican un sofisticado robo a un magnate americano, George Baldwin mientras se encuentra en París. La primera parte del plan consiste obtener su firma, para lo cual, se las ingenian para que Baldwin sea entrevistado por la supuesta periodista Lily Flower, de la revista "Modern Woman"…

… que convence al magnate para que escriba unas cuantas palabras en un cuaderno, añadiendo fecha y su firma, con la excusa que su revista publica todos los meses la cita de una celebridad. Por supuesto, el cuaderno tenía debajo papel de calco.

Es decir, estamos ante un caso claro de phishing: por no desconfiar, el Sr. Baldwin cedió inadvertidamente sus credenciales a la persona equivocada, pensando erróneamente que se les daría un uso legítimo.

II. Man-in-the-middle

Pero aquí no termina el ingenioso plan. Los criminales hacen uso de una tecnología de vanguardia para su época: el fonógrafo, uno de los primeros dispositivos de grabación y reproducción de sonido. Con la excusa de grabar la voz de personas famosas en París, logran que Baldwin pronuncie para un falso vendedor de fonógrafos una frase específica en francés, que es clave para el segundo paso de su plan.

La siguiente etapa involucra un ataque "man-in-the-middle" (al que te expones cada vez que usas una WiFi pública), en el que un tercero malicioso intercepta la comunicación entre dos personas/dispositivos con el fin de manipularla, acceder a datos privados de la misma, o suplantar a uno o ambos de los participantes.

En Genbeta

La historia de cómo un deepfake consiguió dañar la reputación de una empresa de refrescos en España: así son los nuevos ciberdelitos

Concretamente, los criminales reemplazan a la operadora telefónica del hotel de Baldwin secuestrándola y enviando a una cómplice en su lugar, que será la 'woman in then middle'. Cuando el empleado de la banca intenta verificar la legitimidad de la transacción que están intentando realizar con el documento firmado (gracias a la firma calcada), llama al hotel…

III. Elusión de la doble autenticación

…y, para su sorpresa, escucha la voz del propio Baldwin proporcionando la autorización para el pago, gracias a la cómplice que ha reproducido la grabación en el fonógrafo. Sin sospechar que está hablando con una impostora, el empleado libera los fondos según las instrucciones que aparentemente ha dado el propio magnate.

No estamos exactamente ante un caso de deepfake de audio porque la voz ha sido grabada directamente, y no sintetizada a partir de una muestra, pero ése sería su paralelismo más obvio.

Ante lo que sí estamos es ante una técnica para eludir un sistema de autenticación basada en dos factores (2FA): ante la posibilidad de que el sistema tradicional de identificación (la firma entonces, la contraseña alfanumérica ahora) fuera violado, el banco había establecido un segundo factor de autenticación (una frase de viva voz entonces, un código pin vía SMS, por ejemplo, ahora)…

En Genbeta

Te veo, te oigo… y me timan, porque no eres tú. Los ciberestafadores ya clonan rostros y voces en videollamadas

…y los apaches vampiros lo hackearon (no me puedo creer que acabe de escribir esa frase).

Ya está todo inventado

Así que, la próxima vez que utilices tu autenticación de dos factores o te encuentres con una grabación sospechosa, recuerda que la lucha contra las ciberamenazas no es algo nuevo.

Por supuesto, hoy en día los ataques "man-in-the-middle" y las estrategias para evadir la autenticación de dos factores (2FA) son mucho más sofisticados y realizados a través de medios digitales, pero es interesante observar cómo estos conceptos básicos de ciberseguridad ya se presentaban en la imaginación cinematográfica de hace más de un siglo.

Imagen | Wikipedia + Marcos Merino vía IA

Fuente | Kaspersky

En Genbeta | La nota de voz que has compartido por WhatsApp puede facilitar que estafen a tus padres: evita así ser víctima de una voz clonada

-
La noticia Esta película de 1915 ya incluía las principales técnicas actuales de ciberestafa. Está todo inventado fue publicada originalmente en Genbeta por Marcos Merino .

Resguardar información en la era digital es una tarea ardua y de vital importancia. Pero si optamos por almacenarla en soporte físico, nos enfrentamos a la posibilidad de perder datos de forma inesperada. Las razones pueden ser variadas: del error humano al ciberataque, pasando por fallos de hardware, bugs de software, corte del suministro eléctrico, etc.

Si almacenas una gran cantidad de datos, las soluciones (baratas) en la nube pueden resultar insuficientes como respaldo… y el hardware necesario para contar con backups adecuados en tu propia casa o centro de trabajo puede resultar prohibitivo para muchos usuarios.

De modo que, a veces, el único modo de lidiar con las situaciones de pérdida de acceso a archivos de nuestros discos es intentar recuperarlo usando software específico para esta clase de problemas. Pero, dado que son aplicaciones que, en muchos casos necesitaremos de manera meramente ocasional, y que nunca habremos usado antes, surgirá la pregunta de ¿cuál es mejor?

Hemos recopilado algunas de ellas, acompañadas de testimonios recopilados —casi todos— en las respuestas de este tuit de Guillermo Mayoraz:

R-Studio

"Tremendo me está saliendo R-Studio para recuperar datos de un HD Hitachi con 14 años de vida que decidió detonar. Intenté con el gran GetDataBack y ni él ha podido hacer lo que está haciendo este software" (@Mayoraz en Twitter).

R-Studio (no confundir con el entorno de desarrollo RStudio, para el lenguaje R) es un software de R-Tools Technology que incluye herramientas capaces de recuperar archivos en los siguientes casos:

• Eliminados sin pasar por la Papelera, o cuando ésta ya ha sido vaciada.
• Eliminados por ataque de virus o corte de corriente eléctrica.
• Después de haber reformateado la partición, incluso si ha habido cambios en el sistema de archivos
• Cuando la tabla de particiones del disco duro ha sido cambiada o dañada.
• Desde particiones dañadas o eliminadas, en general.
• Desde un disco duro con sectores dañados.

En Genbeta

Siete herramientas gratis para borrar de forma segura tus discos duros HDD o SSD

Es compatible con diversos sistemas de archivos (FAT, NTFS, HFS+, Ext2/Ext3/Ext4…), con diversos dispositivos de almacenamiento (HD, CD, DVD, disquetes, tarjetas Compact-Flash, llaveros USB, unidades ZIP, tarjetas de memoria) y con diversos sistemas operativos (Windows, Linux y MacOS)…

…aunque eso último sólo se aplica si compras la licencia más cara (R-Studio Technician, de 899$ dólares), enfocada exclusivamente a profesionales. El resto de usuarios disponemos de varias opciones para Windows a partir de los 79 dólares (pago único con actualizaciones incluidas).

GetDataBack Pro

"Antes de darte una paliza de volver a grabar, prueba Getdataback. Me salvó cantidad de fotos y vídeos de vacaciones que creí perdidos. Si funciona, en veinte minutos te lo resuelve". (vía @Alfaotorongo en Twitter)

"Me ha salvado tantísimas veces en tantos años…". (@Mayoraz en Twitter)

GetDataBack Pro es el producto estrella de Runtime Software. "GetDataBack Pro es mucho más que una simple herramienta para deshacer o restaurar el sistema. Puede recuperar datos incluso en situaciones extremas, como daños en la tabla de particiones, registros de arranque, directorios y otras áreas críticas del sistema".

Como la opción anterior, GetDataBack Pro es compatible con diversos dispositivos de almacenamiento y admite todos los sistemas de archivos propios de Windows y MacOS, así como todos los formatos EXTx de Linux. El ejecutable, por otro parte, sólo está disponible para Windows.

Tiene sólo un tipo de licencia, con un precio de 79 $ (pago único con actualizaciones incluidas).

UFS Explorer

La principal funcionalidad de las ediciones 'Recovery' de UFS Explorer radica en la recuperación de datos de unidades de almacenamiento dañadas, eliminadas o formateadas accidentalmente. Los testimonios de Twitter destacan funcionalidades como la posibilidad de "montar y recuperar volúmenes encriptados (conociendo la clave de recuperación  evidentemente)" y una mejor gestión de las funcionalidades RAID que sus competidores.

Además, soporta un número más amplio de sistemas de ficheros que sus principales rivales, sumando, además de los habituales, la compatibilidad con:

• Windows: ReFS/ReFS3.
• macOS: APFS.
• Linux: SGI XFS, JFS, UFS ReiserFS, Sun ZFS, Btrfs, F2FS.

La más barata de las licencias para ediciones Recovery de UFS Explorer está disponible por 59,99 dólares.

En Genbeta

7 herramientas gratis para comprobar la salud de tu disco duro

HDD-Regenerator

"Lo que hace es tratar de reparar sectores defectuosos a bajo nivel. Con un algoritmo de magnetizado / desmagnetizado. Muchas veces funciona" (@Mayoraz en Twitter)

HDD Regenerator es un programa diseñado para diagnosticar y reparar sectores defectuosos en discos duros (que pueden surgir por golpes, mal mantenimiento o, sencillamente, uso intensivo durante largos períodos de tiempo). La herramienta escanea la superficie del disco a nivel físico, independientemente del sistema de archivos o el formato de la unidad.

Puede recuperar datos de sectores dañados y ofrece un modo de exploración previa para detectar la ubicación de sectores defectuosos de manera rápida. El programa es de uso sencillo y no requiere configuraciones complicadas, lo que lo hace adecuado para usuarios de todos los niveles

HDD Regenerator 2024 está disponible por 99,99 $, mientras que su antecesor HDD Regenerator 2011 (compatible con Windows 8/1o/11, pese a su nombre) lo está a sólo 59,95 $.

TestDisk / PhotoRec

Por fortuna, también existen herramientas tan gratuitas como eficientes disponibles para ayudarnos a recuperar ficheros: TestDisk y PhotoRec son programas en modo texto complementarios, esto es, que se pueden utilizar en conjunto para abordar diferentes escenarios de pérdida de datos.

Primero, TestDisk se puede emplear para recuperar particiones perdidas o dañadas y solucionar problemas de arranque en el sistema. Una vez que se han solucionado estos problemas, si todavía faltan archivos o datos importantes, PhotoRec puede ser utilizado para realizar una búsqueda exhaustiva y recuperar archivos individuales.

Al utilizar estas dos herramientas en conjunto, los usuarios tienen una solución completa para abordar una amplia gama de situaciones de pérdida de datos y recuperar información valiosa de manera efectiva.

Imagen | Pixabay

En Genbeta | Compra un disco duro 'nuevo'… y descubre que contiene 800 GB de datos por valor de varios miles de euros

-
La noticia Perder tus datos es de lo peor que puede pasar en el PC: estos usuarios repasan las mejores apps para recuperarlos que funcionan fue publicada originalmente en Genbeta por Marcos Merino .

Proxmox Mail Gateway es una plataforma de seguridad de correo electrónico de código abierto

Poco después del lanzamiento de la edición VE y Backup Server, Proxmox ha dado a conocer el lanzamiento de la nueva versión de la distribución «Proxmox Mail Gateway 8.0», la cual se presenta como una solución llave en mano para crear rápidamente un sistema para monitorear el tráfico de correo y proteger el servidor de correo interno.

Para quienes desconocen de Proxmox Mail Gateway, deben saber que este funciona como un servidor proxy que actúa como puerta de enlace entre una red externa y un servidor de correo interno basado en MS Exchange, Lotus Domino o Postfix.

Es posible gestionar todos los flujos de correo entrantes y salientes. Todos los registros de correspondencia se analizan y están disponibles para su análisis a través de la interfaz web. Ambos gráficos se proporcionan para evaluar la dinámica general, así como varios informes y formularios para obtener información sobre cartas específicas y el estado de entrega. Admite la creación de configuraciones de clúster para alta disponibilidad (manteniendo un servidor en espera sincronizado, los datos se sincronizan a través de un túnel SSH) o equilibrio de carga.

Se proporciona un conjunto completo de protección, spam, phishing y filtrado de virus. ClamAV y Google Safe Browsing se utilizan para bloquear archivos adjuntos maliciosos, y se ofrece un conjunto de medidas basadas en SpamAssassin contra el correo no deseado

Principales novedades de Proxmox Mail Gateway 8.0

En esta nueva versión que se presenta de Proxmox Mail Gateway 8.0 se cambió a la base del paquete Debian 12 junto con el kernel de Linux que se ha actualizado a la versión 6.2

De los cambios realizados en este lanzamiento, se destaca que se ha propuesto un instalador alternativo basado en texto que se puede usar en hardware muy nuevo o muy antiguo que tiene problemas para ejecutar un instalador gráfico basado en la biblioteca GTK. El instalador está escrito en Rust utilizando la biblioteca Cursive.

Por la parte de las mejoras, podremos encontrar que se agregó la capacidad de bloquear una cuenta después de demasiados intentos incorrectos de pasar la autenticación de dos factores o ingresar contraseñas de un solo uso (TOTP) incorrectas. El bloqueo se realiza para proteger en situaciones en las que los atacantes pudieron averiguar la contraseña del usuario y están tratando de forzar el código de verificación por fuerza bruta en la segunda etapa de la autenticación. Para la autenticación de dos factores, el bloqueo está habilitado durante una hora y para TOTP, indefinidamente. Para desbloquear, puede usar el código de recuperación de acceso o enviar una solicitud al administrador.

El sistema de filtrado de spam se ha actualizado a SpamAssassin 4.0.0 y el paquete antivirus a ClamAV 1.0.1. En SpamAssassin, la clasificación bayesiana y los complementos de lista blanca automática están deshabilitados de forma predeterminada en las nuevas instalaciones.

Los filtros de estadísticas extendidas están deshabilitados de forma predeterminada, ademas de que se ha mejorado la protección contra ataques XSS.

De los demás cambios que se destacan de este nuevo lanzamiento:

• Versiones actualizadas de OpenZFS 2.1.12 y PostgreSQL 15.3.
• Se ha mejorado la implementación del tema oscuro en la interfaz web.
• Se agregó el script pmg7to8 para detectar incompatibilidades en la configuración antes de actualizar desde la rama 7.x.
• La utilidad ethtool está incluida.

Finalmente si estás interesado en poder conocer más al respecto debes saber que los componentes específicos de distribución están abiertos bajo la licencia AGPLv3 y puedes consultar los detalles en el siguiente enlace.

Descargar Proxmox Mail Gateway 8.0

Para los interesados en poder obtener la nueva versión, deben saber que la imagen ISO de instalación está disponible para su descarga gratuita.

Tanto un repositorio Enterprise de pago como dos repositorios gratuitos están disponibles para instalar actualizaciones, que difieren en el nivel de estabilización de las actualizaciones. Es posible instalar los componentes de Proxmox Mail Gateway encima de los servidores basados ​​en Debian que ya se ejecutan.

Hace unos días me comentaba una amiga: ¿todo eso que compartimos en Telegram (nuestra herramienta de comunicación mutua) dónde se queda, porque no lo veo luego en la galería de fotos o vídeos de mi móvil?. Le expliqué que queda dentro de la propia app, porque es como una nube que almacena todo. Y si lo quieres en la galería de tu móvil, entonces tienes que descargarlo tú manualmente.

Y todo esto es así sin la necesidad de usar la versión de pago de Telegram. No solo puedes guardar archivos y fotos que te comparten otras personas, pero usando la función de “save messages” que es como escribirte a ti misma, también te permite guardar documentos que quieras tener en una nube más allá de tu teléfono.

En Genbeta

Esta alternativa a Google Drive ofrece 1 TB de espacio gratis en la nube y carga remota mediante 'torrents': así es TeraBox

De todo modos, como han publicado desde Xataka Móvil, ahí falta un sistema de gestión para que su uso como almacenamiento en la nube sea mucho mejor y hay una aplicación para Android que se llama UnLim.

Qué es UnLim como gestor de archivos

Primero, ten en cuenta que puedes guardar cualquier archivo de tu móvil en Telegram, borrarlo del móvil para ganar espacio y seguir teniéndolo disponible en tu cuenta de Telegram. El único límite es que cada archivo debe pesar como máximo 2 GB en la versión gratuita y 4 GB si tienes Telegram Premium.

Y ahora entra UnLim, que es un gestor de archivos, para evitar tener que hacer carpetas manualmente como si fueran chats. El diseño es similar a Google Fotos, por lo que si has usado esta tan común aplicación del gigante de Mountain View, no te resultará difícil.

Xataka Móvil

La aplicación es gratuita pero sí que te muestra muchos anuncios todo el tiempo. En la parte inferior hay la galería (que es donde podemos subir archivos), las carpetas (un gran directorio en el que formar nuevas carpetas y donde se ven todos los archivos que hemos subido a Telegram) y el apartado de configuración donde hay opciones de sincronización automática y la de búsqueda y catalogación automática de archivos.

UnLim Cloud para nuestro PC

Esta aplicación, según muestra la web, está en proceso de construir su versión para ordenador, lo que sería muy útil, porque puedes usar fácilmente el Telegram en tu ordenador.

Primero, tienes que acceder a la web oficial, en este enlace. Tienes que introducir tu teléfono móvil y te llegará un código a tu cuenta de Telegram asociada a ese número para poder acceder.

De todos modos, aún está en construcción y cuando tratas de usar sus funciones, podrás ver que, aunque se conecta con tu cuenta de Telegram, te indica que la cuenta está en construcción y que agradecen tu paciencia. Es decir, que no indican cuándo llegará el momento de usar UnLim Cloud en un ordenador.

Imagen | Soragrit Wongsa en Unsplash 

En Genbeta | 

-
La noticia La mejor alternativa a Google Fotos ya la tienes en tu móvil y gratis: es Telegram junto con esta otra herramienta fue publicada originalmente en Genbeta por Bárbara Bécares .

Hay aplicaciones, programas y webs tan buenas que resulta difícil de creer que sean gratis... pero lo son, aunque siempre está la opción de hacer un aporte económico para agradecérselo. En cualquier caso, lo importante es tenerlas siempre a mano para sacarles todo el partido. Hoy te presentamos una web que tiene todas las papeletas para que la guardes en los favoritos de tu navegador.

Su nombre es IT Tools y es un magnífico repositorio de funciones especialmente recomendable para aquellas personas que se dediquen a la informática, ya sean profesionales con años de experiencia a principiantes. No obstante, teniendo en cuenta que dispone de 60 herramientas gratis y que puedes disfrutar de ellas sin anuncios, es conveniente echarle un vistazo porque incluso aunque no trabajes en el sector, seguro que encuentras algo útil para ti.

Una vez entras en la web vas a encontrar una interfaz visual y funcional que resulta de lo más intuitiva, aunque eso sí, completamente en inglés. En la columna de la izquierda lista las herramientas en función de categorías. En la zona central se muestran algunas de las últimas herramientas integradas y más abajo, todas las herramientas con una breve descripción.

No obstante, en la parte superior hay un cajetín de búsqueda para que teclees lo que necesitas directamente. Como la cantidad de funciones disponibles es elevada y para evitar que te cueste encontrarlas, siempre puedes marcarlas como favoritas. Como curiosidad, su interfaz se adapta al tema claro u oscuro que tengas establecido.

Entre las categorías disponibles se encuentran criptomonedas, conversores, web, imágenes y vídeos, desarrollo, redes, matemáticas, medidas, textos, datos... aunque algunas son de lo más específicas para la informática, otras son útiles herramientas de uso general como un generador de códigos QR,  un evaluador de fórmulas matemáticas o un estadístico de textos para mostrar caracteres, palabras, líneas y tamaño de un texto.

Portada | Pantallazo de la web y foto de Codioful (Formerly Gradienta) en Unsplash

En Genbeta | 11 aplicaciones gratuitas y de código abierto tan buenas que es difícil creer que sean mejores que las de pago

-
La noticia Esta web es una auténtica navaja suiza con más de 60 herramientas gratis y de código abierto que puedes usar fue publicada originalmente en Genbeta por Eva Rodriguez .

Wokwi es una fascinante herramienta consistente en un simulador de proyectos Arduino, que también sirve para microcontroladores ESP32 y STM32. Puede simular visualmente y mediante objetos y conexiones móviles las placas, cables y componentes y también ejecutar el código y mostrar qué es lo que hace. Es como utilizar Arduino pero sin tener una placa, simplemente visualizando qué es lo que sucedería.

Además de que resulta ideal para el mundo educativo, porque permite hacer cosas con los componentes electrónicos sin disponer de ellos físicamente, puede ser también una forma de ahorrar tiempo y «freír» menos componentes, aunque normalmente esto ya es difícil a menos que seas un poco bestia con tus montajes.

La pantalla está dividida en dos partes: la izquierda muestra o bien el código o bien el diagrama, expresado como un archivo JSON. La derecha muestra visualmente la simulación y es donde se pueden arrastrar componentes con el ratón, añadirlos con el botón (+) y recolocar cables y conectarlo todo.

Hay varios ejemplos que muestran su potencia: un juego de tipo Simon, un Nano-Pong con un display 128x64, hacer funcionar una matriz de ledes de 32x32 y diversas plantillas para empezar más rápidamente. También hay una profusa documentación, un FAQ y enlaces a recursos, tutoriales y ejemplos.

Relacionado:

• Arduino, el documental
• PongDuino: un proyecto para reconstruir Pong
• Industruino: el controlador industrial versión Arduino
• Cómo usar grifería de paso como bestiales potenciómetros analógicos

# Enlace Permanente

GPT4All: Ecosistema de Chatbots IA de software de código abierto

Aquí en DesdeLinux, y otros sitios webs similares como Ubunlog o LinuxAdictos, solemos compartirles de vez en cuando, publicaciones (noticias, guías y tutoriales) relacionadas con la innovadora tecnología de la Inteligencia Artificial.

Por ejemplo, en nuestro caso, el último post al respecto fue uno relacionado con la organización abierta, 100% sin ánimo de lucro y 100 gratis, llamada LAION, que se dedica a la construcción de una Red abierta de inteligencia artificial a gran escala. Y a Open Assistant, que es asistente con inteligencia artificial de código abierto basado en Chat, cuya visión es crear un modelo de lenguaje grande (LLM) que pueda ejecutarse en una sola GPU de consumo de alta gama. Sin embargo, existen otros proyectos abiertos similares a este último, y uno de ellos es «GPT4All», el cual abordaremos hoy.

LAION y Open Assistant: ¿Qué son y mucho más sobre ambos?

Pero, antes de iniciar este nuevo post sobre las tecnologías IA y el proyecto «GPT4All», les recomendamos que luego exploren la anterior publicación relacionada donde mencionamos brevemente al proyecto Open Assistant:

GPT4All: Ecosistema de software IA de código abierto

Sobre GPT y LLM

Tal como expresamos al inicio, esta no es nuestra primera publicación sobre la Tecnología IA, pero también es cierto que, en las anteriores no hemos aclarado o precisado con exactitud, 2 conceptos que solemos mencionar frecuentemente en dichas publicaciones. Y estos 2 conceptos son GPT y LLM. Por ello, vale destacar que en el campo de la Inteligencia Artificial, las siglas GPT y LLM se refiere a lo siguiente:

GPT

Es un modelo de lenguaje computacional cuyas siglas GPT significan «Generative Pre-trained Transformer» en inglés, o Lenguaje «Transformador Generativo Pre-entrenado», en español. Por ende, GPT hace referencia a un modelo de lenguaje basado en la arquitectura de Transformadores, que utilizan redes neuronales para procesar el texto. Además, este tipo de modelo implica el entrenamiento previo del mismo, sobre grandes cantidades de datos textuales para aprender patrones lingüísticos y contextuales.

Por ello, se le considera muy efectivo para tareas relacionadas con el procesamiento del lenguaje natural, como la generación de texto coherente y relevante. Llegando incluso, tal como se ha visto con el Chatbot de Open AI basado en GPT (3.5/4.0) a lograr mantener conversaciones interactivas con los usuarios.

LLM

Es un modelo de lenguaje computacional cuyas siglas LLM significan «Large Language Model» en inglés, o Lenguaje de «Modelo de Lenguaje Grande», en español. Por ende, LLM hace referencia a muchos o todos los modelos de lenguaje computacional de gran escala como GPT-3, GPT-4, entre otros.

Por tal razón, LLM engloba a GPT y a todos aquellos lenguajes diseñados para tener una capacidad excepcionalmente grande de comprender y generar texto. Lo que convierte a este tipo de lenguajes en favoritos para la creación de chatbots inteligentes, y mejorar la capacidad de respuesta y generación de texto de cualquier programa que funcione como un asistente virtual.

¿Qué es GPT4All?

Ahora que, ya tenemos más en claro los conceptos sobre GPT y LLM, te presentamos el proyecto «GPT4All», el cual es descrito en su sitio web oficial de la siguiente forma:

Un chatbot de uso gratuito, local y con mecanismos de privacidad. Qué además, no requiere de GPU ni Internet para funcionar sobre tu ordenador.

Mientras que, en su sección oficial en GitHub es descrito como:

Un ecosistema de chatbots de código abierto entrenados en una colección masiva de datos limpios de asistentes, incluyendo código, historias y diálogos.

Y de la revisión de ambos, es importante destacar los siguientes 5 puntos fuertes sobre dicho proyecto:

• Es un proyecto multiplataforma: Que ofrece instaladores oficiales para Windows, macOS y Ubuntu Linux (archivo .run).
• Es un ecosistema de software de código abierto: Que lo hace idóneo para entrenar y desplegar modelos de lenguaje potentes y personalizados que se ejecutan localmente en CPUs de consumo.
• Su objetivo principal es claro y sencillo: Lograr la construcción de modelo lingüístico de tipo asistente de instrucciones que cualquier persona o empresa pueda utilizar, distribuir y desarrollar libremente.
• Ofrece diversos modelos de trabajo relativamente ligeros: Que suelen estar disponibles a través de archivos descargables de 3 GB a 8 GB, y pueden ser usados para integrarse a su software local GPT4All.
• Ofrece el llamado GPT4All Open Source Datalake: Que es un apartado que fomenta la contribución de instrucciones y ajuste de datos para los futuros entrenamientos de los modelos GPT4All disponibles.

En caso de, desear conocer más sobre este Proyecto llamado GPT4All se puede explorar directamente su documentación oficial sobre el siguiente enlace.

GPT4All es desarrollado por la organización Nomic AI. La cual, respalda y mantiene este ecosistema de software para garantizar la calidad y la seguridad. Y que además, encabeza el esfuerzo para permitir que cualquier persona o empresa pueda entrenar y desplegar fácilmente sus propios modelos lingüísticos de última generación. Explorar la web de Nomic AI

Resumen

En resumen, si eres un entusiasta de la tecnología y un apasionado por probar diversos desarrollos de Inteligencia Artificial, pues seguramente ahora sumaras a tu lista de espera para probar al proyecto «GPT4All». Claro está, siempre y cuando tu hardware común (de casa) cumpla con las especificaciones mínimas para poder ejecutar el mismo. Mientras, te recomendamos conocer y probar otros desarrollos IA en línea, libres y abiertos, tales como «Open Assistant», que por ahora no requiere de ser instalado, sino de participar en su desarrollo y uso para seguir mejorándolo en favor de toda la Humanidad.

Y, si te ha gustado esta publicación, no dejes de compartirla con otros en tus sitios webs, canales, grupos o comunidades favoritas de redes sociales o sistemas de mensajería. Por último, recuerda visitar nuestra página de inicio en «DesdeLinux» para explorar más noticias. Y también, unirte a nuestro canal oficial de Telegram de DesdeLinux, o este grupo para más información sobre el tema de hoy.

Proxmox Backup Server es un software de copia de seguridad cliente-servidor de clase empresarial que realiza copias de seguridad de máquinas virtuales, contenedores y hosts

Poco después del lanzamiento de la nueva versión de Proxmox Virtual Environment 8.0, se ha dado a conocer el lanzamiento de «Proxmox Backup Server 3.0», la cual llega con grandes cambios tales como la migración de la base a Debian 12, tambien se han implementado mejoras generales, correcciones de errores y más.

Para quienes desconocen de Proxmox Backup Server, deben saber que este está destinado a realizar copias de seguridad de máquinas virtuales y contenedores. Las copias de seguridad se gestionan y los datos se restauran a través de una interfaz web. Todo el tráfico transmitido de los clientes al servidor se cifra mediante AES-256 en modo GCM, y las copias de seguridad ya están cifradas mediante cifrado asimétrico mediante claves públicas.

Principales novedades de Proxmox Backup Server 3.0

En esta nueva versión que se presenta de Proxmox Backup Server 3.0 tal y como se mencionó al inicio una de las principales novedades es él cambió a la base del paquete Debian 12, junto con el Kernel de Linux que se ha actualizado a la versión 6.2.

Otro de los cambios que se destaca, es que se ha propuesto un instalador alternativo basado en texto que se puede usar en hardware muy nuevo o muy antiguo que tiene problemas para ejecutar un instalador gráfico basado en la biblioteca GTK.

Ademas de ello, las tareas de copia de seguridad y restauración desde cintas se han agregado a la página de resumen de la interfaz, al restaurar una sola instantánea, se muestra una lista de cartuchos necesarios para la operación. Si no hay medios de cinta que contengan la copia de seguridad, la recuperación ahora no se interrumpe, sino que se suspende hasta que se inserta el medio correcto.

Para los trabajos sincronizados (sync-jobs), se implementó un nuevo parámetro «transfer-last», que le permite transferir solo una cierta cantidad de las últimas copias de seguridad en lugar de todas las copias de seguridad.

Se agregó la capacidad de bloquear una cuenta después de demasiados intentos incorrectos de pasar la autenticación de dos factores o ingresar contraseñas de un solo uso (TOTP) incorrectas. El bloqueo se realiza para proteger en situaciones en las que los atacantes pudieron averiguar la contraseña del usuario y están tratando de forzar el código de verificación por fuerza bruta en la segunda etapa de la autenticación. Para la autenticación de dos factores, el bloqueo está habilitado durante una hora y para TOTP, indefinidamente. Para desbloquear, puede usar el código de recuperación de acceso o enviar una solicitud al administrador.

De los demás cambios que se destacan de esta nueva versión:

• Se ha mejorado la implementación del tema oscuro en la interfaz web.
• La utilidad ethtool está incluida.
• Trabajo mejorado con unidades de cinta.
• Versión actualizada de OpenZFS 2.1.12.
• Se solucionó un problema por el cual ciertas tareas de trabajos de poda no aparecían en el resumen de tareas.
• Se aumento la flexibilidad de los trabajos sincronizados con la nueva opción transfer-last
• Salida de registro mejorada para trabajos de sincronización: para mejorar la legibilidad, el registro ahora contiene una línea de apertura para cada grupo de copia de seguridad.
• proxmox-file-restore ahora respeta la variable de entorno PBS_QEMU_DEBUG.
• Solucion a un problema en el que la ejecución del statuscomando fallaba con un rastreo
• Se mejoró el manejo de errores cuando falla la compresión de un directorio, al salir antes si ocurre un error fatal.
• Se solucionó un problema por el cual la recolección de elementos no utilizados mostraba incorrectamente advertencias cuando un almacén de datos usaba espacios de nombres
• Se corrigió un error que impedía ingresar máscaras de red para redes con una longitud de prefijo CIDR menor que /8 en la configuración de la interfaz de red
• La restauración de archivos desde un directorio de instantáneas ZFS ahora funciona con proxmox-file-restore

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descarga Proxmox Backup Server 3.0

Para quienes están interesados en poder obtener esta nueva versión, deben saber que una imagen de instalación ISO está disponible para descarga gratuita. Para instalar actualizaciones, hay disponibles tanto un repositorio empresarial de pago como dos repositorios gratuitos, que difieren en el nivel de estabilización de la actualización.

Puedes obtener las imágenes del sistema desde el sitio web oficial de Proxmox. Los archivos se pueden descargar desde este enlace. 

El medio de instalación (CD o USB) es un sistema operativo completo. Se puede instalar de forma completa en hardware dedicado o en una máquina virtual en todas las plataformas de virtualización, además de que también se puede instalar sobre una instalación de Debian existente.

Proxmox Virtual Environment, o Proxmox VE, entorno de virtualización de servidores de código abierto que permite el despliegue y la gestión de máquinas virtuales y contenedores

Se dio a conocer el lanzamiento de la nueva versión de Proxmox VE 8.0 basado en Debian 12 «Bookworm» y que llega con varios aspectos destacados, tales como el bloqueo después de varios intentos fallidos de inicio de sesión, actualizaciones y más.

Para quienes desconocen de Proxmox, deben saber que es distribución Linux especializada basada en Debian GNU/Linux destinada a desplegar y mantener servidores virtuales usando LXC y KVM, y capaz de actuar como reemplazo de productos como VMware vSphere, Microsoft Hyper-V y el hipervisor Citrix

Proxmox VE proporciona los medios para implementar un sistema de servidor virtual de grado industrial basado en web llave en mano para administrar cientos o incluso miles de máquinas virtuales. La distribución tiene herramientas integradas para organizar copias de seguridad de entornos virtuales y compatibilidad con clústeres disponibles desde el primer momento, incluida la capacidad de migrar entornos virtuales de un nodo a otro sin detener el trabajo.

Principales novedades de Proxmox VE 8.0

Está nueva versión de Proxmox VE 8.0, se cambió a la base del sistema a la nueva version de Debian 12, junto con el Kernel de Linux que se ha actualizado a la versión 6.2.

De los cambios realizados en este nuevo lanzamiento, podremos encontrar que se ha propuesto un instalador alternativo basado en texto que se puede usar en hardware muy nuevo o muy antiguo que tiene problemas para ejecutar un instalador gráfico basado en la biblioteca GTK, asi como tambien que se proporcionó la capacidad de actualizar de una forma sencilla y sin complicaciones desde Proxmox VE 7.4 a la versión 8.0.

Ademas de ello, tambien podremos encontrar que se ha agregado un controlador para sincronizar periódicamente las credenciales de usuarios y grupos con información de un servidor LDAP o Microsoft Active Directory, asi como tambien que se agregó la capacidad de aplicar listas de control de acceso (ACL) para elementos de redes definidas por software (SDN, Redes definidas por software). Por ejemplo, a través de ACL, puede configurar el acceso selectivo de usuarios y grupos a puentes de red y redes virtuales.

Otro de los cambios que se destaca es que se implementó la capacidad de vincular recursos, como dispositivos con interfaces PCI(e) y USB, a nodos de clúster mediante una interfaz web o API, lo que permite organizar la migración sin conexión de máquinas virtuales a las que se reenvían dichos recursos.

Para las máquinas virtuales creadas a través de la interfaz web, el tipo de CPU x86-64-v2-AES está habilitado de forma predeterminada, lo que permite usar algunas funciones avanzadas para acelerar los cálculos.

Tambien podremos encontrar que se agregó la capacidad de bloquear una cuenta después de demasiados intentos incorrectos de pasar la autenticación de dos factores o ingresar contraseñas de un solo uso (TOTP) incorrectas. El bloqueo se realiza para proteger en situaciones en las que los atacantes pudieron averiguar la contraseña del usuario y están tratando de forzar el código de verificación por fuerza bruta en la segunda etapa de la autenticación. Para la autenticación de dos factores, el bloqueo está habilitado durante una hora y para TOTP, indefinidamente. Para desbloquear, puede usar el código de recuperación de acceso o enviar una solicitud al administrador.

De los demás cambios que se destacan de esta nueva versión:

• Se ha lanzado un nuevo repositorio de Ceph Enterprise que ofrece paquetes Ceph 17 «Quincy» creados por el equipo de Proxmox.
• Se implementó la capacidad de iniciar y administrar el almacenamiento de Ceph desde cualquier nodo de clúster, se unificó la entrega de paquetes de Ceph con otros componentes de Proxmox VE.
• Versiones actualizadas de QEMU 8.0.2, LXC 5.0.2, OpenZFS 2.1.12, Ceph 17.2.6.
• Se ha mejorado la implementación del tema oscuro en la interfaz web y se ha rediseñado la versión para dispositivos móviles.
• Se agregó la traducción de la interfaz al ucraniano.

Finalmente, si estás interesado en conocer más al respecto sobre esta nueva versión de la distribución, puedes consultar los detalles en el anuncio. El enlace es este.

Descarga y soporte de Proxmox VE 8.0

Proxmox VE 8.0 ya está disponible para descargar en su página web oficial, el tamaño de la imagen iso de instalación es de 1.1 GB. El enlace es este. 

Por otro lado, también esta Proxmox Server Solutions ofrece soporte empresarial a partir de € 80 por año por procesador.

Las plataformas de streaming han acabado conquistando nuestros hogares y viajes cuando se trata de querer ver alguna serie, película o documental. A través del pago de una suscripción mensual, podremos disfrutar de un catálogo de centenares de títulos y desde cualquier dispositivo, algo extremadamente cómodo.

Sin entrar en discusiones técnicas sobre la calidad de imagen de los servicios de streaming o las cuestionables políticas de algunas compañías, lo cierto es que plataformas tales como Netflix, Prime Video, HBO Max, Disney+ y muchas más, han cambiado la manera en la que consumimos contenido en nuestro día a día.

Sin embargo, no en todas ellas tenemos que pagar una suscripción mensual. En muchas otras plataformas también tenemos cientos de títulos a nuestra disposición y canales en directo que podemos disfrutar de manera totalmente gratuita. En este artículo hemos querido recopilar las opciones más interesantes que tenemos en España en cuanto a plataformas totalmente gratuitas.

Pluto TV

Pluto TV es una plataforma de streaming propiedad de Paramount que ofrece una amplia selección de más de 100 canales diferentes para explorar. Además, cuenta con una extensa biblioteca de programas y películas gratuitas que se pueden ver en cualquier momento sin necesidad de crear una cuenta. La plataforma es gratis debido a que se sustenta de la publicidad, por lo que en determinados momentos habrá pausas publicitarias al igual que la televisión.

Una de las características destacadas de Pluto TV es su interfaz, que se inicia directamente en el canal en el que lo dejaste la última vez. Esto resulta conveniente y familiar para los usuarios, ya que pueden retomar fácilmente su contenido favorito. Al igual que otros servicios de streaming similares, Pluto TV ofrece canales especializados en programas específicos y géneros. Además, al ser propiedad de Paramount, cuenta con una amplia gama de contenido popular y reconocible, como las series 'Star Trek' o 'CSI'. También ofrece una selección de canales dedicados al cine, que son especialmente apreciados por los amantes de las películas.

En Genbeta

Esta web te permite ver hasta 65 canales de la TDT gratis y sin la necesidad de instalar ninguna app: así funciona

La aplicación de Pluto TV está disponible en diversos dispositivos, incluyendo televisores, dispositivos Android, iOS y su web. Esto brinda a los usuarios la flexibilidad de disfrutar del contenido en la plataforma utilizando sus dispositivos preferidos.

Rakuten TV

Rakuten TV es una plataforma que ha experimentado un reciente aumento en su oferta de canales, contando actualmente con más de 100. Esta plataforma ofrece una amplia variedad de programas y películas, adaptándose a cada mercado en particular. Con retransmisiones las 24 horas, Rakuten TV abarca diversas categorías, como noticias, entretenimiento, estilo de vida, contenido infantil y, más recientemente, series de televisión.

La ventaja de Rakuten TV es que no requiere suscripción, ya que se puede acceder directamente a través de un enlace web o mediante la aplicación para Smart TV. Además, también podemos acceder desde dispositivos móviles, ordenadores, Smart TVs y más. Al igual que Pluto TV, se trata de contenido que se sustenta por medio de la publicidad. De hecho, seguramente nos encontremos con contenido muy similar a la plataforma mencionada antes.

Tivify Free

Tivify es una plataforma muy popular para ver televisión de forma gratuita, que inicialmente no tenía anuncios pero ahora los ha incorporado en su plan gratuito, que es en el que nos vamos a enfocar.

Tivify ofrece más de 80 canales, la mayoría de los cuales provienen de la TDT (Televisión Digital Terrestre). Esto significa que si no tienes una antena o si tienes problemas con la señal, Tivify puede ser una buena alternativa. Con esta plataforma, puedes ver una variedad de canales en directo, incluyendo canales generalistas, autonómicos, internacionales y temáticos. Sin embargo, si deseas acceder a canales como los de ATRESMedia, AXN, TNT, TCM, Calle 13, Motorvision.tv o CNN, deberás pagar.

En cuanto a las características de Tivify Free, te permite ver la televisión en directo (ten en cuenta que no es un agregador de canales), grabar algunos programas, vincular hasta tres dispositivos y reproducir únicamente en uno de ellos.

Para acceder a Tivify, puedes visitar la página web Tivify.tv, o descargar la aplicación para smart TVs de Samsung, LG y dispositivos con Android TV. También puedes encontrar la aplicación en la Google Play Store y en la App Store para dispositivos móviles.

Runtime

Runtime es una plataforma de streaming que recientemente hizo su debut en España. En poco tiempo, ha logrado reunir más de mil títulos, incluyendo tanto series como películas y programas de televisión. Lo bueno es que, al igual que con Rakuten o Pluto TV, no hace falta registro, por lo que podremos ver contenido directamente desde la web o aplicación. Además, se trata de una plataforma basada en publicidad, razón por la que se nos ofrece de manera gratuita.

La biblioteca de Runtime abarca una amplia variedad de categorías y géneros, y organiza su contenido en siete canales dedicados a películas temáticas y tres canales enfocados en series. Esto permite a los usuarios encontrar fácilmente el tipo de contenido que deseen ver.

Para acceder a Runtime, tienes diferentes opciones. Puedes visitar su página web desde cualquier dispositivo o instalar la aplicación correspondiente en tu Android, Android TV, Google TV, iOS, Fire TV, Roku o Apple TV. De esta manera, podrás disfrutar de su contenido en la plataforma que más te convenga.

Samsung TV Plus

Samsung TV Plus es un servicio de streaming en directo de la firma que inicialmente estaba disponible solo en sus propias marcas de televisores. Sin embargo, ha ampliado su alcance y ahora también se puede acceder a través de dispositivos Galaxy e incluso algunos modelos de frigoríficos Samsung.

Esta plataforma ha experimentado una evolución significativa, tanto en términos de expansión a más dispositivos como en mejoras en su interfaz. Además, Samsung TV Plus ha establecido asociaciones con empresas como Lionsgate y Vice Media para ofrecer una mayor variedad de canales gratuitos a sus usuarios.

La cantidad de canales disponibles puede variar según la ubicación geográfica, pero en España, por ejemplo, se pueden encontrar más de cien canales. Estos canales incluyen tanto los canales de televisión tradicionales que se transmiten a través de la TDT (Televisión Digital Terrestre) como canales exclusivos de Samsung TV Plus.

Algunos ejemplos de estos canales son 'Todo Crimen', que se enfoca en contenido relacionado con crímenes; 'NatureTime', un canal dedicado a la vida salvaje y la naturaleza; 'GoUSA', un canal de viajes centrado en Estados Unidos; 'Gringo', que ofrece películas del género del oeste; y 'Bigtime', un canal que ofrece una selección variada de películas, entre otras.

LG Channels

Al igual que ocurre con el servicio de Samsung, LG también ofrece una lista con más de 1.900 canales que se pueden acceder de forma completamente gratuita. El único requisito es disponer de un televisor LG con webOS 5.0 o superior.

Esta plataforma se aúna a la retransmisión de canales de la TDT, haciendo que el usuario cuente con una oferta mucho más amplia de canales sin tener que pagar por una suscripción. Aquí encontraremos tanto series de televisión como películas, shows, documentales y más. Encontrarás la app de LG Channels directamente instalada en tu Smart TV LG.

Xiaomi TV+

Xiaomi TV+ es una plataforma de transmisión gratuita ofrecida por Xiaomi que brinda acceso a 240 canales de televisión en vivo. Inicialmente, este servicio, conocido como FAST de Xiaomi, se lanzó en los televisores de la marca, pero ahora está disponible para cualquier televisor que tenga Android TV simplemente descargando la aplicación correspondiente.

Lo mejor de todo es que no necesitas registrarte para utilizar la aplicación. Una vez que la descargas, encontrarás una amplia variedad de canales organizados por temáticas. Aunque el inglés todavía es el idioma dominante, cada vez hay más contenido en castellano, lo que permite a los usuarios hispanohablantes disfrutar de una experiencia más personalizada.

RTVE Play

Aunque al principio comenzó únicamente mostrando los contenidos en directo de los programas de RTVE, la plataforma ha ido poco a poco expandiendo su oferta de contenido y ahora en ella podemos encontrar incluso películas muy bien valoradas que se han estrenado alguna vez en sus canales.

RTVE Play nos permite reproducir en cualquier dispositivo los canales de La 1, La 2, 24H, TDP y Clan. Sin embargo, también dispone de un gran abanico de contenido bajo demanda accesible de forma totalmente gratuita. Merece la pena echarle un vistazo en algún momento, ya que nos puede dar la sorpresa con alguna película que hayan estrenado recientemente en sus canales y que podamos ver en la plataforma.

ATRESPlayer

Todos los contenidos del grupo ATRESMEDIA los podemos ver en directo desde la web y aplicación de ATRESPlayer. Aquí tendremos recopilados todas las series, películas y programas que estrenan en canales como Antena 3, La Sexta, Neox, Nova, Mega y demás.

Aunque buena parte de su contenido es gratis, la plataforma también ofrece una versión Premium con la que podemos acceder a contenido exclusivo.

Mitele

Lo mismo que ocurre con los canales de RTVE y ATRESMEDIA también lo tenemos con el Grupo MEDIASET. Y es que a través de la web de Mitele podemos acceder a toda la programación de Telecinco, Cuatro, FDF, Boing y demás.

En Mitele tenemos tanto la programación de los canales de MEDIASET como contenido bajo demanda producido por la organización. Aunque eso sí, al igual que pasa con ATRESPlayer, para acceder a contenido exclusivo debemos de hacernos miembros Plus.

Plex

Aunque muchos conozcan este servicio sobre todo porque nos brinda la posibilidad de crear un servidor multimedia con todo nuestro contenido en local, la app también cuenta con un apartado que ofrece cientos de títulos completamente gratis y canales que emiten en directo al más puro estilo de Pluto TV, Rakuten y demás.

Si bien la mayoría de su contenido se encuentra en inglés, en la plataforma también podemos encontrar con una buena cantidad de títulos en español, siendo una alternativa más para poder disfrutar de contenido gratis. Además, tampoco hace falta registrarse para acceder a su programación.

Imagen | Xataka Android

En Genbeta | Esta web te permite ver cientos de canales de la TDT gratis desde un único sitio

-
La noticia 11 servicios de streaming gratuitos para ver series y películas sin registro y sin tener que pagar una suscripción fue publicada originalmente en Genbeta por Antonio Vallejo .

Si estás pensando en domotizar tu casa, tal vez te interese contar con un Mini PC. Vas a poder usarlo para instalar Home Assistant y poder vincular una gran cantidad de dispositivos domóticos, controlarlos de forma remota, automatizar tareas y en definitiva, hacer nuestra casa inteligente. Hay un amplio abanico de opciones y realmente tienes muchos dispositivos inteligentes que puedes utilizar en tu vivienda, como pueden ser sensores, bombillas, enchufes y muchos tipos más. Pero, ¿qué características son necesarias para que un Mini PC funcione correctamente con Home Assistant?

Te vamos a mostrar las características mínimas y recomendadas para que no tengas problemas de rendimiento. También pondremos algunas opciones de Mini PC que vas a poder comprar, para que elijas el que más se adapte a lo que buscas. Ten en cuenta que hay muchas opciones, con características distintas. Lo ideal, eso sí, es comprar uno de garantías.

Cómo elegir un Mini PC para Home Assistant

La mayoría de Mini PC que podemos comprar actualmente, superan con mucho los requisitos mínimos que tiene Home Assistant para funcionar correctamente, no obstante, si vas a tener una gran cantidad de sensores y dispositivos gestionados de forma centralizada por este sistema domótico, nuestra recomendación es que tengas más núcleos de CPU, RAM y almacenamiento en disco. Los requisitos mínimos son los siguientes:

• 2vCPU: como mínimo necesitamos dos núcleos de procesador, hoy en día casi cualquier CPU de un mini PC cumple con este requisito con creces.
• 2GB de RAM: es el mínimo que hay que dedicarle a Home Assistant para no tener problemas, no obstante, realmente consume mucha menos, pero depende de todas las integraciones que tengas en el equipo.
• 32GB de almacenamiento: aunque no detalla si necesitamos un disco duro o un SSD, nuestra recomendación es que utilices siempre un SSD para que el funcionamiento de Home Assistant sea óptimo. Respecto a la capacidad de almacenamiento, también dependemos de cuántas integraciones tengamos, y cuánto histórico de datos queramos guardar en la memoria.

La mejor forma de instalar Home Assistant es a través de un Proxmox, y virtualizar el sistema operativo de Home Assistant, para tener a nuestra disposición las características de las instantáneas, que es algo realmente importante para «volver hacia atrás» en caso de que sea necesario por algún error en la configuración. No obstante, también podríamos usar Home Assistant directamente de manera nativa, aunque no lo recomendamos porque perderemos esta funcionalidad tan interesante. Por supuesto, también podremos instalarlo a través de Docker, si es que pretendemos usar virtualización de contenedores.

La gran mayoría de mini PC disponen de manera predeterminada del sistema operativo Windows 11, ya sea en su versión Windows 11 Home o bien Windows 11 Pro. Siempre que compremos un Mini PC y venga con este sistema operativo, como mínimo debería tener 8GB de memoria RAM para no tener ningún problema de recursos, por lo que podremos ponerle 3GB de memoria RAM para Home Assistant y que funcione más fluido. En el caso de que tenga 16GB de RAM, podrás ponerle 4GB de memoria RAM a Home Assistant para que vaya bastante sobrado de recursos. En Windows 11 tenemos dos formas de instalación:

• Usar Home Assistant Operating System virtualizado con VirtualBox, KVM, VMware Workstation o Hyper-V
• Usar Home Assistant Core en Windows usando el subsistema de Linux.

En cuanto al procesador, es recomendable que sea un Intel N100 o superior, aunque los modelos de gama alta anteriores también te deberían funcionar perfectamente. En el caso de que tenga un AMD Ryzen, asegúrate de que sea potente, como el Ryzen 5 5500U que está orientado a bajo consumo, porque hay que «mover» tanto el sistema Windows 11 como también Home Assistant, no te valdrá con un procesador muy básico.

Respecto al almacenamiento en disco, es recomendable que tenga un SSD para que todo funcione muy rápido, la capacidad no es tan importante porque con unos 50GB ya tendrás espacio más que suficiente para almacenar todos los datos de sensores, las copias de seguridad completas, las parciales y cualquier integración que descargue muchos datos.

Finalmente, en cuanto a la conectividad, siempre es recomendable que tenga un puerto Gigabit Ethernet para conectarlo por cable, aunque la mayoría de mini PC incorporan conectividad WiFi, no os recomendamos usarla porque esto provocaría un exceso de tráfico en la red inalámbrica, y podríamos tener un cierto retraso en todas las acciones a realizar.

Mini PC recomendados

Actualmente hay una gran cantidad de modelos de Mini PC de muchas marcas, os vamos a indicar un total de 5 modelos que son perfectos para Home Assistant, ya que irán bastante «sobrados» para ejecutarlo, ya sea en una máquina virtual con base de Proxmox, e incluso con Windows 11 y usando VirtualBox o VMware.

Beelink SER5

Este modelo es muy interesante debido a que es bastante potente y podemos encontrarlo por unos 300€ aproximadamente, aunque hay modelos más baratos, hay que valorar la potencia de los nuevos modelos con Intel o AMD. Las características son:

• Procesador: AMD Ryzen 5 5500U con 6 núcleos y 12 hilos a 2,1GHz de velocidad.
• RAM: 16GB DDR4, ampliable hasta 64GB de RAM.
• Almacenamiento: incluye un M.2 NVMe SSD con 500GB de capacidad, permite instalar un disco de 2,5» en su interior.
• Conectividad: puerto Gigabit Ethernet, Wi-Fi 6 y diferentes puertos USB y HDMI.

El precio de este equipo ronda los 300€ aproximadamente, un precio muy bueno teniendo en cuenta que su hardware es bastante potente.

Beelink SER5 PRO

Este equipo es muy similar al anterior, la principal diferencia es que su procesador es mucho más potente, ideal si vas a realizar integraciones muy avanzadas en Home Assistant. Las características son:

• Procesador: AMD Ryzen 7 5800H con 8 núcleos y 16 hilos a 3,2GHz de velocidad.
• RAM: 16GB DDR4, ampliable hasta 64GB de RAM.
• Almacenamiento: incluye un M.2 NVMe SSD con 500GB de capacidad, permite instalar un disco de 2,5» en su interior.
• Conectividad: puerto Gigabit Ethernet, Wi-Fi 6 y diferentes puertos USB y HDMI.

Este equipo supera los 350€ de precio, pero si queremos un procesador bastante más potente que el anterior (y también mayor consumo energético) es el modelo perfecto.

Beelink EQ12

Este mini PC incluye el nuevo procesador Intel N100, un procesador muy potente y de bajo consumo, ideal para ahorrar dinero a final de mes en la factura, ya que tendrá que estar permanentemente encendido. Las características de este modelo son:

• Procesador: Intel N100 con 4 núcleos y 4 hilos a 3,4GHz de velocidad.
• RAM: 16GB DDR4.
• Almacenamiento: incluye un M.2 NVMe SSD con 500GB de capacidad, permite instalar un disco de 2,5» en su interior.
• Conectividad: puertos 2.5G Multigigabit, Wi-Fi 6 y diferentes puertos USB y HDMI.

Este equipo es algo más caro que el SER5 pero algo más barato que el SER5 PRO. Si quieres potencia máxima, el SER5 PRO es tu mini PC, pero si quieres muy bajo consumo, el modelo Intel N100 es el mejor en este aspecto, y te funcionará perfectamente.

Hay modelos más baratos de unos 150€, pero normalmente disponen de un procesador mucho más lento que el Intel N100, y con solamente 8GB de memoria RAM, lo que podría ser algo justo si quieres hacer otras tareas. Nuestra recomendación es que inviertas algo más de dinero en un modelo bueno, y que no se te quede corto de potencia muy pronto.

Como ves, hay diferentes alternativas para comprar un Mini PC y usarlo con este popular sistema de domótica. Cuanto más potente sea el dispositivo, mejor funcionará y más funciones vas a poder utilizar. Elegir uno de garantías es importante para evitar problemas y que todo funcione correctamente para la domótica de tu casa.

El artículo Características que debe tener un Mini PC para usarlo con Home Assistant se publicó en RedesZone.

Los responsables de WhatsApp han presentado una nueva e importante función para el servicio. Se trata de los llamados Canales, una forma sencilla y privada de recibir novedades tanto de personas como de organizaciones directamente a través de WhatsApp.

Esta característica se encuentra dentro de una nueva pestaña denominada "Novedades", donde los usuarios podrán encontrar tanto los estados como los canales que decidan seguir, separándolos así de los chats tradicionales que mantienen con familiares, amigos o comunidades.

A diferencia de esos chats convencionales, los canales son una herramienta de comunicación unidireccional: los administradores de esos canales son los que envían contenido —texto, fotos, vídeos, stickers, encuestas—, y el usuario el que los consume.

En Xataka

WhatsApp es una app cada vez más compleja. En el camino ha perdido lo que más valorábamos: la simplicidad

Existirá un durectorio con función de búsqueda donde será posible encontrar esos contenidos que queremos seguir —pasatiempos, equipos deportivos, noticias, contenidos prácticos como recetas, y un larguísimo etcétera—, y también será posible acceder a un canal desde enlaces de invitación. Aquí el funcionamiento es muy similar al de los canales de Telegram que, eso sí, son más bidireccionales.

En los Canales de WhatsApp hay otras diferencias importantes con respecto a los chats: la privacidad está protegida. Así, no se muestra su número de teléfono o foto de perfil de los administradores a los seguidores, y el administrador tampoco podrá conocer el número de teléfono de sus seuidores. Tú decides a quién seguir y esa elección es privada.

El registro de los mensajes de canal está limitado a 30 días como máximo, pero habrá opción de eliminar ese historial incluso antes. Los administradores también podrán bloquear opciones de realizar capturas de pantalla o reenviar contenidos desde el canal. Esos administradores tendrán otras opciones interesantes, como poder decidir quién sigue su canal y si quieren que su canal sea visible en el directorio o no.

A diferencia de los chats convencionales, los Canales de WhatsApp no cifran la información de extremo a extremo de forma predeterminada. Aún así, explican en la empresa, "creemos que hay algunos casos en los que los canales encriptados de extremo a extremo para un público limitado podrían tener sentido, como una organización sin fines de lucro o de salud, por lo que también estamos explorando esta opción para el futuro".

Los administradores también tendrán una opción para crear un negocio en torno a su canal mediante servicios de pago ampliados de WhatsApp, además de promocionar ciertos canales en el directorio para aumentar el reconocimiento de losmismos.

Los Canales de WhatsApp estarán inicialmente disponibles en Colombia y Singapur, donde Meta ha iniciado una colaboración con líderes y organizaciones para desplegar este "piloto" de esta nueva opción. A partir de ahí el despliegue en otros países se irá produciendo "en los próximos meses", e irán permitiendo que cualquiera cree un canal.

En Xataka | El gran éxito de LuzIA: cómo un chatbot español para WhatsApp supera ya el millón de usuarios

-
La noticia WhatsApp lanza los Canales, una forma privada de seguir los temas que interesan a cada usuario fue publicada originalmente en Xataka por Javier Pastor .

Zulip es una aplicación de chat en equipo de código abierto diseñada para ayudar a las personas a colaborar

Se dio a conocer el lanzamiento de la nueva versión de Zulip 7, la cual a palabras de los desarrolaldores esta es una versión importante que llega con más de 3800 confirmaciones nuevas fusionadas en todo el proyecto desde la versión 6.0.

Para quienes desconocen de Zulip, deben saber que es una plataforma de servidor para el despliegue de mensajeros corporativos adecuados para organizar la comunicación entre los empleados y los equipos de desarrollo.

El sistema admite mensajes directos entre dos personas y discusiones grupales. Zulip puede compararse con el servicio de Slack y considerarse como un análogo intracorporativo de Twitter, que se utiliza para la comunicación y el debate de cuestiones laborales en grandes grupos de empleados.

Principales novedades de Zulip 7

En esta nueva versión de Zulip 7 se destaca en gran medida todos los cambios en el diseño visual, que es parte del proyecto de rediseño en curso de Zulip, ya que la apariencia se ha modernizado.

El nuevo diseño utiliza el resaltado de color de forma más activa, incluidos los encabezados de las fuentes de mensajes, el color de fondo, los colores de las menciones, las fechas y las horas, los banners del cuadro de redacción, los íconos y la información sobre herramientas.

Además de la información sobre la hora en las listas, se han agregado líneas separadoras que indican los días para una comprensión más clara de qué día se envió el mensaje.

Otro de los cambios que se destaca de la nueva versión, son las mejoras de soporte y es que en Zulip 7 ya se cuenta con el soporte para Debian 12 y PostgreSQL 15, asi como la integración con la plataforma Rundeck , la integración mejorada con GitHub y tambien en las aplicaciones móviles de Zulip para iOS y Android se realizaron diversas mejoras.

Tambien se destaca que se agregó una opción para silenciar canales para deshabilitar la recepción de notificaciones de mensajes. Al mismo tiempo, se pueden devolver notificaciones para temas individuales, proporcionando un seguimiento selectivo de los temas más interesantes del canal.

Se agregaron configuraciones para marcar automáticamente los mensajes como leídos después de verlos. Por ejemplo, puede deshabilitar el etiquetado automático en la vista de discusión y marcar como de solo lectura en la vista dividida.

Por otra parte, se destaca que se agregó la capacidad de enviar un mensaje no de inmediato, sino en un momento determinado de acuerdo con el cronograma. Por ejemplo, el envío de un mensaje escrito por la noche se puede posponer hasta la mañana.

Se ha simplificado el proceso de cambio de destinatario al editar un mensaje que aún no ha sido enviado, ademas de que se agregó la capacidad de seleccionar un canal para enviar y cambiar entre enviar directamente a un usuario y enviar a un canal sin salir de la interfaz de edición.

De los demás cambios que se destacan:

• Se han actualizado las dependencias, por ejemplo, el framework Django se ha actualizado a la versión 4.2.
• Se ha cambiado la interfaz para establecer permisos para mover mensajes. Ahora es posible determinar quién y por cuánto tiempo puede mover mensajes, independientemente de los derechos de edición.
• En la interfaz del administrador, la apertura de la tarjeta del usuario se implementa al hacer clic en el nombre de usuario en la configuración o en las listas de suscriptores.
• El formulario de exportación ofrece una opción entre los formatos JSON y CSV, y se han agregado filtros para filtrar al exportar destinatarios individuales y mensajes con archivos adjuntos.
• Se ha agregado una configuración que regula quién puede ver los correos electrónicos especificados durante el inicio de sesión.
• Se ha cambiado el diseño de los bloques emergentes en la interfaz para redactar y editar un mensaje.
• Presentación mejorada de la información sobre los métodos abreviados de teclado en la información sobre herramientas.
• Se amplió la cantidad de publicaciones y temas que se muestran en la barra lateral.
• Se agregaron mensajes de confirmación adicionales para acciones que requieren atención, como marcar todos los mensajes como leídos, eliminar al último usuario y desactivar las notificaciones.

Finalmente si quieres conocer más al respecto, puedes consultar el siguiente enlace.

¿Descarga e instalación de Zulip en Linux?

Para quienes estén interesados en poder instalar Zulip, deben saber que está disponible para Linux, Windows, macOS, Android e iOS, y se proporciona una interfaz web incorporada.

Los desarrolladores de Zulip proporcionan a los usuarios de Linux la aplicación en un formato AppImage el cual podemos descargar desde su sitio web oficial.

Damos permisos de ejecución con:
sudo chmod a+x zulip.AppImage

Y ejecutamos con:

./zulip.AppImage

Otro método de instalación es por medio de los paquetes Snap. La instalación la realizamos ejecutando en la terminal:
sudo snap install zulip

Hasta ahora, el proceso de solicitud de un certificado digital, tan necesario para la realización de múltiples procedimientos administrativos online, pasaba por acercarse a una de las oficinas de la Admón. central para identificarte y rellenar una serie de formularios de manera presencial.

Pero, ¿y si pudiéramos hacerlo desde cualquier lugar, sólo con el DNI y nuestro teléfono móvil? Estás de enhorabuena, porque desde hoy aparece habilitada en la web de la Fábrica Nacional de Moneda y Timbre (FNMT) la opción para realizar entre procedimiento cómodamente desde casa, gracias a la identificación remota por vídeo.

Eso sí, siendo más cómodo que la opción presencial, antes de embarcarte en este proceso debes saber que no es gratuito. Para descargar el certificado deberás pagar 2,99 € + impuestos. Si aun así crees que te sale rentable el procedimiento, sigue leyendo.

Antes de iniciar los pasos de la solicitud, debes tener en mente dos cosas:

• No debes formatear el ordenador entre el proceso de solicitud y el de descarga del certificado.
• Debes realizar todo el proceso de obtención desde el mismo PC y con el mismo usuario.

En Genbeta

Autofirma es el mejor complemento para sacar partido a tu certificado digital: así puedes usarlo en Windows y Mac

Estos son los pasos a seguir

• Antes de nada, deberemos instalar 'CONFIGURADOR FNMT-RCM', el software necesario para la generación de claves, que está disponible aquí para Windows (32/64 bits), Linux (32/64 bits, paquetes DEB/RPM) y para MacOS.
• Una vez instalado el software, deberemos entrar en la sede electrónica de la FNMT,  cumplimentar un sencillo formulario y entonces recibiremos por correo electrónico nuestro Código de Solicitud:

• Estando en posesión ya de dicho código, iniciaremos el proceso de vídeo identificación accediendo aquí. Una vez iniciado, deberemos escanear con la cámara de nuestro teléfono móvil el QR que aparece en pantalla.

• Después, de nuevo a través de la cámara de nuestro móvil, mostraremos nuestro documento de identidad por ambas caras. El sistema examinará el documento y verificará la autenticidad del mismo.
• A continuación, se realizará el reconocimiento mediante biometría facial para verificar que nuestra cara se corresponde con la foto del documento de identificación.
• Adicionalmente, el sistema nos pedirá realizar una prueba de vida para comprobar que se trata de una persona real y no un intento de fraude mediante fotos, máscaras 3D u otras técnicas de falsificación. La FNMT no habla explícitamente de la amenaza de los deepfakes, pero existir existe.
• Posteriormente, un agente del organismo examinará todas las evidencias y verificará que todo está correcto antes de expedir el certificado. En un máximo de 2 días hábiles, nuestra videoidentificación será atendida y recibiremos un correo de aviso aprobando o rechazando la misma.
• Una vez validada la identificación, una notificación por correo electrónico nos avisará de que podemos descargar nuestro nuevo certificado desde aquí:

• Como avisamos el comienzo del artículo, descargar dicho certificado costará 2,99 + impuestos (técnicamente nos cobran por el proceso de vídeo identificación, no por el certificado en sí… pero vaya, que es lo mismo). Podremos pagar con tarjeta bancaria y mediante Bizum. A partir de ahí, ya tendremos disponible el certificado digital en nuestro equipo.

Imagen | Basada en original de Alexandra_Koch en Pixabay

En Genbeta | Certificado digital vs DNI electrónico vs sistema Cl@ve: en qué se diferencian y cuál te conviene más según tus necesidades

-
La noticia Ahora puedes obtener tu certificado digital sin salir de casa: sólo necesitas la cámara de tu smartphone para identificarte fue publicada originalmente en Genbeta por Marcos Merino .

Entre los múltiples productos que ofrece Amazon se encuentran sus cámaras de seguridad y timbres inteligentes Ring, dispositivos que lleva comercializando desde que adquirió la empresa homónima en 2018. Sin embargo, la compañía lleva enfrentándose a problemas legales durante varios años referentes a la privacidad de sus productos. Estos problemas han conducido a Amazon a tener que pagar un total de 5,8 millones de dólares por una de las quejas formales ante la Comisión Federal de Comercio (FTC) en Estados Unidos.

Además de ello, la compañía también ha sido sancionada a tener que pagar 25 millones de dólares por vulnerar la privacidad de sus usuarios (incluidos menores) a través de datos recogidos por Alexa para entrenar sus algoritmos, algo que la FTC dictaminó que era completamente ilegal.

Grabaciones a las que empleados de Amazon y la policía tenía acceso

Hoy en día viene bien pensárselo más de dos veces a la hora de escoger un producto de cibervigilancia para el hogar. Si bien suelen ser dispositivos muy útiles para la seguridad de los nuestros, suelen ser susceptibles a brechas de seguridad. Además, el hecho de subir nuestras grabaciones a la nube puede suponer una vulneración de nuestra privacidad, información que las compañías podrían tener acceso para todo tipo de fines. Como es el caso de Amazon.

En este aspecto, la compañía ha tenido que enfrentarse a varias acusaciones referentes al acceso de los empleados de Amazon y de diferentes departamentos de policía a los datos recogidos por sus dispositivos. Las grabaciones de Ring se almacenan en los servicios en la nube de Amazon. Sin embargo, éstas se subían al servicio sin encriptación, haciendo que los empleados tuvieran acceso a estas grabaciones en todo el mundo. El único requisito que Amazon necesitaba para acceder a las grabaciones era el correo electrónico de los usuarios.

Según la información recogida por el organismo regulador, la compañía no pudo controlar de manera eficaz el acceso a estas grabaciones por parte de sus empleados. De hecho, en uno de los casos un empleado supuestamente habría visto miles de horas de contenido sensible de mujeres con dispositivos Ring.

No fue hasta el pasado año cuando Amazon ofreció a sus usuarios la posibilidad de almacenar contenido cifrado de extremo a extremo, para que de esta manera nadie pudiese acceder a las grabaciones.

En Xataka Smart Home

La mejor cámara de vigilancia sin cables: ¿Cuál comprar? Consejos y recomendaciones

Otro de los casos que tuvo que enfrentarse Amazon era el hecho de que los videos grabados a través de sus dispositivos Ring eran ofrecidos a los departamentos de policía para la investigación criminal. Este tipo de pruebas podrían ser vitales para la resolución de casos, aunque a costa de vulnerar la privacidad de los usuarios. A veces las grabaciones podrían involucrar a personas que no tendrían nada que ver con los casos, haciendo que las imágenes se queden registradas para siempre en los sistemas de la policía.

Tras el caso, Amazon cambió consecuentemente su política en los Estados Unidos, ofreciendo mayor transparencia hacia los datos que recopila sobre sus productos Ring. Ante esta mala praxis Amazon tendrá que pagar una cantidad de 5,8 millones de dólares por el escándalo provocado con sus productos Ring, una cifra que muchos consideran baja dada la escala de la empresa y los problemas ocasionados. Ésta también se suma a los 25 millones de dólares por haber comprometido datos de Alexa.

Este es un ejemplo más del cuidado que tenemos que tener a la hora de comprar dispositivos para la seguridad de nuestro hogar. Y es que inevitablemente, cualquier producto conectado a Internet supone una puerta de entrada para ciberdelincuentes o para que compañías compartan nuestra información con terceros. Es por ello que, como mínimo, es recomendable no utilizar nunca servicios en la nube para recopilar grabaciones, y si lo hacemos, que siempre estén cifradas de extremo a extremo. Una configuración en local siempre será lo ideal, pues solamente nosotros controlamos esa información.

Vía | 9To5Mac

Más información | FTC, Ring

En Xataka Smart Home | Qué fue de Dropcam: el primer acercamiento de Google hacia las cámaras de seguridad inteligentes en el hogar

-
La noticia Amazon tendrá que pagar una multa millonaria por vulnerar la privacidad de sus usuarios con sus cámaras y timbres Ring fue publicada originalmente en Xataka Smart Home por Antonio Vallejo .